Документ описывает архитектуру безопасности предприятия, включая стандарты ISO/IEC 27001 и различные аспекты управления информационной безопасностью. Он подчеркивает важность системы менеджмента информационной безопасности для защиты информационных активов и достижения бизнес-целей. Также представлены рекомендации по внедрению и оценке рисков в сфере информационной безопасности.

1. ПОСТРОЕНИЕ АРХИТЕКТУРЫ БЕЗОПАСНОСТИ
ПРЕДПРИЯТИЯ

2. 2/91
https://www.cisecurity.org

3. 3/91

4. 4/91

5. 5/91
https://nvlpubs.nist.gov/nistpub
s/SpecialPublications/NIST.SP.
800-53r5.pdf
https://nvlpubs.nist.gov/nistpubs/c
swp/nist.cswp.04162018.pdf

6. 6/91

7. 7/91

8. 8/91
https://itsec.by/ru/normative-legal-acts/nist/nist-
cybersecurity-framework

9. 9/91
https://ru.pcisecuritystandards.org/_onelink_/pcisecurity/en2ru/minisite/e
n/docs/PCI_DSS_v3_2_RU-RU_Final.pdf

10. 10/91
https://www.isaca.org/en/resources/cobit

11. 11/91
Governance and
Management
Objectives in COBIT
2019
 Evaluate, Direct
and Monitor (EDM)
 Align, Plan and
Organize (APO)
 Build, Acquire and
Implement (BAI)
 Deliver, Service
and Support (DSS)
 Monitor, Evaluate
and Assess (MEA)

12. 12/91

13. https://www.iso27001security.com/ISO27k_Standards_listing.pdf

14.  СТБ ISO/IEC 27001-2016 «Информационные технологии. Методы обеспечения
безопасности. Системы менеджмента информационной безопасности. Требования».
 ТТП ИБ 2.1 – 2020 «Информационные технологии и безопасность. Обеспечение
информационной безопасности банков Республики Беларусь. Требования к
системам менеджмента информационной безопасности».
 «Положение о порядке технической и криптографической защиты информации в
информационных системах, предназначенных для обработки информации,
распространение и (или) предоставление которой ограничено», утвержденное
Приказом Оперативно-аналитического центра при Президенте Республики Беларусь
20.02.2020 № 66.
 «Положение о порядке технической и криптографической защиты информации,
обрабатываемой на критически важных объектах информатизации», утвержденное
Приказом Оперативно-аналитического центра при Президенте Республики Беларусь
20.02.2020 № 66.
14/91
Республика Беларусь
СТРУКТУРЫ СИСТЕМЫ ИБ

15. 15/91
ISO/IEC 27001
СИСТЕМА МЕНЕДЖМЕНТА ИБ

16. 16/91
Проект
разработки
и внедрения
СМИБ
7. ISMS implementation
program
3. Inventory
information
assets
0. Start
2. Define
ISMS scope
6. Develop ISMS
implementation
program
5b. Prepare
Risk
Treatment
Plan
4. Assess
information
risks
1. Get
management
support
N
N-1
One project
within the
program
Inventory
RTP
Scope
Business case
8. Information
Security
Management
System
Project plan
Project plan
Project plan
11.
Compliance
review
5a. Prepare
Statement of
Applicability
SOA
12. Corrective
actions
ISO/IEC 27002
13. Pre-
certification
assessment
14.
Certification
audit
ISO/IEC 27001
certificate
ISO/IEC 27001
9. ISMS operational
artifacts
Copyright © 2018
ISO27k Forum Version 4.1
www.ISO27001security.com
Report
Report
Incidents
Logs
Report
Mgmt review
reports
15. Party
on!
Policies
Standards
Procedures
Guidelines
16. Operate
the ISMS
routinely
17. Annual
surveillance
audits
Report
Metrics
ISO/IEC 27005
ISO/IEC 27003
ISO/IEC 27004
10. ISMS
internal
audits
Report
Report
BCP
Report
Audit
reports
ISO 22301
Laws,
regulations,
contracts
Key
Activity
International
standard
Document or
record
Set orgroup

17.  Система менеджмента информационной безопасности (СМИБ) -
представляет модель для создания, внедрения,
функционирования, мониторинга, анализа, поддержки и
улучшения защиты информационных активов для достижения
деловых целей, основанную на оценке риска и на принятии
уровней риска организации, разработанную для эффективного
рассмотрения и управления рисками.
17/91
ISO/IEC 27001
СИСТЕМА МЕНЕДЖМЕНТА ИБ

18. 18/91
Структура стандарта СТБ ISO/IEC 27001-2016
СИСТЕМА МЕНЕДЖМЕНТА ИБ
4. Контекст организации
5. Лидерство
6. Планирование
7. Поддержка
8. Операционная деятельность
9. Оценивание пригодности
10. Улучшение
Приложение А – Перечень целей управления и средств управления (меры ЗИ)
PLAN
DO
CHECK
ACT

19. 19/91
Приложение А
ISO/IEC 27001:2013
А.5 Политики
информационной
безопасности
А.6 Организация
информационной
безопасности
А.7 Безопасность,
связанная с
персоналом
А.8 Управление
активами
А.9 Управление
доступом
А.10 Криптография
А.11 Физическая
безопасность и
защита от
окружающей среды
А.12 Операционная
деятельность по
обеспечению
безопасности
А.13 Безопасность
сети
А.14 Приобретение,
разработка и
сопровождение
систем
А.15
Взаимоотношения с
поставщиками
А.16 Управление
инцидентами в
области
информационной
безопасности
А.17 Аспекты
информационной
безопасности при
управлении
непрерывностью
бизнеса
А.18 Соответствие

20. 20/91
СИСТЕМА МЕНЕДЖМЕНТА ИБ