Files
2026-06-24 17:20:43 +09:00

75 lines
5.6 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Сопоставление мер ФСТЭК №21 с реализацией
Таблица связывает меры защиты приказа ФСТЭК России №21 (УЗ-1 / К1) с конкретными
артефактами шаблона. Статусы: ✅ реализовано в коде · 🔧 требует настройки при
развёртывании · 🏛 инфраструктурная/организационная мера (вне кода).
## ИАФ — Идентификация и аутентификация
| Мера | Где реализовано | Статус |
|---|---|---|
| ИАФ.1 Идентификация/аутентификация | `AuthenticatedSessionController`, `LoginRequest` | ✅ |
| ИАФ.2 Управление идентификаторами | уникальный `users.email`, `SoftDeletes`, `is_blocked` | ✅ |
| ИАФ.3 Парольная политика | `config/security.php`, `PasswordPolicy`, `PasswordNotReused`, `PasswordManager`, `EnsurePasswordIsNotExpired` | ✅ |
| ИАФ.4 Многофакторная аутентификация | `TwoFactorService`, `TwoFactorController`, `EnsureMfaIsVerified` | ✅ |
| ИАФ.5 Защита аутентификации при передаче | `ForceHttps`, HSTS, secure-cookie | ✅ / 🔧 |
| ИАФ.6 Блокировка после неудачных попыток | `LoginRequest` (lockout + событие `auth.locked`) | ✅ |
## УПД — Управление доступом
| Мера | Где реализовано | Статус |
|---|---|---|
| УПД.1 Управление учётными записями | `is_blocked`, `user:create-admin`, soft delete | ✅ |
| УПД.2 Доступ к объектам (ПДн) | `PersonalDataPolicy` | ✅ |
| УПД.4 Разделение ролей | `RolesAndPermissionsSeeder` (admin/operator/auditor/user) | ✅ |
| УПД.5 Наименьшие привилегии | права по ролям, явный `$fillable` | ✅ |
| УПД.6 Ограничение попыток | lockout, `RateLimiter` | ✅ |
| УПД.13 Контроль функций управления | права `users.manage`/`roles.manage`, `IpWhitelist` | ✅ / 🔧 |
## ЗНИ / ОЦЛ — Защита носителей и контроль целостности
| Мера | Где реализовано | Статус |
|---|---|---|
| ЗНИ Шифрование ПДн | `HasPdnEncryption`, `PdnCipher` (AES/ГОСТ) | ✅ |
| ЗНИ.1 Шифрование носителей | полнодисковое шифрование сервера (LUKS) | 🏛 |
| ОЦЛ.1 Контроль целостности ПО | `composer.lock`, `composer validate`, CI | ✅ / 🔧 |
| ОЦЛ.2 Контроль целостности данных | `checksum` в `PersonalData`, `integrityValid()` | ✅ |
| ОЦЛ.6 Ограничение запуска ПО | AppArmor/SELinux профиль для PHP-FPM | 🏛 |
## РСБ — Регистрация событий безопасности
| Мера | Где реализовано | Статус |
|---|---|---|
| РСБ.1 Перечень событий | `config/audit.php` (`events`) | ✅ |
| РСБ.2 Регистрация событий | `AuditService`, `AuthEventSubscriber`, `AuditLog` middleware, Policy | ✅ |
| РСБ.3 Защита журналов | отдельное соединение `audit`, HMAC + хеш-цепочка, `audit_grants.sql` | ✅ / 🔧 |
| РСБ.4 Защита от переполнения | `audit:purge`, мониторинг диска | ✅ / 🔧 |
| РСБ.7 Мониторинг в реальном времени | канал SIEM (`AUDIT_SIEM_ENABLED`) | 🔧 |
| РСБ.8 Срок хранения ≥ 3 лет | `AUDIT_RETENTION_DAYS=1095` | 🔧 |
## ЗИС — Защита информационной системы
| Мера | Где реализовано | Статус |
|---|---|---|
| ЗИС.1 Сегментация | `deploy/docker-compose.yml` (internal-сеть), DMZ | 🔧 / 🏛 |
| ЗИС.2 Защита периметра | Nginx, firewall, `IpWhitelist`, fail2ban | 🔧 |
| ЗИС.9 Защита при передаче (TLS) | `ForceHttps`, `deploy/nginx/app.conf` (TLS 1.2/1.3) | ✅ / 🔧 |
| ЗИС.16 Сертифицированные СКЗИ | драйвер ГОСТ (`GostCipher`), КриптоПро | 🔧 |
| Заголовки безопасности, CSP, XSS, CSRF | `SecurityHeaders`, Blade-экранирование, VerifyCsrfToken | ✅ |
## ОДТ / УКФ — Обеспечение доступности, конфигурация
| Мера | Где реализовано | Статус |
|---|---|---|
| ОДТ.3 Контроль средств отладки | `APP_DEBUG=false` в prod | 🔧 |
| УКФ.1 Базовая конфигурация (hardening) | `deploy/Dockerfile` (php ini), CIS Benchmark | 🔧 / 🏛 |
| УКФ.2 Контроль изменений конфигурации | Git + CI, запрет ручных изменений | 🔧 |
| УКФ.4 Анализ уязвимостей | `security:audit-deps`, `.github/workflows/security.yml` | ✅ |
## Меры вне кода (инфраструктура/организация)
ЗАВ (антивирус, ClamAV), СОВ (Suricata/Snort), ЗИС.1 (физическая сегментация),
ЗСВ (защита виртуализации), ИНЦ (реагирование на инциденты), УКФ.1 (hardening ОС)
— реализуются на уровне инфраструктуры и регламентов. Шаблоны организационных
документов: [../org/](../org/).