75 lines
5.6 KiB
Markdown
75 lines
5.6 KiB
Markdown
# Сопоставление мер ФСТЭК №21 с реализацией
|
||
|
||
Таблица связывает меры защиты приказа ФСТЭК России №21 (УЗ-1 / К1) с конкретными
|
||
артефактами шаблона. Статусы: ✅ реализовано в коде · 🔧 требует настройки при
|
||
развёртывании · 🏛 инфраструктурная/организационная мера (вне кода).
|
||
|
||
## ИАФ — Идентификация и аутентификация
|
||
|
||
| Мера | Где реализовано | Статус |
|
||
|---|---|---|
|
||
| ИАФ.1 Идентификация/аутентификация | `AuthenticatedSessionController`, `LoginRequest` | ✅ |
|
||
| ИАФ.2 Управление идентификаторами | уникальный `users.email`, `SoftDeletes`, `is_blocked` | ✅ |
|
||
| ИАФ.3 Парольная политика | `config/security.php`, `PasswordPolicy`, `PasswordNotReused`, `PasswordManager`, `EnsurePasswordIsNotExpired` | ✅ |
|
||
| ИАФ.4 Многофакторная аутентификация | `TwoFactorService`, `TwoFactorController`, `EnsureMfaIsVerified` | ✅ |
|
||
| ИАФ.5 Защита аутентификации при передаче | `ForceHttps`, HSTS, secure-cookie | ✅ / 🔧 |
|
||
| ИАФ.6 Блокировка после неудачных попыток | `LoginRequest` (lockout + событие `auth.locked`) | ✅ |
|
||
|
||
## УПД — Управление доступом
|
||
|
||
| Мера | Где реализовано | Статус |
|
||
|---|---|---|
|
||
| УПД.1 Управление учётными записями | `is_blocked`, `user:create-admin`, soft delete | ✅ |
|
||
| УПД.2 Доступ к объектам (ПДн) | `PersonalDataPolicy` | ✅ |
|
||
| УПД.4 Разделение ролей | `RolesAndPermissionsSeeder` (admin/operator/auditor/user) | ✅ |
|
||
| УПД.5 Наименьшие привилегии | права по ролям, явный `$fillable` | ✅ |
|
||
| УПД.6 Ограничение попыток | lockout, `RateLimiter` | ✅ |
|
||
| УПД.13 Контроль функций управления | права `users.manage`/`roles.manage`, `IpWhitelist` | ✅ / 🔧 |
|
||
|
||
## ЗНИ / ОЦЛ — Защита носителей и контроль целостности
|
||
|
||
| Мера | Где реализовано | Статус |
|
||
|---|---|---|
|
||
| ЗНИ Шифрование ПДн | `HasPdnEncryption`, `PdnCipher` (AES/ГОСТ) | ✅ |
|
||
| ЗНИ.1 Шифрование носителей | полнодисковое шифрование сервера (LUKS) | 🏛 |
|
||
| ОЦЛ.1 Контроль целостности ПО | `composer.lock`, `composer validate`, CI | ✅ / 🔧 |
|
||
| ОЦЛ.2 Контроль целостности данных | `checksum` в `PersonalData`, `integrityValid()` | ✅ |
|
||
| ОЦЛ.6 Ограничение запуска ПО | AppArmor/SELinux профиль для PHP-FPM | 🏛 |
|
||
|
||
## РСБ — Регистрация событий безопасности
|
||
|
||
| Мера | Где реализовано | Статус |
|
||
|---|---|---|
|
||
| РСБ.1 Перечень событий | `config/audit.php` (`events`) | ✅ |
|
||
| РСБ.2 Регистрация событий | `AuditService`, `AuthEventSubscriber`, `AuditLog` middleware, Policy | ✅ |
|
||
| РСБ.3 Защита журналов | отдельное соединение `audit`, HMAC + хеш-цепочка, `audit_grants.sql` | ✅ / 🔧 |
|
||
| РСБ.4 Защита от переполнения | `audit:purge`, мониторинг диска | ✅ / 🔧 |
|
||
| РСБ.7 Мониторинг в реальном времени | канал SIEM (`AUDIT_SIEM_ENABLED`) | 🔧 |
|
||
| РСБ.8 Срок хранения ≥ 3 лет | `AUDIT_RETENTION_DAYS=1095` | 🔧 |
|
||
|
||
## ЗИС — Защита информационной системы
|
||
|
||
| Мера | Где реализовано | Статус |
|
||
|---|---|---|
|
||
| ЗИС.1 Сегментация | `deploy/docker-compose.yml` (internal-сеть), DMZ | 🔧 / 🏛 |
|
||
| ЗИС.2 Защита периметра | Nginx, firewall, `IpWhitelist`, fail2ban | 🔧 |
|
||
| ЗИС.9 Защита при передаче (TLS) | `ForceHttps`, `deploy/nginx/app.conf` (TLS 1.2/1.3) | ✅ / 🔧 |
|
||
| ЗИС.16 Сертифицированные СКЗИ | драйвер ГОСТ (`GostCipher`), КриптоПро | 🔧 |
|
||
| Заголовки безопасности, CSP, XSS, CSRF | `SecurityHeaders`, Blade-экранирование, VerifyCsrfToken | ✅ |
|
||
|
||
## ОДТ / УКФ — Обеспечение доступности, конфигурация
|
||
|
||
| Мера | Где реализовано | Статус |
|
||
|---|---|---|
|
||
| ОДТ.3 Контроль средств отладки | `APP_DEBUG=false` в prod | 🔧 |
|
||
| УКФ.1 Базовая конфигурация (hardening) | `deploy/Dockerfile` (php ini), CIS Benchmark | 🔧 / 🏛 |
|
||
| УКФ.2 Контроль изменений конфигурации | Git + CI, запрет ручных изменений | 🔧 |
|
||
| УКФ.4 Анализ уязвимостей | `security:audit-deps`, `.github/workflows/security.yml` | ✅ |
|
||
|
||
## Меры вне кода (инфраструктура/организация)
|
||
|
||
ЗАВ (антивирус, ClamAV), СОВ (Suricata/Snort), ЗИС.1 (физическая сегментация),
|
||
ЗСВ (защита виртуализации), ИНЦ (реагирование на инциденты), УКФ.1 (hardening ОС)
|
||
— реализуются на уровне инфраструктуры и регламентов. Шаблоны организационных
|
||
документов: [../org/](../org/).
|