Сопоставление мер ФСТЭК №21 с реализацией
Таблица связывает меры защиты приказа ФСТЭК России №21 (УЗ-1 / К1) с конкретными
артефактами шаблона. Статусы: ✅ реализовано в коде · 🔧 требует настройки при
развёртывании · 🏛 инфраструктурная/организационная мера (вне кода).
ИАФ — Идентификация и аутентификация
| Мера |
Где реализовано |
Статус |
| ИАФ.1 Идентификация/аутентификация |
AuthenticatedSessionController, LoginRequest |
✅ |
| ИАФ.2 Управление идентификаторами |
уникальный users.email, SoftDeletes, is_blocked |
✅ |
| ИАФ.3 Парольная политика |
config/security.php, PasswordPolicy, PasswordNotReused, PasswordManager, EnsurePasswordIsNotExpired |
✅ |
| ИАФ.4 Многофакторная аутентификация |
TwoFactorService, TwoFactorController, EnsureMfaIsVerified |
✅ |
| ИАФ.5 Защита аутентификации при передаче |
ForceHttps, HSTS, secure-cookie |
✅ / 🔧 |
| ИАФ.6 Блокировка после неудачных попыток |
LoginRequest (lockout + событие auth.locked) |
✅ |
УПД — Управление доступом
| Мера |
Где реализовано |
Статус |
| УПД.1 Управление учётными записями |
is_blocked, user:create-admin, soft delete |
✅ |
| УПД.2 Доступ к объектам (ПДн) |
PersonalDataPolicy |
✅ |
| УПД.4 Разделение ролей |
RolesAndPermissionsSeeder (admin/operator/auditor/user) |
✅ |
| УПД.5 Наименьшие привилегии |
права по ролям, явный $fillable |
✅ |
| УПД.6 Ограничение попыток |
lockout, RateLimiter |
✅ |
| УПД.13 Контроль функций управления |
права users.manage/roles.manage, IpWhitelist |
✅ / 🔧 |
ЗНИ / ОЦЛ — Защита носителей и контроль целостности
| Мера |
Где реализовано |
Статус |
| ЗНИ Шифрование ПДн |
HasPdnEncryption, PdnCipher (AES/ГОСТ) |
✅ |
| ЗНИ.1 Шифрование носителей |
полнодисковое шифрование сервера (LUKS) |
🏛 |
| ОЦЛ.1 Контроль целостности ПО |
composer.lock, composer validate, CI |
✅ / 🔧 |
| ОЦЛ.2 Контроль целостности данных |
checksum в PersonalData, integrityValid() |
✅ |
| ОЦЛ.6 Ограничение запуска ПО |
AppArmor/SELinux профиль для PHP-FPM |
🏛 |
РСБ — Регистрация событий безопасности
| Мера |
Где реализовано |
Статус |
| РСБ.1 Перечень событий |
config/audit.php (events) |
✅ |
| РСБ.2 Регистрация событий |
AuditService, AuthEventSubscriber, AuditLog middleware, Policy |
✅ |
| РСБ.3 Защита журналов |
отдельное соединение audit, HMAC + хеш-цепочка, audit_grants.sql |
✅ / 🔧 |
| РСБ.4 Защита от переполнения |
audit:purge, мониторинг диска |
✅ / 🔧 |
| РСБ.7 Мониторинг в реальном времени |
канал SIEM (AUDIT_SIEM_ENABLED) |
🔧 |
| РСБ.8 Срок хранения ≥ 3 лет |
AUDIT_RETENTION_DAYS=1095 |
🔧 |
ЗИС — Защита информационной системы
| Мера |
Где реализовано |
Статус |
| ЗИС.1 Сегментация |
deploy/docker-compose.yml (internal-сеть), DMZ |
🔧 / 🏛 |
| ЗИС.2 Защита периметра |
Nginx, firewall, IpWhitelist, fail2ban |
🔧 |
| ЗИС.9 Защита при передаче (TLS) |
ForceHttps, deploy/nginx/app.conf (TLS 1.2/1.3) |
✅ / 🔧 |
| ЗИС.16 Сертифицированные СКЗИ |
драйвер ГОСТ (GostCipher), КриптоПро |
🔧 |
| Заголовки безопасности, CSP, XSS, CSRF |
SecurityHeaders, Blade-экранирование, VerifyCsrfToken |
✅ |
ОДТ / УКФ — Обеспечение доступности, конфигурация
| Мера |
Где реализовано |
Статус |
| ОДТ.3 Контроль средств отладки |
APP_DEBUG=false в prod |
🔧 |
| УКФ.1 Базовая конфигурация (hardening) |
deploy/Dockerfile (php ini), CIS Benchmark |
🔧 / 🏛 |
| УКФ.2 Контроль изменений конфигурации |
Git + CI, запрет ручных изменений |
🔧 |
| УКФ.4 Анализ уязвимостей |
security:audit-deps, .github/workflows/security.yml |
✅ |
Меры вне кода (инфраструктура/организация)
ЗАВ (антивирус, ClamAV), СОВ (Suricata/Snort), ЗИС.1 (физическая сегментация),
ЗСВ (защита виртуализации), ИНЦ (реагирование на инциденты), УКФ.1 (hardening ОС)
— реализуются на уровне инфраструктуры и регламентов. Шаблоны организационных
документов: ../org/.