Law/docs/security/threat_model.md

# Модель угроз (Draft)

## 1. Активы
- ПДн клиентов, юристов и администраторов.
- Вложения дел (документы, медиа).
- Секреты инфраструктуры (JWT, SMTP/SMS, S3, DB, internal tokens).
- История коммуникаций и статусные события.
- Финансовые данные (счета, реквизиты, суммы).

## 2. Потенциальные нарушители
- Внешний злоумышленник (web/API атаки, credential stuffing, brute force).
- Внутренний нарушитель с легитимным доступом (превышение прав).
- Компрометация интеграций (SMS/email/telegram/s3 credentials leak).
- Supply-chain риск зависимостей/контейнеров.

## 3. Базовые сценарии угроз
1. Несанкционированный доступ к карточкам/чатам/файлам.
2. Подмена или утечка заявок при отправке с лендинга.
3. Массовый подбор OTP/токенов, фиксация сессии.
4. Загрузка вредоносных файлов и последующее распространение.
5. Компрометация S3/DB секретов и выгрузка ПДн.
6. Подмена межсервисных вызовов (chat/email internal API).
7. Изменение/удаление следов в журналах аудита.

## 4. Реализованные технические контрмеры
- Строгая prod-валидация конфигурации безопасности (`APP_ENV=prod`).
- CORS/CSP hardening для prod, secure cookie policy.
- JWT + OTP/TOTP auth с rate limits.
- RBAC и проверка ownership на API-уровне.
- Шифрование критичных полей at-rest + KID-rotation.
- Антивирусная и content-проверка вложений.
- Security audit журнал для операций чтения/скачивания ПДн.
- Retention + cleanup для чувствительных сущностей.

## 5. Остаточные риски
- Неполное покрытие CI-сканированием уязвимостей.
- Нет вынесенного централизованного хранилища security logs (WORM).
- Ограниченный набор автоматических security smoke-проверок.

## 6. Приоритет закрытия остаточных рисков
- `SEC-14`: SAST/dep/container scan в CI.
- `SEC-15`: регулярный security smoke + cron.
- Дальше: SIEM/WORM-архив логов, формализация орг-контролей.