Вимоги до захисту інформації

Відповідно до постанови, захист інформації в засобах інформатизації повинен відповідати чинному законодавству України, включаючи Закон "Про захист інформації в інформаційно-комунікаційних системах", "Про захист персональних даних", "Про кібербезпеку", а також нормативні акти щодо криптографічного та технічного захисту.
Наявний атестат КСЗІ

1. Загальні положення

• Визначення рівня захисту залежно від категорії інформації (конфіденційна, службова, державна таємниця).
• Використання засобів криптографічного захисту інформації (КЗІ), сертифікованих відповідно до законодавства.
• Впровадження комплексної системи захисту інформації (КСЗІ) у разі обробки інформації з обмеженим доступом.
• Дотримання принципу "мінімально необхідного доступу" (Least Privilege).
• Проведення аудиту безпеки

2. Вимоги до контролю доступу

• Використання багатофакторної автентифікації (2FA).
• Контроль доступу за рольовою моделлю (RBAC).
• Автоматичне блокування облікового запису після кількох невдалих спроб входу.
• Обмеження часу сесії та автоматичний вихід при неактивності.
• Логування всіх дій користувачів (вхід, вихід, зміна налаштувань).

3. Вимоги до захисту даних

• Шифрування даних під час передавання та зберігання:
  • Передача даних тільки через HTTPS (TLS 1.3).
  • Локальне зберігання даних у зашифрованому вигляді (AES-256, ГОСТ 28147-89).
  • Хешування паролів за допомогою bcrypt, SHA-256.
• Контроль змін даних:
  • Фіксація всіх змін у базі даних у журналі аудиту.
  • Використання механізмів контролю цілісності (HMAC, цифровий підпис).
• Обмеження доступу до конфіденційної інформації на основі IP-адрес або VPN-з'єднання.

4. Захист від кіберзагроз

• Використання Web Application Firewall (WAF) для запобігання атакам.
• Захист від:
  • SQL-ін’єкцій (перевірка вхідних даних, параметризовані запити).
  • XSS-атак (екранування даних, CSP).
  • DDoS-атак (ліміти на запити, Captcha).
• Перевірка завантажуваних файлів на шкідливий код.

5. Вимоги до резервного копіювання та відновлення

• Регулярне резервне копіювання даних (щоденне/тижневе).
• Відновлення інформації протягом не більше 24 годин у разі збою.
• Використання ізольованих серверів для зберігання бекапів.

6. Вимоги до моніторингу та аудиту

• Впровадження системи моніторингу безпеки (SIEM).
• Регулярне сканування на вразливості (раз на квартал).
• Проведення пентестингу раз на рік.
• Автоматичне сповіщення про підозрілі дії у системі.

Приклад формулювання у ТВ

1. Усі дані користувачів зберігаються у зашифрованому вигляді (AES-256, SHA-256).
2. Для автентифікації використовується двофакторна аутентифікація (пароль + OTP-код).
3. Журнал аудиту зберігається не менше 12 місяців.
4. Доступ до системи можливий лише через VPN або з корпоративної мережі.
5. Раз на рік проводиться обов’язковий аудит безпеки та тестування на вразливості.