Тип: ОРД-артефакт под подпись (D12 из docs/23). Шаблон; заполняется и подписывается лицензиатом и IaaS-провайдером при размещении Сейфа на аттестованной инфраструктуре. Назначение: однозначно зафиксировать, какой слой защищает провайдер (наследуемый аттестат IaaS-152), а какой — лицензиат (прикладной контур). Без этой матрицы аккредитатор не может очертить границу аттестации.
Аттестат IaaS-провайдера закрывает только инфраструктуру (ЦОД, железо, гипервизор, сеть провайдера). Гостевая ОС, СУБД Сейфа и прикладной софт — зона лицензиата и входят в его аттестацию. Эта таблица разводит ответственность по слоям.
Аттестуемый объект — Сейф-контур ИСПДн «Лицензиар» (см. docs/24 §2, docs/admin/17): сервис идентификации vault-service + инстанс Postgres Сейфа + воркеры токенизации/сидинга. Портал (api/web/nginx) — вне ИСПДн и в этой матрице не рассматривается как носитель ПДн.
| # | Слой | Ответственный | Что обеспечивает | Подтверждение |
|---|---|---|---|---|
| 1 | ЦОД, физическая безопасность, питание, охлаждение | Провайдер | физзащита, СКУД, видеонаблюдение | аттестат IaaS-152 |
| 2 | Аппаратура, гипервизор, виртуальная сеть провайдера | Провайдер | изоляция ВМ, сетевые фильтры гипервизора | аттестат IaaS-152 |
| 3 | Хранилище/диски, физическое уничтожение носителей | Провайдер | гарантия затирания, шифрование тома (если в SLA) | SLA + аттестат |
| 4 | Гостевая ОС ВМ Сейфа | Лицензиат | выбор ОС (Astra SE PARSEC / Ubuntu+LSP), обновления, харднинг | акт настройки ОС |
| 5 | СЗИ-от-НСД на ВМ Сейфа (D14) | Лицензиат | PARSEC либо Dallas Lock/Secret Net LSP; совместимость с Docker | формуляр СЗИ |
| 6 | PostgreSQL Сейфа (vaultdb) | Лицензиат | роль vault_app, RLS vault_dpo_only FORCE, отдельный инстанс | конфиг + тесты |
| 7 | Прикладной код Сейфа (vault-service, enclave-воркеры) | Лицензиат | токенизация ГОСТ-Стрибог, аудит раскрытий, ноль egress | исходники + гейты |
| 8 | Сетевой сегмент Сейфа (VLAN/VPC), доступ только из доверенного контура | Совместно | сегментация; провайдер даёт примитивы, лицензиат настраивает | схема сети |
| 9 | Бэкапы Сейфа (D15) | Лицензиат | внутри контура / ГОСТ-шифр, ключи не покидают Сейф | регламент бэкапа |
| 10 | Удалённый админ-доступ (D16) | Лицензиат | Bastion/Jump-host + 2FA, прямой доступ извне закрыт | регламент доступа |
| 11 | Ключевой материал: ANON_SALT, пароли ролей БД | Лицензиат | хранение вне БД/логов/git, регламент ротации | регламент секретов |
Провайдер отвечает за всё «под гостевой ОС» (слои 1–3) и предоставляет аттестат IaaS-152; лицензиат отвечает за всё «от гостевой ОС и выше» (слои 4–11) и аттестует прикладной контур Сейфа. Слой 8 (сегментация) — совместный: примитивы провайдера + настройка лицензиата.
| Сторона | Организация | ФИО / должность | Подпись | Дата |
|---|---|---|---|---|
| Лицензиат | ||||
| IaaS-провайдер |
Связанные артефакты: docs/24 (ЧМУ, §7 целевой F4-db, §8 открытые пункты) · docs/23 (дефицит D12) · docs/admin/17 (топология сервиса идентификации) · docs/admin/01 (не СКЗИ) · docs/admin/02 (ПДн и Identity Vault).