Інформаційна безпека

Електронна система закупівель Prozorro є відкритим веб-порталом у сфері публічних закупівель, яка забезпечує захист інформації щодо публічних закупівель та захист конфіденційної інформації від несанкціонованого доступу. Захист забезпечується неможливістю витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації. Крім того, Система знаходиться в хмарному ЦОДі "ДЕ НОВО", який створений для державних закладів та підприємств, і має Атестат відповідності комплексної системи захисту інформації (КСЗІ), виданий Державною службою спеціального зв’язку та захисту інформації України (ДССЗЗІ)

Наразі здійснюються роботи зі створення КСЗІ в інформаційно-телекомунікаційній системі Prozorro згідно з вимогами законодавства у сфері захисту інформації.

15 лютого 2019р. інформаційно-телекомунікаційна система Prozorro отримала атестат відповідності комплексної системи захисту інформації (КСЗІ) нормативним вимогам у цій сфері. 

Комплексна система захисту інформації

В електронній системі закупівель повинна бути створена комплексна система захисту інформації з підтвердженою відповідністю згідно із Законом України “Про захист інформації в інформаційно-телекомунікаційних системах”.

Вимоги із захисту інформації та кібербезпеки в електронній системі закупівель визначаються адміністратором з урахуванням вимог законодавства у сфері захисту інформації та кібербезпеки, який інформує про них Уповноважений орган.

Підключення електронного майданчика до електронної системи закупівель здійснюється адміністратором після виконання вимог, визначених в документації на комплексну систему захисту інформації електронної системи закупівель.” (пункт 3 Порядку функціонування електронної системи закупівель та проведення авторизації електронних майданчиків, затвердженого постановою Кабінету Міністрів України від 24 лютого 2016р. № 166).

Засоби криптографічного захисту інформації, у тому числі засоби кваліфікованого електронного підпису, що використовуються в роботі авторизованого/попередньо авторизованого електронного майданчика, повинні мати чинні експертні висновки або сертифікати відповідності за результатами державної експертизи у сфері криптографічного захисту інформації.

 Відповідно до вимог встановлених пунктом 3 Порядку функціонування електронної системи закупівель та проведення авторизації електронних майданчиків, затвердженого Постановою Кабінету Міністрів України від 24 лютого 2016 р. № 166, оператор електронного майданчика повинен надавати звіт з інформаційної безпеки в установленому адміністратором форматі та визначеною періодичністю або у разі виникнення інцидентів, пов’язаних з інформаційною безпекою.

У разі виникнення інцидентів, пов’язаних з інформаційною безпекою, адміністратор має надати відповідний звіт на розгляд комісії щодо розгляду питань діяльності електронної системи закупівель, яка може прийняти одне з таких рішень:

  • усунення оператором авторизованого/попередньо авторизованого електронного майданчика виявлених порушень у строк, визначений комісією, але не більше ніж 60 календарних днів. У цьому разі для підтвердження факту усунення порушень комісія може вимагати від оператора авторизованого/попередньо авторизованого електронного майданчика проведення аудиту системи внутрішнього контролю та інформаційної безпеки відповідними сертифікованими спеціалістами, результати якого розглядаються на засіданні комісії для прийняття відповідного рішення;

  • відключення авторизованого/попередньо авторизованого електронного майданчика від електронної системи закупівель.

Вимоги до КСЗІ, інформаційної безпеки та кібербезпеки ЕСЗ

Адміністратором було визначено вимоги до комплексної системи захисту, вимоги із захисту інформації та кібербезпеки електронної системи закупівель з урахуванням вимог законодавства у сфері захисту інформації:

  • Попередньо авторизовані/авторизовані електронні майданчики (далі - Майданчики), підключені до електронної системи закупівель (далі - Система), повинні мати комплексну систему захисту інформації (далі КСЗІ) з підтвердженою відповідністю згідно із Законом України “Про захист інформації в інформаційно-телекомунікаційних системах”.
  • Оператор майданчика створює комплексну систему захисту інформації своєї інформаційно-телекомунікаційної системи (далі - ІТС) самостійно за умови погодження технічного завдання на її створення з Адміністратором та Держспецзв’язку та отримує атестат відповідності комплексної системи захисту інформації за результатами державної експертизи у сфері технічного захисту інформації.

  • Підключення електронного майданчика як авторизованого до Системи здійснюється Адміністратором після виконання вимог, визначених в документації на комплексну систему захисту інформації електронної системи закупівель, за умови побудови на такому електронному майданчику комплексної системи захисту інформації з підтвердженою відповідністю та за умови виконання наступних вимог: комплексна система захисту інформації на ІТС Майданчика повинна реалізовувати політики функціональних послуг (відповідно до НД ТЗІ 2.5-004-99), які визначаються не менш ніж наступним профілем: {КА-2, КВ-1, ЦА-1, ЦВ-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НИ-1, НИ-2, НК-1, НО-2, НЦ-1, НТ-1, НВ-1, НА-2, НП-2}.підключення відбувається відповідно до документу Порядок підключення майданчиків.

  • Комплексна система захисту інформації ІТС Майданчика повинна забезпечувати:

    • реалізацію заданої політики безпеки інформації; 

    • забезпечення конфіденційності, цілісності та доступності інформації під час експлуатації ІТС Майданчика;

    • забезпечення розмежування доступу користувачів ІТС до функцій ІТС та об’єктів, що містять інформацію, яка підлягає захисту, відповідно до прийнятої політики безпеки; 

    • забезпечення конфіденційності, цілісності та доступності інформації, яка обробляється в ІТС; 

    • забезпечення реєстрації дій користувачів ІТС по відношенню до функцій ІТС та об’єктів, що містять інформацію, яка підлягає захисту; 

    • перевірку на наявність шкідливого програмного коду всіх вкладень, що завантажуються користувачами в ІТС та у разі ураження вкладень шкідливим програмним кодом, блокувати завантаження для запобігання використанню ІТС у протиправних і злочинних цілях;

    • блокування завантаження виконуваних файлів та скриптів до електронної системи закупівель;

    • захист від мережевих атак;

    • захисту інформації, яка обробляється в ІТС, при її передачі через незахищене середовище;

    • блокування несанкціонованих дій з інформацією, що потребує захисту, та іншими ресурсами ІТС, локалізації цих дій та ліквідації їх наслідків;

    • забезпечення доступності інформації та функцій ІТС для її користувачів, а також відмовостійкості компонентів ІТС;

    • забезпечення спостережності за діями користувачів та персоналу, реєстрації, збору, зберігання, обробки даних про події, які мають відношення до безпеки інформації, сповіщення адміністратора безпеки про такі події; 

    • підтримання цілісності критичних ресурсів системи захисту, середовища виконання прикладних програм та інформації в ІТС, що потребує захисту;

    • забезпечення управління засобами КСЗІ та контролю за її функціонуванням.

  • Майданчики, підключені до електронної системи закупівель, зобов’язані раз на рік проводити тест на проникнення (Penetration test) із залученням досвідчених фахівців, що мають компетенції підтверджені відповідними сертифікатами (CEH (Certified Ethical Hacker) та OSCP (Offensive Security Certified Professional)) і досвідом виконання аналогічних робіт не менш ніж 2 роки, за результатами якого надати розгорнутий звіт адміністратору електронної системи протягом одного місяця після завершення календарного року, або на постійній основі приймати участь у заходах, які реалізуються адміністратором електронної системи, що спрямовані на пошук вразливостей та посилення захисту ІТС PROZORRO, зокрема, але не обмежуючись, в проекті з пошуку вразливостей “Bug Bounty”.

  • Оператори електронних майданчиків зобов’язані:

    • у разі виникнення на Майданчику інцидентів, пов’язаних з інформаційною безпекою, надіслати звіт на електронну пошту Адміністратора disclosure@prozorro.ua  протягом трьох годин з моменту виявлення інциденту, що повинен містити: назву Майданчика, дату і час виникнення/виявлення інциденту, опис інциденту (за можливістю розгорнутий), порушення властивості інформації (цілісність, конфіденційність, доступність), втручання зовнішнє чи внутрішнє, можливі причини, критичність, місце (модуль системи) виникнення, вжиті заходи та іншу важливу інформацію. Після надання вказаного попереднього звіту Майданчик повинен провести детальне розслідування інциденту, підготувати розгорнутий звіт та надати його Адміністратору;

    • у разі виникнення на Майданчику інциденту, пов’язаного з інформаційною безпекою, за рішенням комісії щодо розгляду питань діяльності електронної системи закупівель проводити аудит системи внутрішнього контролю та інформаційної безпеки відповідними сертифікованими спеціалістами, результати якого надавати Адміністратору для аналізу та надання на комісію для прийняття відповідного рішення;

    • проводити сканування свого Майданчика на наявність вразливостей один раз на півроку та надавати звіт Адміністратору протягом п’яти календарних днів, що настають за останнім днем звітного періоду. Звітним періодом є 6 місяців. Звіт повинен містити область дії та цілі сканування, узагальнену інформацію для керівництва, перелік необхідних дій для усунення вразливостей, детальну інформацію для технічних спеціалістів. За результатами сканування Майданчику необхідно скласти план щодо усунення виявлених вразливостей та надати його Адміністратору.

Побудова комплексної системи захисту інформації електронної системи закупівель передбачає такі етапи

Етап 1
Етап 1

Розроблення технічного завдання на створення КСЗІ

Етап 2
Етап 2

Погодження його з адміністратором електронної системи закупівель

Етап 3
Етап 3

Погодження технічного завдання з ДССЗЗІ

Етап 4
Етап 4

Підготовка технічного проекту та документації для проходження експертизи

Етап 5
Етап 5

Подання заявки на експертизу і проходження експертизи

Етап 6
Етап 6

Отримання атестату відповідності КСЗІ 

Електронні майданчики, які отримали атестат відповідності КСЗІ

  • “PlayTender”,
  • IZI.TRADE,
  • zakupki.prom.ua,
  • Держзакупівлі.Онлайн, 
  • “Zakupki UA”, 
  • "Zakupivli24", 
  • SmartTender.biz,
  •  "Е-tender", 
  • “ТЕНДЕР-online”, 
  • NEWTEND, 
  • Українська універсальна біржа, 
  • “GOV.AUCTION”, 
  • Public Bid