Цей пункт описує вимоги до безпеки обробки, зберігання та передачі інформації, механізми захисту від зовнішніх та внутрішніх загроз, а також заходи забезпечення конфіденційності, доступності та цілісності даних у засобі інформатизації.

1. Загальні вимоги до безпеки

Інформаційна система АТ «Прозорро.Продажі» повинна відповідати вимогам безпеки, встановленим законодавством України, зокрема:

• Закону України «Про захист інформації в інформаційно-комунікаційних системах»

• Постанові КМУ № 373 «Про затвердження Порядку забезпечення захисту інформації в інформаційних, електронних комунікаційних і комунікаційно-технологічних системах»

• Вимогам НБУ до захисту фінансових операцій

• Вимогам GDPR (у разі обробки персональних даних громадян ЄС)

Приклад: Система повинна забезпечувати:

• Конфіденційність – захист даних від несанкціонованого доступу
• Цілісність – забезпечення незмінності та достовірності даних
• Доступність – безперебійний доступ авторизованих користувачів

2. Політики управління доступом

Для користувачів платформи встановлюється багаторівнева система доступу:
1. Автентифікація:

• Використання двофакторної автентифікації (2FA) для адміністраторів та продавців

• Підтримка єдиної системи ідентифікації (SSO) для державних органів

2. Авторизація:

• Доступ до операцій визначається роллю користувача:

  • Адміністратор – повний доступ

  • Оператор аукціону – управління лотами та торгами

  • Продавець – створення лотів та контроль угод

  • Покупець – перегляд та участь у торгах

3. Аудит:

• Логування всіх критичних дій (вхід у систему, зміна даних лотів, проведення торгів)

• Ведення журналу подій зберіганням не менше 2 років

3. Захист переданих і збережених даних

1. Шифрування

• Усі персональні та фінансові дані зберігаються у зашифрованому вигляді (AES-256)

• Передача даних між клієнтом та сервером здійснюється за протоколом TLS 1.3

2. Резервне копіювання

• Щоденні автоматичні резервні копії зберігаються у зашифрованому вигляді

• Резервні копії розміщуються в географічно розподілених дата-центрах

3. Захист API

• Використання OAuth 2.0 для доступу до API

• Захист від DDoS-атак через Web Application Firewall (WAF)

4. Захист від внутрішніх і зовнішніх загроз

Заходи для запобігання атакам:

• Використання SIEM-системи для моніторингу безпеки в режимі реального часу
• Захист від SQL-ін’єкцій, XSS, CSRF-атак
• Автоматизований аналіз трафіку для виявлення аномальної активності

Відстеження порушень:

• У разі підозрілих дій система автоматично сповіщає адміністратора

• Блокування акаунтів при багаторазових невдалих спробах входу

Фізичний захист серверів:

• Сервери розміщуються у сертифікованих дата-центрах Tier III+

• Обмежений фізичний доступ (RFID-контроль, відеоспостереження)

5. Атестація КСЗІ

Система пройшла атестацію Комплексної системи захисту інформації (КСЗІ):
Етапи атестації

• Аналіз загроз та оцінка ризиків

• Розробка політики безпеки

• Впровадження засобів захисту

Проходження державної експертизи

• Виконання тестування безпеки

• Отримання атестата відповідності

Подальше підтримання безпеки

• Регулярний аудит

• Оновлення механізмів захисту відповідно до змін у законодавстві