Цей пункт описує вимоги до безпеки обробки, зберігання та передачі інформації, механізми захисту від зовнішніх та внутрішніх загроз, а також заходи забезпечення конфіденційності, доступності та цілісності даних у засобі інформатизації.

1. Загальні вимоги до безпеки

Інформаційна система АТ «Прозорро.Продажі» повинна бути розроблено з врахуванням ДСТУ:

• ДСТУ EN 301 549:2022 (EN 301 549 V3.2.1 (2021-03), IDT) «Інформаційні технології. Вимоги щодо доступності продуктів та послуг ІКТ»;
• ДСТУ 2226-93. Автоматизовані системи. Терміни та визначення;
• ДСТУ 2873-94. Системи обробки інформації. Програмування. Терміни та визначення;
• ДСТУ 2941-94. Системи оброблення інформації. Розроблення систем. Терміни та визначення;
• ДСТУ 4302:2004. Інформаційні технології. Настанови щодо документування комп’ютерних програм;
• ДСТУ ISO/IEC 12119:2003. Інформаційні технології. Пакети програм тестування і вимоги до якості;
• ДСТУ ISO/IEC 14764:2002. Інформаційні технології. Супроводження програмного забезпечення;
• ДСТУ ISO/IEC 9798-1:2015 Інформаційні технології. Методи захисту. Автентифікація об'єктів. Частина 1. Загальні положення (ISO/IEC 9798-1:2010, IDT);
• ДСТУ ISO/IEC TR 13335-1:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій (ІТ). Частина 1. Концепції й моделі безпеки ІТ (ISO/IEC TR 13335-1:1996, IDT).

Приклад: Система повинна забезпечувати:

• Конфіденційність – захист даних від несанкціонованого доступу
• Цілісність – забезпечення незмінності та достовірності даних
• Доступність – безперебійний доступ авторизованих користувачів

Аспекти безпеки, яких слід дотримуватись при реалізації:

• Безпека коду – дотримання best practices перевірки коду.
• Ролі та дозволи – перевіряються на сервері.
• Валідація введених даних – обов'язково на сервері.
• Захист від інʼєкцій – дані очищаються від небезпечних символів.
• Обробка спецсимволів / Unicode – зберігання в оригінальному вигляді.
• Персональні дані (ПД) – не зберігати в логах чи кеші.
• Shell execution – аргументи очищаються.
• Шифрування – всі передані дані шифруються.
• API: серіалізація – тільки whitelisted поля.
• API: доступ – жодного доступу без авторизації.
• Cookie – Secure, HttpOnly, SameSite, __Host-; заголовки X-Content-Type-Options: nosniff, Strict-Transport-Security.
• Інтеграції – перевірка джерела; жодних hardcoded токенів.
• Для інтегрованих компонентів:
  • автентифікація
  • безпечна сесія
  • перевірка і очищення даних

2. Політики управління доступом

Для користувачів платформи встановлюється багаторівнева система доступу:
1. Автентифікація:

• Використання двофакторної автентифікації (2FA) для адміністраторів та продавців

• Підтримка єдиної системи ідентифікації (SSO)

2. Авторизація:

• Доступ до операцій визначається роллю користувача:

  • Адміністратор – повний доступ

  • Оператор аукціону – управління лотами та торгами

  • Продавець – створення лотів та контроль угод

  • Покупець – перегляд та участь у торгах

3. Аудит:

• Логування всіх критичних дій (вхід у систему, зміна даних лотів, проведення торгів)

• Ведення журналу подій зберіганням не менше 2 років

3. Захист переданих і збережених даних

1. Шифрування

• Усі персональні та фінансові дані зберігаються у зашифрованому вигляді (AES-256)

• Передача даних між клієнтом та сервером здійснюється за протоколом TLS 1.3

2. Резервне копіювання

• Щоденні автоматичні резервні копії зберігаються у зашифрованому вигляді

• Резервні копії розміщуються в географічно розподілених дата-центрах

3. Захист API

• Використання OAuth 2.0 для доступу до API

• Захист від DDoS-атак через Web Application Firewall (WAF)

4. Захист від внутрішніх і зовнішніх загроз

Заходи для запобігання атакам:

• Використання SIEM-системи для моніторингу безпеки в режимі реального часу
• Захист від SQL-ін’єкцій, XSS, CSRF-атак
• Автоматизований аналіз трафіку для виявлення аномальної активності

Відстеження порушень:

• У разі підозрілих дій система автоматично сповіщає адміністратора

• Блокування акаунтів при багаторазових невдалих спробах входу

Фізичний захист серверів:

• Сервери розміщуються у сертифікованих дата-центрах Tier III+

• Обмежений фізичний доступ (RFID-контроль, відеоспостереження)

5. Атестація КСЗІ

Система пройшла атестацію Комплексної системи захисту інформації (КСЗІ):
Етапи атестації

• Аналіз загроз та оцінка ризиків

• Розробка політики безпеки

• Впровадження засобів захисту

Проходження державної експертизи

• Виконання тестування безпеки

• Отримання атестата відповідності

Подальше підтримання безпеки

• Регулярний аудит

• Оновлення механізмів захисту відповідно до змін у законодавстві

KCЗІ AWS діаграма