1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека
Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал: http://elartu.tntu.edu.ua/handle/lib/43312
Назва: Порівняльний аналіз ризиків безпеки різних ІТ-інфраструктур для системи платіжних шлюзів
Інші назви: Comparative Analysis of Security Risks in Different IT Infrastructures for a Payment Gateway System
Автори: Козак, Володимир Іванович
Kozak, Volodymyr
Приналежність: Тернопільський національний технічний університет імені Івана Пулюя
Бібліографічний опис: Козак В. І. Порівняльний аналіз ризиків безпеки різних ІТ-інфраструктур для системи платіжних шлюзів: кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — кібербезпека“ / В. І. Козак. — Тернопіль: ТНТУ, 2023. — 82 с.
Дата публікації: 28-гру-2023
Дата внесення: 3-січ-2024
Видавництво: ТНТУ
Країна (код): UA
Місце видання, проведення: Тернопіль
Науковий керівник: Кульчицький, Тарас Русланович
Kulchytskyi, Taras
Члени комітету: Тиш, Євгенія Володимирівна
Tush, Yevheniia
Теми: 125
кібербезпека
платіжна система
хакер
атака
платіжний шлюз
внутрішня інфраструктура
зовнішня інфраструктура
payment system
hacker
attack
payment gateway
internal infrastructure
external infrastructure
Кількість сторінок: 82
Короткий огляд (реферат): Кваліфікаційна робота присв’ячена розробці методів вибору процедур, які можна використати для виявлення відмінностей ризиків безпеки у внутрішній інфраструктурі та хмарній інфраструктурі. В роботі описано з методи і мови моделювання, використаних у дослідженні, представляючи обґрунтування обраного методу. Розглянуто типи платіжних шлюзів і огляд інфраструктур, використаних у дослідженні. Крім того, тут представлено корпоративну архітектуру внутрішньої та хмарної інфраструктури для визначення контексту та зв’язку бізнес-активів і допоміжних активів за допомогою моделювання корпоративної архітектури. Описано процес виявлення активів і представлено цілі безпеки бізнес-активів. У роботі увагу було зосереджено на пошуку загроз для активів інформаційної системи у внутрішній інфраструктурі та хмарній інфраструктурі за допомогою методу моделювання загроз STRIDE. Крім того, буде обговорено, як ризики будуть диференціюватись на основі міграції інфраструктури.
The qualification work is devoted to the development of procedures selection methods that can be used to identify the differences in security risks in on-premise infrastructure and cloud infrastructure. The paper describes the methods and modeling language used in the research, presenting the justification of the chosen method. The types of payment gateways and an overview of the infrastructures used in the study are considered. In addition, it presents the enterprise architecture of on-premises and cloud infrastructure to define the context and relationship of business assets and supporting assets using enterprise architecture modeling. The asset discovery process is described and the security objectives of business assets are presented. The work focused on finding threats to information system assets in internal infrastructure and cloud infrastructure using the STRIDE threat modeling method. In addition, it will be discussed how risks will be differentiated based on infrastructure migration.
Опис: Порівняльний аналіз ризиків безпеки різних ІТ-інфраструктур для системи платіжних шлюзів // Кваліфікаційна робота освітнього рівня «Магістр» // Козак Володимир Іванович // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБм-62 // Тернопіль, 2023 // C. 82, рис. – 16, табл. – 26, додат. 1 , бібліогр. – 58.
Зміст: ВСТУП ... 7 1 АНАЛІЗ ПРЕДМЕТНОЇ ОБЛАСТІ БЕЗПЕКИ ІТ-ІНФРАСТРУКТУРИ ПЛАТІЖНИХ ШЛЮЗІВ ... 9 1.1 Постановка задач дослідження ... 9 1.2 Стандарти управління ризиками безпеки ... 10 1.3 Методи управління ризиками безпеки ... 12 1.4 ISSRM і модель предметної області ... 15 1.5 Мови моделювання ... 17 1.6 Моделювання загроз ... 19 1.7 Висновок до першого розділу ... 24 2 АНАЛІЗ ІДЕНТИФІКАЦІЯ АКТИВІВ СИСТЕМИ ПЛАТІЖНИХ ШЛЮЗІВ ... 25 2.1 Система платіжних шлюзів ... 25 2.2 Ідентифікація активів системи платіжних шлюзів ... 35 2.3 Цілі безпеки бізнес-активів. ... 40 2.4 Системні активи системи платіжного шлюзу ... 42 2.5 Висновок до другого розділу ... 44 3 АНАЛІЗ РИЗИКІВ СИСТЕМИ ПЛАТІЖНИХ ШЛЮЗІВ ... 45 3.1 Огляд глобальних ризиків, пов’язаних із оплатою ... 45 3.2 Аналіз ризиків безпеки системи платіжного шлюзу. ... 46 3.3 Аналіз загрози та наслідків на основі. ... 48 3.4 Висновок до третього розділу ... 63 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ ... 64 4.1 Загальна характеристика приміщення і робочого місця ... 64 4.2 Аналіз потенційно небезпечних і шкідливих виробничих факторів на робочому місці ... 66 4.3 Висновок до четвертого розділу ... 74 ВИСНОВКИ ... 76 ПЕРЕЛІК ВИКОРИСТАНИХ ДЖЕРЕЛ ... 77 ДОДАТОК А
URI (Уніфікований ідентифікатор ресурсу): http://elartu.tntu.edu.ua/handle/lib/43312
Власник авторського права: © Козак Володимир Іванович, 2023
Перелік літератури: 1 12 Benefits of Cloud Computing and Its Advantages. Salesforce.com. URL : https://www.salesforce.com/products/platform/best-practices/benefits-of-cloud-computing/.
2 RightScale. RightScale 2018 State of the Cloud Report, 2018. URL : https://www.suse.com/media/report/rightscale_2018_state_of_the_cloud_report.pdf
3 Gartner.com. Gartner Identifies the Top 10 Trends Impacting Infrastructure and Operations for 2019. Gartner , 2018. URL : https://www.gartner.com/en/newsroom /press-releases/2018-12-04-gartner-identifies-the-top-10-trends-impacting-infras.
4 Network Security Infrastructure Report. Netscout, 2018. URL : https://www.netscout.com/report/.
5 R. Matulevičius, Fundamentals of secure system modelling. Cham: Springer, 2017. URL : https://www.researchgate.net/publication/321502403_Fundamentals _of_Secure_System _Modelling.
5 R. Matulevičius, Fundamentals of secure system modelling. Cham: Springer, 2017. URL : https://www.researchgate.net/publication/321502403_Fundamentals _of_Secure_System _Modelling.
6 R. M. Blank and P. D. Gallagher. Guide for conducting risk assessments. 2012. URL : https://mpra.ub.uni-muenchen.de/83659/1/MPRA_paper_83659.pdf.
7 Managing Risk in the Cloud. in Cloud Computing Security, Taylor & Francis Group, 6000 Broken Sound Parkway NW, Suite 300, Boca Raton, FL 33487-2742: CRC Press. 2016. p. 79–86.
8 PCI DSS Quick Reference Guide,” p. 1–40. URL : https://listings.pcisecuritystandards.org/documents/PCI_DSS-QRG-v3_2_1.pdf.
9 H. Bahtit, B. Regragui. Risk Management for ISO 27005 Decision support. Int. J. Innov. Res. Sci. Eng. Technol., vol. 2, 2013. URL : https://docplayer.net/21261061-Risk-management-for-iso-27005-decision-support-hanane-bahtit-1-boubker-regragui-2.html
10 V. Agrawal. A Framework for the Information Classification in ISO 27005 Standard. 2017 IEEE 4th International Conference on Cyber Security and Cloud Computing (CSCloud). New York. NY, 2017. p. 264-269.
11 IT-Grundschutz - Information Security Management.” URL : https://www.tuvit.de/en/services/information-security-management/it-grundschutz.
12 ISO/IEC 27005:2018(en), Information technology — Security techniques — Information security risk management. URL : https://www.iso.org/obp/ui/#iso:std:iso-iec:27005:ed-3:v1:en.
13 M. S. Lund, B. Solhaug, and K. Stølen. Model-driven risk analysis : the CORAS approach". Springer, 2010. p. 22-28.
14 N. Mayer, J. Aubert, E. Grandry, C. Feltus, E. Goettelmann and R. Wieringa. An integrated conceptual model for information system security risk management supported by enterprise architecture management. Software & Systems Modeling, 2018. p. 32-38.
15 F. Vraalsen, T. Mahler, M.S. Lund, I. Hogganvik, F. Braber, K. Stølen. Assessing Enterprise Risk Level: The CORAS approach. in Advances in Enterprise Information Technology Security, IGI Global, 1AD, 2018. p. 311–333.
16 CLUSIF. MEHARI-2010-Reference-Manual of Mehari, 2010 Knowledge Base". 2010. 128 p.
17 N. Mayer, P. Heymans, and R. Matulevičius, (2007). Design of a Modelling Language for Information System Security Risk Management, 1st International Conference on Research Challenges in Information Science, 2007. p. 121-132.
18 C. Alberts, A. Dorofee, J. Stevens and C. Woody. Introduction to the OCTAVE® Approach. Carnegie Mellon University, 2003 URL : https://www.itgovernance.co.uk/files/Octave.pdf.
19 A. Tewari. Comparison between ISO 27005, OCTAVE & NIST SP 800-30 - SISA Information Security. SISA Information Security. URL : https://www.sisainfosec.com/blogs/comparison-between-iso-27005-octave-nist-sp-800-30/
20 Z. Jourdan, R. Rainer, Jr., T. Marshall and F. Ford. An Investigation Of Organizational Information Security Risk Analysis. Journal of Service Science (JSS), vol. 3. no. 2, 2010. p. 38-46.
21 N. Al-Safwani, S. Hassan, and N. Katuk. A Multiple Attribute Decision Making for Improving Information Security Control Assessment. Int. J. Comput. Appl., vol. 89. no. 3, 2014. p. 19–24.
22 O. Altuhhova, R. Matulevičius, and N. Ahmed. An Extension of Business Process Model and Notation for Security Risk Management. Int. J. Inf. Syst. Model. Des. vol. 4 . no. 4, 2013. p. 93–113.
23 M. Välja. Improving IT Architecture Modeling Through Automation : Cyber Security Analysis of Smart Grids. PhD dissertation. Stockholm, 2018. p. 32-44.
24 P. Koning, I-to-i.nl, 2017. URL : https://www.i-to-i.nl/wp-content/uploads/2017/04/Risk-Modeling-With-ArchiMate-Pascal-de-Koning-mrt2017.pdf.
25 Opengroup.org. ArchiMate® 3.0.1 Specification. URL : http://pubs.opengroup.org/architecture/ArchiMate3-doc/chap03.html.
26 T. Sommestad, M. Ekstedt, and H. Holm. The Cyber Security Modeling Language: A Tool for Assessing the Vulnerability of Enterprise System Architectures. IEEE Syst. J. vol. 7. no. 3, 2013. p. 363–373.
27 H. Holm, K. Shahzad, M. Buschle and M. Ekstedt. P2CySeMoL: Predictive, Probabilistic Cyber Security Modeling Language. in IEEE Transactions on Dependable and Secure Computing. vol. 12. no. 6, 2015. p. 626-639.
28 Foreseeti. SecuriLang Reference Manual -. URL : https://community.securicad.com/securilang-reference-manual/.
29 H. Shafiq, K. Asif, A. Shabir, R. Ghulam, and I. Sajid. Threat Modelling Methodologies: A Survey. 2014. URL : https://www.academia.edu /29215191/threat_modelling_methodologies_a_survey.
30 Shostack A. Threat modeling: Designing for Security. Wiley, 2014. p. 35-46.
31 A. Obot. Security Risk Management of E-commerce Systems. University of Tartu, 2018. p. 34-39.
32 F. Innerhofer-Oberperfler and R. Breu. Using an Enterprise Architecture for IT Risk Management. ISSA, 2006. p. 34-42.
33 N. Alhebaishi, L. Wang, S. Jajodia, and A. Singhal. Threat modeling for cloud data center infrastructures. in Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics). vol. 10128 LNCS, 2017. p. 302–319.
34 K. Singh and J. Aggarwal. Fear of cloud computing: Identifying risks involved using STRIDE. Troindia.in, 2017. URL : http://troindia.in/journal/ ijcesr/vol4iss11/23-30.pdf.
35 R. Matulevičius, A. Norta, C. Udokwu, and R. Nõukas. Security risk management in the aviation turnaround sector. Lect. Notes Comput. Sci. (including Subser. Lect. Notes Artif. Intell. Lect. Notes Bioinformatics). vol. 10018 LNCS, 2016. p. 119–140.
36 J. Janulevičius. Method of Information Security Risk Analysis for Virtualized Systems. Vilnius Gediminas Technical University, 2016. p. 1–112.
37 I. Tovstukha. Management of Security Risks in the Enterprise Architecture using ArchiMate and Mal-activities. University of Tartu, 2017. p. 32-42.
38 W. Engelsman, B. Christophe Feltus, S. González Paredes, D. Diligens Jim Hietala, T. Open Group Henk Jonkers, and B. Sebastien Massart. Modeling Enterprise Risk Management and Security with the ArchiMate ® Language. 2015. p. 32-46.
39 Alexsoft. How to integrate payment gateways and choose a provider. 2019, URL : https://www.altexsoft.com/blog/business/how-to-choose-and-integrate-payment-gateway-online-payments-transaction-processing-and-payment-gateways-providers/.
40 P. Smirnoff. Understanding Hardware Security Modules (HSMs). 2017. URL : https://www.cryptomathic.com/news-events/blog/understanding-hardware-security-modules -hsms.
41 C. Wueest, M. Ballano Barcena, and L. O’brien. Mistakes in the IaaS Cloud could put your data at risk. Symantec, 2015. p. 32-38.
42 Zubair Lone and Aaqib Iqbal Wani. A Survey of Security Issues and Attacks in Cloud and their possible defences, 2017. p. 32-39.
43 T. Erl, R. Puttini, and Z. Mahmood, Cloud computing : concepts, technology, and architecture (1st ed.). Prentice Hall Press, 2013. p. 86-92.
44 T. Shinder. What Does Shared Responsibility in the Cloud Mean?. Microsoft Azure, 2018. URL : https://blogs.msdn.microsoft.com/azuresecurity/ 2016/04/18/what-does-shared-responsibility-in-the-cloud-mean/.
45 H. Jonkers, M. M. Lankhorst, H. W. L. Ter Doest, F. Arbab, H. Bosma, and R. J. Wieringa. Enterprise architecture: Management tool and blueprint for the organisation. Inf Syst Front, vol. 8, 2006. p. 63–66.
46 44 U.S. Code § 3542. Legal Information Institute. URL : https://www.law.cornell.edu/uscode/text/44/3542.
47 Linda Pesante. Introduction to Information Security, 2008. URL : https://cyberdivision.net/2017/10/09/introduction-to-information-security/.
48 Statista. Digital buyers worldwide 2021 | Statistic. URL : https://www.statista.com/statistics/251666/number-of-digital-buyers-worldwide/.
49 Verizon. PCI Compliance Report. URL : http://www.verizonenterprise.com/resources/report/rp_pci-report-2015_en_xg.pdf.
50 J. Vijayan. After Target, Neiman Marcus breaches, does PCI compliance mean anything? | Computerworld. 2014. URL : https://www.computerworld.com/article/2486879/data-security/after-target--neiman-marcus-breaches--does-pci-compliance-mean-anything-.html.
51 A.W. Coburn, J. Daffron, A.Smith, J. Bordeau, É.Leverett, S. Sweeney, T. Harvey. Cyber Risk Outlook 2018. Centre for Risk Studies, University of Cambridge, 2018. p. 74-82.
52 Varonis Data Lab, “2018 Global data risk report," 2018 URL : https://info.varonis.com/hubfs/2018 Varonis Global Data Risk Report.pdf.
53 L. Irwin. Lessons to learn from recent payment card breaches - IT Governance Blog. URL : https://www.itgovernance.co.uk/blog/pci-dss-lessons-to-learn-from-recent-payment-card-breaches.
54 SecurityMetrics 2017 SecurityMetrics Guide To PCI DSS COMPLIANCE, 2017. URL : https://www.securitymetrics.com/static/resources/orange/2017-securitymetrics-pci-guide.pdf.
55 Cybersecurity Insiders. Insider Threats CA Technologies, 2018. URL : https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf.
56 S. Dhar. Code Execution and Privilege Escalation – Databases, 2016 URL : https://resources.infosecinstitute.com/code-execution-and-privilege-escalation-databases/#gref.
57 N. Alhebaishi, L. Wang, S. Jajodia, and A. Singhal. Threat Modeling for Cloud Data Center Infrastructures. 2016. URL : https://ws680.nist.gov/publication/get_pdf.cfm?pub_id=921695.
58 P. Mell and T. Grance, Cloud Computing Security Essentials and Architecture. The NIST Definition of Cloud Computing: National Institute of Standards and Technology, Information Technology Laboratory, 2018. 16 p.
Тип вмісту: Master Thesis
Розташовується у зібраннях:125 — кібербезпека

Файли цього матеріалу:
Файл Опис РозмірФормат 
Авторська_довідка_Козак_2023.pdfАвторська довідка236,74 kBAdobe PDFПереглянути/відкрити
КР магістра Козак_2023.pdfКваліфікаційна робота магістра2,44 MBAdobe PDFПереглянути/відкрити
Показати повний опис матеріалу Перегляд статистики


Усі матеріали в архіві електронних ресурсів захищені авторським правом, всі права збережені.

Інструменти адміністратора