ISO/IEC 27001 — это международный стандарт для систем менеджмента информационной безопасности (СМИБ), опубликованный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Текущая версия — ISO/IEC 27001:2022.
Ссылка: ISO/IEC 27001:2022
Rediacc является одним компонентом уровня технических средств управления в рамках СМИБ. Таблица ниже сопоставляет возможности Rediacc с соответствующими доменами средств управления Приложения A.
Сопоставление средств управления Приложения A
| Домен управления | Средство управления | Возможность Rediacc |
|---|---|---|
| A.8, Управление активами | A.8.1 Инвентаризация активов | Каждый репозиторий — это дискретный идентифицируемый актив с уникальным GUID. rdc machine query <machine> --repositories выводит все репозитории с размером, состоянием монтирования и количеством контейнеров. |
| A.8, Управление активами | A.8.24 Использование криптографии | Обязательное шифрование LUKS2 AES-256 всех репозиториев. Управление ключами: учётные данные хранятся только в локальной конфигурации оператора, никогда на сервере. |
| A.9, Контроль доступа | A.9.2 Управление доступом пользователей | Аутентификация по SSH-ключу. API-токены с привязкой к IP, областью действия команды и автоматическим отзывом при удалении из команды. Двухфакторная аутентификация (TOTP). |
| A.10, Криптография | A.10.1 Криптографические средства управления | LUKS2 с настраиваемыми параметрами ключей. Учётные данные шифрования для каждого репозитория. Весь удалённый транспорт по SSH. Хранилище конфигурации реализует шифрование с нулевым разглашением: AES-256-GCM с выводом ключей HKDF, обмен ключами X25519 для участников и SDK-ключи с временным окном для мгновенного отзыва. |
| A.12, Операционная безопасность | A.12.3 Резервное копирование | rdc repo backup push/pull с зашифрованным удалённым хранилищем на несколько назначений (SSH, S3, B2, Azure, GDrive). CoW-снимки для восстановления на определённый момент времени. rdc repo validate проверяет состояние резервных копий и целостность репозитория. |
| A.12, Операционная безопасность | A.12.4 Журналирование и мониторинг | Более 40 типов событий на уровне аккаунта (аутентификация, API-токены, конфигурация, лицензирование). Мониторинг состояния машин через rdc machine query. Мониторинг статуса контейнеров и ресурсов. |
| A.13, Безопасность коммуникаций | A.13.1 Управление сетевой безопасностью | Изоляция Docker daemon для каждого репозитория. Правила iptables блокируют межрепозиторный трафик. Подсети loopback IP (/26) для каждого репозитория. Обратный прокси с терминацией TLS для внешнего доступа. |
| A.14, Разработка систем | A.14.2 Безопасность при разработке | Среды разработки на основе форков обеспечивают соответствие продакшену без раскрытия данных продакшена. Хуки жизненного цикла Rediaccfile обеспечивают автоматическую очистку данных в клонированных средах. |
Управление активами
Модель репозиториев Rediacc естественно поддерживает требования к инвентаризации активов:
- Каждый репозиторий имеет уникальный GUID, присвоенный при создании
- Репозитории перечисляются по машинам (
rdc machine query --repositories) - Статус шифрования, состояние монтирования, количество контейнеров и использование диска каждого репозитория видимы
- Связи форков отслеживают происхождение клонированных сред
Управление изменениями
Рабочий процесс fork-test-promote соответствует требованиям управления изменениями ISO 27001:
- Форк: Создание изолированной копии продакшен-среды
- Тест: Применение и валидация изменений на форке
- Продвижение: Использование
rdc repo takeoverдля замены форка на продакшен - Аудит: Все операции записываются с временными метками и идентификацией участника
Непрерывное совершенствование
- Экспорт журналов аудита поддерживает периодические проверки безопасности
- Проверки состояния машин (
rdc machine query --system) поддерживают операционный мониторинг rdc repo validateпроверяет состояние резервных копий после каждой операции