Files
2026-06-24 17:20:43 +09:00

102 lines
6.2 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Чек-лист соответствия ФСТЭК №21 — УЗ-1 (К1)
Статусы: ✅ реализовано в коде · 🔧 требует настройки при развёртывании ·
🏛 инфраструктурная/организационная мера · ☐ не реализовано
## 1. Идентификация и аутентификация (ИАФ)
- ✅ ИАФ.1 Идентификация и аутентификация пользователей
- ✅ ИАФ.2 Управление идентификаторами (уникальность, soft delete, блокировка)
- ✅ ИАФ.3 Пароль ≥ 12 символов, сложность
- ✅ ИАФ.3 Запрет повтора последних 5 паролей
- ✅ ИАФ.3 Смена пароля каждые 90 дней
- ✅ ИАФ.4 Многофакторная аутентификация (TOTP)
- ✅🔧 ИАФ.5 Защита аутентификации при передаче (HTTPS + HSTS)
- ✅ ИАФ.6 Блокировка после 5 неудачных попыток
## 2. Управление доступом (УПД)
- ✅ УПД.1 Управление учётными записями
- ✅ УПД.2 Управление доступом к объектам (Policies для ПДн)
- ✅ УПД.4 Разделение ролей (admin / operator / auditor / user)
- ✅ УПД.5 Принцип наименьших привилегий
- ✅ УПД.6 Ограничение неудачных попыток
- ✅🔧 УПД.13 Контроль доступа к функциям управления
## 3. Ограничение программной среды (ОПС)
- 🔧 ОПС.1 Управление установкой ПО (зафиксированный `composer.lock`)
- 🔧 ОПС.2 Запрет неавторизованных изменений (CI/CD контроль целостности)
- 🔧 ОДТ.3 Контроль средств отладки (`APP_DEBUG=false`)
## 4. Защита машинных носителей (ЗНИ)
- ✅ ЗНИ Шифрование полей ПДн на уровне приложения
- 🏛 ЗНИ.1 Полнодисковое шифрование (LUKS/VeraCrypt)
- 🏛 ЗНИ.3 Уничтожение данных при выводе из эксплуатации
## 5. Регистрация событий безопасности (РСБ)
- ✅ РСБ.1 Перечень регистрируемых событий определён
- ✅ РСБ.2 Регистрация входа/выхода
- ✅ РСБ.2 Регистрация действий с ПДн (CRUD)
- ✅ РСБ.2 Журнал содержит: время, пользователя, IP, объект, результат
- ✅🔧 РСБ.3 Журналы недоступны для изменения (отдельная БД, права INSERT)
- ✅ РСБ.3 Целостность журналов (HMAC-подпись + хеш-цепочка)
- ✅🔧 РСБ.4 Защита от переполнения (ротация `audit:purge` + мониторинг)
- 🔧 РСБ.7 Мониторинг событий в реальном времени (SIEM)
- 🔧 РСБ.8 Хранение журналов ≥ 3 лет
## 6. Антивирусная защита (ЗАВ)
- 🏛 ЗАВ.1 Антивирус на сервере (ClamAV/сертифицированное СЗИ)
- 🏛 ЗАВ.2 Проверка загружаемых файлов
## 7. Обнаружение вторжений (СОВ)
- 🏛 СОВ.1 Система обнаружения вторжений (Suricata/Snort/NGFW)
- 🏛 СОВ.2 Обновление баз СОВ
## 8. Обеспечение целостности (ОЦЛ)
- 🔧 ОЦЛ.1 Контроль целостности ПО (хеши/CI)
- ✅ ОЦЛ.2 Контроль целостности данных (`checksum` в таблицах ПДн)
- 🏛 ОЦЛ.6 Ограничение запуска программ (AppArmor/SELinux)
## 9. Защита среды виртуализации (ЗСВ) — при наличии
- 🏛 ЗСВ.1 Идентификация ВМ
- 🔧 ЗСВ.3 Изоляция БД (отдельные БД приложения и журнала)
## 10. Защита информационной системы (ЗИС)
- 🔧🏛 ЗИС.1 Сегментация (DMZ для веб, внутренний сегмент для БД)
- 🔧 ЗИС.2 Защита периметра (Nginx + firewall + fail2ban)
- 🔧 ЗИС.3 Исключение несанкционированного подключения (SSH по ключам)
- ✅🔧 ЗИС.9 Защита от НСД при передаче (TLS 1.2+)
- 🔧 ЗИС.16 Сертифицированные СКЗИ (КриптоПро для ГИС)
## 11. Реагирование на инциденты (ИНЦ)
- 🔧 ИНЦ.1 Обнаружение и регистрация инцидентов (алерты/SIEM)
- 🏛 ИНЦ.2 Регламент реагирования (документ)
- 🏛 ИНЦ.3 Уведомление Роскомнадзора в течение 24 ч
- 🏛 ИНЦ.5 Анализ инцидентов, устранение причин
## 12. Управление конфигурацией (УКФ)
- 🔧🏛 УКФ.1 Базовая конфигурация (hardening Linux/PHP, CIS)
- 🔧 УКФ.2 Контроль изменений конфигурации (Git + CI)
- ✅ УКФ.4 Анализ уязвимостей (`composer audit`, CI)
## Приоритеты внедрения
**Очередь 1 (критично):** `APP_DEBUG=false`, TLS+HSTS, MFA, шифрование ПДн,
базовое журналирование — **реализовано в шаблоне**.
**Очередь 2 (высокий):** RBAC, парольная политика, блокировка, HMAC-подпись
журнала — **реализовано в шаблоне**.
**Очередь 3 (инфраструктура):** антивирус, сегментация сети, SIEM, регламенты —
настраивается при развёртывании (см. [compliance.md](compliance.md), [../org/](../org/)).