Viewpoint (точка зору)

• Визначення: це "шаблон" або правило, яке пояснює як і для кого треба створювати архітектурне подання.
  
• Він відповідає на питання: які інтереси стейкхолдера ми показуємо, яку інформацію включаємо, якими засобами (діаграми, таблиці, текст) описуємо.
  
• Простими словами: viewpoint — це інструкція або рецепт для створення подання.
  

View (подання)

• Визначення: це конкретний результат застосування viewpoint до вашої системи.
  
• Тобто це вже готова діаграма, таблиця чи текст, що показує систему під певним кутом зору.
  
• Простими словами: view — це фото системи, зроблене за тим рецептом.
  

Приклад

1. Stakeholder (зацікавлена сторона)
   
   • CIO (Chief Information Officer, директор з ІТ)
     
   • Його concern (потреба): чи масштабована система і як забезпечено інтеграцію між додатками?
     
2. Viewpoint (точка зору на інтеграцію додатків)
   
   • Назва: Application Communication Viewpoint
     
   • Призначення: показати, як взаємодіють модулі та сервіси
     
   • Мова: UML Component Diagram або ArchiMate Application Collaboration
     
   • Яку інформацію включати: сервіси, API, протоколи, залежності
     
3. View (конкретне подання)
   
   • Діаграма з Azure AD, веб-додатком на Ubuntu, RDS MySQL, інтеграцією з O365.
     
   • Тут видно, що користувачі логіняться через Entra ID, доступ йде через API-шлюз, БД інтегрується через ORM-шар.
     
   • Це вже готова картинка, яку CIO може подивитися.
     

• Viewpoint = каже: "покажи архітектуру додатків через компоненти і протоколи"
  
• View = конкретна діаграма з вашим Entra ID, API Gateway і MySQL
  

✅ Опис інформаційної архітектури компанії
🖼️ Згідно з наданою схемою (RDS, Files, IIS Web Front/Back, AD DC1/DC2, VPN)

🧾 Інформаційна архітектура ІТ-системи компанії

🔹 1. Методологія

• TOGAF 9.2, ADM, фаза C (Data Architecture): побудова інформаційного рівня архітектури.
  
• ISO/IEC/IEEE 42010:2011: опис архітектури через зацікавлені сторони, погляди (views), моделі та відповідності.
  

🔹 2. Архітектурний контекст

• Усі серверні ресурси компанії розміщені в тенанті Azure.
  
• Користувачі підключаються до корпоративної мережі через захищені канали (VPN або Azure Bastion).
  
• Робоче середовище реалізоване через RDS-сервер (DevSRV).
  
• Веб-додатки розділені на фронт- (IIS Web Front) та бекенд (IIS Web Back).
  
• Ідентифікація та авторизація забезпечуються двома доменними контролерами (AD DC1, DC2).
  

🔹 3. Архітектурні погляди (Views)

3.1 📡 Deployment View

• DevSRV – RDS сервер для користувачів.
  
• Files – файловий сервер зі спільними каталогами.
  
• IIS Web Srv Front / Back – розподілення логіки веб-додатку.
  
• AD DC1 / DC2 – розподілена автентифікація, DNS, GPO.
  
• Всі ресурси ізольовані через NSG, Firewall, розміщені у VNet з Subnet-сегментацією.
  
• Користувачі підключаються через захищений шлюз (VPN/Bastion).
  

3.2 🧩 Data Architecture View

3.3 🔐 Access & Security View

• RBAC на основі груп у AD.
  
• GPO-політики: заборона USB, блокування локального диска, перенаправлення папок.
  
• Шифрування: RDP over TLS, SMB over TLS.
  
• Аудит: централізоване логування входів, дій на RDS.
  
• Двофакторна автентифікація (MFA) через Azure AD / Conditional Access.
  
• Firewall + NSG: розмежування Frontend, Backend, Infra.
  

3.4 🔄 Information Flow View

🔹 4. Зацікавлені сторони (Stakeholders)

🔹 5. Цільова модель та вдосконалення

🔹 6. Узгодженість із ISO/IEC/IEEE 42010

✅ На останок:

Інформаційна архітектура побудована згідно з TOGAF ADM (фаза C) та структурована за стандартом ISO 42010.
Враховано як функціональні, так і нефункціональні вимоги: доступність, безпека, масштабованість.
Усі основні компоненти (RDS, Files, AD, IIS) інтегровані через захищені канали й управляються централізовано.

1. Preliminary Phase
   
2. Phase A: Architecture Vision
   
3. Phase B: Business Architecture
   
4. Phase C: Information Systems Architectures
   
5. Phase D: Technology Architecture
   
6. Phase E: Opportunities and Solutions
   
7. Phase F: Migration Planning
   
8. Phase G: Implementation Governance
   
9. Phase H: Architecture Change Management
   
10. Requirements Management

Стандарти:

• ISO/IEC 27001 – визначає загальні вимоги до резервного копіювання (обов’язковий елемент СУІБ).
• ISO/IEC 27002 – деталізує, як ці вимоги мають бути реалізовані.
• ISO/IEC 27035 та 27040 – розкривають специфічні аспекти резервного копіювання в контексті управління інцидентами та безпеки зберігання.

1. ISO/IEC 27001:2022

• A.8.10 (Резервне копіювання) – встановлює обов'язкові вимоги до організації резервного копіювання критичних даних та їх регулярного тестування.
  Основні вимоги:
• Ідентифікація інформації, що підлягає резервному копіюванню.
• Встановлення регулярності створення резервних копій.
• Захист резервних копій від несанкціонованого доступу.
• Тестування можливості відновлення інформації.
• Дотримання строків зберігання резервних копій відповідно до політик.

1. ISO/IEC 17788:2014 — Інформаційні технології – Хмарні обчислення – Огляд та словник

2. ISO/IEC 17789:2014 — Архітектура хмарних обчислень

3. ISO/IEC 27017:2015 — Інформаційні технології – Методи забезпечення безпеки – Керівництво з безпеки для хмарних обчислень

4. ISO/IEC 27018:2019 — Захист персональних даних у хмарних обчисленнях

5. ISO/IEC 19086 — Угоди про рівень надання послуг (SLA) для хмарних обчислень

• Частина 1: Загальні концепції та структура — визначає загальні принципи створення та управління SLA.
• Частина 2: Метрики рівня обслуговування — надає інструкції щодо метрик, які використовуються для оцінки якості хмарних сервісів.
• Частина 3: Основні вимоги до SLA — описує основні вимоги, яким повинні відповідати SLA.
• Частина 4: Метрики безпеки — описує метрики, що пов'язані із забезпеченням безпеки в угодах SLA.

6. ISO/IEC 27001 — Система управління інформаційною безпекою (ISMS)

7. ISO/IEC 38500 — Корпоративне управління ІТ

1. Накази та рішення НБУ

• Постанова НБУ №95 "Про затвердження Правил організації захисту електронних банківських документів у банках України" (затверджена 18 березня 2019 р.): Ця постанова визначає основні вимоги до захисту електронних банківських документів, включаючи вимоги до зберігання, обробки та передачі таких документів.
• Постанова НБУ №75 "Про затвердження Правил електронної взаємодії банків у банківській системі України" (затверджена 12 квітня 2021 р.): Ця постанова встановлює вимоги до електронної взаємодії банків, включаючи питання захисту інформації та електронних документів.
• Постанова НБУ №43 "Про затвердження Положення про інформаційну безпеку в банківській системі України": Документ містить вимоги до забезпечення інформаційної безпеки в банківській системі, які необхідно враховувати під час впровадження електронного документообігу.

2. Стандарти інформаційної безпеки

• ISO/IEC 27001: Стандарт, що встановлює вимоги до системи управління інформаційною безпекою (ISMS). Впровадження цього стандарту допомагає забезпечити комплексний підхід до захисту інформації, що є критично важливим при впровадженні електронного документообігу.
• ISO/IEC 27002: Кодекс практик з управління інформаційною безпекою, який є доповненням до ISO/IEC 27001 і містить конкретні заходи безпеки, що можуть бути застосовані в процесі захисту електронних документів.
• COBIT (Control Objectives for Information and Related Technologies): Це фреймворк для управління IT і інформаційною безпекою, який надає кращі практики для управління та контролю над ІТ-процесами, включаючи електронний документообіг.

3. Інші нормативні акти та рекомендації

• Закон України "Про електронні довірчі послуги": Регулює питання використання електронних підписів, електронних печаток та інших електронних довірчих послуг, що є основою для легітимності електронного документообігу.
• Методичні рекомендації НБУ щодо управління інформаційною безпекою: Ці рекомендації надають конкретні вказівки щодо впровадження системи інформаційної безпеки в банківській системі України.

1. Документи, пов'язані з законодавством України

1.1. Положення про захист персональних даних

• Зміст: Документ, що описує, як організація збирає, обробляє, зберігає та захищає персональні дані, включаючи права суб'єктів даних та обов'язки організації.
• Законодавство: Закон України "Про захист персональних даних".

1.2. Політика інформаційної безпеки

• Зміст: Документ, що визначає загальні підходи та заходи для захисту інформації в організації, включаючи вимоги до системи DLP.
• Законодавство: Закон України "Про основи забезпечення кібербезпеки України".

1.3. Регламент обробки персональних даних

• Зміст: Документ, що деталізує процеси обробки персональних даних відповідно до національного законодавства.
• Законодавство: Закон України "Про захист персональних даних".

1.4. Політика конфіденційності

• Зміст: Документ, що інформує суб'єктів даних про те, як їх персональні дані збираються, використовуються та захищаються, а також про права суб'єктів даних.
• Законодавство: Закон України "Про захист персональних даних".

1.5. Угода про конфіденційність (NDA)

• Зміст: Документ, що встановлює зобов'язання співробітників та контрагентів щодо нерозголошення конфіденційної інформації та персональних даних.
• Законодавство: Закон України "Про захист персональних даних", Закон України "Про комерційну таємницю".

1.6. Порядок реагування на інциденти безпеки

• Зміст: Документ, що регламентує дії співробітників і керівництва при виявленні інцидентів інформаційної безпеки, включаючи витоки даних.
• Законодавство: Закон України "Про основи забезпечення кібербезпеки України".

2. Документи, пов'язані з ISO 27001

2.1. Політика інформаційної безпеки (Information Security Policy)

• Зміст: Основоположний документ, що описує зобов'язання керівництва щодо забезпечення інформаційної безпеки, цілі безпеки, обсяги застосування та основні принципи захисту інформації.
• Стандарти: Пункт 5.2 "Політика інформаційної безпеки".

2.2. Оцінка ризиків (Risk Assessment)

• Зміст: Документ, що описує процес ідентифікації, аналізу та оцінки ризиків для інформаційної безпеки, включаючи ризики, пов'язані з витоками даних.
• Стандарти: Пункти 6.1.2 "Оцінка ризиків в області інформаційної безпеки" та 6.1.3 "Обробка ризиків в області інформаційної безпеки".

2.3. Методика управління ризиками (Risk Treatment Plan)

• Зміст: Документ, що визначає заходи щодо зниження, передачі, уникнення або прийняття ризиків, пов'язаних з інформаційною безпекою, і описує, як система DLP може допомогти в управлінні цими ризиками.
• Стандарти: Пункт 6.1.3 "Обробка ризиків в області інформаційної безпеки".

2.4. Декларація застосовності (Statement of Applicability, SoA)

• Зміст: Документ, що підтверджує, які з рекомендованих контролів інформаційної безпеки ISO 27001 організація впровадила і чому.
• Стандарти: Пункт 6.1.3 "Обробка ризиків в області інформаційної безпеки".

2.5. План неперервності бізнесу (Business Continuity Plan)

• Зміст: Документ, що описує процедури для забезпечення неперервності бізнес-процесів у випадку інцидентів, включаючи витоки даних.
• Стандарти: Пункт 17 "Аспекти інформаційної безпеки в управлінні неперервністю бізнесу".

2.6. Політика управління доступом (Access Control Policy)

• Зміст: Документ, що описує правила та процедури для управління доступом до інформаційних активів, включаючи налаштування та управління доступом у системі DLP.
• Стандарти: Пункт 9.4 "Управління доступом".

2.7. Журнали та контрольні журнали (Logging and Monitoring)

• Зміст: Документ, що описує процедури ведення та аналізу журналів, а також моніторингу подій інформаційної безпеки, включаючи використання системи DLP для відстеження витоків даних.
• Стандарти: Пункт 12.4 "Логування та моніторинг".

3. Документи, пов'язані з внутрішніми процесами та регламентами

3.1. Інструкції по роботі з системою DLP

• Зміст: Оперативні інструкції для адміністраторів та користувачів, що описують правила роботи з системою DLP, включаючи процеси моніторингу, звітності та реагування на інциденти.

3.2. Технічні політики та процедури

• Зміст: Документи, що описують технічні заходи безпеки, такі як конфігурації серверів, мереж, робочих станцій та впровадження системи DLP.

3.3. Положення про захист комерційної таємниці

• Зміст: Документ, що регулює правила звернення з конфіденційною інформацією та комерційною таємницею, включаючи використання системи DLP для захисту цих даних.

4. Додаткові документи

4.1. Угоди з підрядниками та партнерами

• Зміст: Угоди, що містять положення про захист даних, зобов'язання щодо використання системи DLP та відповідальність за витік даних.

4.2. Документовані докази відповідності

• Зміст: Журнали аудитів, результати оцінки ризиків та інші документи, що підтверджують, що організація дотримується вимог законодавства та стандарту ISO 27001.

Цей перелік документів допоможе організації не тільки дотримуватись законодавства України, але й впровадити ефективну систему інформаційної безпеки відповідно до міжнародних стандартів.

Національний банк України (НБУ) видав ряд нормативних актів, які регулюють питання захисту платіжних систем і фінансових даних. Ці акти встановлюють вимоги до інформаційної безпеки, включаючи дотримання міжнародних стандартів, таких як PCI DSS. Нижче наведено основні накази і рішення НБУ, що стосуються цього питання:

1. Постанова НБУ №95 "Про затвердження Положення про здійснення захисту інформації та кібербезпеки в банківській системі України"

• Дата прийняття: 28 вересня 2022 року
• Опис: Ця постанова встановлює вимоги до забезпечення інформаційної безпеки та кібербезпеки в банківській системі України. Вона регулює порядок захисту інформації, яка обробляється в банках і фінансових установах, включаючи захист платіжних даних. Постанова зобов'язує банки впроваджувати системи управління інформаційною безпекою, відповідати міжнародним стандартам (включаючи PCI DSS), а також забезпечувати кіберзахист своїх інформаційних систем.

2. Постанова НБУ №75 "Про затвердження Положення про захист інформації та кібербезпеки в платіжних системах"

• Дата прийняття: 21 червня 2019 року
• Опис: Ця постанова регламентує вимоги до захисту інформації в платіжних системах, а також визначає правила захисту фінансових даних, які обробляються в цих системах. Положення зобов’язує операторів платіжних систем, платіжних інфраструктурних сервісів, а також їхніх учасників дотримуватися вимог до безпеки даних, включаючи стандарти PCI DSS.

3. Постанова НБУ №56 "Про організацію захисту інформації в банках України"

• Дата прийняття: 14 липня 2006 року (з подальшими змінами)
• Опис: Постанова регулює загальні питання організації захисту інформації в банках України. Вона включає вимоги до створення систем захисту інформації, управління ризиками, моніторингу та аудиту безпеки, а також захисту фінансових даних, що обробляються банками.

4. Постанова НБУ №391 "Про затвердження Положення про здійснення нагляду (оверсайта) за платіжними системами"

• Дата прийняття: 30 жовтня 2018 року
• Опис: Цей документ регламентує порядок нагляду за платіжними системами та їхніми учасниками з боку НБУ. Постанова встановлює вимоги до дотримання стандартів безпеки, зокрема щодо захисту інформації та забезпечення кібербезпеки в платіжних системах.

5. Рішення НБУ щодо підвищення стандартів кібербезпеки в банківській системі України

• Опис: НБУ регулярно приймає рішення, спрямовані на підвищення рівня кібербезпеки в банківському секторі. В рамках цих рішень банки зобов'язані впроваджувати новітні технології захисту інформації, посилювати контроль за доступом до платіжних систем, а також регулярно проводити аудит безпеки.

6. Листи та роз'яснення НБУ щодо дотримання стандартів інформаційної безпеки

• Опис: НБУ періодично надсилає листи та роз'яснення щодо необхідності дотримання стандартів інформаційної безпеки, включаючи PCI DSS. Ці документи можуть містити рекомендації щодо кращих практик у сфері захисту платіжних даних та кібербезпеки.

Ці нормативні акти та рішення регламентують захист платіжних систем і фінансових даних, забезпечуючи безпеку та надійність банківської системи України. Банки та фінансові установи зобов'язані дотримуватися цих вимог і забезпечувати відповідність міжнародним стандартам, включаючи PCI DSS.