34 lines
2.4 KiB
Markdown
34 lines
2.4 KiB
Markdown
# Модель угроз и нарушителя безопасности ПДн (шаблон)
|
||
|
||
**Оператор:** {{ организация }} · **ИСПДн:** {{ ... }} · **УЗ:** {{ 1 }} · **Дата:** {{ ... }}
|
||
|
||
> Разрабатывается по приказу ФСТЭК №21 с использованием банка данных угроз
|
||
> ФСТЭК (bdu.fstec.ru) и методики оценки угроз безопасности информации (2021).
|
||
|
||
## 1. Описание ИСПДн
|
||
Архитектура, границы, потоки ПДн, перечень компонентов (см. README, раздел
|
||
архитектуры). Веб-приложение Laravel, PostgreSQL, Redis, журнал аудита.
|
||
|
||
## 2. Модель нарушителя
|
||
| Тип | Возможности | Актуальность |
|
||
|---|---|---|
|
||
| Внешний нарушитель (интернет) | сетевые атаки, перебор, эксплойты | {{ да }} |
|
||
| Внутренний пользователь | злоупотребление правами, утечка | {{ да }} |
|
||
| Привилегированный администратор | полный доступ | {{ да/нет }} |
|
||
|
||
Предполагаемый потенциал нарушителя: {{ базовый / повышенный / высокий }}.
|
||
|
||
## 3. Актуальные угрозы (выборка из БДУ ФСТЭК)
|
||
| ID БДУ | Угроза | Актуальность | Нейтрализующая мера |
|
||
|---|---|---|---|
|
||
| УБИ.* | НСД к ПДн через веб | актуальна | ИАФ.1, ИАФ.4, УПД.2, шифрование (ЗНИ) |
|
||
| УБИ.* | Перебор паролей | актуальна | ИАФ.3, ИАФ.6 (lockout), fail2ban |
|
||
| УБИ.* | Перехват при передаче | актуальна | ЗИС.9 (TLS), HSTS |
|
||
| УБИ.* | Подделка/удаление журналов | актуальна | РСБ.3 (HMAC, отдельная БД) |
|
||
| УБИ.* | Внедрение SQL/XSS | актуальна | Eloquent, Blade-экранирование, CSP |
|
||
| УБИ.* | Утечка через резервные копии | {{ ... }} | шифрование бэкапов |
|
||
|
||
## 4. Вывод
|
||
Реализованный набор мер (docs/security/compliance.md) нейтрализует актуальные
|
||
угрозы для УЗ-{{ 1 }}. Остаточные риски: {{ ... }}.
|