Цей пункт описує вимоги до безпеки обробки, зберігання та передачі інформації, механізми захисту від зовнішніх та внутрішніх загроз, а також заходи забезпечення конфіденційності, доступності та цілісності даних у засобі інформатизації.
1. Загальні вимоги до безпеки
Інформаційна система АТ «Прозорро.Продажі» повинна відповідати вимогам безпеки, встановленим законодавством України, зокрема:
Закону України «Про захист інформації в інформаційно-комунікаційних системах»
Постанові КМУ № 373 «Про затвердження Порядку забезпечення захисту інформації в інформаційних, електронних комунікаційних і комунікаційно-технологічних системах»
Вимогам НБУ до захисту фінансових операцій
Вимогам GDPR (у разі обробки персональних даних громадян ЄС)
Приклад: Система повинна забезпечувати:
- Конфіденційність – захист даних від несанкціонованого доступу
- Цілісність – забезпечення незмінності та достовірності даних
- Доступність – безперебійний доступ авторизованих користувачів
2. Політики управління доступом
Для користувачів платформи встановлюється багаторівнева система доступу:
1. Автентифікація:
Використання двофакторної автентифікації (2FA) для адміністраторів та продавців
Підтримка єдиної системи ідентифікації (SSO) для державних органів
2. Авторизація:
Доступ до операцій визначається роллю користувача:
Адміністратор – повний доступ
Оператор аукціону – управління лотами та торгами
Продавець – створення лотів та контроль угод
Покупець – перегляд та участь у торгах
3. Аудит:
Логування всіх критичних дій (вхід у систему, зміна даних лотів, проведення торгів)
Ведення журналу подій зберіганням не менше 2 років
3. Захист переданих і збережених даних
1. Шифрування
Усі персональні та фінансові дані зберігаються у зашифрованому вигляді (AES-256)
Передача даних між клієнтом та сервером здійснюється за протоколом TLS 1.3
2. Резервне копіювання
Щоденні автоматичні резервні копії зберігаються у зашифрованому вигляді
Резервні копії розміщуються в географічно розподілених дата-центрах
3. Захист API
Використання OAuth 2.0 для доступу до API
Захист від DDoS-атак через Web Application Firewall (WAF)
4. Захист від внутрішніх і зовнішніх загроз
Заходи для запобігання атакам:
- Використання SIEM-системи для моніторингу безпеки в режимі реального часу
- Захист від SQL-ін’єкцій, XSS, CSRF-атак
- Автоматизований аналіз трафіку для виявлення аномальної активності
Відстеження порушень:
У разі підозрілих дій система автоматично сповіщає адміністратора
Блокування акаунтів при багаторазових невдалих спробах входу
Фізичний захист серверів:
Сервери розміщуються у сертифікованих дата-центрах Tier III+
Обмежений фізичний доступ (RFID-контроль, відеоспостереження)
5. Атестація КСЗІ
Система пройшла атестацію Комплексної системи захисту інформації (КСЗІ):
Етапи атестації
Аналіз загроз та оцінка ризиків
Розробка політики безпеки
Впровадження засобів захисту
Проходження державної експертизи
Виконання тестування безпеки
Отримання атестата відповідності
Подальше підтримання безпеки
Регулярний аудит
Оновлення механізмів захисту відповідно до змін у законодавстві