...
- Визначення рівня безпеки відповідно до вимог законодавства України (Закон "Про захист інформації в інформаційно-комунікаційних системах", "Про захист персональних даних", "Про кібербезпеку" тощо).
- Визначення категорії інформації, яка обробляється (відкрита, конфіденційна, службова, державна таємниця).
- Визначення методів та засобів захисту інформації.
...
2. Вимоги до контролю доступу
- Реалізація механізмів автентифікації та авторизації:
- Використання ЄЦП, двофакторної аутентифікації (2FA)., ЕЦП
- Підтримка рольової моделі доступу (адміністратор, оператор, користувач).
- Ліміти на кількість невдалих спроб входу та блокування облікового запису.
- Механізм реєстрації та управління користувачами:
- Обмеження доступу до окремих функцій відповідно до ролей.
- Автоматичне відключення неактивних сесій.
- Логування подій:
- Запис інформації про входи, виходи, зміну налаштувань, доступ до конфіденційних даних.
- Механізм захисту логів від несанкціонованого доступу.
...
3. Вимоги до захисту даних
- Шифрування даних:
- Всі конфіденційні дані мають передаватися через TLS 1.2/1.3.
- Збереження паролів виключно у захешованому вигляді (SHA-256, bcrypt).
- Використання шифрування AES-256 для збереження критичних даних.
- Захист інформації під час передачі:
- Використання VPN, захищених каналів зв’язку.
- Захист від MITM-атак (протокол HTTPS, SSL/TLS).
- Резервне копіювання та відновлення:
- Регулярне резервне копіювання даних з шифруванням резервних копій.
- Чітко визначені терміни зберігання резервних копій та механізми їх відновлення.
...