1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека, Кібербезпека та захист інформації
Veuillez utiliser cette adresse pour citer ce document : http://elartu.tntu.edu.ua/handle/lib/43312
Affichage complet
Élément Dublin CoreValeurLangue
dc.contributor.advisorКульчицький, Тарас Русланович-
dc.contributor.advisorKulchytskyi, Taras-
dc.contributor.authorКозак, Володимир Іванович-
dc.contributor.authorKozak, Volodymyr-
dc.date.accessioned2024-01-03T09:12:38Z-
dc.date.available2024-01-03T09:12:38Z-
dc.date.issued2023-12-28-
dc.identifier.citationКозак В. І. Порівняльний аналіз ризиків безпеки різних ІТ-інфраструктур для системи платіжних шлюзів: кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — кібербезпека“ / В. І. Козак. — Тернопіль: ТНТУ, 2023. — 82 с.uk_UA
dc.identifier.urihttp://elartu.tntu.edu.ua/handle/lib/43312-
dc.descriptionПорівняльний аналіз ризиків безпеки різних ІТ-інфраструктур для системи платіжних шлюзів // Кваліфікаційна робота освітнього рівня «Магістр» // Козак Володимир Іванович // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБм-62 // Тернопіль, 2023 // C. 82, рис. – 16, табл. – 26, додат. 1 , бібліогр. – 58.uk_UA
dc.description.abstractКваліфікаційна робота присв’ячена розробці методів вибору процедур, які можна використати для виявлення відмінностей ризиків безпеки у внутрішній інфраструктурі та хмарній інфраструктурі. В роботі описано з методи і мови моделювання, використаних у дослідженні, представляючи обґрунтування обраного методу. Розглянуто типи платіжних шлюзів і огляд інфраструктур, використаних у дослідженні. Крім того, тут представлено корпоративну архітектуру внутрішньої та хмарної інфраструктури для визначення контексту та зв’язку бізнес-активів і допоміжних активів за допомогою моделювання корпоративної архітектури. Описано процес виявлення активів і представлено цілі безпеки бізнес-активів. У роботі увагу було зосереджено на пошуку загроз для активів інформаційної системи у внутрішній інфраструктурі та хмарній інфраструктурі за допомогою методу моделювання загроз STRIDE. Крім того, буде обговорено, як ризики будуть диференціюватись на основі міграції інфраструктури.uk_UA
dc.description.abstractThe qualification work is devoted to the development of procedures selection methods that can be used to identify the differences in security risks in on-premise infrastructure and cloud infrastructure. The paper describes the methods and modeling language used in the research, presenting the justification of the chosen method. The types of payment gateways and an overview of the infrastructures used in the study are considered. In addition, it presents the enterprise architecture of on-premises and cloud infrastructure to define the context and relationship of business assets and supporting assets using enterprise architecture modeling. The asset discovery process is described and the security objectives of business assets are presented. The work focused on finding threats to information system assets in internal infrastructure and cloud infrastructure using the STRIDE threat modeling method. In addition, it will be discussed how risks will be differentiated based on infrastructure migration.uk_UA
dc.description.tableofcontentsВСТУП ... 7 1 АНАЛІЗ ПРЕДМЕТНОЇ ОБЛАСТІ БЕЗПЕКИ ІТ-ІНФРАСТРУКТУРИ ПЛАТІЖНИХ ШЛЮЗІВ ... 9 1.1 Постановка задач дослідження ... 9 1.2 Стандарти управління ризиками безпеки ... 10 1.3 Методи управління ризиками безпеки ... 12 1.4 ISSRM і модель предметної області ... 15 1.5 Мови моделювання ... 17 1.6 Моделювання загроз ... 19 1.7 Висновок до першого розділу ... 24 2 АНАЛІЗ ІДЕНТИФІКАЦІЯ АКТИВІВ СИСТЕМИ ПЛАТІЖНИХ ШЛЮЗІВ ... 25 2.1 Система платіжних шлюзів ... 25 2.2 Ідентифікація активів системи платіжних шлюзів ... 35 2.3 Цілі безпеки бізнес-активів. ... 40 2.4 Системні активи системи платіжного шлюзу ... 42 2.5 Висновок до другого розділу ... 44 3 АНАЛІЗ РИЗИКІВ СИСТЕМИ ПЛАТІЖНИХ ШЛЮЗІВ ... 45 3.1 Огляд глобальних ризиків, пов’язаних із оплатою ... 45 3.2 Аналіз ризиків безпеки системи платіжного шлюзу. ... 46 3.3 Аналіз загрози та наслідків на основі. ... 48 3.4 Висновок до третього розділу ... 63 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ ... 64 4.1 Загальна характеристика приміщення і робочого місця ... 64 4.2 Аналіз потенційно небезпечних і шкідливих виробничих факторів на робочому місці ... 66 4.3 Висновок до четвертого розділу ... 74 ВИСНОВКИ ... 76 ПЕРЕЛІК ВИКОРИСТАНИХ ДЖЕРЕЛ ... 77 ДОДАТОК Аuk_UA
dc.language.isoukuk_UA
dc.publisherТНТУuk_UA
dc.subject125uk_UA
dc.subjectкібербезпекаuk_UA
dc.subjectплатіжна системаuk_UA
dc.subjectхакерuk_UA
dc.subjectатакаuk_UA
dc.subjectплатіжний шлюзuk_UA
dc.subjectвнутрішня інфраструктураuk_UA
dc.subjectзовнішня інфраструктураuk_UA
dc.subjectpayment systemuk_UA
dc.subjecthackeruk_UA
dc.subjectattackuk_UA
dc.subjectpayment gatewayuk_UA
dc.subjectinternal infrastructureuk_UA
dc.subjectexternal infrastructureuk_UA
dc.titleПорівняльний аналіз ризиків безпеки різних ІТ-інфраструктур для системи платіжних шлюзівuk_UA
dc.title.alternativeComparative Analysis of Security Risks in Different IT Infrastructures for a Payment Gateway Systemuk_UA
dc.typeMaster Thesisuk_UA
dc.rights.holder© Козак Володимир Іванович, 2023uk_UA
dc.contributor.committeeMemberТиш, Євгенія Володимирівна-
dc.contributor.committeeMemberTush, Yevheniia-
dc.coverage.placenameТернопільuk_UA
dc.format.pages82-
dc.relation.references1 12 Benefits of Cloud Computing and Its Advantages. Salesforce.com. URL : https://www.salesforce.com/products/platform/best-practices/benefits-of-cloud-computing/.uk_UA
dc.relation.references2 RightScale. RightScale 2018 State of the Cloud Report, 2018. URL : https://www.suse.com/media/report/rightscale_2018_state_of_the_cloud_report.pdfuk_UA
dc.relation.references3 Gartner.com. Gartner Identifies the Top 10 Trends Impacting Infrastructure and Operations for 2019. Gartner , 2018. URL : https://www.gartner.com/en/newsroom /press-releases/2018-12-04-gartner-identifies-the-top-10-trends-impacting-infras.uk_UA
dc.relation.references4 Network Security Infrastructure Report. Netscout, 2018. URL : https://www.netscout.com/report/.uk_UA
dc.relation.references5 R. Matulevičius, Fundamentals of secure system modelling. Cham: Springer, 2017. URL : https://www.researchgate.net/publication/321502403_Fundamentals _of_Secure_System _Modelling.uk_UA
dc.relation.references5 R. Matulevičius, Fundamentals of secure system modelling. Cham: Springer, 2017. URL : https://www.researchgate.net/publication/321502403_Fundamentals _of_Secure_System _Modelling.uk_UA
dc.relation.references6 R. M. Blank and P. D. Gallagher. Guide for conducting risk assessments. 2012. URL : https://mpra.ub.uni-muenchen.de/83659/1/MPRA_paper_83659.pdf.uk_UA
dc.relation.references7 Managing Risk in the Cloud. in Cloud Computing Security, Taylor & Francis Group, 6000 Broken Sound Parkway NW, Suite 300, Boca Raton, FL 33487-2742: CRC Press. 2016. p. 79–86.uk_UA
dc.relation.references8 PCI DSS Quick Reference Guide,” p. 1–40. URL : https://listings.pcisecuritystandards.org/documents/PCI_DSS-QRG-v3_2_1.pdf.uk_UA
dc.relation.references9 H. Bahtit, B. Regragui. Risk Management for ISO 27005 Decision support. Int. J. Innov. Res. Sci. Eng. Technol., vol. 2, 2013. URL : https://docplayer.net/21261061-Risk-management-for-iso-27005-decision-support-hanane-bahtit-1-boubker-regragui-2.htmluk_UA
dc.relation.references10 V. Agrawal. A Framework for the Information Classification in ISO 27005 Standard. 2017 IEEE 4th International Conference on Cyber Security and Cloud Computing (CSCloud). New York. NY, 2017. p. 264-269.uk_UA
dc.relation.references11 IT-Grundschutz - Information Security Management.” URL : https://www.tuvit.de/en/services/information-security-management/it-grundschutz.uk_UA
dc.relation.references12 ISO/IEC 27005:2018(en), Information technology — Security techniques — Information security risk management. URL : https://www.iso.org/obp/ui/#iso:std:iso-iec:27005:ed-3:v1:en.uk_UA
dc.relation.references13 M. S. Lund, B. Solhaug, and K. Stølen. Model-driven risk analysis : the CORAS approach". Springer, 2010. p. 22-28.uk_UA
dc.relation.references14 N. Mayer, J. Aubert, E. Grandry, C. Feltus, E. Goettelmann and R. Wieringa. An integrated conceptual model for information system security risk management supported by enterprise architecture management. Software & Systems Modeling, 2018. p. 32-38.uk_UA
dc.relation.references15 F. Vraalsen, T. Mahler, M.S. Lund, I. Hogganvik, F. Braber, K. Stølen. Assessing Enterprise Risk Level: The CORAS approach. in Advances in Enterprise Information Technology Security, IGI Global, 1AD, 2018. p. 311–333.uk_UA
dc.relation.references16 CLUSIF. MEHARI-2010-Reference-Manual of Mehari, 2010 Knowledge Base". 2010. 128 p.uk_UA
dc.relation.references17 N. Mayer, P. Heymans, and R. Matulevičius, (2007). Design of a Modelling Language for Information System Security Risk Management, 1st International Conference on Research Challenges in Information Science, 2007. p. 121-132.uk_UA
dc.relation.references18 C. Alberts, A. Dorofee, J. Stevens and C. Woody. Introduction to the OCTAVE® Approach. Carnegie Mellon University, 2003 URL : https://www.itgovernance.co.uk/files/Octave.pdf.uk_UA
dc.relation.references19 A. Tewari. Comparison between ISO 27005, OCTAVE & NIST SP 800-30 - SISA Information Security. SISA Information Security. URL : https://www.sisainfosec.com/blogs/comparison-between-iso-27005-octave-nist-sp-800-30/uk_UA
dc.relation.references20 Z. Jourdan, R. Rainer, Jr., T. Marshall and F. Ford. An Investigation Of Organizational Information Security Risk Analysis. Journal of Service Science (JSS), vol. 3. no. 2, 2010. p. 38-46.uk_UA
dc.relation.references21 N. Al-Safwani, S. Hassan, and N. Katuk. A Multiple Attribute Decision Making for Improving Information Security Control Assessment. Int. J. Comput. Appl., vol. 89. no. 3, 2014. p. 19–24.uk_UA
dc.relation.references22 O. Altuhhova, R. Matulevičius, and N. Ahmed. An Extension of Business Process Model and Notation for Security Risk Management. Int. J. Inf. Syst. Model. Des. vol. 4 . no. 4, 2013. p. 93–113.uk_UA
dc.relation.references23 M. Välja. Improving IT Architecture Modeling Through Automation : Cyber Security Analysis of Smart Grids. PhD dissertation. Stockholm, 2018. p. 32-44.uk_UA
dc.relation.references24 P. Koning, I-to-i.nl, 2017. URL : https://www.i-to-i.nl/wp-content/uploads/2017/04/Risk-Modeling-With-ArchiMate-Pascal-de-Koning-mrt2017.pdf.uk_UA
dc.relation.references25 Opengroup.org. ArchiMate® 3.0.1 Specification. URL : http://pubs.opengroup.org/architecture/ArchiMate3-doc/chap03.html.uk_UA
dc.relation.references26 T. Sommestad, M. Ekstedt, and H. Holm. The Cyber Security Modeling Language: A Tool for Assessing the Vulnerability of Enterprise System Architectures. IEEE Syst. J. vol. 7. no. 3, 2013. p. 363–373.uk_UA
dc.relation.references27 H. Holm, K. Shahzad, M. Buschle and M. Ekstedt. P2CySeMoL: Predictive, Probabilistic Cyber Security Modeling Language. in IEEE Transactions on Dependable and Secure Computing. vol. 12. no. 6, 2015. p. 626-639.uk_UA
dc.relation.references28 Foreseeti. SecuriLang Reference Manual -. URL : https://community.securicad.com/securilang-reference-manual/.uk_UA
dc.relation.references29 H. Shafiq, K. Asif, A. Shabir, R. Ghulam, and I. Sajid. Threat Modelling Methodologies: A Survey. 2014. URL : https://www.academia.edu /29215191/threat_modelling_methodologies_a_survey.uk_UA
dc.relation.references30 Shostack A. Threat modeling: Designing for Security. Wiley, 2014. p. 35-46.uk_UA
dc.relation.references31 A. Obot. Security Risk Management of E-commerce Systems. University of Tartu, 2018. p. 34-39.uk_UA
dc.relation.references32 F. Innerhofer-Oberperfler and R. Breu. Using an Enterprise Architecture for IT Risk Management. ISSA, 2006. p. 34-42.uk_UA
dc.relation.references33 N. Alhebaishi, L. Wang, S. Jajodia, and A. Singhal. Threat modeling for cloud data center infrastructures. in Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics). vol. 10128 LNCS, 2017. p. 302–319.uk_UA
dc.relation.references34 K. Singh and J. Aggarwal. Fear of cloud computing: Identifying risks involved using STRIDE. Troindia.in, 2017. URL : http://troindia.in/journal/ ijcesr/vol4iss11/23-30.pdf.uk_UA
dc.relation.references35 R. Matulevičius, A. Norta, C. Udokwu, and R. Nõukas. Security risk management in the aviation turnaround sector. Lect. Notes Comput. Sci. (including Subser. Lect. Notes Artif. Intell. Lect. Notes Bioinformatics). vol. 10018 LNCS, 2016. p. 119–140.uk_UA
dc.relation.references36 J. Janulevičius. Method of Information Security Risk Analysis for Virtualized Systems. Vilnius Gediminas Technical University, 2016. p. 1–112.uk_UA
dc.relation.references37 I. Tovstukha. Management of Security Risks in the Enterprise Architecture using ArchiMate and Mal-activities. University of Tartu, 2017. p. 32-42.uk_UA
dc.relation.references38 W. Engelsman, B. Christophe Feltus, S. González Paredes, D. Diligens Jim Hietala, T. Open Group Henk Jonkers, and B. Sebastien Massart. Modeling Enterprise Risk Management and Security with the ArchiMate ® Language. 2015. p. 32-46.uk_UA
dc.relation.references39 Alexsoft. How to integrate payment gateways and choose a provider. 2019, URL : https://www.altexsoft.com/blog/business/how-to-choose-and-integrate-payment-gateway-online-payments-transaction-processing-and-payment-gateways-providers/.uk_UA
dc.relation.references40 P. Smirnoff. Understanding Hardware Security Modules (HSMs). 2017. URL : https://www.cryptomathic.com/news-events/blog/understanding-hardware-security-modules -hsms.uk_UA
dc.relation.references41 C. Wueest, M. Ballano Barcena, and L. O’brien. Mistakes in the IaaS Cloud could put your data at risk. Symantec, 2015. p. 32-38.uk_UA
dc.relation.references42 Zubair Lone and Aaqib Iqbal Wani. A Survey of Security Issues and Attacks in Cloud and their possible defences, 2017. p. 32-39.uk_UA
dc.relation.references43 T. Erl, R. Puttini, and Z. Mahmood, Cloud computing : concepts, technology, and architecture (1st ed.). Prentice Hall Press, 2013. p. 86-92.uk_UA
dc.relation.references44 T. Shinder. What Does Shared Responsibility in the Cloud Mean?. Microsoft Azure, 2018. URL : https://blogs.msdn.microsoft.com/azuresecurity/ 2016/04/18/what-does-shared-responsibility-in-the-cloud-mean/.uk_UA
dc.relation.references45 H. Jonkers, M. M. Lankhorst, H. W. L. Ter Doest, F. Arbab, H. Bosma, and R. J. Wieringa. Enterprise architecture: Management tool and blueprint for the organisation. Inf Syst Front, vol. 8, 2006. p. 63–66.uk_UA
dc.relation.references46 44 U.S. Code § 3542. Legal Information Institute. URL : https://www.law.cornell.edu/uscode/text/44/3542.uk_UA
dc.relation.references47 Linda Pesante. Introduction to Information Security, 2008. URL : https://cyberdivision.net/2017/10/09/introduction-to-information-security/.uk_UA
dc.relation.references48 Statista. Digital buyers worldwide 2021 | Statistic. URL : https://www.statista.com/statistics/251666/number-of-digital-buyers-worldwide/.uk_UA
dc.relation.references49 Verizon. PCI Compliance Report. URL : http://www.verizonenterprise.com/resources/report/rp_pci-report-2015_en_xg.pdf.uk_UA
dc.relation.references50 J. Vijayan. After Target, Neiman Marcus breaches, does PCI compliance mean anything? | Computerworld. 2014. URL : https://www.computerworld.com/article/2486879/data-security/after-target--neiman-marcus-breaches--does-pci-compliance-mean-anything-.html.uk_UA
dc.relation.references51 A.W. Coburn, J. Daffron, A.Smith, J. Bordeau, É.Leverett, S. Sweeney, T. Harvey. Cyber Risk Outlook 2018. Centre for Risk Studies, University of Cambridge, 2018. p. 74-82.uk_UA
dc.relation.references52 Varonis Data Lab, “2018 Global data risk report," 2018 URL : https://info.varonis.com/hubfs/2018 Varonis Global Data Risk Report.pdf.uk_UA
dc.relation.references53 L. Irwin. Lessons to learn from recent payment card breaches - IT Governance Blog. URL : https://www.itgovernance.co.uk/blog/pci-dss-lessons-to-learn-from-recent-payment-card-breaches.uk_UA
dc.relation.references54 SecurityMetrics 2017 SecurityMetrics Guide To PCI DSS COMPLIANCE, 2017. URL : https://www.securitymetrics.com/static/resources/orange/2017-securitymetrics-pci-guide.pdf.uk_UA
dc.relation.references55 Cybersecurity Insiders. Insider Threats CA Technologies, 2018. URL : https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf.uk_UA
dc.relation.references56 S. Dhar. Code Execution and Privilege Escalation – Databases, 2016 URL : https://resources.infosecinstitute.com/code-execution-and-privilege-escalation-databases/#gref.uk_UA
dc.relation.references57 N. Alhebaishi, L. Wang, S. Jajodia, and A. Singhal. Threat Modeling for Cloud Data Center Infrastructures. 2016. URL : https://ws680.nist.gov/publication/get_pdf.cfm?pub_id=921695.uk_UA
dc.relation.references58 P. Mell and T. Grance, Cloud Computing Security Essentials and Architecture. The NIST Definition of Cloud Computing: National Institute of Standards and Technology, Information Technology Laboratory, 2018. 16 p.uk_UA
dc.contributor.affiliationТернопільський національний технічний університет імені Івана Пулюяuk_UA
dc.coverage.countryUAuk_UA
Collection(s) :125 — кібербезпека, Кібербезпека та захист інформації

Fichier(s) constituant ce document :
Fichier Description TailleFormat 
Авторська_довідка_Козак_2023.pdfАвторська довідка236,74 kBAdobe PDFVoir/Ouvrir
КР магістра Козак_2023.pdfКваліфікаційна робота магістра2,44 MBAdobe PDFVoir/Ouvrir
Affichage abbrégé


Tous les documents dans DSpace sont protégés par copyright, avec tous droits réservés.

Outils d'administration