Інформаційна безпека

Електронна система закупівель Prozorro є відкритим веб-порталом у сфері публічних закупівель, яка забезпечує захист інформації щодо публічних закупівель та захист конфіденційної інформації від несанкціонованого доступу. Захист забезпечується неможливістю витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації. Крім того, Система знаходиться в хмарному ЦОДі "ДЕ НОВО", який створений для державних закладів та підприємств, і має Атестат відповідності комплексної системи захисту інформації (КСЗІ), виданий Державною службою спеціального зв’язку та захисту інформації України (ДССЗЗІ)

Наразі здійснюються роботи зі створення КСЗІ в інформаційно-телекомунікаційній системі Prozorro згідно з вимогами законодавства у сфері захисту інформації.

15 лютого 2019р. інформаційно-телекомунікаційна система Prozorro отримала атестат відповідності комплексної системи захисту інформації (КСЗІ) нормативним вимогам у цій сфері. 

Комплексна система захисту інформації

В електронній системі закупівель повинна бути створена комплексна система захисту інформації з підтвердженою відповідністю згідно із Законом України “Про захист інформації в інформаційно-телекомунікаційних системах”.

Вимоги із захисту інформації та кібербезпеки в електронній системі закупівель визначаються адміністратором з урахуванням вимог законодавства у сфері захисту інформації та кібербезпеки, який інформує про них Уповноважений орган.

Підключення електронного майданчика до електронної системи закупівель здійснюється адміністратором після виконання вимог, визначених в документації на комплексну систему захисту інформації електронної системи закупівель.” (пункт 3 Порядку функціонування електронної системи закупівель та проведення авторизації електронних майданчиків, затвердженого постановою Кабінету Міністрів України від 24 лютого 2016р. № 166).

Засоби криптографічного захисту інформації, у тому числі засоби кваліфікованого електронного підпису, що використовуються в роботі авторизованого/попередньо авторизованого електронного майданчика, повинні мати чинні експертні висновки або сертифікати відповідності за результатами державної експертизи у сфері криптографічного захисту інформації.

 Відповідно до вимог встановлених пунктом 3 Порядку функціонування електронної системи закупівель та проведення авторизації електронних майданчиків, затвердженого Постановою Кабінету Міністрів України від 24 лютого 2016 р. № 166, оператор електронного майданчика повинен надавати звіт з інформаційної безпеки в установленому адміністратором форматі та визначеною періодичністю або у разі виникнення інцидентів, пов’язаних з інформаційною безпекою.

У разі виникнення інцидентів, пов’язаних з інформаційною безпекою, адміністратор має надати відповідний звіт на розгляд комісії щодо розгляду питань діяльності електронної системи закупівель, яка може прийняти одне з таких рішень:

  • усунення оператором авторизованого/попередньо авторизованого електронного майданчика виявлених порушень у строк, визначений комісією, але не більше ніж 60 календарних днів. У цьому разі для підтвердження факту усунення порушень комісія може вимагати від оператора авторизованого/попередньо авторизованого електронного майданчика проведення аудиту системи внутрішнього контролю та інформаційної безпеки відповідними сертифікованими спеціалістами, результати якого розглядаються на засіданні комісії для прийняття відповідного рішення;

  • відключення авторизованого/попередньо авторизованого електронного майданчика від електронної системи закупівель.

Вимоги до КСЗІ

Адміністратором було визначено загальні вимоги до комплексної системи захисту інформації в електронній системі закупівель з урахуванням вимог законодавства у сфері захисту інформації:

  • КСЗІ має пройти державну експертизу відповідно до чинного законодавства України, в рамках якої дозволяється, зокрема, провести експертизу засобів ТЗІ за відсутності відповідних експертних висновків.

  • До складу КСЗІ повинні входити апаратні та програмні засоби захисту від НСД, а також організаційні заходи, спрямовані на керування засобами захисту, регламентацію дій користувачів і контроль за цими діями.

  • КСЗІ повинна забезпечувати:

-          реалізацію заданої політики безпеки інформації;

-          забезпечення конфіденційності, цілісності та доступності інформації під час експлуатації інформаційно-телекомунікаційної системи Майданчика (ІТС);

-          забезпечення розмежування доступу користувачів ІТС до функцій ІТС та об’єктів, що містять інформацію, яка підлягає захисту, відповідно до прийнятої політики безпеки;

-          забезпечення конфіденційності, цілісності та доступності інформації, яка обробляється в ІТС;

-          забезпечення реєстрації дій користувачів ІТС по відношенню до функцій ІТС та об’єктів, що містять інформацію, яка підлягає захисту;

-          забезпечення захисту інформації від внесення в ІТС шкідливого програмного коду (вірусів, троянських програм та ін.);

-          захист від мережевих атак;

-          захисту інформації, яка обробляється в ІТС, при її передачі через незахищене середовище;

-          блокування несанкціонованих дій з інформацією, що потребує захисту, та іншими ресурсами ІТС, локалізації цих дій та ліквідації їх наслідків;

-          забезпечення доступності інформації та функцій ІТС для її користувачів, а також відмовостійкості компонентів ІТС;

-          забезпечення спостережності за діями користувачів та персоналу, реєстрації, збору, зберігання, обробки даних про події, які мають відношення до безпеки інформації, сповіщення адміністратора безпеки про такі події;

-          підтримання цілісності критичних ресурсів системи захисту, середовища виконання прикладних програм та інформації в ІТС, що потребує захисту;

-          забезпечення управління засобами КСЗІ та контролю за її функціонуванням.

  • Нейтралізація загроз несанкціонованого доступу до інформації повинна забезпечуватися шляхом реалізації політик функціональних послуг (відповідно до НД ТЗІ 2.5-004-99), які визначаються не менш ніж наступним профілем:

{КА-2, КВ-1, ЦА-1, ЦВ-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НИ-1, НИ-2, НК-1, НО-2, НЦ-1, НТ-1, НВ-1, НА-2, НП-2}.

Опис функціональних послуг деталізується під час створення ТЗ на КСЗІ Майданчика та погодження його з Адміністратором.

Побудова комплексної системи захисту інформації електронної системи закупівель передбачає такі етапи

Етап 1
Етап 1

Розроблення технічного завдання на створення КСЗІ

Етап 2
Етап 2

Погодження його з адміністратором електронної системи закупівель

Етап 3
Етап 3

Погодження технічного завдання з ДССЗЗІ

Етап 4
Етап 4

Підготовка технічного проекту та документації для проходження експертизи

Етап 5
Етап 5

Подання заявки на експертизу і проходження експертизи

Етап 6
Етап 6

Отримання атестату відповідності КСЗІ 

Електронні майданчики, які отримали атестат відповідності КСЗІ

  • “PlayTender”,
  • IZI.TRADE,
  • zakupki.prom.ua,
  • Держзакупівлі.Онлайн, 
  • “Zakupki UA”, 
  • "Zakupivli24", 
  • SmartTender.biz,
  •  "Е-tender", 
  • “ТЕНДЕР-online”, 
  • NEWTEND, 
  • Українська універсальна біржа, 
  • “GOV.AUCTION”, 
  • Public Bid