Сертификация Drupal
в соответствии с требованиями ФСТЭК
к безопасности информации
Мы уверены, что Drupal - это безопасная защищенная система с точки зрения хранения и обработки информации. Для документального подтверждения безопасности Drupal мы запустили процесс сертификации Drupal-сборки в соответствии с требованиями безопасности информации ФСТЭК.

Сертифицированная Drupal-сборка может быть применена в проектах с повышенными требованиями к безопасности информации, в том числе в госпроектах.

Сейчас мы запускаем краудсорсинговую инициативу по самопроверке Drupal на соответствие требованиям ФСТЭК к безопасности информации. Самопроверка необходима для проверки и доработки Drupal-сборки, которая будет проходить процесс сертификации.
Статус сертификации
1
Самопроверка Drupal на соответствие требованиям по чек-листу
2
Подготовка дистрибутива ("сборки") и заявки на получение сертификата ФСТЭК
3
Проверка заявки Федеральной службой по техническому и экспортному контролю (ФСТЭК)
4
Сертификат получен ⭐
Чек-лист самопроверки
Таблица составлена на основании банка данных угроз безопасности ФСТЭК. Банк данных представляет собой список требований к системе по безопасному хранению и обработке информации. Для успешного прохождения процесса сертификации средств защиты информации и аттестации объектов информатизации, Drupal-сборка должна соответствовать всем пунктам из данного списка.

Таблица включает в себя список угроз безопасности и статус защищенности Drupal от этих угроз. Пояснения к колонкам таблицы:
1
Идентификатор и название угрозы взяты из банка данных угроз безопасности ФСТЭК
2
Статус защищенности Drupal от угрозы
  • Не проверено - нет информации о защищенности
  • Защищен - защита реализуется стандартными средствами ядра Drupal
  • Условно защищен - защита от угрозы не реализуется стандартными средствами, но есть разработанный модуль или специальная настройка
  • Не защищен - не существует стандартных средств или специальных модулей для защиты от угрозы, требуется разработка
    3
    Комментарий к статусу защищенности (например, название модуля или описание стандартной функциональности)
    Компании и люди, которые примут участие в этапе самопроверки будут отмечены на сайте под таблицей.
    ID Название Статус Комментарий
    УБИ. 001Угроза автоматического распространения вредоносного кода в грид-системеНе проверено-
    УБИ. 002Угроза агрегирования данных, передаваемых в грид-системеНе проверено-
    УБИ. 003Угроза анализа криптографических алгоритмов и их реализацииНе проверено-
    УБИ. 004Угроза аппаратного сброса пароля BIOSНе проверено-
    УБИ. 005Угроза внедрения вредоносного кода в BIOSНе проверено-
    УБИ. 006Угроза внедрения кода или данныхНе проверено-
    УБИ. 007Угроза воздействия на программы с высокими привилегиямиНе проверено-
    УБИ. 008Угроза восстановления аутентификационной информацииНе проверено-
    УБИ. 009Угроза восстановления предыдущей уязвимой версии BIOSНе проверено-
    УБИ. 010Угроза выхода процесса за пределы виртуальной машиныНе проверено-
    УБИ. 011Угроза деавторизации санкционированного клиента беспроводной сетиНе проверено-
    УБИ. 012Угроза деструктивного изменения конфигурации/среды окружения программНе проверено-
    УБИ. 013Угроза деструктивного использования декларированного функционала BIOSНе проверено-
    УБИ. 014Угроза длительного удержания вычислительных ресурсов пользователямиНе проверено-
    УБИ. 015Угроза доступа к защищаемым файлам с использованием обходного путиНе проверено-
    УБИ. 016Угроза доступа к локальным файлам сервера при помощи URLНе проверено-
    УБИ. 017Угроза доступа/перехвата/изменения HTTP cookiesНе проверено-
    УБИ. 018Угроза загрузки нештатной операционной системыНе проверено-
    УБИ. 019Угроза заражения DNS-кешаНе проверено-
    УБИ. 020Угроза злоупотребления возможностями, предоставленными потребителям облачных услугНе проверено-
    УБИ. 021Угроза злоупотребления доверием потребителей облачных услугНе проверено-
    УБИ. 022Угроза избыточного выделения оперативной памятиНе проверено-
    УБИ. 023Угроза изменения компонентов системыНе проверено-
    УБИ. 024Угроза изменения режимов работы аппаратных элементов компьютераНе проверено-
    УБИ. 025Угроза изменения системных и глобальных переменныхНе проверено-
    УБИ. 026Угроза искажения XML-схемыНе проверено-
    УБИ. 027Угроза искажения вводимой и выводимой на периферийные устройства информацииНе проверено-
    УБИ. 028Угроза использования альтернативных путей доступа к ресурсамНе проверено-
    УБИ. 029Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессамиНе проверено-
    УБИ. 030Угроза использования информации идентификации/аутентификации, заданной по умолчаниюНе проверено-
    УБИ. 031Угроза использования механизмов авторизации для повышения привилегийНе проверено-
    УБИ. 032Угроза использования поддельных цифровых подписей BIOSНе проверено-
    УБИ. 033Угроза использования слабостей кодирования входных данныхНе проверено-
    УБИ. 034Угроза использования слабостей протоколов сетевого/локального обмена даннымиНе проверено-
    УБИ. 035Угроза использования слабых криптографических алгоритмов BIOSНе проверено-
    УБИ. 036Угроза исследования механизмов работы программыНе проверено-
    УБИ. 037Угроза исследования приложения через отчёты об ошибкахНе проверено-
    УБИ. 038Угроза исчерпания вычислительных ресурсов хранилища больших данныхНе проверено-
    УБИ. 039Угроза исчерпания запаса ключей, необходимых для обновления BIOSНе проверено-
    УБИ. 040Угроза конфликта юрисдикций различных странНе проверено-
    УБИ. 041Угроза межсайтового скриптингаНе проверено-
    УБИ. 042Угроза межсайтовой подделки запросаНе проверено-
    УБИ. 043Угроза нарушения доступности облачного сервераНе проверено-
    УБИ. 044Угроза нарушения изоляции пользовательских данных внутри виртуальной машиныНе проверено-
    УБИ. 045Угроза нарушения изоляции среды исполнения BIOSНе проверено-
    УБИ. 046Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействияНе проверено-
    УБИ. 047Угроза нарушения работоспособности грид-системы при нетипичной сетевой нагрузкеНе проверено-
    УБИ. 048Угроза нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машинНе проверено-
    УБИ. 049Угроза нарушения целостности данных кешаНе проверено-
    УБИ. 050Угроза неверного определения формата входных данных, поступающих в хранилище больших данныхНе проверено-
    УБИ. 051Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питанияНе проверено-
    УБИ. 052Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспеченияНе проверено-
    УБИ. 053Угроза невозможности управления правами пользователей BIOSНе проверено-
    УБИ. 054Угроза недобросовестного исполнения обязательств поставщиками облачных услугНе проверено-
    УБИ. 055Угроза незащищённого администрирования облачных услугНе проверено-
    УБИ. 056Угроза некачественного переноса инфраструктуры в облакоНе проверено-
    УБИ. 057Угроза неконтролируемого копирования данных внутри хранилища больших данныхНе проверено-
    УБИ. 058Угроза неконтролируемого роста числа виртуальных машинНе проверено-
    УБИ. 059Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсовНе проверено-
    УБИ. 060Угроза неконтролируемого уничтожения информации хранилищем больших данныхНе проверено-
    УБИ. 061Угроза некорректного задания структуры данных транзакцииНе проверено-
    УБИ. 062Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузераНе проверено-
    УБИ. 063Угроза некорректного использования функционала программного и аппаратного обеспеченияНе проверено-
    УБИ. 064Угроза некорректной реализации политики лицензирования в облакеНе проверено-
    УБИ. 065Угроза неопределённости в распределении ответственности между ролями в облакеНе проверено-
    УБИ. 066Угроза неопределённости ответственности за обеспечение безопасности облакаНе проверено-
    УБИ. 067Угроза неправомерного ознакомления с защищаемой информациейНе проверено-
    УБИ. 068Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложениемНе проверено-
    УБИ. 069Угроза неправомерных действий в каналах связиНе проверено-
    УБИ. 070Угроза непрерывной модернизации облачной инфраструктурыНе проверено-
    УБИ. 071Угроза несанкционированного восстановления удалённой защищаемой информацииНе проверено-
    УБИ. 072Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOSНе проверено-
    УБИ. 073Угроза несанкционированного доступа к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сетиНе проверено-
    УБИ. 074Угроза несанкционированного доступа к аутентификационной информацииНе проверено-
    УБИ. 075Угроза несанкционированного доступа к виртуальным каналам передачиНе проверено-
    УБИ. 076Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сетиНе проверено-
    УБИ. 077Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечениеНе проверено-
    УБИ. 078Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сетиНе проверено-
    УБИ. 079Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машинНе проверено-
    УБИ. 080Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сетиНе проверено-
    УБИ. 081Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системыНе проверено-
    УБИ. 082Угроза несанкционированного доступа к сегментам вычислительного поляНе проверено-
    УБИ. 083Угроза несанкционированного доступа к системе по беспроводным каналамНе проверено-
    УБИ. 084Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сетиНе проверено-
    УБИ. 085Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информацииНе проверено-
    УБИ. 086Угроза несанкционированного изменения аутентификационной информацииНе проверено-
    УБИ. 087Угроза несанкционированного использования привилегированных функций BIOSНе проверено-
    УБИ. 088Угроза несанкционированного копирования защищаемой информацииНе проверено-
    УБИ. 089Угроза несанкционированного редактирования реестраНе проверено-
    УБИ. 090Угроза несанкционированного создания учётной записи пользователяНе проверено-
    УБИ. 091Угроза несанкционированного удаления защищаемой информацииНе проверено-
    УБИ. 092Угроза несанкционированного удалённого внеполосного доступа к аппаратным средствамНе проверено-
    УБИ. 093Угроза несанкционированного управления буферомНе проверено-
    УБИ. 094Угроза несанкционированного управления синхронизацией и состояниемНе проверено-
    УБИ. 095Угроза несанкционированного управления указателямиНе проверено-
    УБИ. 096Угроза несогласованности политик безопасности элементов облачной инфраструктурыНе проверено-
    УБИ. 097Угроза несогласованности правил доступа к большим даннымНе проверено-
    УБИ. 098Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых службНе проверено-
    УБИ. 099Угроза обнаружения хостовНе проверено-
    УБИ. 100Угроза обхода некорректно настроенных механизмов аутентификацииНе проверено-
    УБИ. 101Угроза общедоступности облачной инфраструктурыНе проверено-
    УБИ. 102Угроза опосредованного управления группой программ через совместно используемые данныеНе проверено-
    УБИ. 103Угроза определения типов объектов защитыНе проверено-
    УБИ. 104Угроза определения топологии вычислительной сетиНе проверено-
    УБИ. 105Угроза отказа в загрузке входных данных неизвестного формата хранилищем больших данныхНе проверено-
    УБИ. 106Угроза отказа в обслуживании системой хранения данных суперкомпьютераНе проверено-
    УБИ. 107Угроза отключения контрольных датчиковНе проверено-
    УБИ. 108Угроза ошибки обновления гипервизораНе проверено-
    УБИ. 109Угроза перебора всех настроек и параметров приложенияНе проверено-
    УБИ. 110Угроза перегрузки грид-системы вычислительными заданиямиНе проверено-
    УБИ. 111Угроза передачи данных по скрытым каналамНе проверено-
    УБИ. 112Угроза передачи запрещённых команд на оборудование с числовым программным управлениемНе проверено-
    УБИ. 113Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техникиНе проверено-
    УБИ. 114Угроза переполнения целочисленных переменныхНе проверено-
    УБИ. 115Угроза перехвата вводимой и выводимой на периферийные устройства информацииНе проверено-
    УБИ. 116Угроза перехвата данных, передаваемых по вычислительной сетиНе проверено-
    УБИ. 117Угроза перехвата привилегированного потокаНе проверено-
    УБИ. 118Угроза перехвата привилегированного процессаНе проверено-
    УБИ. 119Угроза перехвата управления гипервизоромНе проверено-
    УБИ. 120Угроза перехвата управления средой виртуализацииНе проверено-
    УБИ. 121Угроза повреждения системного реестраНе проверено-
    УБИ. 122Угроза повышения привилегийНе проверено-
    УБИ. 123Угроза подбора пароля BIOSНе проверено-
    УБИ. 124Угроза подделки записей журнала регистрации событийНе проверено-
    УБИ. 125Угроза подключения к беспроводной сети в обход процедуры аутентификацииНе проверено-
    УБИ. 126Угроза подмены беспроводного клиента или точки доступаНе проверено-
    УБИ. 127Угроза подмены действия пользователя путём обманаНе проверено-
    УБИ. 128Угроза подмены доверенного пользователяНе проверено-
    УБИ. 129Угроза подмены резервной копии программного обеспечения BIOSНе проверено-
    УБИ. 130Угроза подмены содержимого сетевых ресурсовНе проверено-
    УБИ. 131Угроза подмены субъекта сетевого доступаНе проверено-
    УБИ. 132Угроза получения предварительной информации об объекте защитыНе проверено-
    УБИ. 133Угроза получения сведений о владельце беспроводного устройстваНе проверено-
    УБИ. 134Угроза потери доверия к поставщику облачных услугНе проверено-
    УБИ. 135Угроза потери и утечки данных, обрабатываемых в облакеНе проверено-
    УБИ. 136Угроза потери информации вследствие несогласованности работы узлов хранилища больших данныхНе проверено-
    УБИ. 137Угроза потери управления облачными ресурсамиНе проверено-
    УБИ. 138Угроза потери управления собственной инфраструктурой при переносе её в облакоНе проверено-
    УБИ. 139Угроза преодоления физической защитыНе проверено-
    УБИ. 140Угроза приведения системы в состояние «отказ в обслуживании»Не проверено-
    УБИ. 141Угроза привязки к поставщику облачных услугНе проверено-
    УБИ. 142Угроза приостановки оказания облачных услуг вследствие технических сбоевНе проверено-
    УБИ. 143Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информацииНе проверено-
    УБИ. 144Угроза программного сброса пароля BIOSНе проверено-
    УБИ. 145Угроза пропуска проверки целостности программного обеспеченияНе проверено-
    УБИ. 146Угроза прямого обращения к памяти вычислительного поля суперкомпьютераНе проверено-
    УБИ. 147Угроза распространения несанкционированно повышенных прав на всю грид-системуНе проверено-
    УБИ. 148Угроза сбоя автоматического управления системой разграничения доступа хранилища больших данныхНе проверено-
    УБИ. 149Угроза сбоя обработки специальным образом изменённых файловНе проверено-
    УБИ. 150Угроза сбоя процесса обновления BIOSНе проверено-
    УБИ. 151Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDLНе проверено-
    УБИ. 152Угроза удаления аутентификационной информацииНе проверено-
    УБИ. 153Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверовНе проверено-
    УБИ. 154Угроза установки уязвимых версий обновления программного обеспечения BIOSНе проверено-
    УБИ. 155Угроза утраты вычислительных ресурсовНе проверено-
    УБИ. 156Угроза утраты носителей информацииНе проверено-
    УБИ. 157Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информацииНе проверено-
    УБИ. 158Угроза форматирования носителей информацииНе проверено-
    УБИ. 159Угроза «форсированного веб-браузинга»Не проверено-
    УБИ. 160Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информацииНе проверено-
    УБИ. 161Угроза чрезмерного использования вычислительных ресурсов суперкомпьютера в ходе интенсивного обмена межпроцессорными сообщениямиНе проверено-
    УБИ. 162Угроза эксплуатации цифровой подписи программного кодаНе проверено-
    УБИ. 163Угроза перехвата исключения/сигнала из привилегированного блока функцийНе проверено-
    УБИ. 164Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуреНе проверено-
    УБИ. 165Угроза включения в проект не достоверно испытанных компонентовНе проверено-
    УБИ. 166Угроза внедрения системной избыточностиНе проверено-
    УБИ. 167Угроза заражения компьютера при посещении неблагонадёжных сайтовНе проверено-
    УБИ. 168Угроза «кражи» учётной записи доступа к сетевым сервисамНе проверено-
    УБИ. 169Угроза наличия механизмов разработчикаНе проверено-
    УБИ. 170Угроза неправомерного шифрования информацииНе проверено-
    УБИ. 171Угроза скрытного включения вычислительного устройства в состав бот-сетиНе проверено-
    УБИ. 172Угроза распространения «почтовых червей»Не проверено-
    УБИ. 173Угроза «спама» веб-сервераНе проверено-
    УБИ. 174Угроза «фарминга»Не проверено-
    УБИ. 175Угроза «фишинга»Не проверено-
    УБИ. 176Угроза нарушения технологического/производственного процесса из-за временны́х задержек, вносимых средством защитыНе проверено-
    УБИ. 177Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностьюНе проверено-
    УБИ. 178Угроза несанкционированного использования системных и сетевых утилитНе проверено-
    УБИ. 179Угроза несанкционированной модификации защищаемой информацииНе проверено-
    УБИ. 180Угроза отказа подсистемы обеспечения температурного режимаНе проверено-
    УБИ. 181Угроза перехвата одноразовых паролей в режиме реального времениНе проверено-
    УБИ. 182Угроза физического устаревания аппаратных компонентовНе проверено-
    УБИ. 183Угроза перехвата управления автоматизированной системой управления технологическими процессамиНе проверено-
    УБИ. 184Угроза агрегирования данных, обрабатываемых с помощью мобильного устройстваНе проверено-
    УБИ. 185Угроза несанкционированного изменения параметров настройки средств защиты информацииНе проверено-
    УБИ. 186Угроза внедрения вредоносного кода через рекламу, сервисы и контентНе проверено-
    УБИ. 187Угроза несанкционированного воздействия на средство защиты информацииНе проверено-
    УБИ. 188Угроза подмены программного обеспеченияНе проверено-
    УБИ. 189Угроза маскирования действий вредоносного кодаНе проверено-
    УБИ. 190Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети ИнтернетНе проверено-
    УБИ. 191Угроза внедрения вредоносного кода в дистрибутив программного обеспеченияНе проверено-
    УБИ. 192Угроза использования уязвимых версий программного обеспеченияНе проверено-
    УБИ. 193Угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования трафикаНе проверено-
    УБИ. 194Угроза несанкционированного использования привилегированных функций мобильного устройстваНе проверено-
    УБИ. 195Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системыНе проверено-
    УБИ. 196Угроза контроля вредоносной программой списка приложений, запущенных на мобильном устройствеНе проверено-
    УБИ. 197Угроза хищения аутентификационной информации из временных файлов cookieНе проверено-
    УБИ. 198Угроза скрытной регистрации вредоносной программой учетных записей администраторовНе проверено-
    УБИ. 199Угроза перехвата управления мобильного устройства при использовании виртуальных голосовых ассистентовНе проверено-
    УБИ. 200Угроза хищения информации с мобильного устройства при использовании виртуальных голосовых ассистентовНе проверено-
    УБИ. 201Угроза утечки пользовательских данных при использовании функций автоматического заполнения аутентификационной информации в браузереНе проверено-
    УБИ. 202Угроза несанкционированной установки приложений на мобильные устройстваНе проверено-
    УБИ. 203Угроза утечки информации с неподключенных к сети Интернет компьютеровНе проверено-
    УБИ. 204Угроза несанкционированного изменения вредоносной программой значений параметров программируемых логических контроллеровНе проверено-
    УБИ. 205Угроза нарушения работы компьютера и блокирования доступа к его данным из-за некорректной работы установленных на нем средств защитыНе проверено-
    УБИ. 206Угроза отказа в работе оборудования из-за изменения геолокационной информации о немНе проверено-
    УБИ. 207Угроза несанкционированного доступа к параметрам настройки оборудования за счет использования «мастер-кодов» (инженерных паролей)Не проверено-
    УБИ. 208Угроза нецелевого использования вычислительных ресурсов средства вычислительной техникиНе проверено-
    УБИ. 209Угроза несанкционированного доступа к защищаемой памяти ядра процессораНе проверено-
    УБИ. 210Угроза нарушения работы информационной системы, вызванного обновлением используемого в ней программного обеспеченияНе проверено-
    УБИ. 211Угроза использования непроверенных пользовательских данных при формировании конфигурационного файла, используемого программным обеспечением администрирования информационных системНе проверено-
    УБИ. 212Угроза перехвата управления информационной системойНе проверено-
    УБИ. 213Угроза обхода многофакторной аутентификацииНе проверено-
    Информация составлена при поддержке:
    DrupalJedi, i20.
    Помогите сообществу провести самопроверку безопасности Drupal
    Шаг 1. Выберите угрозу со статусом "Не проверено" или "Не защищено"
    Шаг 2. Укажите в форме название или идентификатор угрозы
    Шаг 3. Выберите статус и опишите, как Drupal защищен от угрозы
    Шаг 4. Отправьте заполненную форму
    Вопрос по безопасности Drupal?
    Получите консультацию специалиста
    Имя
    E-mail
    Вопрос
    Нажимая кнопку "Отправить", я подтверждаю, что ознакомился с Политикой конфиденциальности и согласен на обработку персональных данных.
    Made on
    Tilda