Page History

Table of Contents

1. Загальні положення

• Визначення рівня безпеки відповідно до вимог законодавства України (Закон "Про захист інформації в інформаційно-комунікаційних системах", "Про захист персональних даних", "Про кібербезпеку" тощо).
• Визначення категорії інформації, яка обробляється (відкрита, конфіденційна, службова, державна таємниця).
• Визначення методів та засобів захисту інформації.

2. Вимоги до контролю доступу

• Реалізація механізмів автентифікації та авторизації:
  • Використання ЄЦП, двофакторної аутентифікації (2FA).
  • Підтримка рольової моделі доступу (адміністратор, оператор, користувач).
  • Ліміти на кількість невдалих спроб входу та блокування облікового запису.
• Механізм реєстрації та управління користувачами:
  • Обмеження доступу до окремих функцій відповідно до ролей.
  • Автоматичне відключення неактивних сесій.
• Логування подій:
  • Запис інформації про входи, виходи, зміну налаштувань, доступ до конфіденційних даних.
  • Механізм захисту логів від несанкціонованого доступу.

3. Вимоги до захисту даних

Шифрування

...

• Всі конфіденційні дані мають передаватися через TLS 1.2/1.3.
• Збереження паролів виключно у захешованому вигляді (SHA-256, bcrypt).
• Використання шифрування AES-256 для збереження критичних даних.

...

• Використання VPN, захищених каналів зв’язку.
• Захист від MITM-атак (протокол HTTPS, SSL/TLS).

...

• Регулярне резервне копіювання даних з шифруванням резервних копій.
• Чітко визначені терміни зберігання резервних копій та механізми їх відновлення.

конфіденційної інформації:
Уся чутлива інформація, яка передається між системами, захищена сучасними протоколами шифрування, що гарантує її недоступність для сторонніх осіб.

Безпечне зберігання паролів:
Паролі користувачів не зберігаються у відкритому вигляді — вони проходять обов’язкове хешування за допомогою безпечних алгоритмів, що унеможливлює їх зчитування навіть у разі витоку даних.

Захист критичних даних:
Для найбільш важливої інформації використовується надійне шифрування, що відповідає світовим вимогам безпеки.

Захищені канали зв’язку:
Для додаткового рівня захисту дані можуть передаватися через віртуальні приватні мережі (VPN).

4. Вимоги до кібербезпеки

• Виявлення та запобігання кіберзагрозам:Захист від SQL-ін’єкцій, XSS-атак, CSRF-атак.
  
  • Перевірка завантажуваних файлів на віруси та шкідливий код.
• Використання сертифікованих засобів захисту (сертифікати КСЗІ).
• Інтеграція з системами моніторингу безпеки (SIEM).

5. Вимоги до аудиту та звітності

• Автоматичний запис усіх критичних змін у системі.
• Регулярний аналіз журналів безпеки.
• Проведення щорічних аудитів безпеки (пентестинг, вразливості).

Приклад формулювання у ТВ

...