# Безопасность и защита данных ## Метаданные - Документ ID: `REG-TECH-004` - Версия: `0.1.1` - Ответственный: `ООО "Аросса"` - Статус: `Готово` ## 1. Модель угроз и риск-контур - Ключевые активы: `телеметрия и события объекта, команды и уставки, учетные записи и роли пользователей, профили конфигурации устройств, версии ПО и прошивок`. - Угрозы и сценарии: `несанкционированная отправка команд, подмена источника телеметрии, потеря данных при разрыве связи, несанкционированный доступ к журналам и настройкам`. - Критичность и приоритеты: `критический приоритет у контуров команд и уставок; высокий приоритет у контуров идентификации/авторизации и аудита; средний приоритет у аналитических выгрузок`. ## 2. Меры защиты - Аутентификация и авторизация: `идентификация пользователя по passkey (QR/RFID) в web-контуре reference runtime, по RFID MIFARE в локальном HMI, phone-assisted path через QR challenge/response; BLE допускается только как optional accelerator, для iPhone/Safari используется fallback QR -> 4-digit code; ролевой доступ (RBAC) и backend filtering module/data projection; идентификация локальных контроллеров в tenant API`. - Шифрование в канале и хранении: `REST-контур публикуется в защищенном периметре (HTTPS), MQTT-доступ ограничивается учетными данными и сегментацией контуров; доступ к данным в БД разграничивается по ролям`. - Аудит действий и событий: `непрерывный аудит команд, уставок и действий пользователя с трассировкой источника события: CAN/ESP32/MQTT/API/UI`. ## 3. Персональные данные - Состав обрабатываемых данных: `учетные записи пользователей, идентификаторы RFID-карт, журналы действий; в ANPR-сценариях — распознанные госномера и метаданные событий`. - Основания обработки: `договорная эксплуатация системы на объекте и регламент ролевого доступа, утвержденный владельцем объекта`. - Сроки хранения и удаления: `сроки хранения задаются эксплуатационным регламентом объекта; удаление и архивирование выполняются администратором с фиксацией в аудит-журнале`. ## 4. Проверки и контроль - Периодичность ревизий: `по релизному циклу и при каждом изменении состава интеграций, ролей или протоколов обмена`. - Ответственные: `владелец продукта, администратор контура, команда сопровождения ПО "Зеленый робот"`. - Ссылки на отчеты проверок: `протоколы испытаний и проверки фиксируются в разделе [Программа и методика испытаний](../quality/test-program-and-methodology) и в [Реестр подтверждающих материалов](../submission/evidence-register)`.