Смекни!
smekni.com

Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку (стр. 31 из 39)

2.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку інформації в процесі керування системою захисту.

2.5.4 Опис набору засобів для забезпечення оперативності виявлення потенційних каналів витоку інформації в процесі керування системою захисту.

3. Посегментне змістовне значення параметрів в третій строці (300) матриці контролю КСЗІ банку - «Проведення дослідження технології функціонування АБС банку, оцінка уязвимості та ризиків»

а) сегмент 300- 010

«Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

3.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають проведення оцінки уразливості й ризиків для інформації на об'єктах АБС, які підлягають захисту й порядок визначення такої банківської інформації.

3.1.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для інформації на об'єктах АБС.

3.1.3 Опис політики безпеки, що визначає проведення оцінки уразливості й ризиків для інформації на об'єктах АБС.

3.1.4 Опис набору засобів для проведення оцінки уразливості й ризиків для інформації на об'єктах АБС.

б) сегмент 300- 020

«Захист обчислювальних мереж, баз даних і програм АБС»

3.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають проведення оцінки уразливості й ризиків для інформації в процесах і програмах АБС.

3.2.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для інформації в процесах і програмах АБС.

3.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне проведення оцінки уразливості й ризиків для інформації в процесах і програмах АБС.

3.2.4 Опис набору засобів для забезпечення оперативності і якості проведення оцінки уразливості й ризиків для інформації в процесах і програмах АБС.

в) сегмент 300-030

«Захист міжфілійних корпоративних мереж та каналів зв’язку»

3.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок проведення оцінки уразливості й ризиків для банківської інформації, передаваємої по каналах зв'язку АБС.

3.3.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для банківської інформації, передаваємої по каналах зв'язку АБС.

3.3.3 Опис політики безпеки, що забезпечує проведення оцінки уразливості й ризиків для інформації при передачі її по каналах зв'язку.

3.3.4 Опис набору засобів для забезпечення оперативності і якості проведення оцінки уразливості й ризиків для інформації, що підлягає захисту при передачі її по каналах зв'язку.

г) сегмент 300-040

«Захист від витоку ПЕВМІН»

3.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок проведення оцінки уразливості й ризиків для інформації, підданій витоку за рахунок ПЕМІН.

3.4.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для інформації, підданій витоку за рахунок ПЕМІН.

3.4.3 Опис політики безпеки, що забезпечує своєчасне і якісне проведення оцінки уразливості й ризиків для інформації, підданій витоку за рахунок ПЕМІН.

3.4.4 Опис набору засобів для забезпечення оперативності і якості проведення оцінки уразливості й ризиків для інформації, підданій витоку за рахунок ПЕМІН.

д) сегмент 300-050

«Оперативне управління моніторами системи захисту інформації»

3.5.1 Викладення у законодавчих, нормативних і методичних документах питань, проведення оцінки уразливості й ризиків для інформації в процесі керування системою захисту й порядок дій при цьому.

3.5.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для інформації в процесі керування системою захисту.

3.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне проведення оцінки уразливості й ризиків для інформації в процесі керування системою захисту.

3.5.4 Опис набору засобів для забезпечення якості й оперативності проведення оцінки уразливості й ризиків для інформації в процесі керування системою захисту.

4. Посегментне змістовне значення параметрів в четвертій строці (400) матриці контролю КСЗІ банку - «Визначення вимог до елементів КСЗІ»

а) сегмент 400-010

«Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

4.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік вимог до КСЗІ на об'єктах АБС.

4.1.2 Опис функцій органів, відповідальних за визначення переліку вимог до КСЗІ на об'єктах АБС.

4.1.3 Опис політики безпеки, що забезпечує визначення переліку вимог до КСЗІ на об'єктах АБС.

4.1.4 Опис набору засобів для визначення переліку вимог до КСЗІ на об'єктах АБС.

б) сегмент 400-020

«Захист обчислювальних мереж, баз даних і програм АБС»

4.2.1 Викладення у законодавчих, нормативних і методичних документах питань визначення вимог до КСЗІ в процесах і програмах АБС.

4.2.2 Опис функцій органів, відповідальних за визначення вимог до КСЗІ в процесах і програмах АБС.

4.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення вимог до КСЗІ в процесах і програмах АБС.

4.2.4 Опис набору засобів для забезпечення оперативності і якості визначення вимог до КСЗІ в процесах і програмах АБС.

в) сегмент 400-030

«Захист міжфілійних корпоративних мереж та каналів зв’язку»

4.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок визначення вимог до КСЗІ для банківської інформації, передаваємої по каналах зв'язку АБС.

4.3.2 Опис функцій органів, відповідальних за визначення вимог до КСЗІ для банківської інформації, передаваємої по каналах зв'язку АБС.

4.3.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення вимог до КСЗІ при передачі її по каналах зв'язку.

4.3.4 Опис набору засобів для забезпечення оперативності і якості проведення визначення вимог до КСЗІ, при передачі даних по каналах зв'язку.

г) сегмент 400-040

«Захист від витоку ПЕВМІН»

4.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок формування вимог до КСЗІ для інформації, підданій витоку за рахунок ПЕМІН.

4.4.2 Опис функцій органів, відповідальних за формування вимог до КСЗІ для інформації, підданій витоку за рахунок ПЕМІН.

4.4.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення вимог до КСЗІ для інформації, підданій витоку за рахунок ПЕМІН.

4.4.4 Опис набору засобів для забезпечення оперативності і якості визначення вимог до КСЗІ для інформації, підданій витоку за рахунок ПЕМІН.

д) сегмент 400-050

«Оперативне управління моніторами системи захисту інформації»

4.5.1 Викладення у законодавчих, нормативних і методичних документах питань формування вимог до процесів контролю стану й керування системою захисту інформації.

4.5.2 Опис функцій органів, відповідальних за формування вимог до процесів контролю стану й керування системою захисту інформації.

4.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення вимог до процесів контролю стану й керування системою захисту інформації.

4.5.4 Опис набору засобів для забезпечення якості й оперативності формування вимог до процесів контролю стану й керування системою захисту інформації.

5. Посегментне змістовне значення параметрів в п’ятій строці (500) матриці контролю КСЗІ банку - «Здійснення вибору заходів та засобів захисту інформації»

а) сегмент 500-010

«Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

5.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають здійснення вибору засобів захисту на об'єктах АБС.

5.1.2 Опис функцій органів, що визначають здійснення вибору засобів захисту об'єктах АБС.

5.1.3 Опис політики безпеки, що визначає здійснення вибору засобів захисту, на об'єктах АБС.

5.1.4 Опис набору засобів для здійснення вибору засобів захисту на об'єктах АБС.

б) сегмент 500-020

«Захист обчислювальних мереж, баз даних і програм АБС»

5.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають здійснення вибору засобів захисту для інформації в процесах і програмах АБС.

5.2.2 Опис функцій органів, відповідальних за здійснення вибору засобів захисту для інформації в процесах і програмах АБС.

5.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне здійснення вибору засобів захисту для інформації в процесах і програмах АБС.

5.2.4 Опис набору засобів для забезпечення оперативності і якості здійснення вибору засобів захисту для інформації в процесах і програмах АБС.

в) сегмент 500-030

«Захист міжфілійних корпоративних мереж та каналів зв’язку»

5.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок здійснення вибору засобів захисту для банківської інформації, передаваємої по каналах зв'язку АБС.

5.3.2 Опис функцій органів, відповідальних за здійснення вибору засобів захисту для банківської інформації, передаваємої по каналах зв'язку АБС.

5.3.3 Опис політики безпеки, що забезпечує здійснення вибору засобів захисту для інформації при передачі її по каналах зв'язку.

5.3.4 Опис набору засобів для забезпечення оперативності і якості здійснення вибору засобів захисту для інформації при передачі її по каналах зв'язку.

г) сегмент 500-040

«Захист від витоку ПЕВМІН»

5.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок здійснення вибору засобів захисту для інформації, підданій витоку за рахунок ПЕМІН.

5.4.2 Опис функцій органів, відповідальних здійснення вибору засобів захисту для інформації, підданій витоку за рахунок ПЕМІН.