Безопасность и защита данных

Безопасность и защита данных#

Метаданные#

  • Документ ID: REG-TECH-004

  • Версия: 0.1.1

  • Ответственный: ООО "Аросса"

  • Статус: Готово

1. Модель угроз и риск-контур#

  • Ключевые активы: телеметрия и события объекта, команды и уставки, учетные записи и роли пользователей, профили конфигурации устройств, версии ПО и прошивок.

  • Угрозы и сценарии: несанкционированная отправка команд, подмена источника телеметрии, потеря данных при разрыве связи, несанкционированный доступ к журналам и настройкам.

  • Критичность и приоритеты: критический приоритет у контуров команд и уставок; высокий приоритет у контуров идентификации/авторизации и аудита; средний приоритет у аналитических выгрузок.

2. Меры защиты#

  • Аутентификация и авторизация: идентификация пользователя по passkey (QR/RFID) в web-контуре reference runtime, по RFID MIFARE в локальном HMI, phone-assisted path через QR challenge/response; BLE допускается только как optional accelerator, для iPhone/Safari используется fallback QR -> 4-digit code; ролевой доступ (RBAC) и backend filtering module/data projection; идентификация локальных контроллеров в tenant API.

  • Шифрование в канале и хранении: REST-контур публикуется в защищенном периметре (HTTPS), MQTT-доступ ограничивается учетными данными и сегментацией контуров; доступ к данным в БД разграничивается по ролям.

  • Аудит действий и событий: непрерывный аудит команд, уставок и действий пользователя с трассировкой источника события: CAN/ESP32/MQTT/API/UI.

3. Персональные данные#

  • Состав обрабатываемых данных: учетные записи пользователей, идентификаторы RFID-карт, журналы действий; в ANPR-сценариях распознанные госномера и метаданные событий.

  • Основания обработки: договорная эксплуатация системы на объекте и регламент ролевого доступа, утвержденный владельцем объекта.

  • Сроки хранения и удаления: сроки хранения задаются эксплуатационным регламентом объекта; удаление и архивирование выполняются администратором с фиксацией в аудит-журнале.

4. Проверки и контроль#

  • Периодичность ревизий: по релизному циклу и при каждом изменении состава интеграций, ролей или протоколов обмена.

  • Ответственные: владелец продукта, администратор контура, команда сопровождения ПО "Зеленый робот".

  • Ссылки на отчеты проверок: протоколы испытаний и проверки фиксируются в разделе [Программа и методика испытаний](../quality/test-program-and-methodology) и в [Реестр подтверждающих материалов](../submission/evidence-register).

Содержание