1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека, Кібербезпека та захист інформації
Please use this identifier to cite or link to this item: http://elartu.tntu.edu.ua/handle/lib/48318
Title: Розробка методології для оцінки ризиків інформаційної безпеки для агрохолдингу
Other Titles: Development of a Methodology for Information Security Risk Assessment for an Agricultural Holding
Authors: Костюк, Катерина Олегівна
Kostiuk, Kateryna
Affiliation: ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Bibliographic description (Ukraine): Костюк К. О. Розробка методології для оцінки ризиків інформаційної безпеки для агрохолдингу : робота на здобуття кваліфікаційного ступеня магістра: спец. 125 - Кібербезпека та захист інформації / наук. кер. Н. В. Загородна. Тернопіль : Тернопільський національний технічний університет імені Івана Пулюя, 2024. 84 с.
Issue Date: 1-Jan-2025
Date of entry: 18-Mar-2025
Country (code): UA
Place of the edition/event: ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна
Supervisor: Загородна, Наталія Володимирівна
Zagorodna, Nataliya
Committee members: Никитюк, В’ячеслав В’ячеславович
Nykytiuk, Viacheslav
Keywords: risk management
information security
information technology
information assets
risk assessment
likelihood
controls
impact
Abstract: Кваліфікаційна робота присвячена розробці методології для оцінки ризиків інформаційної безпеки агрохолдингу. У роботі розглянуто сучасні методології оцінки ризиків, такі як ISO/IEC 27005, FAIR та DoCRA, і їх застосування в контексті оцінки ризиків інформаційної безпеки. Запропонована методологія розроблена відповідно до вимог замовника, яким є "Контінентал Фармерс Груп". Методологія включає розробку критеріїв оцінки, моделювання ризиків, обробку та документування. Апробація методології проведена на прикладі аграрного підприємства, що дозволило протестувати її ефективність у реальних умовах. Результати дослідження мають вагоме практичне значення для фахівців у сфері інформаційної безпеки, адже розроблена методологія, завдяки своїй гнучкості, може бути адаптована до потреб організацій різною галузевою специфікою, забезпечуючи універсальність та широкі можливості застосування. The qualifying work is devoted to the development of a methodology for assessing the information security risks of an agricultural holding. The paper considers modern risk assessment methodologies, such as ISO/IEC 27005, FAIR and DoCRA, and their application in the context of information security risk assessment. The proposed methodology was developed in accordance with the requirements of the client, Continental Farmers Group. The methodology encompasses the development of assessment criteria, risk modeling, risk treatment, and documentation. Its testing was conducted on an agricultural enterprise, allowing its effectiveness to be evaluated in real-world conditions. The results of the research hold significant practical value for information security professionals, as the developed methodology, owing to its flexibility, can be adapted to the needs of organizations across various industries, ensuring its versatility and broad applicability.
Description: Розробка методології для оцінки ризиків інформаційної безпеки для агрохолдингу // ОР «Магістр» // Костюк Катерина Олегівна // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБм-62 // Тернопіль, 2024 // С. 84, рис. – 18, табл. – 0 , кресл. – 0, додат. – 4.
Content: ВСТУП 9 РОЗДІЛ 1 МЕТОДИ ОЦІНКИ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 11 1.1 Поняття ризиків інформаційної безпеки 11 1.2 Управління ризиками в інформаційній безпеці 12 1.3 Процес оцінки ризиків інформаційної безпеки 14 1.4 Аналіз існуючих методологій для оцінки ризиків інформаційної безпеки 17 РОЗДІЛ 2 РОЗРОБКА МЕТОДОЛОГІЇ ДЛЯ ОЦІНКИ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ДЛЯ АГРОХОЛДИНГУ 22 2.1 Опис запропонованої методології 22 2.2 Принципи та практики методології 23 2.3 Розробка критеріїв оцінки ризику 24 2.3.1 Визначення категорій та показників впливу 24 2.3.2 Визначення критеріїв властивого ризику 26 2.3.3 Визначення критеріїв очікуваності 26 2.3.4 Визначення критеріїв прийнятність ризику 28 2.4 Моделювання та оцінка ризиків 28 2.5 Оцінка рекомендованих контролів 30 2.6 Обробка ризиків 32 2.7 Моніторинг і повторна оцінка ризиків 34 2.8 Документування та звітування 35 РОЗДІЛ 3 ПРАКТИЧНЕ ВИКОРИСТАННЯ РОЗРОБЛЕНОЇ МЕТОДОЛОГІЇ ДЛЯ ОЦІНКИ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ НА ПРИКЛАДІ АГРОХОЛДИНГУ 38 3.1 Визначення місії, зобов’язань, операційних і фінансових цілей агрохолдингу 38 3.2 Заповнення реєстру ризиків інформаційної безпеки за розробленою методологією 40 3.2.1 Визначення відповідності між активами та контрольними заходами 41 3.2.2 Деталізація класів активів для визначення відповідностей контролям 47 3.1.3 Визначення показника зрілості контрольних заходів 49 3.1.4 Визначення критеріїв впливу 53 3.1.5 Визначення рівня ризику 57 3.2 Оцінка розробленої методології та перспективи вдосконалення 63 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 65 4.1 Охорона праці 65 4.2 Безпека в надзвичайних ситуаціях 67 ВИСНОВКИ 71 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 73 Додаток А Публікація 76 Додаток Б Перелік контролів ДСТУ ISO/IEC 27001:2023 78 Додаток В Перелік визначених індексів VCDB в розрізі класів активів 82 Додаток Г Співвідношення оцінки рівнів зрілості контролів до індексів VCDB для визначення очікуваності 84
URI: http://elartu.tntu.edu.ua/handle/lib/48318
Copyright owner: © Костюк Катерина Олегівна, 2024
References (Ukraine): 1. Гросул В. А., Усова М. О. Ризик: сутність, причини виникнення та основні види. Економічний простір № 176, 2021. С.58-64. DOI: https://doi.org/10.32782/2224-6282/176-9
2. Ілляшко К.В. Інформаційна безпека обліково-аналітичних процесів. URL: http://feb.tsatu.edu.ua/wp-content/uploads/2019/01/5-1-1.pdf
3. Карпович І.М., Гладка О.М., Наконечна Ю.А. Аналіз ризиків безпеки інформаційної системи ІТ-підприємства // Вчені записки ТНУ імені В.І. Вернадського. Серія: технічні науки. 2020. №5. Т. 31 (70). С. 69-74
4. Гончаров М.В. Дослідження поняття «інформаційна безпека» Серія ПРАВО. Науковий вісник Ужгородського Національного Університету, 2024. Випуск 82: частина 1. DOI: https://doi.org/10.24144/2307-3322.2024.82.1.4
5. Акімова Н. С., Кирильєва Л. О., Наумова Т. А. Інформаційна безпека підприємств торгівлі в умовах становлення глобального інформаційного суспільства. Підприємництво і торгівля : збірник наукових праць. № 35 (2023). DOI: https://doi.org/10.32782/2522-1256-2023-35-01
6. Що таке інформаційна безпека (InfoSec)? Сайт: URL: https://www.microsoft.com/uk-ua/security/business/security-101/what-is-information-security-infosec
7. Скіцько Олексій, Ширшов Роман. Система управління інформаційної безпеки як інструмент підвищення захищеності та ефективності об’єктів критичної інфраструктури. International Science Journal of Engineering & Agriculture. Vol. 2, No. 6, 2023, pp. 12-22. doi: 10.46299/j.isjea.20230206.02
8. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56.
9. Яцків Н.Г., Вівчар Д.В. Аналіз підходів до оцінки ризиків. Матеріали науково-практична конференція молодих вчених, аспірантів та студентів «Кібербезпека та комп’ютерно-інтегровані технології» (КБКІТ – 2022), Тернопіль, 2022. – С. 10-12.
10. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220.
11. Сидоренко В.; Положенцев А. Метод управління ІТ-загрозами на об’єктах критичної інформаційної інфраструктури. Наукоємні технології, 2024, 62.2: 143-153.
12. Mishko, O., Matiuk, D., & Derkach, M. (2024). Security of remote iot system management by integrating firewall configuration into tunneled traffic. Вісник Тернопільського національного технічного університету, 115(3), 122-129.
13. Користін О. О. Щодо дослідження систем та методологій управління ризиками у сфері кібербезпеки. Напрям № 1 Воєнна наука. Національна безпека, 2024, 29. URL: http://repositsc.nuczu.edu.ua/bitstream/123456789/20834/1/zbirnyk_tez_22.05.2024.pdf#page=29
14. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning methods. CEUR Workshop Proceedings, 3842, pp. 184 - 195.
15. ISO 31000:2018. ISO. URL: https://www.iso.org/iso-31000-risk-management.html (дата звернення: 15.10.2024).
16. Lypa, B., Horyn, I., Zagorodna, N., Tymoshchuk, D., Lechachenko T., (2024). Comparison of feature extraction tools for network traffic data. CEUR Workshop Proceedings, 3896, pp. 1-11.
17. VERIS Community Database (VCDB). Інформаційна база даних для реєстрації подій та обміну інформацією про інциденти. URL: https://veriscommunity.net (дата звернення: 22.10.2024).
18. The VERIS Framework. The VERIS Framework. URL: https://verisframework.org (date of access: 22.10.2024).
19. Derkach, M., Skarga-Bandurova, I., Matiuk, D., & Zagorodna, N. (2022, December). Autonomous quadrotor flight stabilisation based on a complementary filter and a PID controller. In 2022 12th International Conference on Dependable Systems, Services and Technologies (DESSERT) (pp. 1-7). IEEE.
20. Закон України “Про охорону праці” від 14.10.92 р. № 2694-XII. URL: https://zakon.rada.gov.ua/laws/show/2694-12#Text (дата звернення: 24.11.2024).
21. Державні санітарні правила і норми роботи з візуальними дисплейними терміналами електронно-обчислювальних машин. URL: https:// https://zakon.rada.gov.ua/rada/show/v0007282-98#Text (дата звернення: 24.11.2024).
22. Портал Єдиної державної електронної системи у сфері будівництва - ДБН В.2.5-67:2013 "Опалення, вентиляція та кондиціонування". URL: https://e-construction.gov.ua/laws_detail/3074971619479783152?doc_type=2 (дата звернення: 25.11.2024).
23. Про затвердження Правил безпечної експлуатації електроустановок споживачів (ДНАОП 0.00-1.21-98). URL: https://zakon.rada.gov.ua/laws/show/z0093-98#Text (дата звернення: 26.11.2024).
24. Про затвердження Правил улаштування та експлуатації систем оповіщення про пожежу та управління евакуацією людей в будинках та спорудах. URL:https://zakon.rada.gov.ua/laws/show/z0506-09#Text (дата звернення: 26.11.2024).
25. Про затвердження Типового положення про навчання з питань охорони праці. URL:https://zakon.rada.gov.ua/laws/show/z0506-09#Text (дата звернення: 27.11.2024).
26. Про затвердження Положення про державну систему моніторингу довкілля. URL: https://zakon.rada.gov.ua/laws/show/391-98-%D0%BF#Text (дата звернення: 28.11.2024).
Content type: Master Thesis
Appears in Collections:125 — кібербезпека, Кібербезпека та захист інформації

Files in This Item:
File Description SizeFormat 
Master_Thesis__SB-62_Kostiuk_K_O_2024.pdf990,1 kBAdobe PDFView/Open
Show full item record


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Admin Tools