You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 5 Current »

Цей пункт описує вимоги до безпеки обробки, зберігання та передачі інформації, механізми захисту від зовнішніх та внутрішніх загроз, а також заходи забезпечення конфіденційності, доступності та цілісності даних у засобі інформатизації.

1. Загальні вимоги до безпеки

Інформаційна система АТ «Прозорро.Продажі» повинна бути розроблено з врахуванням ДСТУ:

  • ДСТУ EN 301 549:2022 (EN 301 549 V3.2.1 (2021-03), IDT) «Інформаційні технології. Вимоги щодо доступності продуктів та послуг ІКТ»;
  • ДСТУ 2226-93. Автоматизовані системи. Терміни та визначення;
  • ДСТУ 2873-94. Системи обробки інформації. Програмування. Терміни та визначення;
  • ДСТУ 2941-94. Системи оброблення інформації. Розроблення систем. Терміни та визначення;
  • ДСТУ 4302:2004. Інформаційні технології. Настанови щодо документування комп’ютерних програм;
  • ДСТУ ISO/IEC 12119:2003. Інформаційні технології. Пакети програм тестування і вимоги до якості;
  • ДСТУ ISO/IEC 14764:2002. Інформаційні технології. Супроводження програмного забезпечення;
  • ДСТУ ISO/IEC 9798-1:2015 Інформаційні технології. Методи захисту. Автентифікація об'єктів. Частина 1. Загальні положення (ISO/IEC 9798-1:2010, IDT);
  • ДСТУ ISO/IEC TR 13335-1:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій (ІТ). Частина 1. Концепції й моделі безпеки ІТ (ISO/IEC TR 13335-1:1996, IDT).

Приклад: Система повинна забезпечувати:

  • Конфіденційність – захист даних від несанкціонованого доступу
  • Цілісність – забезпечення незмінності та достовірності даних
  • Доступність – безперебійний доступ авторизованих користувачів


Аспекти безпеки, яких слід дотримуватись при реалізації:

  • Безпека коду – дотримання best practices перевірки коду.
  • Ролі та дозволи – перевіряються на сервері.
  • Валідація введених даних – обов'язково на сервері.
  • Захист від інʼєкцій – дані очищаються від небезпечних символів.
  • Обробка спецсимволів / Unicode – зберігання в оригінальному вигляді.
  • Персональні дані (ПД) – не зберігати в логах чи кеші.
  • Shell execution – аргументи очищаються.
  • Шифрування – всі передані дані шифруються.
  • API: серіалізація – тільки whitelisted поля.
  • API: доступ – жодного доступу без авторизації.
  • Cookie – Secure, HttpOnly, SameSite, __Host-; заголовки X-Content-Type-Options: nosniff, Strict-Transport-Security.
  • Інтеграції – перевірка джерела; жодних hardcoded токенів.
  • Для інтегрованих компонентів:
    • автентифікація
    • безпечна сесія
    • перевірка і очищення даних

2. Політики управління доступом

Для користувачів платформи встановлюється багаторівнева система доступу:
1. Автентифікація:

  • Використання двофакторної автентифікації (2FA) для адміністраторів та продавців

  • Підтримка єдиної системи ідентифікації (SSO)

2. Авторизація:

  • Доступ до операцій визначається роллю користувача:

    • Адміністратор – повний доступ

    • Оператор аукціону – управління лотами та торгами

    • Продавець – створення лотів та контроль угод

    • Покупець – перегляд та участь у торгах

3. Аудит:

  • Логування всіх критичних дій (вхід у систему, зміна даних лотів, проведення торгів)

  • Ведення журналу подій зберіганням не менше 2 років

3. Захист переданих і збережених даних

1. Шифрування

  • Усі персональні та фінансові дані зберігаються у зашифрованому вигляді (AES-256)

  • Передача даних між клієнтом та сервером здійснюється за протоколом TLS 1.3

2. Резервне копіювання

  • Щоденні автоматичні резервні копії зберігаються у зашифрованому вигляді

  • Резервні копії розміщуються в географічно розподілених дата-центрах

3. Захист API

  • Використання OAuth 2.0 для доступу до API

  • Захист від DDoS-атак через Web Application Firewall (WAF)

4. Захист від внутрішніх і зовнішніх загроз

Заходи для запобігання атакам:

  • Використання SIEM-системи для моніторингу безпеки в режимі реального часу
  • Захист від SQL-ін’єкцій, XSS, CSRF-атак
  • Автоматизований аналіз трафіку для виявлення аномальної активності

Відстеження порушень:

  • У разі підозрілих дій система автоматично сповіщає адміністратора

  • Блокування акаунтів при багаторазових невдалих спробах входу

Фізичний захист серверів:

  • Сервери розміщуються у сертифікованих дата-центрах Tier III+

  • Обмежений фізичний доступ (RFID-контроль, відеоспостереження)

5. Атестація КСЗІ

Система пройшла атестацію Комплексної системи захисту інформації (КСЗІ):
Етапи атестації

  • Аналіз загроз та оцінка ризиків

  • Розробка політики безпеки

  • Впровадження засобів захисту

Проходження державної експертизи

  • Виконання тестування безпеки

  • Отримання атестата відповідності

Подальше підтримання безпеки

  • Регулярний аудит

  • Оновлення механізмів захисту відповідно до змін у законодавстві


KCЗІ AWS діаграма






  • No labels