1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека
Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал: http://elartu.tntu.edu.ua/handle/lib/43262
Назва: Оцінка ризиків інформаційної безпеки аутсорсингу в фінансовому секторі
Інші назви: Assessment of Information Security Risks of Outsourcing in the Financial Sector
Автори: Дисевич, Денис Олегович
Dysevych, Denys
Приналежність: Тернопільський національний технічний університет імені Івана Пулюя
Бібліографічний опис: Дисевич Д. О. Оцінка ризиків інформаційної безпеки аутсорсингу в фінансовому секторі: кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — кібербезпека“ / Д. О. Дисевич. — Тернопіль: ТНТУ, 2023. — 74 с.
Дата публікації: 27-гру-2023
Дата внесення: 2-січ-2024
Видавництво: ТНТУ
Країна (код): UA
Місце видання, проведення: Тернопіль
Науковий керівник: Стадник, Марія Андріївна
Stadnyk, Mariia
Члени комітету: Тиш, Євгенія Володимирівна
Tush, Yevheniia
Теми: 125
кібербезпека
ризик
інформаційна безпека
аутсорсинг
фінанси
оцінка
управління
risk
information security
outsourcing
finance
assessment
management
Кількість сторінок: 74
Короткий огляд (реферат): У роботі було показано, як можна застосувати методи оцінки ризиків інформаційної безпеки в аутсорсинговій системі фінансової установи. Оцінка ризиків є частиною управління ризиками. Метод ISSRM був обраний як метод управління ризиками, тоді як метод BNBAG служить імовірнісним методом оцінки ризиків. Ці два методи були застосовані в тематичному дослідженні, щоб зрозуміти їх схожість і різницю на практиці. Аутсорсинг був обраний як контекст для реалізації двох методів. Аутсорсинг є однією з головних проблем у фінансовому секторі. Було представлено результати двох оцінок. Застосування методів оцінки ризику інформаційної безпеки реального процесу дало розуміння необхідності вдосконалення в цій галузі. Надано пропозицію щодо поєднання методу управління ризиками безпеки та імовірнісного методу.
The paper showed how to apply information security risk assessment methods in the outsourcing system of a financial institution. Risk assessment is part of risk management. The ISSRM method was chosen as a risk management method, while the BNBAG method serves as a probabilistic risk assessment method. These two methods were applied in a case study to understand their similarities and differences in practice. Outsourcing was chosen as the context to implement the two methods. Outsourcing is one of the main problems in the financial sector. The results of two assessments were presented. The application of information security risk assessment methods of a real process gave an understanding of the need for improvement in this area. A proposal for combining the security risk management method and the probabilistic method is provided.
Опис: Оцінка ризиків інформаційної безпеки аутсорсингу в фінансовому секторі // Кваліфікаційна робота освітнього рівня «Магістр» // Дисевич Денис Олегович // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБм-62 // Тернопіль, 2023 // C. 74, рис. – 11, табл. – 11, додат. – 1, бібліогр. – 47.
Зміст: ВСТУП ... 8 1 АНАЛІЗ СУЧАСНОГО СТАНУ ОЦІНКИ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ... 10 1.1 Стандарти та основи управління ризиками інформаційної безпеки .. 10 1.2 Методи управління ризиками безпеки інформаційних систем ... 11 1.3 Метод графів атак на основі Байєсівських мереж. ... 16 1.4 Порівняння ISSRM і BNBAG. ... 22 1.5 Висновок до першого розділу ... 29 2 ОПИС ОБ’ЄКТУ АНАЛІЗУ, СКЛАДОВІ АУТСОРСИНГУ В ФІНАНСОВОМУ СЕКТОРІ ... 30 2.1 Аутсорсинг у фінансових установах ... 30 2.2 Система аутсорсингу та її компоненти. ... 31 2.3 Цілі безпеки аутсорсингу. ... 32 2.4 Висновок до другого розділу ... 40 3 ОЦІНКА РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ЗА ДОПОМОГОЮ ISSRM ТА BNBAG ... 42 3.1 Оцінка ризиків інформаційної безпеки за допомогою ISSRM ... 42 3.2 Оцінка ризиків інформаційної безпеки з використанням BNBAG. ... 53 3.3 Висновок до третього розділу ... 58 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ ... 60 4.1 Система управління охороною праці. ... 60 4.2 Вимоги до робочого середовища користувача ЕОМ: мікроклімат, освітлення, рівень шуму, електромагнітне випромінювання ... 63 4.3 Створення і функціонування системи моніторингу довкілля з метою інтеграції екологічних інформаційних систем, що охоплюють певні території ... 64 4.4 Організація цивільного захисту на об’єктах промисловості та виконання заходів щодо запобігання виникненню надзвичайних ситуацій техногенного походження ... 67 4.5 Висновок до четвертого розділу ... 69 ВИСНОВКИ ... 70 ПЕРЕЛІК ВИКОРИСТАНИХ ДЖЕРЕЛ ... 71 ДОДАТОК А
URI (Уніфікований ідентифікатор ресурсу): http://elartu.tntu.edu.ua/handle/lib/43262
Власник авторського права: © Дисевич Денис Олегович, 2023
Перелік літератури: 1 International Telecommunication Union. Measuring the Information Society Report, 2018. URL : https://www.itu.int/en/ITU-D/Statistics/Documents/publications/misr2018/MISR2018-ES-PDF-E.pdf.
2 International Telecommunication Union and World Telecommunication, Individuals using the Internet (% of population), International Telecommunication Union, 2018. URL : https://data.worldbank.org/indicator/IT.NET.USER.ZS.
3 D. Reinsel, J. Gantz, J. Rydning. Data Age 2025: The Evolution of Data to Life-Critical. International Data Corporation, sponsored by Seagate, Framingham, Massachusetts, 2017. 25 p.
4 A. Hunt, E. Thrower, M. Yeomans and B. Heynderickx. Quantitative Techniques in Information Risk Analysis,” Information Security Forum, 2018. 12 p.
5 S. L. Savage. The Flaw of Averages: Why We Underestimate Risk in the Face of Uncertainty. Hoboken. New Jersey. John Wiley & Sons, Inc., 2009. p. 155.
6 Institute of Risk Management. A Risk Practitioners Guide to ISO 31000: 2018. Institute of Risk Management, London, 2018. URL : https://www.demarcheiso17025.com/document/A%20Risk%20Practitioners%20Guide%20to%20ISO%2031000%20%96%202018.pdf.
7 British Standards Institution and ISO/IEC. Information technology — Security techniques — Information security risk management. BSI. London, 2008. 38 p.
8 E. Dubois, P. Heymans, N. Mayer and R. Matulevičius. A Systematic Approach to Define the Domain of Information System Security Risk Management. in Intentional Perspectives on Information Systems Engineering, Berlin, Springer, 2010. pp. 289-306.
9 N. Fenton and M. Neil. Risk Assessment and Decision Analysis with Bayesian Networks. Boca Raton: Taylor & Francis Group, 2013. 660 p.
10 L. Munoz-Gonzalez and E. C. Lupu. Bayesian Attack Graphs for Security Risk Assessment. in IST-153 Workshop on Cyber Resilience, Munich, 2017. URL : https://ceur-ws.org/Vol-2040/paper7.pdf.
11 Basel Committee on Banking Supervision . The Joint Forum: Outsourcing in Financial Services,” February 2005. URL : https://www.bis.org/publ/joint12.pdf.
12 European Banking Authority. Risk Assessment of the European Banking System, December 2018. URL : https://eba.europa.eu/documents/10180/2518651/Risk_Assessment_Report_December_2018.pdf.
13 L. Õunapuu, Kvalitatiivne ja Kvantitatiivne Uurimisviis Sotsiaalteadustes, Tartu: Tartu Ülikool, 2014. URL : https://dspace.ut.ee/server/api/core/bitstreams/3538e168-6012-4e90-8484-4bb59be8b14a/content.
14 A. Shameli-Sendi, R. Aghababaei-Barzegar, M. Cheriet. Taxonomy of Information Security Risk Assessment (ISRA). Computers & Security, vol. 57, 2016. pp. 14-30.
15 ISO/IEC. ISO/IEC 27005:2018 Information Technology - Security Techniques - Information Security Risk Management, 2018. URL : https://www.iso.org/standard/75281.html.
16 ISO/IEC. ISO/IEC 27000 family. ISO, May 2019. URL : https://www.iso.org/isoiec-27001-information-security.html.
17 National Institute of Standards and Technology. NIST Special Publication 800-30: Guide for Conducting Risk Assessment. NIST. Gaithersburg, 2012. URL : https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-30r1.pdf.
18 FAIR Institute. Measuring and Managing Information Risk: a FAIR Approach. URL : https://www.fairinstitute.org/fair-book.
19 R. A. Caralli, J. F. Stevens, L. R. Young, W. E. Wilson. Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process. Carnegie Mellon and Software Engineering Institute, 2007. URL : https://insights.sei.cmu.edu/documents/786/2007_005_001_14885.pdf.
20 COSO. Enterprise Risk Management - Integrated Framework. September 2004. URL : https://www.coso.org/Pages/erm-integratedframework.aspx.
21 Financial Sector Advisory Center of World Bank Group. Financial Sector's Cybersecurity: A Regulatory Digest,” October 2017. URL : 73 http://pubdocs.worldbank.org/en/524901513362019919/FinSAC-CybersecDigestOct-2017-Dec2017.pdf.
22 MITRE Corporation. MITRE ATTA&CK, 2018. URL : https://attack.mitre.org.
23 T. Casey. White Paper: Threat Agent Library Helps Identify Information Security Risks, September 2007. URL : https://pdfs.semanticscholar.org/391e/70510353ba762fa1580a6d9c002eefd2d86b.pdf.
24 ENISA. Threat Taxonomy. September 2016.URL : https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threat-landscape/threat-taxonomy/view.
25 MITRE Corporation. CVE Common Vulnerabilities and Exposures. MITRE Corporation, 2019. URL : https://cve.mitre.org.
26 National Institute of Standards and Technology. National Vulnerability Database. NIST. URL : https://nvd.nist.gov.
27 OWASP Foundation. OWASP Top 10, 2017. URL : https://www.owasp.org/images/7/72/OWASP_Top_10-017_%28en%29.pdf.pdf.
28 D. W. Hubbard. How to Measure Anything: Finding the Value of "Intangibles" in Business. Hoboken, New Jersey: John Wiley & Sons, Inc., 2007. URL : https://www.professionalwargaming.co.uk /HowToMeasureAnythingEd2DouglasWHubbard.pdf.
29 D. Kelly, C. Smith, Bayesian Inference for Probabilistic Risk Assessment: A Practitioner's Guidebook, London: Springer, 2011. URL : https://www.researchgate.net/publication/222596177_Bayesian_inference_in_probabilistic_risk_assessment-The_current_state_of_the_art.
30 M. Frigault, L. Wang, S. Jajodia and A. Singhal. Measuring the Overall Network Security by Combining CVSS Scores Based on Attack Graphs and Bayesian Networks. in Network Security Metrics, Switzerland, Springer International Publishing AG, 2017. p. 1-23.
31 U. B. Kjærulff and A. L. Madsen . Bayesian Networks and Influence Diagrams: A Guide to Construction and Analysis, vol. II, New York: Springer, 2013. URL : https://link.springer.com/book/10.1007/978-1-4614-5104-4.
32 S. Cullen, P. Seddon and L. P. Willcocks. Domberger's Theory of Contracting Applied to IT Outsourcing,” in Information Systems and Outsourcing, New York, Palgrave Macmillan, 2009, p. 130.
33 R. Pompon. IT Security Risk Control Management: an Audit Preparation Plan, Settle: Apress. 2016, p. 283-284.
34 Estonian Parliament. Riigi Teataja: Emergency Act. 1 July 2017. URL : https://www.riigiteataja.ee/en/eli/525062018014/consolide.
35 D. Singh. Outsourcing in Financial Services. Journal of Banking Regulation, vol. VI. no. 3, 2005. p. 202–204.
36 European Parliament and European Council. Directive 2014/65/EU "Markets in Financial Instruments Directive", 2014. URL : https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32014L0065&from=ET.
37 European Parliament and European Council. Directive 2015/2366/EU "Payment Service Directive 2",” 25 November 2015. URL : https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32015L2366&from=EN.
38 ENISA. Threat Landscape Report 2018 January 2019. URL : https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018.
39 Europol. Internet Organised Crime Threat Assessment (IOCTA). 2018. URL : https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2018.
40 OWASP Top 10 project. Official OWASP Top 10 Repository, 2017. URL : https://github.com/OWASP/Top10/tree/master/2017/datacall/analysis.
41 MITRE Corporation. CWE List Version 3.2. MITRE Corporation, 11 December 2018. URL : https://cwe.mitre.org/data/index.html.
42 MITRE Corporation. CWE-287: Improper Authentication. January 2019. URL : https://cwe.mitre.org/data/definitions/287.html.
43 MITRE Corporation. Seven Pernicious Kingdoms. 3 January 2019. URL : https://cwe.mitre.org/data/definitions/700.html.
44 Tenable Inc. The Nessus Family. 2019. URL : https://www.tenable.com/products/nessus.
45 Offensive Security. OpenVAS Vulnerability Scanning. 2019. URL : https://www.kali.org/penetration-testing/openvas-vulnerability-scanning/.
46 J. Pearl and T. S. Verma. A Theory of Inferred Causation. 1991. URL : https://ftp.cs.ucla.edu/pub/stat_ser/R156.pdf.
47 M. Scutari and J.-B. Denis, Bayesian Networks with Examples in R, London: CRC Press, 2015, p. 106-107.
Тип вмісту: Master Thesis
Розташовується у зібраннях:125 — кібербезпека

Файли цього матеріалу:
Файл Опис РозмірФормат 
КР магістра Дисевич_2023.pdfКваліфікаційна робота магістра2,66 MBAdobe PDFПереглянути/відкрити
Авторська_довідка_Дисевич_2023.pdfАвторська довідка204,41 kBAdobe PDFПереглянути/відкрити
Показати повний опис матеріалу Перегляд статистики


Усі матеріали в архіві електронних ресурсів захищені авторським правом, всі права збережені.

Інструменти адміністратора