Files
2026-06-24 17:20:43 +09:00

5.6 KiB
Raw Permalink Blame History

Сопоставление мер ФСТЭК №21 с реализацией

Таблица связывает меры защиты приказа ФСТЭК России №21 (УЗ-1 / К1) с конкретными артефактами шаблона. Статусы: реализовано в коде · 🔧 требует настройки при развёртывании · 🏛 инфраструктурная/организационная мера (вне кода).

ИАФ — Идентификация и аутентификация

Мера Где реализовано Статус
ИАФ.1 Идентификация/аутентификация AuthenticatedSessionController, LoginRequest
ИАФ.2 Управление идентификаторами уникальный users.email, SoftDeletes, is_blocked
ИАФ.3 Парольная политика config/security.php, PasswordPolicy, PasswordNotReused, PasswordManager, EnsurePasswordIsNotExpired
ИАФ.4 Многофакторная аутентификация TwoFactorService, TwoFactorController, EnsureMfaIsVerified
ИАФ.5 Защита аутентификации при передаче ForceHttps, HSTS, secure-cookie / 🔧
ИАФ.6 Блокировка после неудачных попыток LoginRequest (lockout + событие auth.locked)

УПД — Управление доступом

Мера Где реализовано Статус
УПД.1 Управление учётными записями is_blocked, user:create-admin, soft delete
УПД.2 Доступ к объектам (ПДн) PersonalDataPolicy
УПД.4 Разделение ролей RolesAndPermissionsSeeder (admin/operator/auditor/user)
УПД.5 Наименьшие привилегии права по ролям, явный $fillable
УПД.6 Ограничение попыток lockout, RateLimiter
УПД.13 Контроль функций управления права users.manage/roles.manage, IpWhitelist / 🔧

ЗНИ / ОЦЛ — Защита носителей и контроль целостности

Мера Где реализовано Статус
ЗНИ Шифрование ПДн HasPdnEncryption, PdnCipher (AES/ГОСТ)
ЗНИ.1 Шифрование носителей полнодисковое шифрование сервера (LUKS) 🏛
ОЦЛ.1 Контроль целостности ПО composer.lock, composer validate, CI / 🔧
ОЦЛ.2 Контроль целостности данных checksum в PersonalData, integrityValid()
ОЦЛ.6 Ограничение запуска ПО AppArmor/SELinux профиль для PHP-FPM 🏛

РСБ — Регистрация событий безопасности

Мера Где реализовано Статус
РСБ.1 Перечень событий config/audit.php (events)
РСБ.2 Регистрация событий AuditService, AuthEventSubscriber, AuditLog middleware, Policy
РСБ.3 Защита журналов отдельное соединение audit, HMAC + хеш-цепочка, audit_grants.sql / 🔧
РСБ.4 Защита от переполнения audit:purge, мониторинг диска / 🔧
РСБ.7 Мониторинг в реальном времени канал SIEM (AUDIT_SIEM_ENABLED) 🔧
РСБ.8 Срок хранения ≥ 3 лет AUDIT_RETENTION_DAYS=1095 🔧

ЗИС — Защита информационной системы

Мера Где реализовано Статус
ЗИС.1 Сегментация deploy/docker-compose.yml (internal-сеть), DMZ 🔧 / 🏛
ЗИС.2 Защита периметра Nginx, firewall, IpWhitelist, fail2ban 🔧
ЗИС.9 Защита при передаче (TLS) ForceHttps, deploy/nginx/app.conf (TLS 1.2/1.3) / 🔧
ЗИС.16 Сертифицированные СКЗИ драйвер ГОСТ (GostCipher), КриптоПро 🔧
Заголовки безопасности, CSP, XSS, CSRF SecurityHeaders, Blade-экранирование, VerifyCsrfToken

ОДТ / УКФ — Обеспечение доступности, конфигурация

Мера Где реализовано Статус
ОДТ.3 Контроль средств отладки APP_DEBUG=false в prod 🔧
УКФ.1 Базовая конфигурация (hardening) deploy/Dockerfile (php ini), CIS Benchmark 🔧 / 🏛
УКФ.2 Контроль изменений конфигурации Git + CI, запрет ручных изменений 🔧
УКФ.4 Анализ уязвимостей security:audit-deps, .github/workflows/security.yml

Меры вне кода (инфраструктура/организация)

ЗАВ (антивирус, ClamAV), СОВ (Suricata/Snort), ЗИС.1 (физическая сегментация), ЗСВ (защита виртуализации), ИНЦ (реагирование на инциденты), УКФ.1 (hardening ОС) — реализуются на уровне инфраструктуры и регламентов. Шаблоны организационных документов: ../org/.