1. Загальні положення

  • Визначення рівня безпеки відповідно до вимог законодавства України (Закон "Про захист інформації в інформаційно-комунікаційних системах", "Про захист персональних даних", "Про кібербезпеку" тощо).
  • Визначення категорії інформації, яка обробляється (відкрита, конфіденційна, службова, державна таємниця).
  • Визначення методів та засобів захисту інформації.

2. Вимоги до контролю доступу

  • Реалізація механізмів автентифікації та авторизації:
    • Використання ЄЦП, двофакторної аутентифікації (2FA).
    • Підтримка рольової моделі доступу (адміністратор, оператор, користувач).
    • Ліміти на кількість невдалих спроб входу та блокування облікового запису.
  • Механізм реєстрації та управління користувачами:
    • Обмеження доступу до окремих функцій відповідно до ролей.
    • Автоматичне відключення неактивних сесій.
  • Логування подій:
    • Запис інформації про входи, виходи, зміну налаштувань, доступ до конфіденційних даних.
    • Механізм захисту логів від несанкціонованого доступу.

3. Вимоги до захисту даних

  • Шифрування даних:
    • Всі конфіденційні дані мають передаватися через TLS 1.2/1.3.
    • Збереження паролів виключно у захешованому вигляді (SHA-256, bcrypt).
    • Використання шифрування AES-256 для збереження критичних даних.
  • Захист інформації під час передачі:
    • Використання VPN, захищених каналів зв’язку.
    • Захист від MITM-атак (протокол HTTPS, SSL/TLS).
  • Резервне копіювання та відновлення:
    • Регулярне резервне копіювання даних з шифруванням резервних копій.
    • Чітко визначені терміни зберігання резервних копій та механізми їх відновлення.

4. Вимоги до кібербезпеки

  • Виявлення та запобігання кіберзагрозам:
    • Захист від SQL-ін’єкцій, XSS-атак, CSRF-атак.
    • Перевірка завантажуваних файлів на віруси та шкідливий код.
  • Використання сертифікованих засобів захисту (сертифікати КСЗІ).
  • Інтеграція з системами моніторингу безпеки (SIEM).

5. Вимоги до аудиту та звітності

  • Автоматичний запис усіх критичних змін у системі.
  • Регулярний аналіз журналів безпеки.
  • Проведення щорічних аудитів безпеки (пентестинг, вразливості).

Приклад формулювання у ТВ

  • Доступ до засобу інформатизації здійснюється за двофакторною автентифікацією.
  • Усі паролі зберігаються у захешованому вигляді.
  • Дані передаються через захищені канали зв’язку.
  • Користувацькі дії логуються зберігаються не менше 12 місяців.
  • Система проходить обов’язковий аудит безпеки раз на рік.
  • No labels