Відповідно до постанови, захист інформації в засобах інформатизації повинен відповідати чинному законодавству України, включаючи

Закон "Про захист інформації в інформаційно-комунікаційних системах"

Закон "Про захист персональних даних",

Закон "Про кібербезпеку",

а також нормативні акти щодо криптографічного та технічного захисту

1. Загальні положення

• Визначення рівня захисту залежно від категорії інформації (конфіденційна, службова, державна таємниця).
• Впровадження комплексної системи захисту інформації (КСЗІ) у разі обробки інформації з обмеженим доступом.
• Дотримання принципу "мінімально необхідного доступу" (Least Privilege).

2. Вимоги до контролю доступу

• Використання 2-факторної автентифікації (2FA).
• Контроль доступу за рольовою моделлю
• Автоматичне блокування облікового запису після кількох невдалих спроб входу.
• Обмеження часу сесії та автоматичний вихід при неактивності.
• Логування всіх дій користувачів (вхід, вихід, зміна налаштувань).

3. Вимоги до захисту даних

• Шифрування даних під час передавання та зберігання:
  • Обмін даних тільки через HTTPS
  • Хешування паролів
• Контроль змін даних:
  • Фіксація всіх змін у базі даних з можливістю перевірки логів для аналізу тієї чи іншої дії в системі
• Обмеження доступу Майданчиків до інформації на основі IP-адрес або VPN-з'єднання.

4. Захист від кіберзагроз

Платформа має бути надійно захищена від основних кіберзагроз для гарантування безперебійної роботи та збереження довіри користувачів.
Передбачається впровадження сучасних рішень для:

• Запобігання зовнішнім атакам, зокрема шляхом використання системи захисту.

• Мінімізації ризику несанкціонованого доступу або викрадення даних через шкідливі запити.

• Захисту від атак, що можуть вивести систему з ладу (DDoS), шляхом обмеження кількості запитів та впровадження механізмів верифікації користувачів.

• Забезпечення перевірки всіх завантажуваних файлів для недопущення потрапляння шкідливого програмного забезпечення до системи.

5. Вимоги до резервного копіювання та відновлення

• Регулярне резервне копіювання даних
• Відновлення інформації протягом не більше 24 годин у разі збою.
• Використання ізольованих серверів для зберігання бекапів.

6. Вимоги до моніторингу та аудиту

• Впровадження системи моніторингу безпеки
• Регулярне сканування на вразливості
• Проведення пентестингу за розпорядженням.
• Автоматичне сповіщення про підозрілі дії у системі.

Приклад формулювання у ТВ

1. Усі дані користувачів зберігаються у зашифрованому вигляді
2. Для автентифікації використовується двофакторна аутентифікація (пароль + OTP-код).
3. Журнал аудиту зберігається не менше 12 місяців.
4. Доступ до системи можливий лише через VPN
5. Раз на рік проводиться обов’язковий аудит безпеки та тестування на вразливості.