Law/docs/security/threat_model.md

Модель угроз (Draft)

1. Активы

• ПДн клиентов, юристов и администраторов.
• Вложения дел (документы, медиа).
• Секреты инфраструктуры (JWT, SMTP/SMS, S3, DB, internal tokens).
• История коммуникаций и статусные события.
• Финансовые данные (счета, реквизиты, суммы).

2. Потенциальные нарушители

• Внешний злоумышленник (web/API атаки, credential stuffing, brute force).
• Внутренний нарушитель с легитимным доступом (превышение прав).
• Компрометация интеграций (SMS/email/telegram/s3 credentials leak).
• Supply-chain риск зависимостей/контейнеров.

3. Базовые сценарии угроз

1. Несанкционированный доступ к карточкам/чатам/файлам.
2. Подмена или утечка заявок при отправке с лендинга.
3. Массовый подбор OTP/токенов, фиксация сессии.
4. Загрузка вредоносных файлов и последующее распространение.
5. Компрометация S3/DB секретов и выгрузка ПДн.
6. Подмена межсервисных вызовов (chat/email internal API).
7. Изменение/удаление следов в журналах аудита.

4. Реализованные технические контрмеры

• Строгая prod-валидация конфигурации безопасности (APP_ENV=prod).
• CORS/CSP hardening для prod, secure cookie policy.
• JWT + OTP/TOTP auth с rate limits.
• RBAC и проверка ownership на API-уровне.
• Шифрование критичных полей at-rest + KID-rotation.
• Антивирусная и content-проверка вложений.
• Security audit журнал для операций чтения/скачивания ПДн.
• Retention + cleanup для чувствительных сущностей.

5. Остаточные риски

• Неполное покрытие CI-сканированием уязвимостей.
• Нет вынесенного централизованного хранилища security logs (WORM).
• Ограниченный набор автоматических security smoke-проверок.

6. Приоритет закрытия остаточных рисков

• SEC-14: SAST/dep/container scan в CI.
• SEC-15: регулярный security smoke + cron.
• Дальше: SIEM/WORM-архив логов, формализация орг-контролей.