Versions Compared

Old Version 9

changes.mady.by.user Filip Kuzmin

Saved on

compared with

New Version Current

changes.mady.by.user Filip Kuzmin

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents

Відповідно до постанови, захист інформації в засобах інформатизації повинен відповідати чинному законодавству України, включаючи включаючи

Закон "Про захист інформації в інформаційно-комунікаційних системах",

Закон "Про захист персональних даних",

Закон "Про кібербезпеку", а також нормативні акти щодо криптографічного та технічного захисту.Наявний атестат КСЗІ

1. Загальні положення

  • Визначення рівня захисту залежно від категорії інформації (конфіденційна, службова, державна таємниця).
  • Впровадження комплексної системи захисту інформації (КСЗІ) у разі обробки інформації з обмеженим доступом.
  • Дотримання принципу "мінімально необхідного доступу" (Least Privilege).

2. Вимоги до контролю доступу

  • Використання 2-факторної автентифікації (2FA).
  • Контроль доступу за рольовою моделлю
  • Автоматичне блокування облікового запису після кількох невдалих спроб входу .для адміністративної панелі
  • Обмеження часу сесії та автоматичний вихід при неактивності.
  • Логування всіх дій користувачів (вхід, вихід, зміна налаштувань, виконання дій).

3. Вимоги до захисту даних

  • Шифрування даних під час передавання та зберігання:
    • Обмін даних тільки через HTTPS
    • Хешування паролів
  • Контроль змін даних:
    • Фіксація всіх змін у базі даних з можливістю перевірки логів для аналізу тієї чи іншої дії в системі
  • Обмеження доступу Майданчиків до інформації на основі IP-адрес або VPN-з'єднання.

4. Захист від кіберзагроз

Платформа має бути надійно захищена від основних кіберзагроз для гарантування безперебійної роботи та збереження довіри користувачів.
Передбачається впровадження сучасних рішень для:

  • Запобігання зовнішнім атакам, зокрема шляхом використання системи захисту.

  • Мінімізації ризику несанкціонованого доступу або викрадення даних через шкідливі запити.

  • Захисту від атак, що можуть вивести систему з ладу (DDoS), шляхом обмеження кількості запитів та впровадження механізмів верифікації користувачів.

  • Забезпечення перевірки всіх завантажуваних файлів для недопущення потрапляння шкідливого програмного забезпечення до системи.

    • Використання Web Application Firewall (WAF) для запобігання атакам

  • .

    • Захист від:

  • SQL-ін’єкцій (перевірка вхідних даних, параметризовані запити).
  • XSS-атак (екранування даних, CSP).
  • DDoS-атак (ліміти на запити, Captcha).
  • Перевірка завантажуваних файлів на шкідливий код.

5. Вимоги до резервного копіювання та відновлення

  • Регулярне резервне копіювання даних (щоденне/тижневе).
  • Відновлення інформації протягом не більше 24 годин у разі збою.
  • Використанняізольованих серверів для зберігання бекапів.

6. Вимоги до моніторингу та аудиту

  • Впровадження системи моніторингу безпеки (SIEM).
  • Регулярне сканування на вразливості (раз на квартал).
  • Проведення пентестингу раз на рікза розпорядженням.
  • Автоматичне сповіщення про підозрілі дії у системі.

Приклад формулювання у ТВ

...