Цей пункт описує вимоги до безпеки обробки, зберігання та передачі інформації, механізми захисту від зовнішніх та внутрішніх загроз, а також заходи забезпечення конфіденційності, доступності та цілісності даних у засобі інформатизації.
1. Загальні вимоги до безпеки
Інформаційна система АТ «Прозорро.Продажі» повинна відповідати вимогам безпеки, встановленим законодавством України, зокрема:
Закону України «Про захист інформації в інформаційно-комунікаційних системах»
Постанові КМУ № 373 «Про затвердження Порядку забезпечення захисту інформації в інформаційних, електронних комунікаційних і комунікаційно-технологічних системах»
Вимогам НБУ до захисту фінансових операцій
Вимогам GDPR (у разі обробки персональних даних громадян ЄС)
📌 Система повинна забезпечувати:
✅ Конфіденційність – захист даних від несанкціонованого доступу
✅ Цілісність – забезпечення незмінності та достовірності даних
✅ Доступність – безперебійний доступ авторизованих користувачів
2. Політики управління доступом
Для користувачів платформи встановлюється багаторівнева система доступу:
🔹 Автентифікація:
Використання двофакторної автентифікації (2FA) для адміністраторів та продавців
Підтримка єдиної системи ідентифікації (SSO) для державних органів
🔹 Авторизація:
Доступ до операцій визначається роллю користувача:
Адміністратор – повний доступ
Оператор аукціону – управління лотами та торгами
Продавець – створення лотів та контроль угод
Покупець – перегляд та участь у торгах
🔹 Аудит:
Логування всіх критичних дій (вхід у систему, зміна даних лотів, проведення торгів)
Ведення журналу подій зберіганням не менше 2 років
3. Захист переданих і збережених даних
📌 Основні механізми безпеки даних у системі «Прозорро.Продажі»:
✅ Шифрування
Усі персональні та фінансові дані зберігаються у зашифрованому вигляді (AES-256)
Передача даних між клієнтом та сервером здійснюється за протоколом TLS 1.3
✅ Резервне копіювання
Щоденні автоматичні резервні копії зберігаються у зашифрованому вигляді
Резервні копії розміщуються в географічно розподілених дата-центрах
✅ Захист API
Використання OAuth 2.0 для доступу до API
Захист від DDoS-атак через Web Application Firewall (WAF)
4. Захист від внутрішніх і зовнішніх загроз
📌 Заходи для запобігання атакам:
✅ Використання SIEM-системи для моніторингу безпеки в режимі реального часу
✅ Захист від SQL-ін’єкцій, XSS, CSRF-атак
✅ Автоматизований аналіз трафіку для виявлення аномальної активності
🔹 Відстеження порушень:
У разі підозрілих дій система автоматично сповіщає адміністратора
Блокування акаунтів при багаторазових невдалих спробах входу
🔹 Фізичний захист серверів:
Сервери розміщуються у сертифікованих дата-центрах Tier III+
Обмежений фізичний доступ (RFID-контроль, відеоспостереження)
5. Атестація КСЗІ
📌 Система повинна пройти атестацію Комплексної системи захисту інформації (КСЗІ):
🔹 Етапи атестації
Аналіз загроз та оцінка ризиків
Розробка політики безпеки
Впровадження засобів захисту
🔹 Проходження державної експертизи
Виконання тестування безпеки
Отримання атестата відповідності
🔹 Подальше підтримання безпеки
Регулярний аудит
Оновлення механізмів захисту відповідно до змін у законодавстві
Висновок
📌 Система «Прозорро.Продажі» реалізує багаторівневий захист інформації:
✅ Технічні заходи – шифрування, контроль доступу, аудит
✅ Процедурні заходи – політики безпеки, атестація КСЗІ
✅ Захист від загроз – моніторинг атак, резервне копіювання