6-step IT Compliance Audit checklist

2025-10-18 21:35
bga68comp: (Default)
defa3_cyber_security_logo





Перестаньте ставитися до відповідності в ІТ як до звичайного пункту. Почніть сприймати це як конкурентну перевагу. Сильна позиція щодо дотримання вимог не лише задовольняє регулюючі органи; Це зміцнює довіру клієнтів, прискорює цикли продажів і зміцнює вашу стійкість до загроз.

Незалежно від того, чи це SOC 2, ISO 27001 або HIPAA, структурований процес аудиту має важливе значення для успіху. Новий посібник із 6 кроків показує, як перейти від реактивного дотримання вимог до проактивної безпеки. Дізнайтеся, як перетворити аудит із необхідної рутинної роботи на потужний інструмент для бізнесу.

1760329799451

 © https://www.linkedin.com/feed/update/urn:li:activity:7383358324978790400/


Tags:
  • Add Memory
  • Share This Entry

Пропозиції Microsoft щодо відповідності вимогам

2025-09-16 23:27
bga68comp: (Default)

У Майкрософт є цікавий ресурс для тих, хто займається побудовою процесів інформаційної безпеки.
Він знаходиться за адресою:
Microsoft compliance offerings:

Пропозиції Microsoft щодо відповідності вимогам


Screenshot 2025-09-16 234034
Read more... )
Наприклад, можна офіційно і без обмежень багато інформації про ШІ отримати тут:

https://learn.microsoft.com/uk-ua/compliance/regulatory/offering-iso-42001

Огляд ISO/IEC 42001:2023


Read more... )


Tags:
  • Add Memory
  • Share This Entry

Основні категорії діаграм (за TOGAF + ISO 42010)

2025-07-28 03:02
bga68comp: (Default)

Коли описують архітектуру інформаційної системи відповідно до TOGAF (The Open Group Architecture Framework) або ISO/IEC/IEEE 42010 (Системна та програмна інженерія — Архітектурний опис), використовують набір структурованих діаграм, які відображають різні аспекти системи.

Ці діаграми не є строго фіксованими, але часто стандартизуються в межах архітектурних поглядів (views) та представлень (viewpoints).

🔸 Основні категорії діаграм (за TOGAF + ISO 42010)

Категорія діаграм Назва погляду (view) Назва типових діаграм Призначення
Бізнес-архітектура Business Architecture View ▫️ Business Process Diagram (BPD)
▫️ Organizational Chart
▫️ Actor-Role diagrams		 Моделює бізнес-функції, процеси, ролі та організаційну структуру
Інформаційна/дані Data Architecture View ▫️ Data Entity Relationship Diagram (ERD)
▫️ Class Diagram (UML)
▫️ Data Flow Diagram (DFD)		 Відображає структуру даних, об’єкти, зв’язки, потоки даних
Системна/аплікаційна Application Architecture View ▫️ Application Communication Diagram
▫️ Component Diagram
▫️ Application Interaction Matrix		 Відображає аплікації, сервіси, їх взаємодію, залежності
Технологічна/інфраструктурна Technology Architecture View ▫️ Network Diagram
▫️ Infrastructure Landscape
▫️ Deployment Diagram
▫️ Platform Diagram		 Показує хостинг, сервери, мережеву структуру, розгортання
Безпекова архітектура Security Architecture View ▫️ Trust Boundary Diagram
▫️ Security Zones
▫️ Access Control Model ▫️ Threat Modeling Diagram		 Відображає зони довіри, політики доступу, загрози, контролі
Архітектура рішень Solution Architecture View ▫️ Solution Overview Diagram
▫️ Use Case Diagram
▫️ Sequence Diagram		 Описує рішення, інтеграції, сценарії використання
Мотиваційна Motivation View ▫️ Goal Diagram
▫️ Requirements Diagram (SysML)
▫️ Stakeholder Map		 Визначає цілі, мотивацію, потреби та вимоги зацікавлених сторін
Операційна Operational View ▫️ Workflow Diagrams
▫️ Activity Diagram
▫️ Event-Driven Process Chains		 Моделює робочі потоки, сценарії, автоматизацію
Архітектура безперервності / відновлення Continuity / Disaster View ▫️ DR/BCP Architecture Diagram
▫️ Backup & Failover Plan		 Відображає резервування, відновлення, відмовостійкість


Див.також.:
Доповнення до опису архітектури за посиланнями:
Приклад опису архітектури системи згідно TOGAF
Побудова віртуальної інфраструктури на базі Microsoft Azure
Інформаційна архітектура ІТ-системи компанії. Приклад
Безпека архітектури ІТ-системи на базі Microsoft Azure. Мапінг компонентів на NIST SP 800-53 Rev. 5



Tags:
  • Add Memory
  • Share This Entry

Безпека архітектури ІТ-системи. Заходи захисту ISO/IEC 27001:2013 → 2022

2025-06-29 17:57
bga68comp: (Default)

Щодо шаблонів рівнів архітектури ІТ-систем.

Доповнення до опису архітектури за посиланнями:
Приклад опису архітектури системи згідно TOGAF
Побудова віртуальної інфраструктури на базі Microsoft Azure
Інформаційна архітектура ІТ-системи компанії. Приклад
Безпека архітектури ІТ-системи на базі Microsoft Azure. Мапінг компонентів на NIST SP 800-53 Rev. 5
Основні категорії діаграм (за TOGAF + ISO 42010)

Відповідність заходів захисту ISO/IEC 27001:20132022

Компонент архітектури прикладу Заходи захисту ISO/IEC 27001:2013 Заходи захисту ISO/IEC 27001:2022
1 Віртуальна мережа (VNet) A.13.1, A.9.1 A.8.20, A.8.21, A.8.22, A.5.15, A.5.18
2 Шлюз за замовчуванням A.13.1 A.8.20, A.8.21, A.8.22
3 DNS-сервер A.12.1, A.14.1 A.8.6, A.8.9, A.8.25, A.8.27
4 Контролер домену (DC1, DC2) A.9.2 A.5.16, A.5.17
5 Файловий сервер (FS1) A.8.2, A.9.1 A.5.9, A.5.10, A.5.15, A.5.18
6 Термінальний сервер (DevS1/RDS) A.13.1, A.9.4 A.8.20, A.8.21, A.8.22, A.5.4
7 Веб-сервер (WS1 – внутрішній) A.14.2, A.13.1 A.8.26, A.8.28, A.8.20, A.8.21, A.8.22
8 Веб-сервер (WS2 – зовнішній) A.14.1, A.13.1 A.8.25, A.8.27, A.8.20, A.8.21, A.8.22
9 Групи безпеки (NSG) A.13.1, A.12.4 A.8.20, A.8.21, A.8.22, A.8.15, A.8.16
10 Azure Backup A.12.3 A.8.13
11 Моніторинг і логування (Azure Monitor, Log Analytics) A.12.4 A.8.15, A.8.16
12 Балансування навантаження (Azure Load Balancer, App Gateway) A.13.1, A.14.1 A.8.20, A.8.21, A.8.22, A.8.25, A.8.27

Пояснення ключових нових заходів захисту ISO/IEC 27001:2022:

  • A.8.20–A.8.22 – Безпека мереж, сервісів і сегментація
  • A.8.25–A.8.28 – Безпека життєвого циклу розробки, архітектура і кодування
  • A.5.15–A.5.18 – Контроль доступу, управління ідентичностями
  • A.8.6 / A.8.9 – Потужність систем і конфігурації
  • A.8.13 – Резервне копіювання
  • A.8.15 / A.8.16 – Журналювання та моніторинг
  • A.5.4 – Контроль доступу до ІТ-систем


Звісно, кожен архітектор безпеки може сказати, що використовував би трохи інші заходи захисту. Для цього можна посилатися на Annex B (informative) Correspondence of ISO/IEC 27002:2022 with ISO/IEC 27002:2013.
  Table B.1 — Correspondence between controls in ISO/IEC 27002:2022 and controls in ISO/IEC 27002:2013
  Table B.2 — Correspondence between controls in ISO/IEC 27002:2013 and controls in ISO/IEC 27002:2022


Tags:
  • Add Memory
  • Share This Entry

Безпека архітектури ІТ-системи на базі Microsoft Azure

2025-06-29 16:30
bga68comp: (Default)

Щодо шаблонів рівнів архітектури ІТ-систем.

Доповнення до опису архітектури за посиланнями:
Приклад опису архітектури системи згідно TOGAF
Побудова віртуальної інфраструктури на базі Microsoft Azure
Інформаційна архітектура ІТ-системи компанії. Приклад

Відповідність між компонентами, заходами захисту ISO/IEC 27001:2022 та відповідними родинами заходів захисту NIST SP 800-53 Rev. 5.

Мапінг компонентів на NIST SP 800-53 Rev. 5


КомпонентISO/IEC 27001:2022NIST SP 800-53 Rev. 5
1Віртуальна мережа (VNet)A.8.20, A.8.21, A.8.22, A.5.15, A.5.18AC-4 (Information Flow Enforcement), SC-7 (Boundary Protection), AC-2 (Account Management), AC-6 (Least Privilege)
2Шлюз за замовчуваннямA.8.20, A.8.21, A.8.22SC-7, SC-5 (Denial-of-Service Protection)
3DNS-серверA.8.6, A.8.9, A.8.25, A.8.27CM-2 (Baseline Config), SI-2 (Flaw Remediation), SA-3 (System Development Process), SA-8 (Security Engineering)
4Контролер домену (DC1, DC2)A.5.16, A.5.17IA-2 (User Identification & Authentication), IA-5 (Authenticator Management)
5Файловий сервер (FS1)A.5.9, A.5.10, A.5.15, A.5.18AC-3 (Access Enforcement), MP-5 (Media Transport Protection), CM-8 (Information System Component Inventory)
6Термінальний сервер (DevS1/RDS)A.8.20, A.8.21, A.8.22, A.5.4AC-17 (Remote Access), AC-19 (Access Control for Mobile Devices), SC-12 (Cryptographic Key Establishment)
7Веб-сервер (WS1 – внутрішній)A.8.26, A.8.28, A.8.20, A.8.21, A.8.22SA-11 (Developer Security Testing), RA-5 (Vulnerability Scanning), SC-7, SI-10 (Information Input Validation)
8Веб-сервер (WS2 – зовнішній)A.8.25, A.8.27, A.8.20, A.8.21, A.8.22SA-3, SA-8, CA-3 (System Interconnection), SI-10, SC-26 (Public Key Infrastructure Certificates)
9Групи безпеки (NSG)A.8.20, A.8.21, A.8.22, A.8.15, A.8.16AC-4, SC-7, AU-6 (Audit Review), AU-12 (Audit Generation)
10Azure BackupA.8.13CP-9 (Information System Backup), CP-10 (Recovery and Reconstitution)
11Моніторинг і логування (Azure Monitor, Log Analytics)A.8.15, A.8.16AU-2 (Audit Events), AU-6, AU-12, IR-5 (Incident Monitoring)
12Балансування навантаження (Azure Load Balancer, App Gateway)A.8.20, A.8.21, A.8.22, A.8.25, A.8.27SC-5, SC-7, SA-8, AC-17, CA-3

Додатково:
Коментарі до основних родин заходів захисту NIST
https://bga68comp.dreamwidth.org/804396.html


Tags:
  • Add Memory
  • Share This Entry

Profile

bga68comp: (Default)
bga68comp

December 2025

S M T W T F S
  12 3 456
7891011 1213
14151617181920
21222324252627
28293031   

Syndicate

RSS Atom

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated 2026-01-03 22:05
Powered by Dreamwidth Studios