Versions Compared

Old Version 2

changes.mady.by.user valeriia denysenko

Saved on

compared with

New Version 3

changes.mady.by.user valeriia denysenko

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • Закону України «Про захист інформації в інформаційно-комунікаційних системах»

  • Постанові КМУ № 373 «Про затвердження Порядку забезпечення захисту інформації в інформаційних, електронних комунікаційних і комунікаційно-технологічних системах»

  • Вимогам НБУ до захисту фінансових операцій

  • Вимогам GDPR (у разі обробки персональних даних громадян ЄС)

📌 Приклад: Система повинна забезпечувати:

  • Конфіденційність – захист даних від несанкціонованого доступу

...

  • Цілісність – забезпечення незмінності та достовірності даних

...

  • Доступність – безперебійний доступ авторизованих користувачів

...

2. Політики управління доступом

Для користувачів платформи встановлюється багаторівнева система доступу:
🔹 Автентифікація1. Автентифікація:

  • Використання двофакторної автентифікації (2FA) для адміністраторів та продавців

  • Підтримка єдиної системи ідентифікації (SSO) для державних органів

🔹 2. Авторизація:

  • Доступ до операцій визначається роллю користувача:

    • Адміністратор – повний доступ

    • Оператор аукціону – управління лотами та торгами

    • Продавець – створення лотів та контроль угод

    • Покупець – перегляд та участь у торгах

🔹 3. Аудит:

  • Логування всіх критичних дій (вхід у систему, зміна даних лотів, проведення торгів)

  • Ведення журналу подій зберіганням не менше 2 років

...

3. Захист переданих і збережених даних

📌 Основні механізми безпеки даних у системі «Прозорро.Продажі»:

Шифрування1. Шифрування

  • Усі персональні та фінансові дані зберігаються у зашифрованому вигляді (AES-256)

  • Передача даних між клієнтом та сервером здійснюється за протоколом TLS 1.3

2. Резервне копіювання

  • Щоденні автоматичні резервні копії зберігаються у зашифрованому вигляді

  • Резервні копії розміщуються в географічно розподілених дата-центрах

3. Захист API

  • Використання OAuth 2.0 для доступу до API

  • Захист від DDoS-атак через Web Application Firewall (WAF)

...

4. Захист від внутрішніх і зовнішніх загроз

📌 Заходи для запобігання атакам:

  • Використання SIEM-системи для моніторингу безпеки в режимі реального часу

...

  • Захист від SQL-ін’єкцій, XSS, CSRF-атак

...

  • Автоматизований аналіз трафіку для виявлення аномальної активності

🔹 Відстеження порушень:

  • У разі підозрілих дій система автоматично сповіщає адміністратора

  • Блокування акаунтів при багаторазових невдалих спробах входу

🔹 Фізичний захист серверів:

  • Сервери розміщуються у сертифікованих дата-центрах Tier III+

  • Обмежений фізичний доступ (RFID-контроль, відеоспостереження)

...

5. Атестація КСЗІ

📌 Система повинна пройти пройшла атестацію Комплексної системи захисту інформації (КСЗІ):
🔹 Етапи атестації

  • Аналіз загроз та оцінка ризиків

  • Розробка політики безпеки

  • Впровадження засобів захисту

🔹 Проходження державної експертизи

  • Виконання тестування безпеки

  • Отримання атестата відповідності

🔹 Подальше підтримання безпеки

  • Регулярний аудит

  • Оновлення механізмів захисту відповідно до змін у законодавстві

Висновок

...