ISO/IEC 27001 -- это международный стандарт для систем менеджмента информационной безопасности (СМИБ), опубликованный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Текущая версия -- ISO/IEC 27001:2022.

Ссылка: [ISO/IEC 27001:2022](https://www.iso.org/standard/27001)

Rediacc является одним компонентом уровня технических средств управления в рамках СМИБ. Таблица ниже сопоставляет возможности Rediacc с соответствующими доменами средств управления Приложения A.

## Сопоставление средств управления Приложения A

| Домен управления | Средство управления | Возможность Rediacc |
|-----------------|-------------------|-------------------|
| **A.8**, Управление активами | A.8.1 Инвентаризация активов | Каждый репозиторий -- это дискретный идентифицируемый актив с уникальным GUID. `rdc machine query <machine> --repositories` выводит все репозитории с размером, состоянием монтирования и количеством контейнеров. |
| **A.8**, Управление активами | A.8.24 Использование криптографии | Обязательное шифрование LUKS2 AES-256 всех репозиториев. Управление ключами: учётные данные хранятся только в локальной конфигурации оператора, никогда на сервере. |
| **A.9**, Контроль доступа | A.9.2 Управление доступом пользователей | Аутентификация по SSH-ключу. API-токены с привязкой к IP, областью действия команды и автоматическим отзывом при удалении из команды. Двухфакторная аутентификация (TOTP). |
| **A.10**, Криптография | A.10.1 Криптографические средства управления | LUKS2 с настраиваемыми параметрами ключей. Учётные данные шифрования для каждого репозитория. Весь удалённый транспорт по SSH. Хранилище конфигурации реализует шифрование с нулевым разглашением: AES-256-GCM с выводом ключей HKDF, обмен ключами X25519 для участников и SDK-ключи с временным окном для мгновенного отзыва. |
| **A.12**, Операционная безопасность | A.12.3 Резервное копирование | `rdc repo backup push/pull` с зашифрованным удалённым хранилищем на несколько назначений (SSH, S3, B2, Azure, GDrive). CoW-снимки для восстановления на определённый момент времени. `rdc repo validate` проверяет состояние резервных копий и целостность репозитория. |
| **A.12**, Операционная безопасность | A.12.4 Журналирование и мониторинг | Более 40 типов событий на уровне аккаунта (аутентификация, API-токены, конфигурация, лицензирование). Мониторинг состояния машин через `rdc machine query`. Мониторинг статуса контейнеров и ресурсов. |
| **A.13**, Безопасность коммуникаций | A.13.1 Управление сетевой безопасностью | Изоляция Docker daemon для каждого репозитория. Правила iptables блокируют межрепозиторный трафик. Подсети loopback IP (/26) для каждого репозитория. Обратный прокси с терминацией TLS для внешнего доступа. |
| **A.14**, Разработка систем | A.14.2 Безопасность при разработке | Среды разработки на основе форков обеспечивают соответствие продакшену без раскрытия данных продакшена. Хуки жизненного цикла Rediaccfile обеспечивают автоматическую очистку данных в клонированных средах. |

## Управление активами

Модель репозиториев Rediacc естественно поддерживает требования к инвентаризации активов:

- Каждый репозиторий имеет уникальный GUID, присвоенный при создании
- Репозитории перечисляются по машинам (`rdc machine query --repositories`)
- Статус шифрования, состояние монтирования, количество контейнеров и использование диска каждого репозитория видимы
- Связи форков отслеживают происхождение клонированных сред

## Управление изменениями

Рабочий процесс fork-test-promote соответствует требованиям управления изменениями ISO 27001:

1. **Форк**: Создание изолированной копии продакшен-среды
2. **Тест**: Применение и валидация изменений на форке
3. **Продвижение**: Использование `rdc repo takeover` для замены форка на продакшен
4. **Аудит**: Все операции записываются с временными метками и идентификацией участника

## Непрерывное совершенствование

- Экспорт журналов аудита поддерживает периодические проверки безопасности
- Проверки состояния машин (`rdc machine query --system`) поддерживают операционный мониторинг
- `rdc repo validate` проверяет состояние резервных копий после каждой операции