Цей пункт описує вимоги до безпеки обробки, зберігання та передачі інформації, механізми захисту від зовнішніх та внутрішніх загроз, а також заходи забезпечення конфіденційності, доступності та цілісності даних у засобі інформатизації.

1. Загальні вимоги до безпеки

Інформаційна система АТ «Прозорро.Продажі» повинна відповідати вимогам безпеки, встановленим законодавством України, зокрема:

• Закону України «Про захист інформації в інформаційно-комунікаційних системах»

• Постанові КМУ № 373 «Про затвердження Порядку забезпечення захисту інформації в інформаційних, електронних комунікаційних і комунікаційно-технологічних системах»

• Вимогам НБУ до захисту фінансових операцій

• Вимогам GDPR (у разі обробки персональних даних громадян ЄС)

📌 Система повинна забезпечувати:
✅ Конфіденційність – захист даних від несанкціонованого доступу
✅ Цілісність – забезпечення незмінності та достовірності даних
✅ Доступність – безперебійний доступ авторизованих користувачів

2. Політики управління доступом

Для користувачів платформи встановлюється багаторівнева система доступу:
🔹 Автентифікація:

• Використання двофакторної автентифікації (2FA) для адміністраторів та продавців

• Підтримка єдиної системи ідентифікації (SSO) для державних органів

🔹 Авторизація:

• Доступ до операцій визначається роллю користувача:

  • Адміністратор – повний доступ

  • Оператор аукціону – управління лотами та торгами

  • Продавець – створення лотів та контроль угод

  • Покупець – перегляд та участь у торгах

🔹 Аудит:

• Логування всіх критичних дій (вхід у систему, зміна даних лотів, проведення торгів)

• Ведення журналу подій зберіганням не менше 2 років

3. Захист переданих і збережених даних

📌 Основні механізми безпеки даних у системі «Прозорро.Продажі»:

✅ Шифрування

• Усі персональні та фінансові дані зберігаються у зашифрованому вигляді (AES-256)

• Передача даних між клієнтом та сервером здійснюється за протоколом TLS 1.3

✅ Резервне копіювання

• Щоденні автоматичні резервні копії зберігаються у зашифрованому вигляді

• Резервні копії розміщуються в географічно розподілених дата-центрах

✅ Захист API

• Використання OAuth 2.0 для доступу до API

• Захист від DDoS-атак через Web Application Firewall (WAF)

4. Захист від внутрішніх і зовнішніх загроз

📌 Заходи для запобігання атакам:
✅ Використання SIEM-системи для моніторингу безпеки в режимі реального часу
✅ Захист від SQL-ін’єкцій, XSS, CSRF-атак
✅ Автоматизований аналіз трафіку для виявлення аномальної активності

🔹 Відстеження порушень:

• У разі підозрілих дій система автоматично сповіщає адміністратора

• Блокування акаунтів при багаторазових невдалих спробах входу

🔹 Фізичний захист серверів:

• Сервери розміщуються у сертифікованих дата-центрах Tier III+

• Обмежений фізичний доступ (RFID-контроль, відеоспостереження)

5. Атестація КСЗІ

📌 Система повинна пройти атестацію Комплексної системи захисту інформації (КСЗІ):
🔹 Етапи атестації

• Аналіз загроз та оцінка ризиків

• Розробка політики безпеки

• Впровадження засобів захисту

🔹 Проходження державної експертизи

• Виконання тестування безпеки

• Отримання атестата відповідності

🔹 Подальше підтримання безпеки

• Регулярний аудит

• Оновлення механізмів захисту відповідно до змін у законодавстві

Висновок

📌 Система «Прозорро.Продажі» реалізує багаторівневий захист інформації:
✅ Технічні заходи – шифрування, контроль доступу, аудит
✅ Процедурні заходи – політики безпеки, атестація КСЗІ
✅ Захист від загроз – моніторинг атак, резервне копіювання