Versions Compared

Old Version 4

changes.mady.by.user Filip Kuzmin

Saved on

compared with

New Version 5

changes.mady.by.user Filip Kuzmin

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Цей пункт описує вимоги до безпеки обробки, зберігання та передачі інформації, механізми захисту від зовнішніх та внутрішніх загроз, а також заходи забезпечення конфіденційності, доступності та цілісності даних у засобі інформатизації.

1. Загальні вимоги до безпеки

Інформаційна система АТ «Прозорро.Продажі» повинна бути розроблено з врахуванням ДСТУ:

...

  • Конфіденційність – захист даних від несанкціонованого доступу
  • Цілісність – забезпечення незмінності та достовірності даних
  • Доступність – безперебійний доступ авторизованих користувачів


Аспекти безпеки, яких слід дотримуватись при реалізації:

  • Безпека коду – дотримання best practices перевірки коду.
  • Ролі та дозволи – перевіряються на сервері.
  • Валідація введених даних – обов'язково на сервері.
  • Захист від інʼєкцій – дані очищаються від небезпечних символів.
  • Обробка спецсимволів / Unicode – зберігання в оригінальному вигляді.
  • Персональні дані (ПД) – не зберігати в логах чи кеші.
  • Shell execution – аргументи очищаються.
  • Шифрування – всі передані дані шифруються.
  • API: серіалізація – тільки whitelisted поля.
  • API: доступ – жодного доступу без авторизації.
  • Cookie – Secure, HttpOnly, SameSite, __Host-; заголовки X-Content-Type-Options: nosniff, Strict-Transport-Security.
  • Інтеграції – перевірка джерела; жодних hardcoded токенів.
  • Для інтегрованих компонентів:
    • автентифікація
    • безпечна сесія
    • перевірка і очищення даних

2. Політики управління доступом

Для користувачів платформи встановлюється багаторівнева система доступу:
1. Автентифікація:

...

  • Логування всіх критичних дій (вхід у систему, зміна даних лотів, проведення торгів)

  • Ведення журналу подій зберіганням не менше 2 років

3. Захист переданих і збережених даних

1. Шифрування

  • Усі персональні та фінансові дані зберігаються у зашифрованому вигляді (AES-256)

  • Передача даних між клієнтом та сервером здійснюється за протоколом TLS 1.3

...

  • Використання OAuth 2.0 для доступу до API

  • Захист від DDoS-атак через Web Application Firewall (WAF)

4. Захист від внутрішніх і зовнішніх загроз

Заходи для запобігання атакам:

...

  • Сервери розміщуються у сертифікованих дата-центрах Tier III+

  • Обмежений фізичний доступ (RFID-контроль, відеоспостереження)

5. Атестація КСЗІ

Система пройшла атестацію Комплексної системи захисту інформації (КСЗІ):
Етапи атестації

...

  • Регулярний аудит

  • Оновлення механізмів захисту відповідно до змін у законодавстві


KCЗІ AWS діаграма