Files
laravel-gost-template/docs/org/model-ugroz.md
2026-06-24 17:20:43 +09:00

34 lines
2.4 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Модель угроз и нарушителя безопасности ПДн (шаблон)
**Оператор:** {{ организация }} · **ИСПДн:** {{ ... }} · **УЗ:** {{ 1 }} · **Дата:** {{ ... }}
> Разрабатывается по приказу ФСТЭК №21 с использованием банка данных угроз
> ФСТЭК (bdu.fstec.ru) и методики оценки угроз безопасности информации (2021).
## 1. Описание ИСПДн
Архитектура, границы, потоки ПДн, перечень компонентов (см. README, раздел
архитектуры). Веб-приложение Laravel, PostgreSQL, Redis, журнал аудита.
## 2. Модель нарушителя
| Тип | Возможности | Актуальность |
|---|---|---|
| Внешний нарушитель (интернет) | сетевые атаки, перебор, эксплойты | {{ да }} |
| Внутренний пользователь | злоупотребление правами, утечка | {{ да }} |
| Привилегированный администратор | полный доступ | {{ да/нет }} |
Предполагаемый потенциал нарушителя: {{ базовый / повышенный / высокий }}.
## 3. Актуальные угрозы (выборка из БДУ ФСТЭК)
| ID БДУ | Угроза | Актуальность | Нейтрализующая мера |
|---|---|---|---|
| УБИ.* | НСД к ПДн через веб | актуальна | ИАФ.1, ИАФ.4, УПД.2, шифрование (ЗНИ) |
| УБИ.* | Перебор паролей | актуальна | ИАФ.3, ИАФ.6 (lockout), fail2ban |
| УБИ.* | Перехват при передаче | актуальна | ЗИС.9 (TLS), HSTS |
| УБИ.* | Подделка/удаление журналов | актуальна | РСБ.3 (HMAC, отдельная БД) |
| УБИ.* | Внедрение SQL/XSS | актуальна | Eloquent, Blade-экранирование, CSP |
| УБИ.* | Утечка через резервные копии | {{ ... }} | шифрование бэкапов |
## 4. Вывод
Реализованный набор мер (docs/security/compliance.md) нейтрализует актуальные
угрозы для УЗ-{{ 1 }}. Остаточные риски: {{ ... }}.