6. Шостий рівень (600) матриці контролю КСЗІ банку - «Впровадження та експлуатація вибраних засобів та технологій захисту інформації»
7. Сьомий рівень (700) матриці контролю КСЗІ банку - «Контроль та управління сегментом захисту інформації»
На кожному с структурних рівнів матриці розташована інформація по 5 характерним сегментам КСЗІ комерційного банку:
а) сегмент 010 - «Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»
б) сегмент 020 - «Захист обчислювальних мереж, баз даних і програм АБС»
в) сегмент 030 - «Захист міжфілійних корпоративних мереж та каналів зв’язку»
г) сегмент 040 - «Захист від витоку ПЕВМІН»
д) сегмент 050 - «Оперативне управління моніторами системи захисту інформації»
При побудові алгоритму задачі створення інтегрованого контролю за поточним станом створення та експлуатації КСЗІ комерційного банку в ячейках матриці, наведеної в табл.3.1, використані наступні комплексні показники:
1. Посегментне змістовне значення параметрів в першій строці (100)
матриці контролю КСЗІ банку - «Визначення банківської інформації та її носіїв, які підлягають захисту»
а) сегмент100-010
«Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»
1.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації на об'єктах АБС, яка підлягають захисту й порядок визначення такої банківської інформації.
1.1.2 Опис функцій органів, відповідальних за визначення банківської інформації, що підлягають захисту на об'єктах АБС
1.1.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту на об'єктах АБС.
1.1.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту на об'єктах АБС.
б) сегмент 100-020
«Захист обчислювальних мереж, баз даних і програм АБС»
1.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації, яка використовується в процесах і програмах АБС, що підлягають захисту й порядок визначення такої банківської інформації.
1.2.2 Опис функцій органів, відповідальних за визначення банківської інформації, що підлягає захисту при використанні її у процесах і програмах АБС.
1.2.3 Опис політики безпеки, що забезпечують своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту при використанні її у процесах і програмах АБС.
1.2.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту при використанні її у процесах і програмах АБС .
в) сегмент 100-030
«Захист міжфілійних корпоративних мереж та каналів зв’язку»
1.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначає перелік банківської інформації, передаваємої по каналах зв'язку АБС, яка підлягає захисту й порядок визначення такої банківської інформації.
1.3.2 Опис функцій органів, відповідальних за визначення банківської інформації, , передаваємої по каналах зв'язку АБС, яка підлягає захисту.
1.3.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту при передачі її по каналах зв'язку.
1.3.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту при передачі їх по каналах зв'язку.
г) сегмент 100-040
«Захист від витоку ПЕВМІН»
1.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації, яка витікає за рахунок ПЕМІН, підлягає захисту й порядок визначення таких банківської інформації.
1.4.2 Опис функцій органів, відповідальних за визначення банківської інформації, яка витікає за рахунок ПЕМІН та підлягає захисту.
1.4.3 Опис політики безпеки, що забезпечують своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту в умовах можливого витоку за рахунок ПЕМІН.
1.4.4. Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту в умовах можливого витоку її за рахунок ПЕМІН.
д) сегмент 100-050
«Оперативне управління моніторами системи захисту інформації»
1.5.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації, яка підлягає захисту в процесі керування системою захисту й порядок визначення такої банківської інформації.
1.5.2 Опис функцій органів, відповідальних за визначення банківської інформації, що підлягає захисту в процесі керування системою захисту.
1.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту в процесі керування системою захисту.
1.5.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту в процесі керування системою захисту.
2. Посегментне змістовне значення параметрів в другійстроці (200) матриці контролю КСЗІ банку - «Виявлення джерел загроз інформації та каналів витоку, модифікції чи знищення банківської інформації»
а) сегмент 200-010
«Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»
2.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок виявлення потенційних каналів витоку інформації на об'єктах АБС .
2.1.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку інформації на об'єктах АБС .
2.1.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку інформації на об'єктах АБС .
2.1.4 Опис набору засобів для забезпечення оперативності і якості виявлення потенційних каналів витоку інформації на об'єктах АБС .
б) сегмент 200-020
«Захист обчислювальних мереж, баз даних і програм АБС»
2.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок виявлення потенційних каналів витоку інформації в процесах і програмах АБС .
2.2.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку інформації в процесах і програмах АБС .
2.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку інформації в процесах і програмах АБС .
2.2.4 Опис набору засобів для забезпечення оперативності і якості виявлення потенційних каналів витоку інформації в процесах і програмах АБС.
в) сегмент 200-030
«Захист міжфілійних корпоративних мереж та каналів зв’язку»
2.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають виявлення потенційних каналів витоку банківської інформації, передаваємої по каналах зв'язку АБС.
2.3.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку банківської інформації, передаваємої по каналах зв'язку АБС.
2.3.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку банківської інформації, при передачі її по каналах зв'язку.
2.3.4 Опис набору засобів для забезпечення оперативності і якості виявлення потенційних каналів витоку інформації, що підлягає захисту при передачі її по каналах зв'язку.
г) сегмент 200-040
«Захист від витоку ПЕВМІН»
2.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок виявлення потенційних каналів витоку банківської інформації за рахунок ПЕМІН.
2.4.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку інформації за рахунок ПЕМІН.
2.4.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку інформації за рахунок ПЕМІН.
2.4.4 Опис набору засобів для забезпечення оперативності і якості виявлення потенційних каналів витоку інформації за рахунок ПЕМІН.
д) сегмент 200-050
«Оперативне управління моніторами системи захисту інформації»
2.5.1 Викладення у законодавчих, нормативних і методичних документах питань, виявлення потенційних каналів витоку інформації в процесі керування системою захисту й порядок дій при цьому.
2.5.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку інформації в процесі керування системою захисту.