Інформаційна безпека

Електронна система закупівель Prozorro є відкритим веб-порталом у сфері публічних закупівель, яка забезпечує захист інформації щодо публічних закупівель та захист конфіденційної інформації від несанкціонованого доступу. Захист забезпечується неможливістю витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації. Крім того, Система знаходиться в хмарному ЦОДі "ДЕ НОВО", який створений для державних закладів та підприємств, і має Атестат відповідності комплексної системи захисту інформації (КСЗІ), виданий Державною службою спеціального зв’язку та захисту інформації України (ДССЗЗІ)

Наразі здійснюються роботи зі створення КСЗІ в інформаційно-телекомунікаційній системі Prozorro згідно з вимогами законодавства у сфері захисту інформації.

Побудова комплексної системи захисту інформації операторами електронних майданчиків передбачає такі етапи

Етап 1
Етап 1

Розроблення технічного завдання на створення КСЗІ

Етап 2
Етап 2

Погодження його з адміністратором електронної системи закупівель

Етап 3
Етап 3

Погодження технічного завдання з ДССЗЗІ

Етап 4
Етап 4

Підготовка технічного проекту та документації для проходження експертизи

Етап 5
Етап 5

Подання заявки на експертизу і проходження експертизи

Адміністратором постійно здійснюється контроль щодо технічної реалізації КСЗІ на електронних майданчиках.
За результатами останніх зібраних даних попередньо авторизовані електронні майданчики наразі перебувають на таких етапах:

1

Про Закупівлі, "Е-tender", NEWTEND, ПриватМаркет, Українська універсальна біржа, TENDERMASTER, АКЦЕПТ, OPEN TENDER, “UPETEM”, "Brizol.net", “e.Trade”, “25/8.АУКЦІОН”, “GOV.AUCTION”, “Твій Тендер”, "Aladdin Government", APS Market

2

3

Public Bid, zakupki.prom.ua

4

SmartTender.biz, “ТЕНДЕР-online”

5

Держзакупівлі.Онлайн, “Zakupki UA”

Захист інформації в системі

Адміністратором електронної системи закупівель створюються належні умови для захисту інформації в системі.

“Належним захистом інформації в системі електронних закупівель вважається захист у системі хмарних обчислень, що підтверджується наявністю дійсного сертифіката, який встановлює відповідність системи менеджменту інформаційною безпекою, що застосовується при обробці інформації в системі хмарних обчислень, вимогам стандарту ISO/IEC 27001 або ДСТУ ISO/IEC 27001, або інших стандартів, якими їх замінено, виданого вітчизняним чи іноземним органом чи організацією з оцінки відповідності, акредитованим національним органом України з акредитації або іноземним органом з акредитації, який є стороною багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації, відповідно до стандарту ISO/IEC 17021, або ДСТУ ISO/IEC 17021, або інших стандартів, якими їх замінено.”   (абзац 11 частини 3 статті 12 Закону України “Про публічні закупівлі”)

Стандартами ISO/IEC 27001 та ДСТУ ISO/IEC 27001 передбачається відповідність вимогам національного законодавства, тому станом на сьогоднішній день для приведення системи публічних закупівель відповідно до законодавства з питань захисту інформації в інформаційно-телекомунікаційних системах, в першу чергу, проводяться роботи щодо створення комплексної системи захисту інформації електронної системи публічних закупівель. Так, зокрема, проведено роботи з міграції ІТС “Prozorro” із серверів платформи Amazon web-services до дата-центру, розташованого на території України згідно із Технічним завданням на створення комплексної системи захисту інформації, погодженого Адміністрацією Держспецзв’язку.

Враховуючи масштабність робіт та можливості українського дата-центру, наразі також проводиться робота з оновлення технічного завдання на створення комплексної системи захисту інформації ІТС “Prozorro”.

Після узгодження оновленого технічного завдання Адміністрацією Держспецзв’язку та підготовки документів разом з технічно-організаційними заходами буде подано заяву на проведення експертизи комплексної системи захисту інформації ІТС “Prozorro”, за результатами якої планується отримання експертного висновку та атестату відповідності створення КСЗІ, що видається ДССЗЗІ України в установленому законодавством порядку.

Також ДП "ПРОЗОРРО", як адміністратором електронної системи закупівель, з метою уникнення надзвичайних ситуацій заплановано побудову резервного ЦОД та розробку регламенту резервування системи.

Відповідно до вимог встановлених пунктом 10 Порядку функціонування електронної системи закупівель та проведення авторизації електронних майданчиків, затвердженого Постановою Кабінету Міністрів України від 24 лютого 2016 р. № 166, оператор авторизованого електронного майданчика повинен надавати звіт з інформаційної безпеки в установленому адміністратором форматі та визначеною періодичністю або у разі виникнення інцидентів, пов’язаних з інформаційною безпекою.

У разі виникнення інцидентів, пов’язаних з інформаційною безпекою, адміністратор протягом одного робочого дня подає відповідний звіт на розгляд комісії. Комісія протягом п’яти робочих днів розглядає звіт та приймає одне з таких рішень:

  • усунення оператором авторизованого електронного майданчика виявлених порушень у строк, визначений комісією. У цьому разі для підтвердження факту усунення порушень комісія може вимагати від оператора авторизованого електронного майданчика проведення аудиту системи внутрішнього контролю та інформаційної безпеки відповідними сертифікованими спеціалістами, результати якого розглядаються на засіданні комісії та приймаються відповідні подальші рішення;
  • відключення авторизованого електронного майданчика від електронної системи закупівель.


За час існування та функціонування електронної системи не було зафіксовано фактів простою та ураження вірусними атаками.

Зокрема в червні 2017 більшість держаних установ потерпала від вірусної атаки “NotPetya”, тоді як ані сама система Prozorro, ані ДП “ПРОЗОРРО” не постраждали. Вірус не потрапив до системи, тендери і аукціони проводились в штатному режимі, цілісність даних було збережено.


Комплексна система захисту інформації

“В електронній системі закупівель повинна бути створена комплексна система захисту інформації з підтвердженою відповідністю згідно з вимогами законодавства у сфері захисту інформації. 
Вимоги щодо захисту інформації в електронній системі закупівель визначає адміністратор з урахуванням вимог законодавства у сфері захисту інформації.
Підключення електронного майданчика до електронної системи закупівель здійснюється адміністратором після виконання вимог, визначених в документації на комплексну систему захисту інформації електронної системи закупівель.”   (пункт 10 Порядку функціонування електронної системи закупівель та проведення авторизації електронних майданчиків, затвердженого постановою Кабінету Міністрів України від 24 лютого 2016р. № 166)

Адміністратором було визначено загальні вимоги до комплексної системи захисту інформації в електронній системі закупівель з урахуванням вимог законодавства у сфері захисту інформації.

  • КСЗІ має пройти державну експертизу відповідно до чинного законодавства України, в рамках якої дозволяється, зокрема, провести експертизу засобів ТЗІ за відсутності відповідних експертних висновків.
  • До складу КСЗІ повинні входити апаратні та програмні засоби захисту від НСД, а також організаційні заходи, спрямовані на керування засобами захисту, регламентацію дій користувачів і контроль за цими діями.
  • КСЗІ повинна забезпечувати:

-          реалізацію заданої політики безпеки інформації;

-          забезпечення конфіденційності, цілісності та доступності інформації під час експлуатації інформаційно-телекомунікаційної системи Майданчика (ІТС);

-          забезпечення розмежування доступу користувачів ІТС до функцій ІТС та об’єктів, що містять інформацію, яка підлягає захисту, відповідно до прийнятої політики безпеки;

-          забезпечення конфіденційності, цілісності та доступності інформації, яка обробляється в ІТС;

-          забезпечення реєстрації дій користувачів ІТС по відношенню до функцій ІТС та об’єктів, що містять інформацію, яка підлягає захисту;

-          забезпечення захисту інформації від внесення в ІТС шкідливого програмного коду (вірусів, троянських програм та ін.);

-          захист від мережевих атак;

-          захисту інформації, яка обробляється в ІТС, при її передачі через незахищене середовище;

-          блокування несанкціонованих дій з інформацією, що потребує захисту, та іншими ресурсами ІТС, локалізації цих дій та ліквідації їх наслідків;

-          забезпечення доступності інформації та функцій ІТС для її користувачів, а також відмовостійкості компонентів ІТС;

-          забезпечення спостережності за діями користувачів та персоналу, реєстрації, збору, зберігання, обробки даних про події, які мають відношення до безпеки інформації, сповіщення адміністратора безпеки про такі події;

-          підтримання цілісності критичних ресурсів системи захисту, середовища виконання прикладних програм та інформації в ІТС, що потребує захисту;

-          забезпечення управління засобами КСЗІ та контролю за її функціонуванням.

  • Нейтралізація загроз несанкціонованого доступу до інформації повинна забезпечуватися шляхом реалізації політик функціональних послуг (відповідно до НД ТЗІ 2.5-004-99), які визначаються не менш ніж наступним профілем:

{КА-2, КВ-1, ЦА-1, ЦВ-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НИ-1, НИ-2, НК-1, НО-2, НЦ-1, НТ-1, НВ-1, НА-2, НП-2}.

Опис функціональних послуг деталізується під час створення ТЗ на КСЗІ Майданчика та погодження його з Адміністратором.

На виконання рішення комісії із забезпечення здійснення авторизації електронних майданчиків, підготовки рішень щодо їх підключення/відключення до/від електронної системи закупівель, усунення технічних збоїв в електронній системі закупівель за результатами засідання від 26.04.2017р. (протокол № 34) ДП “ПРОЗОРРО”, адміністратором електронної системи закупівель, було здійснено аналіз стану захисту конфіденційної інформації електронними майданчиками в системі електронних закупівель в рамках підготовки до проведення сертифікації комплексної системи захисту інформації.

У тому числі було здійснено перевірку контакт-центрів, інцидент-менеджерів, третьої лінії підтримки щодо обмеження доступу до конфіденційної інформації до моменту її розкриття. За результатами аналізу порушень з боку авторизованих електронних майданчиків виявлено не було.

Технічні порушення та інциденти

Відповідно до п.28 Порядку функціонування електронної системи закупівель та проведення авторизації електронних майданчиків, затвердженого постановою Кабінету Міністрів України від 24 лютого 2016р. № 166, Адміністратор електронної системи закупівель реєструє та оприлюднює на веб-порталі Уповноваженого органу технічні порушення, пов’язані з авторизованими електронними майданчиками.

Технічні порушення в роботі системи електронних закупівель з боку майданчиків зафіксовані протягом 2016-2018рр.

Порушення цілісності даних, що полягає у непередачі до веб-порталу Уповноваженого органу або неприйманні від веб-порталу Уповноваженого органу документів (їх оновлення) або окремих файлів протягом години


Дата виникнення інциденту

Назва майданчику
Ідентифікатор закупівлі

Опис  інциденту
Дата розгляду Комісією
Результат
26.05.2016
E-tender
UA-2016-05-13-000278-b
несвоєчасне оновлення інформації на майданчику
27.05.2016
помилку оператором було відпрацьовано та усунено
23.06.2016
ЗАКУПКИ.ПРОМ.УА
-
збій синхронізації інформаційно-телекомунікаційної системи майданчика з Центральною базою даних.
Затримка у синхронізації з ЦБД тривала 50 хвилин. Як результат, 35 пропозицій не були відправлені у ЦБД до закінчення строку подання пропозицій. Для вирішення ситуації на майданчику були перезапущені всі процесси синхронізації

20.07.2016
помилку оператором було відпрацьовано та усунено
13.07.2016
E-tender
UA-2016-07-11- 000574-b
несвоєчасне оновлення інформації на майданчику
Звернення учасника торгів, розміщене на електронному майданчику не відображалося на
інших майданчиках і на веб-порталі Уповноваженого органу (prozorro.gov.ua) протягом
двох діб
20.07.2016
помилку оператором було відпрацьовано та усунено


Недоступність сервісу, що полягає у відсутності можливості у користувачів авторизованого електронного майданчика мати доступ до електронної системи закупівель через авторизований електронний майданчик, вчиняти будь-які дії і процедури протягом однієї години в робочий час

Дата виникнення інциденту

Назва майданчику
Опис  інциденту
Дата розгляду Комісією
Результат
03.05.2017 з 09:10 по 12:13
Держзакупівлі.онлайн
тимчасова недоступність сервісу авторизованого електронного майданчика
04.05.2017
працездатність майданчика було відновлено у повному обсязі та забезпечено безперебійне його функціонування
22.12.2017
TENDERMASTER
тимчасова недоступність сервісу для проведення на авторизованому електронному майданчику процедури енергосервісу у зв’язку негативними результатами додаткового тестування електронного майданчика щодо реалізації функціоналу закупівель енергосервісу
31.01.2018
електронним майданчиком було доопрацьовано функціонал закупівель енергосервісу та повторно пройдено тестування доопрацьованого функціоналу з позитивними результатами
22.01.2018 з 08:47 по 13:51
Про Закупівлі
тимчасова недоступність сервісу авторизованого електронного майданчика
31.01.2018
працездатність майданчика було відновлено у повному обсязі та забезпечено безперебійне його функціонування.


Технічний збій з вини авторизованого електронного майданчика у процесі проведення публічних закупівель через авторизований електронний майданчик, що унеможливлює проведення процедури закупівлі через авторизований електронний майданчик

Дата виникнення інциденту

Назва майданчику
Ідентифікатор закупівлі

Опис  інциденту
Дата розгляду Комісією
Результат
11.01.2018
Public Bid
UA-2017-12-28-000082-a
технічний збій з вини авторизованого електронного майданчика, а саме: численне дублювання пропозиції від учасника, що призвело до скасування замовником закупівлі
16.02.2018
оператором майданчика вжито заходів щодо недопущення в подальшому технічного збою.
17.01.2018
Public Bid
UA-2017-12-29-000019-с
технічний збій з вини авторизованого електронного майданчика, а саме: численне дублювання пропозиції від учасника, що призвело до скасування замовником закупівлі
16.02.2018
оператором майданчика вжито заходів щодо недопущення в подальшому технічного збою

Неправильна ідентифікація користувача під час реєстрації, що призводить до зриву процедури або істотно впливає на процедуру закупівлі

Дата виникнення інциденту

Назва майданчику
Ідентифікатор закупівлі

Опис  інциденту
Дата розгляду Комісією
Результат
05.02.2018
“ПриватМаркет”
UA-2018-01-12-000103-а
технічний збій з вини авторизованого електронного майданчика, а саме: використання облікових даних тестового користувача в продуктивному режимі, у зв’язку з чим було подано дві тестові пропозиції, що призвело до спотворення результату закупівлі
16.02.2018
оператором авторизованого електронного майданчика вжито заходів щодо недопущення в подальшому такого технічного збою
14.02.2018
“ПриватМаркет”
UA-2018-02-03-000031-b
технічний збій з вини авторизованого електронного майданчика, а саме: використання облікових даних тестового користувача в продуктивному режимі, що призвело до оголошення тестової закупівлі
16.02.2018
оператором авторизованого електронного майданчика вжито заходів щодо недопущення в подальшому такого технічного збою

Правила взаємодії адміністратора системи та операторів у частині інформаційної безпеки

Правила взаємодії адміністратора системи та операторів у частині інформаційної безпеки, затверджені наказом МЕРТ від 31.03.2016 №571, які є частиною діючих договорів

Вимоги до інформаційної безпеки

1. Під час виконання цього Договору Сторони зобов’язуються дотримуватися вимог законодавства України у сфері технічного та криптографічного захисту інформації, Порядку та вимог, установлених у документації комплексної системи захисту інформації ЕСЗ.

2. Оператор зобов’язаний налаштовувати сервіси безпеки майданчика (ідентифікації та аутентифікації, управління доступом, протоколювання, шифрування тощо) відповідно до встановлених вимог та рекомендацій виробника обладнання або програмного забезпечення.

3. Сторони зобов’язані здійснювати всебічне сприяння державним (у тому числі судовим) органам, іншій Стороні та її представникам у разі проведення розслідувань справ з інформаційної безпеки.

4. Засоби криптографічного захисту інформації, у тому числі засоби електронного цифрового підпису, що використовуються в роботі майданчика, повинні мати чинні експертні висновки або сертифікати відповідності за результатами державної експертизи у сфері криптографічного захисту інформації.

5. Оператор майданчика повинен надавати звіт з інформаційної безпеки в установленому Адміністратором форматі з визначеною періодичністю або в разі виникнення інцидентів, пов’язаних з інформаційною безпекою.

6. У разі виникнення інцидентів, пов’язаних з інформаційною безпекою, Адміністратор подає відповідний звіт на розгляд комісії. За результатами розгляду комісії в разі відповідного рішення Уповноваженого органу Адміністратор може відключити майданчик від ЕСЗ.

Розділ 5 Договору між адміністратором та операторами майданчиків “Про надання доступу до бази даних та модуля аукціону”, затвердженого наказом МЕРТ від 31.03.2016 №571


Затверджені оновлені правила взаємодії адміністратора системи та операторів в частині інформаційної безпеки як частина примірного договору між адміністратором та операторами (наказ МЕРТ від 28.03.2018 №435)

Вимоги до інформаційної безпеки

1. Під час виконання цього договору Сторони зобов’язуються дотримуватися законодавства України у сфері технічного та криптографічного захисту інформації, Порядку та вимог, установлених у документації комплексної системи захисту інформації ЕСЗ. 

2. Оператор зобов’язаний налаштовувати сервіси безпеки майданчика (ідентифікації та автентифікації, управління доступом, протоколювання, шифрування тощо) відповідно до встановлених вимог та рекомендацій виробника обладнання або програмного забезпечення.

3. Сторони зобов’язані здійснювати всебічне сприяння державним органам, іншій Стороні та її представникам у разі проведення розслідувань справ з інформаційної безпеки.

4. Засоби криптографічного захисту інформації, у тому числі засоби електронного цифрового підпису, що використовуються в роботі майданчика, повинні мати чинні експертні висновки або сертифікати відповідності за результатами державної експертизи у сфері криптографічного захисту інформації.

5. Оператор зобов’язаний проводити внутрішні аудити інформаційної безпеки з метою оцінки відповідності процесів та процедур, заходів безпеки та стану інформаційних систем вимогам політик і правил інформаційної безпеки Оператора, законодавчим та договірним вимогам, а також рекомендаціям міжнародних стандартів. Результати аудиту повинні бути оформлені у вигляді звіту, що повинен містити інформацію про стан відповідності вищезазначеним вимогам, рекомендації та план усунення виявлених невідповідностей, а також ураховувати результати попередніх аудитів.

6. Оператор повинен провести вказаний аудит протягом шести місяців з моменту підписання цього договору та в подальшому не рідше ніж один раз на рік, за результатом якого надавати звіт, завірений підписами уповноважених осіб майданчика офіційним листом Адміністратору протягом п’яти календарних днів.

7. У разі виникнення на майданчику інцидентів, пов’язаних з інформаційною безпекою, Оператор повинен на електронну пошту Адміністратора протягом трьох годин з моменту виявлення інциденту надіслати звіт, що повинен містити: назву авторизованого електронного майданчика, дату і час виникнення/виявлення інциденту, опис інциденту (за можливістю розгорнутий), порушення властивості інформації (цілісність, конфіденційність, доступність), втручання зовнішнє чи внутрішнє, можливі причини, критичність, місце (модуль системи) виникнення, вжиті заходи та іншу важливу інформацію. Після надання вказаного попереднього звіту Оператор повинен провести детальне розслідування інциденту, підготувати розгорнутий звіт та надати його Адміністратору.

8. Оператор майданчика зобов’язаний проводити сканування (зовнішнє та внутрішнє) свого майданчика на наявність вразливостей один раз у квартал і надавати звіт Адміністратору протягом п’яти календарних днів, що настають за останнім днем звітного періоду. Звітним періодом є квартал. Звіт повинен містити область дії та цілі сканування, узагальнену інформацію для керівництва, перелік необхідних дій для усунення вразливостей, детальну інформацію для технічних спеціалістів. За результатами сканування Оператору необхідно скласти план щодо усунення виявлених вразливостей та надати його Адміністратору.

9. Адміністратор має право проводити зовнішнє сканування майданчиків на наявність вразливостей та перевіряти достовірність наданих звітів від майданчиків.

10. У разі виникнення інцидентів, пов’язаних з інформаційною безпекою, Адміністратор протягом одного робочого дня подає відповідний звіт на розгляд комісії. Комісія протягом п’яти робочих днів розглядає звіт та приймає одне з таких рішень:

  • усунення оператором авторизованого електронного майданчика виявлених порушень у строк, визначений комісією. У цьому разі для підтвердження факту усунення порушень комісія вимагає від Оператора проведення аудиту системи внутрішнього контролю та інформаційної безпеки відповідними сертифікованими спеціалістами, результати якого розглядаються на засіданні комісії та приймаються відповідні подальші рішення;
  • відключення майданчика від електронної системи закупівель.

Розділ 5 примірного договору між адміністратором та операторами майданчиків “Про надання доступу до бази даних та модуля аукціону”, затвердженого наказом МЕРТ від 28.03.2018 №435