Skip to content
ВозможностиДокументацияЦеныПартнёрыPlaygroundFAQ

ФСТЭК-соответствие FlowLink

FlowLink помогает организациям соответствовать требованиям ФСТЭК для AI-агентов: аудит операций, управление доступом, защита данных, мониторинг событий

~12 мин чтения

Обзор

При использовании AI-агентов в государственных и корпоративных системах Российской Федерации организации обязаны обеспечивать соответствие требованиям регуляторов — ФСТЭК и ФСБ. FlowLink как Runtime AI Firewall предоставляет встроенные механизмы для выполнения ключевых требований ГОСТ Р 57580.1-2017, касающихся защиты информации при операциях AI-агентов с инфраструктурой.

📋

Аудит операций

Неизменяемая цепочка аудита с SHA-256 хешированием всех операций AI-агентов

🔐

Управление доступом

RBAC, SSO, 2FA — роль-based контроль доступа к агентам и политикам

🛡️

Защита данных

Шифрование TLS + AES-256, сканирование секретов, управление ключами

📡

Мониторинг событий

SIEM-интеграция, real-time алерты, экспорт журналов для регуляторов

ГОСТ Р 57580.1-2017

Основной стандарт защиты информации в банковских и государственных системах. FlowLink покрывает следующие группы требований:

АУД.1

Аудит логирование

ГОСТ: Все операции должны быть зафиксированы в журнале аудита с указанием времени, идентификатора пользователя и типа действия

FlowLink: FlowLink записывает каждое действие AI-агента: команду, результат, решение Shield, пользователя, агента, метку времени. Весь журнал криптографически связан в неизменяемую цепочку.

УД.2

Управление доступом

ГОСТ: Ролевое разграничение доступа, принцип наименьших привилегий, аутентификация пользователей

FlowLink: FlowLink RBAC: роли Admin, Operator, Viewer с гранулярными правами. SSO через SAML/OIDC. Опциональная 2FA. Каждый API-вызов аутентифицирован.

ЗД.3

Защита данных

ГОСТ: Шифрование данных при хранении и передаче, отсутствие открытых паролей и секретов

FlowLink: Все коммуникации через TLS 1.3. Секреты шифруются AES-256-GCM. Сканирование исходного кода и команд на утечку секретов. Rotation ключей.

МО.4

Мониторинг событий

ГОСТ: Мониторинг событий безопасности в реальном времени, интеграция с SIEM-системами

FlowLink: FlowLink экспортирует события в SIEM (Syslog, CEF, Elastic). Real-time алерты на критические события: blocked commands, chain breaks, аномальная активность.

Требования к журналам аудита

ГОСТ Р 57580.1-2017 предъявляет строгие требования к журналам аудита. FlowLink реализует все из них:

Соответствие требованиям

Неизменяемость записей

Каждая запись SHA-256 хешируется и связана с предыдущей. Удаление или модификация обнаруживается автоматически.

Хранение минимум 1 год

Настраиваемый период хранения (по умолчанию 365 дней). Данные хранятся в append-only хранилище.

Обнаружение подделки

Цепочка хешей. Любое изменение прерывает цепочку — обнаруживается при верификации.

Подписанные записи

Каждая запись содержит цифровую подпись (HMAC-SHA256) с rotatable ключом.

Полнота данных

Каждая запись: ID, timestamp, user_id, agent_id, command, result, Shield decision, prev_hash, signature.

json
1{
2  "id": "cmd_abc123",
3  "timestamp": "2026-05-15T10:30:00.000Z",
4  "user_id": "admin@company.ru",
5  "agent_id": "prod-server-01",
6  "command": "kubectl get pods",
7  "result": "success",
8  "shield_decision": "ALLOWED",
9  "hash_chain": {
10    "prev_hash": "sha256:def456...",
11    "hash": "sha256:abc123...",
12    "signature": "hmac-sha256:xyz789...",
13    "linked": true
14  },
15  "chain_verified": true,
16  "auditable": true
17}

Управление доступом

FlowLink реализует полноценную систему управления доступом, соответствующую требованиям ФСТЭК к аутентификации, авторизации и управлению сессиями:

Аутентификация

  • API-ключи с rotatable секретами
  • SSO через SAML 2.0 / OIDC
  • Опциональная 2FA (TOTP)
  • Мультифакторная аутентификация для привилегированных действий

Авторизация

  • Роли: Admin, Operator, Viewer
  • Гранулярные разрешения (per-agent, per-policy)
  • Принцип наименьших привилегий
  • Аудит всех действий с привилегированными правами
json
1// Модель ролей FlowLink
2{
3  "roles": {
4    "admin": {
5      "permissions": ["agents:*", "policies:*", "users:*", "audit:*", "compliance:*"],
6      "требует_2fa": true
7    },
8    "operator": {
9      "permissions": ["agents:read", "agents:exec", "policies:read", "audit:read"],
10      "требует_2fa": false
11    },
12    "viewer": {
13      "permissions": ["agents:read", "policies:read", "audit:read"],
14      "требует_2fa": false
15    }
16  }
17}

Защита данных

FlowLink обеспечивает защиту данных на всех этапах: передача, хранение, обработка. Все механизмы соответствуют требованиям ФСТЭК к криптографической защите:

Шифрование при передаче

  • TLS 1.3 для всех API-соединений
  • Certificate pinning для агентов
  • mTLS для server-to-server коммуникации

Шифрование при хранении

  • AES-256-GCM для секретов и ключей
  • Encrypting database (TDE)
  • Шифрованные backup-ы

Управление ключами

  • HSM-совместимое хранение ключей
  • Автоматический rotation ключей шифрования
  • Отдельные ключи для каждого агента

Сканирование секретов

  • Shield L5: сканирование команд на секреты (API keys, пароли, токены)
  • Автоматическое маскирование чувствительных данных в логах
  • Кастомные паттерны для обнаружения секретов организации

Отчётность

FlowLink предоставляет модуль соответствия для генерации отчётов, необходимых для проверок ФСТЭК:

bash
1# Получить отчёт о соответствии
2GET /api/v1/compliance/report?period=2026-Q2
3

4# Экспорт журнала аудита (для регуляторов)
5GET /api/v1/compliance/audit-export?format=csv&from=...&to=...
6

7# Проверка соответствия политикам
8GET /api/v1/compliance/policy-check
9

10# Оценка соответствия (score)
11GET /api/v1/compliance/score

Пример отчёта

json
1{
2  "period": "2026-Q2",
3  "compliance_score": 97.5,
4  "categories": {
5    "audit_trail": {
6      "score": 100,
7      "status": "соответствует",
8      "total_entries": 125480,
9      "chain_integrity": "100%"
10    },
11    "access_control": {
12      "score": 95,
13      "status": "соответствует",
14      "users_with_2fa": "100%",
15      "expired_sessions": 2
16    },
17    "data_protection": {
18      "score": 98,
19      "status": "соответствует",
20      "secrets_detected": 0,
21      "encryption_coverage": "100%"
22    },
23    "monitoring": {
24      "score": 97,
25      "status": "соответствует",
26      "siem_events_exported": 45200,
27      "alert_response_time_avg": "3.2s"
28    }
29  },
30  "recommendations": [
31    "Обновить 2 истёкших сессии"
32  ]
33}

Конфигурация

Включите режим ФСТЭК-соответствия в конфигурации FlowLink:

json
1{
2  "compliance": {
3    "fstek": true,
4    "audit_retention_days": 365,
5    "require_2fa": true,
6    "enforce_encryption": true,
7    "siem_export": true,
8    "siem_config": {
9      "endpoint": "syslog://siem.company.ru:514",
10      "format": "CEF",
11      "tls": true
12    },
13    "hash_algorithm": "sha256",
14    "sign_entries": true,
15    "secrets_scanning": {
16      "enabled": true,
17      "custom_patterns": [
18        "company_internal_token_[A-Za-z0-9]+"
19      ]
20    },
21    "access_policy": {
22      "session_timeout_minutes": 60,
23      "max_failed_attempts": 5,
24      "lockout_duration_minutes": 30
25    }
26  }
27}

Переменные окружения

FSTEK_COMPLIANCE_MODE=enabled

FSTEK_AUDIT_RETENTION_DAYS=365

FSTEK_REQUIRE_2FA=true

FSTEK_ENFORCE_ENCRYPTION=true

FSTEK_SIEM_ENDPOINT=syslog://siem.company.ru:514

API

FlowLink предоставляет API для управления соответствием и экспорта данных:

bash
1# Проверить целостность цепочки аудита
2GET /api/v1/fstek/chain/verify?agent_id=prod-server-01
3

4# Проверить все цепочки
5GET /api/v1/fstek/chain/verify-all
6

7# Получить журнал аудита
8GET /api/v1/fstek/audit-trail?agent_id=...&from=...&to=...
9

10# Статистика цепочки
11GET /api/v1/fstek/chain/stats?agent_id=prod-server-01
12

13# Отчёт о соответствии
14GET /api/v1/compliance/report?period=2026-Q2
15

16# Экспорт аудита для регуляторов (CSV, JSON)
17GET /api/v1/compliance/audit-export?format=csv&from=...&to=...
18

19# Проверка соответствия политикам
20GET /api/v1/compliance/policy-check
21

22# Оценка соответствия
23GET /api/v1/compliance/score

Примеры запросов

bash
1# Проверить цепочку для агента
2curl https://flowlink.flow-masters.ru/api/v1/fstek/chain/verify?agent_id=prod-server-01
3

4# Получить отчёт за Q2 2026
5curl https://flowlink.flow-masters.ru/api/v1/compliance/report?period=2026-Q2
6

7# Экспорт аудита за 30 дней
8curl "https://flowlink.flow-masters.ru/api/v1/compliance/audit-export?format=csv&from=2026-04-15T00:00:00Z&to=2026-05-15T00:00:00Z"
9

10# Проверить все цепочки
11curl https://flowlink.flow-masters.ru/api/v1/fstek/chain/verify-all

Чеклист внедрения

Пошаговый чеклист для внедрения FlowLink с ФСТЭК-соответствием:

1

Активировать режим ФСТЭК

Установить FSTEK_COMPLIANCE_MODE=enabled в конфигурации

2

Настроить хранение аудита

Установить audit_retention_days ≥ 365. Проверить append-only хранилище.

3

Включить 2FA

require_2fa: true. Настроить TOTP для всех Admin-пользователей.

4

Настроить SSO

Подключить SAML 2.0 / OIDC провайдер. Настроить роль-based маппинг.

5

Проверить шифрование

enforce_encryption: true. Подтвердить TLS 1.3, AES-256-GCM для секретов.

6

Настроить SIEM-экспорт

siem_export: true. Указать endpoint, формат (CEF/Syslog), включить TLS.

7

Настроить сканирование секретов

Включить Shield L5. Добавить кастомные паттерны организации.

8

Верифицировать цепочку аудита

Запустить verify-all. Подтвердить chain_health = 100%.

9

Сгенерировать первый отчёт

GET /api/v1/compliance/score — проверить overall score ≥ 95%.

10

Плановое тестирование

Настроить автоматическую верификацию цепочки (cron: ежедневно) и мониторинг score.

← ComplianceChangelog →

Назад

Соответствие

Далее

Attestation

Edit this page