1. Загальні положення

• Визначення рівня безпеки відповідно до вимог законодавства України (Закон "Про захист інформації в інформаційно-комунікаційних системах", "Про захист персональних даних", "Про кібербезпеку").
• Визначення категорії інформації, яка обробляється (відкрита, конфіденційна, службова)
• Визначення методів та засобів захисту інформації

2. Вимоги до контролю доступу

• Реалізація механізмів автентифікації та авторизації:
  • Використання двофакторної аутентифікації (2FA)
  • Підтримка рольової моделі доступу (адміністратор, оператор, користувач)
  • Ліміти на кількість невдалих спроб входу та блокування облікового запису
• Механізм реєстрації та управління користувачами:
  • Обмеження доступу до окремих функцій відповідно до ролей
  • Автоматичне відключення неактивних сесій
• Логування подій:
  • Запис інформації про входи, виходи, зміну налаштувань, доступ до конфіденційних даних
  • Механізм захисту логів від несанкціонованого доступу.

3. Вимоги до захисту даних

• Шифрування даних:
  • Всі конфіденційні дані мають передаватися через TLS 1.2/1.3.
  • Збереження паролів виключно у захешованому вигляді (SHA-256, bcrypt).
  • Використання шифрування AES-256 для збереження критичних даних.
• Захист інформації під час передачі:
  • Використання VPN
  • Захист від MITM-атак (протокол HTTPS, SSL/TLS).
• Резервне копіювання та відновлення:
  • Регулярне резервне копіювання даних з шифруванням резервних копій.
  • Чітко визначені терміни зберігання резервних копій та механізми їх відновлення.

4. Вимоги до кібербезпеки

• Виявлення та запобігання кіберзагрозам:
  
  • Перевірка завантажуваних файлів на віруси та шкідливий код.
• Використання сертифікованих засобів захисту (сертифікати КСЗІ).

5. Вимоги до аудиту та звітності

• Автоматичний запис усіх критичних змін у системі
• Регулярний аналіз журналів безпеки
• Проведення щорічних аудитів безпеки (пентестинг, вразливості)