Для електронного цифрового підпису (ЕЦП) платіжних документів використовуються спеціальні асиметричні криптографічні алгоритми, засновані на використанні ключової пари: секретного й відкритого ключів. Секретний ключ використовується для підпису документа, а відповідний йому відкритий ключ - для перевірки підпису в банку.

Секретний ключ перебуває тільки в клієнта й він повністю відповідає за його схоронність.

У процесі заповнення анкети клієнта банку, після визначення посадових осіб, маючих права 1-й або 2-й підписів, система провадить генерацію ключової пари, при цьому відкритий ключ передається в банк у вигляді спеціально сформованого запиту.

Даний запит містить всю уведену клієнтом інформацію й відкриті ключі, з допомогою яких будуть перевірятися цифрові підписи під платіжними доку-ментами.

Одержання відгуку на даний запит провадиться в реальному часі й свід-чить про успішний обробці запиту й завершенні процесу реєстрації.

Секретні ключі клієнта в банк не передаються й містяться на індивіду-альний носій разом з відповідними їм відкритими ключами. За схоронність секретногоключа несе відповідальність тільки його власник.

2.8 Структура та захист інформаційних потоків в системах «електронної пошти» (міжбанківська пошта НБУ, внутрішньобанківська пошта Проінвестбанку, глобальна Інтернет-пошта)

Електронна пошта — ЕП — складається загалом із вузлів — комп’ютерів, які мають змогу встановлювати один з одним з’єднання для передавання електронних листів (повідомлень) своїх абонентів. Вузли поділяються на абонентські пункти АП 1-го типу (АП-1) та абонентські пункти 2-го типу (АП-2) (поштамти).

Кожний АП-1 передає в інші вузли лише ті повідомлення, які були підготовлені його абонентами, і приймає від решти АП лише адресовані його абонентам повідомлення. На відміну від АП-1, АП-2 передає на інший поштамт або на АП-1 будь-які повідомлення.

Усяке повідомлення ЕП має бути адресованим, тобто мати свою електронну поштову адресу. Із погляду логіки для того, щоб адреса була інформативною, необхідно, аби вона включала в себе ідентифікатор абонента (кінцевого користувача — КК) і поштові координати, які визначають місцезнаходження КК. Правила адресації в різних системах ЕП відрізняються одне від одного, але ці логічні елементи присутні завжди.

Електронна пошта НБУ являє собою програмно-технічну та адміністративно-технологічну мережу, яка забезпечує обмін даними в банківській системі України. Вона призначена для надійного та якісного приймання і передавання електронних повідомлень. Джерелами та одержувачами останніх можуть бути як різні програмні продукти (зокрема й прикладні програми), так і фізичні особи. Вони є кінцевими користувачами системи. Систему ЕП НБУ створюють поштові вузли. Розрізняють Центральний, регіональні та абонентські вузли — АВ.

Центральний і регіональні вузли є абонентськими пунктами 2-го типу, а решта вузлів — АП 1-го типу. До них належать вузли, що розміщені в комерційних банках України, а також в урядових і державних установах, які взаємодіють з банківською системою. Організаційно вузли ЕП, за винятком АВ, є структурними підрозділами системи НБУ, котрі у своїй діяльності керуються чинним законодавством України, ухвалами НБУ, відповідними положеннями про ці підрозділи та положеннями про ЕП НБУ.

Центральний вузол — ЦВ — це підрозділ Центрального управління НБУ, а регіональні вузли — РВ — підрозділи відповідних територіальних управлінь НБУ.

Абонентський вузол може входити до складу будь-якої установи (КБ і т. ін.), що виконує всі умови, які ставляться в разі підімкнення абонентів до ЕП, і бере участь у роботі системи. Вузли можуть бути зв’язані між собою за допомогою виділених чи комутованих телефонних і телеграфних каналів зв’язку або через радіоканал і супутникові системи передавання даних.

Система ЕП НБУ дає змогу інтегрувати локальні обчислювальні мережі — ЛОМ, які існують в її вузлах. Використовуючи ЕП, кожний користувач робочої станції — РС — ЛОМ її вузла може відправити повідомлення у вигляді текстового файла, підготовленого з використанням довільного текстового редактора; графічного файла, що містить графічні конструкції будь-якого вигляду; файла бази даних типу .DBF; файла табличного процесора. Інший абонент, який перебуває в іншому регіоні і є користувачем ЛОМ свого вузла, може приймати ці повідомлення на свою РС.

Переваги ЕП НБУ такі: висока швидкість доставляння повідомлень та можливість автоматизувати в установі процес обробки документації, починаючи з її отримання.

Система ЕП НБУ реалізована як ІР-мережа транспорту криптографованих файлів (алгоритм RSA – системи закритих та відкритих ключів), не є системою діалогової взаємодії і має такі особливості:

формування й приймання поштових повідомлень — процеси, що розділені в часі і виконуються незалежно від процесів встановлення з’єднань між вузлами та передаванням даних;

система ЕП використовує архітектуру, коли повідомлення запам’ятовується на одному вузлі, а далі передається за маршрутом до іншого вузла доти, доки воно не буде доставлене адресатові. Така архітектура забезпечує передавання даних навіть у разі можливих відказів засобів зв’язку;

ЕП НБУ дає змогу передавати повідомлення одночасно багатьом користувачам завдяки введенню спеціального механізму «група вузлів» і вказуванню кількох адресатів при формуванні «поштового конверта». Таким чином передаються повідомлення, що стосуються багатьох або всіх абонентів, наприклад, загальні дані типу коригувань списку учасників, адрес вузлів ЕП тощо;

система ЕП НБУ допомагає організовувати взаємодію між програмними комплексами автоматизації банківської діяльності, які містяться в різних вузлах. При цьому забезпечується весь сервіс щодо зберігання, документування й надійності доставляння кореспонденції;

В ЕП ведеться довідник вузлів ЕП, який міститься в кожному вузлі системи у вигляді файла з іменем «SPRUSNBU.DBF». Цей довідник фактично описує адресний простір вузлів ЕП. Він ведеться в ЦВ, служби якого забезпечують актуалізацію довідника й готують коректури для розсилання по всіх інших вузлах ЕП НБУ. Кожний вузол має належне лише йому поштове ім’я.

Для АВ, які містяться в банківських установах, ім’я вузла складається з чотирьох знаків, де перший знак є постійним (латинська буква «U»), другий — латинська буква, яка визначає регіон (область) України (наприклад, «А» — Вінницька область, «В» — Волинська і т. д.), третій знак задає код типу або множини банківських установ, а четвертий — номер вузла в даному типі чи множині банківських установ.

Система має суто ієрархічну трирівневу структуру. На 1-му рівні перебуває ЦВ, на 2-му містяться регіональні вузли, а на 3-му — абонентські вузли. Кожний АВ входить лише до одного регіонального, а регіональні вузли входять до ЦВ. Завдяки тому, що РЕВ — це, як правило, обласні вузли (крім Київського), забезпечується охоплення всієї території країни.

На множині вузлів пошти для забезпечення передавання повідомлень визначається набір маршрутів, де описуються шляхи доступу від одного вузла до іншого. Ці маршрути використовуються при транспортуванні поштових повідомлень. З огляду на ієрархічну структуру ЕП доставляння поштового повідомлення — ПОП — між двома РЕВ можливе лише через ЦВ. Ясна річ, що і ПОП АВ одного РЕВ до АВ іншого РЕВ іде транзитом через ЦВ. Можливі маршрути в ЕП можна записати у вигляді:

АВ(а) ® РЕВ ® АВ(б), АВ(а) ® РЕВ(а) ® ЦВ ® РЕВ(б) ® АВ(б).

Поштові повідомлення, або «поштові конверти», є тими одиницями інформації, які передаються між вузлами системи ЕП. Отже, передавання інформації відбувається не безперервним потоком, а певними порціями (пакетами, файлами), які називають конвертами.

Важливою функцією в ЕП є забезпечення й підтвердження факту доставлення конверта. Тому в ЕП є функція генерації та обліку підтверджень доставлення поштових повідомлень. Такі підтвердження формуються лише в кінцевому вузлі-одержувачі. Підтвердження формується як файл-квитанція про доставлення ПОП у момент, коли воно потрапляє до вхідного каталогу у вузлі-адресаті. Квитанція формується автоматично програмами АК, якщо в заголовку ПОП, яке надійшло, установлено ознаку видачі підтвердження доставлення.

Зрозуміло, що це дає змогу використовувати ЕП для розв’язування найрізноманітніших функціональних задач і операцій банківської та фінансової діяльності. Насамперед ЕП НБУ використовується для забезпечення можливості виконання міжбанківських розрахунків. Саме на базі ЕП НБУ створена й функціонує система електронних міжбанківських платежів (СЕП) банків України.

Перспективою розвитку ЕП крім поліпшення якісних показників її роботи (скорочення строку доставляння повідомлень, зменшення кількості відказів, можливість підімкнення нових вузлів, збільшення обсягів передавання тощо) є також розробка часткових шлюзів передавання та приймання даних із інших мереж, зокрема й із мережі ІНТЕРНЕТ. Зрозуміло, що при цьому постає проблема додаткових облікових і контрольних функцій, оскільки ЕП НБУ є системою закритого типу й такою, що забезпечує виконання специфічних завдань і послуг. Аналогічні проблеми пов’язані зі створенням шлюзу ЕП НБУ на інші поштові системи.

Основні засоби захисту банквської інформації в каналах електронної пошти НБУ є наступними:

захист цілісності та конфіденційності за рахунок спеціального структурування та криптозахисту вихідного повідомлення (конверта);

застосування системи антивірусного программного забезпечення на робочих станціях ЛОМ банку, а також на транзитно-транспортних ПЕОМ «електронної пошти НБУ»;

застосування захисних шлюзів між мережею «електронної пошти НБУ» та глобальною мережею Інтернет і мережами комерційних банків;

впровадження контрольної системи ідентифікації та аутентефікації користувачів мережі «електронної пошти»;

застосування поіменної маршрутизації «поштових конвертів» за унікальною ІР-адресою;

застосування автоматів зашифрування та розшифрування потоків «електронної пошти».

РОЗДІЛ 3

ПОБУДОВА МОДЕЛІ СИСТЕМНОЇ ІНТЕГРАЦІЇ МОДУЛІВ ЗАХИСТУ ІНФОРМАЦІЙНИХ ПОТОКІВ В АБС АКБ «ПРОМІНВЕСТБАНК» ТА ОЦІНКА РІВНЯ ВРАЗЛИВОСТІ БАНКІВСЬКОЇ ІНФОРМАЦІЇ

3.1Постановка алгоритму задачі формування та опис елементів матриці контролю комплексної системи захисту інформації (КСЗІ) інформаційних об’єктів комерційного банку

В дипломному дослідженні матриця контролю стану побудови та експлуатації комплексної системи захисту інформації в комерційному банку представлена у вигляді 7-рівневої структурної матриці (табл.3.1), на кожному рівні в якої є 5 визначальних сегментів (напрямів захисту інформації в банку).

Основні структурні рівні сегментів КСЗІ банку (табл.3.1, рис.3.1):

1. Перший рівень (100) матриці контролю КСЗІ банку - «Визначення банківської інформації та її носіїв, які підлягають захисту»

2. Другий рівень (200) матриці контролю КСЗІ банку - «Виявлення джерел загроз інформації та каналів витоку, модифікації чи знищення банківської інформації»

3. Третій рівень (300) матриці контролю КСЗІ банку - «Проведення дослідження технології функціонування АБС банку, оцінка уязвимості та ризиків»

4. Четвертий рівень (400) матриці контролю КСЗІ банку - «Визначення вимог до елементів КСЗІ»

5. П’ятий рівень (500) матриці контролю КСЗІ банку - «Здійснення вибору заходів та засобів захисту інформації»

Таблиця 3.1

Матриця контролю комплексної системи захисту інформаційних об’єктів комерційного банку

<<< Структурні рівні сегментів КСЗІ банку

010

020

030

040

050

Сегменти КСЗІ банку >>> Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС) Захист обчислювальних мереж, баз даних і програм АБС Захист міжфілійних корпоративних мереж та каналів зв’язку Захист від витоку ПЕВМІН Оперативне управління моніторами системи захисту інформації

Основні етапи побудови структурного рівня КСЗІ банку >>> Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів

011

012

013

014

021

022

023

024

031

032

033

034

041

042

043

044

051

052

053

054

100

Визначення банківської інформації та її носіїв, які підлягають захисту 111

112

113

114

121

122

123

124

131

132

133

134

141

142

143

144

151

152

153

154

200

Виявлення джерел загроз інформації та каналів витоку, модифікції чи знищення банківської інформації 211

212

213

214

221

222

223

224

231

232

233

234

241

242

243

244

251

252

253

254

300

Проведення дослідження технології функціонування АБС банку, оцінка

уязвимості та ризиків

311

312

313

314

321

322

323

324

331

332

333

334

341

342

343

344

351

352

353

354

400

Визначення вимог до елементів КСЗІ 411

412

413

414

421

422

423

424

431

432

433

434

441

442

443

444

451

452

453

454

500

Здійснення вибору заходів та засобів захисту інформації 511

512

513

514

521

522

523

524

531

532

533

534

541

542

543

544

551

552

553

554

600

Впровадження та експлуатація вибраних засобів та технологій захисту інформації 611

612

613

614

621

622

623

624

631

632

633

634

641

642

643

644

651

652

653

654

700

Контроль та управління сегментом захисту інформації 711

712

713

714

721

722

723

724

731

732

733

734

741

742

743

744

751

752

753

754

Рис.3.1. Структурна схема сегментів КСЗІ банку (в нумерації матриці контролю)

6. Шостий рівень (600) матриці контролю КСЗІ банку - «Впровадження та експлуатація вибраних засобів та технологій захисту інформації»

7. Сьомий рівень (700) матриці контролю КСЗІ банку - «Контроль та управління сегментом захисту інформації»

На кожному с структурних рівнів матриці розташована інформація по 5 характерним сегментам КСЗІ комерційного банку:

а) сегмент 010 - «Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

б) сегмент 020 - «Захист обчислювальних мереж, баз даних і програм АБС»

в) сегмент 030 - «Захист міжфілійних корпоративних мереж та каналів зв’язку»

г) сегмент 040 - «Захист від витоку ПЕВМІН»

д) сегмент 050 - «Оперативне управління моніторами системи захисту інформації»

При побудові алгоритму задачі створення інтегрованого контролю за поточним станом створення та експлуатації КСЗІ комерційного банку в ячейках матриці, наведеної в табл.3.1, використані наступні комплексні показники:

1. Посегментне змістовне значення параметрів в першій строці (100)

матриці контролю КСЗІ банку - «Визначення банківської інформації та її носіїв, які підлягають захисту»

а) сегмент100-010

«Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

1.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації на об'єктах АБС, яка підлягають захисту й порядок визначення такої банківської інформації.

1.1.2 Опис функцій органів, відповідальних за визначення банківської інформації, що підлягають захисту на об'єктах АБС

1.1.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту на об'єктах АБС.

1.1.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту на об'єктах АБС.

б) сегмент 100-020

«Захист обчислювальних мереж, баз даних і програм АБС»

1.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації, яка використовується в процесах і програмах АБС, що підлягають захисту й порядок визначення такої банківської інформації.

1.2.2 Опис функцій органів, відповідальних за визначення банківської інформації, що підлягає захисту при використанні її у процесах і програмах АБС.

1.2.3 Опис політики безпеки, що забезпечують своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту при використанні її у процесах і програмах АБС.

1.2.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту при використанні її у процесах і програмах АБС .

в) сегмент 100-030

«Захист міжфілійних корпоративних мереж та каналів зв’язку»

1.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначає перелік банківської інформації, передаваємої по каналах зв'язку АБС, яка підлягає захисту й порядок визначення такої банківської інформації.

1.3.2 Опис функцій органів, відповідальних за визначення банківської інформації, , передаваємої по каналах зв'язку АБС, яка підлягає захисту.

1.3.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту при передачі її по каналах зв'язку.

1.3.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту при передачі їх по каналах зв'язку.

г) сегмент 100-040

«Захист від витоку ПЕВМІН»

1.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації, яка витікає за рахунок ПЕМІН, підлягає захисту й порядок визначення таких банківської інформації.

1.4.2 Опис функцій органів, відповідальних за визначення банківської інформації, яка витікає за рахунок ПЕМІН та підлягає захисту.

1.4.3 Опис політики безпеки, що забезпечують своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту в умовах можливого витоку за рахунок ПЕМІН.

1.4.4. Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту в умовах можливого витоку її за рахунок ПЕМІН.

д) сегмент 100-050

«Оперативне управління моніторами системи захисту інформації»

1.5.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації, яка підлягає захисту в процесі керування системою захисту й порядок визначення такої банківської інформації.

1.5.2 Опис функцій органів, відповідальних за визначення банківської інформації, що підлягає захисту в процесі керування системою захисту.

1.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту в процесі керування системою захисту.

1.5.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту в процесі керування системою захисту.

2. Посегментне змістовне значення параметрів в другійстроці (200) матриці контролю КСЗІ банку - «Виявлення джерел загроз інформації та каналів витоку, модифікції чи знищення банківської інформації»

а) сегмент 200-010

«Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

2.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок виявлення потенційних каналів витоку інформації на об'єктах АБС .

2.1.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку інформації на об'єктах АБС .

2.1.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку інформації на об'єктах АБС .

2.1.4 Опис набору засобів для забезпечення оперативності і якості виявлення потенційних каналів витоку інформації на об'єктах АБС .

б) сегмент 200-020

«Захист обчислювальних мереж, баз даних і програм АБС»

2.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок виявлення потенційних каналів витоку інформації в процесах і програмах АБС .

2.2.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку інформації в процесах і програмах АБС .

2.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку інформації в процесах і програмах АБС .

2.2.4 Опис набору засобів для забезпечення оперативності і якості виявлення потенційних каналів витоку інформації в процесах і програмах АБС.

в) сегмент 200-030

«Захист міжфілійних корпоративних мереж та каналів зв’язку»

2.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають виявлення потенційних каналів витоку банківської інформації, передаваємої по каналах зв'язку АБС.

2.3.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку банківської інформації, передаваємої по каналах зв'язку АБС.

2.3.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку банківської інформації, при передачі її по каналах зв'язку.

2.3.4 Опис набору засобів для забезпечення оперативності і якості виявлення потенційних каналів витоку інформації, що підлягає захисту при передачі її по каналах зв'язку.

г) сегмент 200-040

«Захист від витоку ПЕВМІН»

2.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок виявлення потенційних каналів витоку банківської інформації за рахунок ПЕМІН.

2.4.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку інформації за рахунок ПЕМІН.

2.4.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку інформації за рахунок ПЕМІН.

2.4.4 Опис набору засобів для забезпечення оперативності і якості виявлення потенційних каналів витоку інформації за рахунок ПЕМІН.

д) сегмент 200-050

«Оперативне управління моніторами системи захисту інформації»

2.5.1 Викладення у законодавчих, нормативних і методичних документах питань, виявлення потенційних каналів витоку інформації в процесі керування системою захисту й порядок дій при цьому.

2.5.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку інформації в процесі керування системою захисту.

2.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку інформації в процесі керування системою захисту.

2.5.4 Опис набору засобів для забезпечення оперативності виявлення потенційних каналів витоку інформації в процесі керування системою захисту.

3. Посегментне змістовне значення параметрів в третій строці (300) матриці контролю КСЗІ банку - «Проведення дослідження технології функціонування АБС банку, оцінка уязвимості та ризиків»

а) сегмент 300- 010

«Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

3.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають проведення оцінки уразливості й ризиків для інформації на об'єктах АБС, які підлягають захисту й порядок визначення такої банківської інформації.

3.1.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для інформації на об'єктах АБС.

3.1.3 Опис політики безпеки, що визначає проведення оцінки уразливості й ризиків для інформації на об'єктах АБС.

3.1.4 Опис набору засобів для проведення оцінки уразливості й ризиків для інформації на об'єктах АБС.

б) сегмент 300- 020

«Захист обчислювальних мереж, баз даних і програм АБС»

3.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають проведення оцінки уразливості й ризиків для інформації в процесах і програмах АБС.

3.2.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для інформації в процесах і програмах АБС.

3.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне проведення оцінки уразливості й ризиків для інформації в процесах і програмах АБС.

3.2.4 Опис набору засобів для забезпечення оперативності і якості проведення оцінки уразливості й ризиків для інформації в процесах і програмах АБС.

в) сегмент 300-030

«Захист міжфілійних корпоративних мереж та каналів зв’язку»

3.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок проведення оцінки уразливості й ризиків для банківської інформації, передаваємої по каналах зв'язку АБС.

3.3.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для банківської інформації, передаваємої по каналах зв'язку АБС.

3.3.3 Опис політики безпеки, що забезпечує проведення оцінки уразливості й ризиків для інформації при передачі її по каналах зв'язку.

3.3.4 Опис набору засобів для забезпечення оперативності і якості проведення оцінки уразливості й ризиків для інформації, що підлягає захисту при передачі її по каналах зв'язку.

г) сегмент 300-040

«Захист від витоку ПЕВМІН»

3.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок проведення оцінки уразливості й ризиків для інформації, підданій витоку за рахунок ПЕМІН.

3.4.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для інформації, підданій витоку за рахунок ПЕМІН.

3.4.3 Опис політики безпеки, що забезпечує своєчасне і якісне проведення оцінки уразливості й ризиків для інформації, підданій витоку за рахунок ПЕМІН.

3.4.4 Опис набору засобів для забезпечення оперативності і якості проведення оцінки уразливості й ризиків для інформації, підданій витоку за рахунок ПЕМІН.

д) сегмент 300-050

«Оперативне управління моніторами системи захисту інформації»

3.5.1 Викладення у законодавчих, нормативних і методичних документах питань, проведення оцінки уразливості й ризиків для інформації в процесі керування системою захисту й порядок дій при цьому.

3.5.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для інформації в процесі керування системою захисту.

3.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне проведення оцінки уразливості й ризиків для інформації в процесі керування системою захисту.

3.5.4 Опис набору засобів для забезпечення якості й оперативності проведення оцінки уразливості й ризиків для інформації в процесі керування системою захисту.

4. Посегментне змістовне значення параметрів в четвертій строці (400) матриці контролю КСЗІ банку - «Визначення вимог до елементів КСЗІ»

а) сегмент 400-010

«Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

4.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік вимог до КСЗІ на об'єктах АБС.

4.1.2 Опис функцій органів, відповідальних за визначення переліку вимог до КСЗІ на об'єктах АБС.

4.1.3 Опис політики безпеки, що забезпечує визначення переліку вимог до КСЗІ на об'єктах АБС.

4.1.4 Опис набору засобів для визначення переліку вимог до КСЗІ на об'єктах АБС.

б) сегмент 400-020

«Захист обчислювальних мереж, баз даних і програм АБС»

4.2.1 Викладення у законодавчих, нормативних і методичних документах питань визначення вимог до КСЗІ в процесах і програмах АБС.

4.2.2 Опис функцій органів, відповідальних за визначення вимог до КСЗІ в процесах і програмах АБС.

4.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення вимог до КСЗІ в процесах і програмах АБС.

4.2.4 Опис набору засобів для забезпечення оперативності і якості визначення вимог до КСЗІ в процесах і програмах АБС.

в) сегмент 400-030

«Захист міжфілійних корпоративних мереж та каналів зв’язку»

4.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок визначення вимог до КСЗІ для банківської інформації, передаваємої по каналах зв'язку АБС.

4.3.2 Опис функцій органів, відповідальних за визначення вимог до КСЗІ для банківської інформації, передаваємої по каналах зв'язку АБС.

4.3.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення вимог до КСЗІ при передачі її по каналах зв'язку.

4.3.4 Опис набору засобів для забезпечення оперативності і якості проведення визначення вимог до КСЗІ, при передачі даних по каналах зв'язку.

г) сегмент 400-040

«Захист від витоку ПЕВМІН»

4.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок формування вимог до КСЗІ для інформації, підданій витоку за рахунок ПЕМІН.

4.4.2 Опис функцій органів, відповідальних за формування вимог до КСЗІ для інформації, підданій витоку за рахунок ПЕМІН.

4.4.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення вимог до КСЗІ для інформації, підданій витоку за рахунок ПЕМІН.

4.4.4 Опис набору засобів для забезпечення оперативності і якості визначення вимог до КСЗІ для інформації, підданій витоку за рахунок ПЕМІН.

д) сегмент 400-050

«Оперативне управління моніторами системи захисту інформації»

4.5.1 Викладення у законодавчих, нормативних і методичних документах питань формування вимог до процесів контролю стану й керування системою захисту інформації.

4.5.2 Опис функцій органів, відповідальних за формування вимог до процесів контролю стану й керування системою захисту інформації.

4.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення вимог до процесів контролю стану й керування системою захисту інформації.

4.5.4 Опис набору засобів для забезпечення якості й оперативності формування вимог до процесів контролю стану й керування системою захисту інформації.

5. Посегментне змістовне значення параметрів в п’ятій строці (500) матриці контролю КСЗІ банку - «Здійснення вибору заходів та засобів захисту інформації»

а) сегмент 500-010

«Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

5.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають здійснення вибору засобів захисту на об'єктах АБС.

5.1.2 Опис функцій органів, що визначають здійснення вибору засобів захисту об'єктах АБС.

5.1.3 Опис політики безпеки, що визначає здійснення вибору засобів захисту, на об'єктах АБС.

5.1.4 Опис набору засобів для здійснення вибору засобів захисту на об'єктах АБС.

б) сегмент 500-020

«Захист обчислювальних мереж, баз даних і програм АБС»

5.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають здійснення вибору засобів захисту для інформації в процесах і програмах АБС.

5.2.2 Опис функцій органів, відповідальних за здійснення вибору засобів захисту для інформації в процесах і програмах АБС.

5.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне здійснення вибору засобів захисту для інформації в процесах і програмах АБС.

5.2.4 Опис набору засобів для забезпечення оперативності і якості здійснення вибору засобів захисту для інформації в процесах і програмах АБС.

в) сегмент 500-030

«Захист міжфілійних корпоративних мереж та каналів зв’язку»

5.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок здійснення вибору засобів захисту для банківської інформації, передаваємої по каналах зв'язку АБС.

5.3.2 Опис функцій органів, відповідальних за здійснення вибору засобів захисту для банківської інформації, передаваємої по каналах зв'язку АБС.

5.3.3 Опис політики безпеки, що забезпечує здійснення вибору засобів захисту для інформації при передачі її по каналах зв'язку.

5.3.4 Опис набору засобів для забезпечення оперативності і якості здійснення вибору засобів захисту для інформації при передачі її по каналах зв'язку.

г) сегмент 500-040

«Захист від витоку ПЕВМІН»

5.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок здійснення вибору засобів захисту для інформації, підданій витоку за рахунок ПЕМІН.

5.4.2 Опис функцій органів, відповідальних здійснення вибору засобів захисту для інформації, підданій витоку за рахунок ПЕМІН.

5.4.3 Опис політики безпеки, що забезпечують своєчасне і якісне здійснення вибору засобів захисту для інформації, підданій витоку за рахунок ПЕМІН.

5.4.4 Опис набору засобів для забезпечення оперативності і якості здійснення вибору засобів захисту для інформації, підданій витоку за рахунок ПЕМІН.

д) сегмент 500-050

«Оперативне управління моніторами системи захисту інформації»

5.5.1 Викладення у законодавчих, нормативних і методичних документах питань, здійснення вибору засобів захисту для процесів керування системою захисту й порядок дій при цьому.

5.5.2 Опис функцій органів, відповідальних за здійснення вибору засобів захисту для процесів керування системою захисту.

5.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне здійснення вибору засобів захисту для процесів керування системою захисту.

5.5.4 Опис набору засобів для забезпечення якості й оперативності здійснення вибору засобів захисту для процесів керування системою захисту.

6. Посегментне змістовне значення параметрів в шостій строці (600) матриці контролю КСЗІ банку - «Впровадження та експлуатація вибраних засобів та технологій захисту інформації»

а) сегмент 600-010

«Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

6.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок впровадження й використання обраних заходів і засобів захисту на об'єктах АБС.

6.1.2 Опис функцій органів, що визначають порядок впровадження й використання обраних заходів і засобів захисту на об'єктах АБС.

6.1.3 Опис політики безпеки, що визначає порядок впровадження й використання обраних заходів і засобів захисту на об'єктах АБС.

6.1.4 Опис набору засобів, визначення порядку впровадження й використання обраних мір і засобів захисту на об'єктах АБС.

б) сегмент 600-020

«Захист обчислювальних мереж, баз даних і програм АБС»

6.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок впровадження й використання обраних заходів і засобів захисту для інформації в процесах і програмах АБС.

6.2.2 Опис функцій органів, відповідальних за впровадження й використання обраних заходів і засобів захисту для інформації в процесах і програмах АБС.

6.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне впровадження й використання обраних способів і засобів захисту для інформації в процесах і програмах АБС.

6.2.4 Опис набору засобів для забезпечення оперативності і якості впровадження й використання обраних заходів і засобів захисту для інформації в процесах і програмах АБС.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9