Page History

...

• Визначення рівня безпеки відповідно до вимог законодавства України (Закон "Про захист інформації в інформаційно-комунікаційних системах", "Про захист персональних даних", "Про кібербезпеку" тощо).
• Визначення категорії інформації, яка обробляється (відкрита, конфіденційна, службова, державна таємниця).
• Визначення методів та засобів захисту інформації.

...

2. Вимоги до контролю доступу

• Реалізація механізмів автентифікації та авторизації:
  • Використання ЄЦП, двофакторної аутентифікації (2FA)., ЕЦП
  • Підтримка рольової моделі доступу (адміністратор, оператор, користувач).
  • Ліміти на кількість невдалих спроб входу та блокування облікового запису.
• Механізм реєстрації та управління користувачами:
  • Обмеження доступу до окремих функцій відповідно до ролей.
  • Автоматичне відключення неактивних сесій.
• Логування подій:
  • Запис інформації про входи, виходи, зміну налаштувань, доступ до конфіденційних даних.
  • Механізм захисту логів від несанкціонованого доступу.

...

3. Вимоги до захисту даних

• Шифрування даних:
  • Всі конфіденційні дані мають передаватися через TLS 1.2/1.3.
  • Збереження паролів виключно у захешованому вигляді (SHA-256, bcrypt).
  • Використання шифрування AES-256 для збереження критичних даних.
• Захист інформації під час передачі:
  • Використання VPN, захищених каналів зв’язку.
  • Захист від MITM-атак (протокол HTTPS, SSL/TLS).
• Резервне копіювання та відновлення:
  • Регулярне резервне копіювання даних з шифруванням резервних копій.
  • Чітко визначені терміни зберігання резервних копій та механізми їх відновлення.

...

• Виявлення та запобігання кіберзагрозам:
  • Захист від SQL-ін’єкцій, XSS-атак, CSRF-атак.
  • Перевірка завантажуваних файлів на віруси та шкідливий код.
• Використання сертифікованих засобів захисту (сертифікати КСЗІ).
• Інтеграція з системами моніторингу безпеки (SIEM).

...

5. Вимоги до аудиту та звітності

• Автоматичний запис усіх критичних змін у системі.
• Регулярний аналіз журналів безпеки.
• Проведення щорічних аудитів безпеки (пентестинг, вразливості).

...

Приклад формулювання у ТВ

• Доступ до засобу інформатизації здійснюється за двофакторною автентифікацією.
• Усі паролі зберігаються у захешованому вигляді (bcrypt, SHA-256).
• Дані передаються через захищені канали зв’язку (TLS 1.3, HTTPS, VPN).
• Користувацькі дії логуються зберігаються не менше 12 місяців.
• Система проходить обов’язковий аудит безпеки раз на рік.