1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека
Palun kasuta seda identifikaatorit viitamiseks ja linkimiseks: http://elartu.tntu.edu.ua/handle/lib/43312
Pealkiri: Порівняльний аналіз ризиків безпеки різних ІТ-інфраструктур для системи платіжних шлюзів
Teised pealkirjad: Comparative Analysis of Security Risks in Different IT Infrastructures for a Payment Gateway System
Autor: Козак, Володимир Іванович
Kozak, Volodymyr
Affiliation: Тернопільський національний технічний університет імені Івана Пулюя
Bibliographic description (Ukraine): Козак В. І. Порівняльний аналіз ризиків безпеки різних ІТ-інфраструктур для системи платіжних шлюзів: кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — кібербезпека“ / В. І. Козак. — Тернопіль: ТНТУ, 2023. — 82 с.
Ilmumisaasta: 28-det-2023
Date of entry: 3-jaa-2024
Kirjastaja: ТНТУ
Country (code): UA
Place of the edition/event: Тернопіль
Supervisor: Кульчицький, Тарас Русланович
Kulchytskyi, Taras
Committee members: Тиш, Євгенія Володимирівна
Tush, Yevheniia
Märksõnad: 125
кібербезпека
платіжна система
хакер
атака
платіжний шлюз
внутрішня інфраструктура
зовнішня інфраструктура
payment system
hacker
attack
payment gateway
internal infrastructure
external infrastructure
Number of pages: 82
Kokkuvõte: Кваліфікаційна робота присв’ячена розробці методів вибору процедур, які можна використати для виявлення відмінностей ризиків безпеки у внутрішній інфраструктурі та хмарній інфраструктурі. В роботі описано з методи і мови моделювання, використаних у дослідженні, представляючи обґрунтування обраного методу. Розглянуто типи платіжних шлюзів і огляд інфраструктур, використаних у дослідженні. Крім того, тут представлено корпоративну архітектуру внутрішньої та хмарної інфраструктури для визначення контексту та зв’язку бізнес-активів і допоміжних активів за допомогою моделювання корпоративної архітектури. Описано процес виявлення активів і представлено цілі безпеки бізнес-активів. У роботі увагу було зосереджено на пошуку загроз для активів інформаційної системи у внутрішній інфраструктурі та хмарній інфраструктурі за допомогою методу моделювання загроз STRIDE. Крім того, буде обговорено, як ризики будуть диференціюватись на основі міграції інфраструктури.
The qualification work is devoted to the development of procedures selection methods that can be used to identify the differences in security risks in on-premise infrastructure and cloud infrastructure. The paper describes the methods and modeling language used in the research, presenting the justification of the chosen method. The types of payment gateways and an overview of the infrastructures used in the study are considered. In addition, it presents the enterprise architecture of on-premises and cloud infrastructure to define the context and relationship of business assets and supporting assets using enterprise architecture modeling. The asset discovery process is described and the security objectives of business assets are presented. The work focused on finding threats to information system assets in internal infrastructure and cloud infrastructure using the STRIDE threat modeling method. In addition, it will be discussed how risks will be differentiated based on infrastructure migration.
Kirjeldus: Порівняльний аналіз ризиків безпеки різних ІТ-інфраструктур для системи платіжних шлюзів // Кваліфікаційна робота освітнього рівня «Магістр» // Козак Володимир Іванович // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБм-62 // Тернопіль, 2023 // C. 82, рис. – 16, табл. – 26, додат. 1 , бібліогр. – 58.
Content: ВСТУП ... 7 1 АНАЛІЗ ПРЕДМЕТНОЇ ОБЛАСТІ БЕЗПЕКИ ІТ-ІНФРАСТРУКТУРИ ПЛАТІЖНИХ ШЛЮЗІВ ... 9 1.1 Постановка задач дослідження ... 9 1.2 Стандарти управління ризиками безпеки ... 10 1.3 Методи управління ризиками безпеки ... 12 1.4 ISSRM і модель предметної області ... 15 1.5 Мови моделювання ... 17 1.6 Моделювання загроз ... 19 1.7 Висновок до першого розділу ... 24 2 АНАЛІЗ ІДЕНТИФІКАЦІЯ АКТИВІВ СИСТЕМИ ПЛАТІЖНИХ ШЛЮЗІВ ... 25 2.1 Система платіжних шлюзів ... 25 2.2 Ідентифікація активів системи платіжних шлюзів ... 35 2.3 Цілі безпеки бізнес-активів. ... 40 2.4 Системні активи системи платіжного шлюзу ... 42 2.5 Висновок до другого розділу ... 44 3 АНАЛІЗ РИЗИКІВ СИСТЕМИ ПЛАТІЖНИХ ШЛЮЗІВ ... 45 3.1 Огляд глобальних ризиків, пов’язаних із оплатою ... 45 3.2 Аналіз ризиків безпеки системи платіжного шлюзу. ... 46 3.3 Аналіз загрози та наслідків на основі. ... 48 3.4 Висновок до третього розділу ... 63 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ ... 64 4.1 Загальна характеристика приміщення і робочого місця ... 64 4.2 Аналіз потенційно небезпечних і шкідливих виробничих факторів на робочому місці ... 66 4.3 Висновок до четвертого розділу ... 74 ВИСНОВКИ ... 76 ПЕРЕЛІК ВИКОРИСТАНИХ ДЖЕРЕЛ ... 77 ДОДАТОК А
URI: http://elartu.tntu.edu.ua/handle/lib/43312
Copyright owner: © Козак Володимир Іванович, 2023
References (Ukraine): 1 12 Benefits of Cloud Computing and Its Advantages. Salesforce.com. URL : https://www.salesforce.com/products/platform/best-practices/benefits-of-cloud-computing/.
2 RightScale. RightScale 2018 State of the Cloud Report, 2018. URL : https://www.suse.com/media/report/rightscale_2018_state_of_the_cloud_report.pdf
3 Gartner.com. Gartner Identifies the Top 10 Trends Impacting Infrastructure and Operations for 2019. Gartner , 2018. URL : https://www.gartner.com/en/newsroom /press-releases/2018-12-04-gartner-identifies-the-top-10-trends-impacting-infras.
4 Network Security Infrastructure Report. Netscout, 2018. URL : https://www.netscout.com/report/.
5 R. Matulevičius, Fundamentals of secure system modelling. Cham: Springer, 2017. URL : https://www.researchgate.net/publication/321502403_Fundamentals _of_Secure_System _Modelling.
5 R. Matulevičius, Fundamentals of secure system modelling. Cham: Springer, 2017. URL : https://www.researchgate.net/publication/321502403_Fundamentals _of_Secure_System _Modelling.
6 R. M. Blank and P. D. Gallagher. Guide for conducting risk assessments. 2012. URL : https://mpra.ub.uni-muenchen.de/83659/1/MPRA_paper_83659.pdf.
7 Managing Risk in the Cloud. in Cloud Computing Security, Taylor & Francis Group, 6000 Broken Sound Parkway NW, Suite 300, Boca Raton, FL 33487-2742: CRC Press. 2016. p. 79–86.
8 PCI DSS Quick Reference Guide,” p. 1–40. URL : https://listings.pcisecuritystandards.org/documents/PCI_DSS-QRG-v3_2_1.pdf.
9 H. Bahtit, B. Regragui. Risk Management for ISO 27005 Decision support. Int. J. Innov. Res. Sci. Eng. Technol., vol. 2, 2013. URL : https://docplayer.net/21261061-Risk-management-for-iso-27005-decision-support-hanane-bahtit-1-boubker-regragui-2.html
10 V. Agrawal. A Framework for the Information Classification in ISO 27005 Standard. 2017 IEEE 4th International Conference on Cyber Security and Cloud Computing (CSCloud). New York. NY, 2017. p. 264-269.
11 IT-Grundschutz - Information Security Management.” URL : https://www.tuvit.de/en/services/information-security-management/it-grundschutz.
12 ISO/IEC 27005:2018(en), Information technology — Security techniques — Information security risk management. URL : https://www.iso.org/obp/ui/#iso:std:iso-iec:27005:ed-3:v1:en.
13 M. S. Lund, B. Solhaug, and K. Stølen. Model-driven risk analysis : the CORAS approach". Springer, 2010. p. 22-28.
14 N. Mayer, J. Aubert, E. Grandry, C. Feltus, E. Goettelmann and R. Wieringa. An integrated conceptual model for information system security risk management supported by enterprise architecture management. Software & Systems Modeling, 2018. p. 32-38.
15 F. Vraalsen, T. Mahler, M.S. Lund, I. Hogganvik, F. Braber, K. Stølen. Assessing Enterprise Risk Level: The CORAS approach. in Advances in Enterprise Information Technology Security, IGI Global, 1AD, 2018. p. 311–333.
16 CLUSIF. MEHARI-2010-Reference-Manual of Mehari, 2010 Knowledge Base". 2010. 128 p.
17 N. Mayer, P. Heymans, and R. Matulevičius, (2007). Design of a Modelling Language for Information System Security Risk Management, 1st International Conference on Research Challenges in Information Science, 2007. p. 121-132.
18 C. Alberts, A. Dorofee, J. Stevens and C. Woody. Introduction to the OCTAVE® Approach. Carnegie Mellon University, 2003 URL : https://www.itgovernance.co.uk/files/Octave.pdf.
19 A. Tewari. Comparison between ISO 27005, OCTAVE & NIST SP 800-30 - SISA Information Security. SISA Information Security. URL : https://www.sisainfosec.com/blogs/comparison-between-iso-27005-octave-nist-sp-800-30/
20 Z. Jourdan, R. Rainer, Jr., T. Marshall and F. Ford. An Investigation Of Organizational Information Security Risk Analysis. Journal of Service Science (JSS), vol. 3. no. 2, 2010. p. 38-46.
21 N. Al-Safwani, S. Hassan, and N. Katuk. A Multiple Attribute Decision Making for Improving Information Security Control Assessment. Int. J. Comput. Appl., vol. 89. no. 3, 2014. p. 19–24.
22 O. Altuhhova, R. Matulevičius, and N. Ahmed. An Extension of Business Process Model and Notation for Security Risk Management. Int. J. Inf. Syst. Model. Des. vol. 4 . no. 4, 2013. p. 93–113.
23 M. Välja. Improving IT Architecture Modeling Through Automation : Cyber Security Analysis of Smart Grids. PhD dissertation. Stockholm, 2018. p. 32-44.
24 P. Koning, I-to-i.nl, 2017. URL : https://www.i-to-i.nl/wp-content/uploads/2017/04/Risk-Modeling-With-ArchiMate-Pascal-de-Koning-mrt2017.pdf.
25 Opengroup.org. ArchiMate® 3.0.1 Specification. URL : http://pubs.opengroup.org/architecture/ArchiMate3-doc/chap03.html.
26 T. Sommestad, M. Ekstedt, and H. Holm. The Cyber Security Modeling Language: A Tool for Assessing the Vulnerability of Enterprise System Architectures. IEEE Syst. J. vol. 7. no. 3, 2013. p. 363–373.
27 H. Holm, K. Shahzad, M. Buschle and M. Ekstedt. P2CySeMoL: Predictive, Probabilistic Cyber Security Modeling Language. in IEEE Transactions on Dependable and Secure Computing. vol. 12. no. 6, 2015. p. 626-639.
28 Foreseeti. SecuriLang Reference Manual -. URL : https://community.securicad.com/securilang-reference-manual/.
29 H. Shafiq, K. Asif, A. Shabir, R. Ghulam, and I. Sajid. Threat Modelling Methodologies: A Survey. 2014. URL : https://www.academia.edu /29215191/threat_modelling_methodologies_a_survey.
30 Shostack A. Threat modeling: Designing for Security. Wiley, 2014. p. 35-46.
31 A. Obot. Security Risk Management of E-commerce Systems. University of Tartu, 2018. p. 34-39.
32 F. Innerhofer-Oberperfler and R. Breu. Using an Enterprise Architecture for IT Risk Management. ISSA, 2006. p. 34-42.
33 N. Alhebaishi, L. Wang, S. Jajodia, and A. Singhal. Threat modeling for cloud data center infrastructures. in Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics). vol. 10128 LNCS, 2017. p. 302–319.
34 K. Singh and J. Aggarwal. Fear of cloud computing: Identifying risks involved using STRIDE. Troindia.in, 2017. URL : http://troindia.in/journal/ ijcesr/vol4iss11/23-30.pdf.
35 R. Matulevičius, A. Norta, C. Udokwu, and R. Nõukas. Security risk management in the aviation turnaround sector. Lect. Notes Comput. Sci. (including Subser. Lect. Notes Artif. Intell. Lect. Notes Bioinformatics). vol. 10018 LNCS, 2016. p. 119–140.
36 J. Janulevičius. Method of Information Security Risk Analysis for Virtualized Systems. Vilnius Gediminas Technical University, 2016. p. 1–112.
37 I. Tovstukha. Management of Security Risks in the Enterprise Architecture using ArchiMate and Mal-activities. University of Tartu, 2017. p. 32-42.
38 W. Engelsman, B. Christophe Feltus, S. González Paredes, D. Diligens Jim Hietala, T. Open Group Henk Jonkers, and B. Sebastien Massart. Modeling Enterprise Risk Management and Security with the ArchiMate ® Language. 2015. p. 32-46.
39 Alexsoft. How to integrate payment gateways and choose a provider. 2019, URL : https://www.altexsoft.com/blog/business/how-to-choose-and-integrate-payment-gateway-online-payments-transaction-processing-and-payment-gateways-providers/.
40 P. Smirnoff. Understanding Hardware Security Modules (HSMs). 2017. URL : https://www.cryptomathic.com/news-events/blog/understanding-hardware-security-modules -hsms.
41 C. Wueest, M. Ballano Barcena, and L. O’brien. Mistakes in the IaaS Cloud could put your data at risk. Symantec, 2015. p. 32-38.
42 Zubair Lone and Aaqib Iqbal Wani. A Survey of Security Issues and Attacks in Cloud and their possible defences, 2017. p. 32-39.
43 T. Erl, R. Puttini, and Z. Mahmood, Cloud computing : concepts, technology, and architecture (1st ed.). Prentice Hall Press, 2013. p. 86-92.
44 T. Shinder. What Does Shared Responsibility in the Cloud Mean?. Microsoft Azure, 2018. URL : https://blogs.msdn.microsoft.com/azuresecurity/ 2016/04/18/what-does-shared-responsibility-in-the-cloud-mean/.
45 H. Jonkers, M. M. Lankhorst, H. W. L. Ter Doest, F. Arbab, H. Bosma, and R. J. Wieringa. Enterprise architecture: Management tool and blueprint for the organisation. Inf Syst Front, vol. 8, 2006. p. 63–66.
46 44 U.S. Code § 3542. Legal Information Institute. URL : https://www.law.cornell.edu/uscode/text/44/3542.
47 Linda Pesante. Introduction to Information Security, 2008. URL : https://cyberdivision.net/2017/10/09/introduction-to-information-security/.
48 Statista. Digital buyers worldwide 2021 | Statistic. URL : https://www.statista.com/statistics/251666/number-of-digital-buyers-worldwide/.
49 Verizon. PCI Compliance Report. URL : http://www.verizonenterprise.com/resources/report/rp_pci-report-2015_en_xg.pdf.
50 J. Vijayan. After Target, Neiman Marcus breaches, does PCI compliance mean anything? | Computerworld. 2014. URL : https://www.computerworld.com/article/2486879/data-security/after-target--neiman-marcus-breaches--does-pci-compliance-mean-anything-.html.
51 A.W. Coburn, J. Daffron, A.Smith, J. Bordeau, É.Leverett, S. Sweeney, T. Harvey. Cyber Risk Outlook 2018. Centre for Risk Studies, University of Cambridge, 2018. p. 74-82.
52 Varonis Data Lab, “2018 Global data risk report," 2018 URL : https://info.varonis.com/hubfs/2018 Varonis Global Data Risk Report.pdf.
53 L. Irwin. Lessons to learn from recent payment card breaches - IT Governance Blog. URL : https://www.itgovernance.co.uk/blog/pci-dss-lessons-to-learn-from-recent-payment-card-breaches.
54 SecurityMetrics 2017 SecurityMetrics Guide To PCI DSS COMPLIANCE, 2017. URL : https://www.securitymetrics.com/static/resources/orange/2017-securitymetrics-pci-guide.pdf.
55 Cybersecurity Insiders. Insider Threats CA Technologies, 2018. URL : https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf.
56 S. Dhar. Code Execution and Privilege Escalation – Databases, 2016 URL : https://resources.infosecinstitute.com/code-execution-and-privilege-escalation-databases/#gref.
57 N. Alhebaishi, L. Wang, S. Jajodia, and A. Singhal. Threat Modeling for Cloud Data Center Infrastructures. 2016. URL : https://ws680.nist.gov/publication/get_pdf.cfm?pub_id=921695.
58 P. Mell and T. Grance, Cloud Computing Security Essentials and Architecture. The NIST Definition of Cloud Computing: National Institute of Standards and Technology, Information Technology Laboratory, 2018. 16 p.
Content type: Master Thesis
Asub kollektsiooni(de)s:125 — кібербезпека

Failid selles objektis:
Fail Kirjeldus SuurusFormaat 
Авторська_довідка_Козак_2023.pdfАвторська довідка236,74 kBAdobe PDFVaata/Ava
КР магістра Козак_2023.pdfКваліфікаційна робота магістра2,44 MBAdobe PDFVaata/Ava
Näita täiskirjet Vaata statistikat


Kõik teosed on Dspaces autoriõiguste kaitse all.

Admin vahendid