| Table of Contents |
|---|
1. Загальні положення
- Визначення рівня безпеки відповідно до вимог законодавства України (Закон "Про захист інформації в інформаційно-комунікаційних системах", "Про захист персональних даних", "Про кібербезпеку" тощо).
- Визначення категорії інформації, яка обробляється (відкрита, конфіденційна, службова, державна таємниця).
- Визначення методів та засобів захисту інформації.
2. Вимоги до контролю доступу
- Реалізація механізмів автентифікації та авторизації:
- Використання ЄЦП, двофакторної аутентифікації (2FA).
- Підтримка рольової моделі доступу (адміністратор, оператор, користувач).
- Ліміти на кількість невдалих спроб входу та блокування облікового запису.
- Механізм реєстрації та управління користувачами:
- Обмеження доступу до окремих функцій відповідно до ролей.
- Автоматичне відключення неактивних сесій.
- Логування подій:
- Запис інформації про входи, виходи, зміну налаштувань, доступ до конфіденційних даних.
- Механізм захисту логів від несанкціонованого доступу.
3. Вимоги до захисту даних
Шифрування
...
- Всі конфіденційні дані мають передаватися через TLS 1.2/1.3.
- Збереження паролів виключно у захешованому вигляді (SHA-256, bcrypt).
- Використання шифрування AES-256 для збереження критичних даних.
...
- Використання VPN, захищених каналів зв’язку.
- Захист від MITM-атак (протокол HTTPS, SSL/TLS).
конфіденційної інформації:
Уся чутлива інформація, яка передається між системами, захищена сучасними протоколами шифрування, що гарантує її недоступність для сторонніх осіб.
Безпечне зберігання паролів:
Паролі користувачів не зберігаються у відкритому вигляді — вони проходять обов’язкове хешування за допомогою безпечних алгоритмів, що унеможливлює їх зчитування навіть у разі витоку даних.
Захист критичних даних:
Для найбільш важливої інформації використовується надійне шифрування, що відповідає світовим вимогам безпеки.
Захищені канали зв’язку:
Для додаткового рівня захисту дані можуть передаватися через віртуальні приватні мережі (VPN)
...
.
4. Вимоги до кібербезпеки
- Виявлення та запобігання кіберзагрозам:Захист від SQL-ін’єкцій, XSS-атак, CSRF-атак.
- Перевірка завантажуваних файлів на віруси та шкідливий код.
- Використання сертифікованих засобів захисту (сертифікати КСЗІ).Інтеграція з системами моніторингу безпеки (SIEM).
5. Вимоги до аудиту та звітності
- Автоматичний запис усіх критичних змін у системі.
- Регулярний аналіз журналів безпеки.
- Проведення щорічних аудитів безпеки (пентестинг, вразливості).
Приклад формулювання у ТВ
...