for information technologies security evaluation for automated banking systems of Ukraine

Authors

  • Сергей Петрович Евсеев Харьковский национальный экономический университет им. С. Кузнеца

DOI:

https://doi.org/10.18372/2225-5036.22.11103

Keywords:

automated banking system, banking information, information technology, methodology, synergetic model of threats, information security, cyber security

Abstract

Modern automated banking systems (ABS) are daily exposed to attacks in cyberspace and in the different levels of technical protection of information systems. Particularly acute security issues not only of critical transactions and banking operations, but also protection the full range of banking information (BIn). Therefore, the invention of new sophisticated attacks by criminals and techniques to implement them on the automated banking systems necessitates further improvement of legal and methodological base, devoted to security assessment of information technologies (IT) ABS. Based on the scientific and technical analysis of the best international and national standards and guidelines in the field of information security management, in an article for the first time disclosed a completely new methodology for security evaluation of Ukraine's IT security ABS. A characteristic feature of the proposed methodology is that, in contrast to conventional approaches, the basis of security assessment of Ukraine's IT ABS is developed synergetic model of security threats BIn. The proposed methodology allows to consider all spectrum of the most pressing threats to cyber security, information security and information security of Ukraine's IT ABS and on the basis of the synergistic evaluation to design, implement and maintain secure IT ABS.

Author Biography

Сергей Петрович Евсеев, Харьковский национальный экономический университет им. С. Кузнеца

Дата и место рождения: 1969, Харцызск, Донецкая обл., Украина.

Образование: Харьковский военный университет, 2002 р.

Должность: доцент кафедры информационных систем с 2007.

Научные интересы: информационная безопасность и кибербезопасность в банковскихсистемах.

Публикации: более 180 научных публикаций включая монографии, книги, статьи и патенты.

References

Hryshchuk R. The synergetic approach for providing bank information security: the problem formulation // R. Hryshchuk, S. Yevseiev / Безпека інформації. – 2016. – № 22 (1). – С. 64 – 74. – doi:10.18372/2225-5036.22.10456

Грищук Р. В. Основи кібернетичної безпе-ки : Монографія / Р.В. Грищук, Ю.Г. Даник; за заг. ред. проф. Ю.Г. Даника. – Житомир : ЖНАЕУ, 2016. – 636 с.

Sun L., Srivastava R. P., Mock T. J. An Infor-mation Systems Security Risk Assessment Model under Dempster-Shafer Theory of Belief Functions // [Элек-тронный ресурс]. – Режим доступа к ресурсу: http://www.tandfonline.com/doi/abs/10.2753/MIS0742-1222220405. – doi: 10.2753/mis0742-1222220405

Потий А.В. Концепция стратегического управления информационной безопасностью // А. В. Потий, Д.Ю. Пилипенко / Радіоелектронні і комп’ютерні системи. 2010. – № 6 (47). – С. 53 – 58.

Потий А.В. Классификация показателей безопасности информации // А.В. Потий, Д.Ю. Пилипенко / Системи обробки інформації, 2010. Вип. 3(84). – С. 53 – 56.

Горбенко И.Д. Критерии и методология оценки безопасности информационных техноло-гий// И.Д. Горбенко, А.В. Потий, П.И. Терещенко / [Электронный ресурс]. – 2000. – Режим доступа к ресурсу: http://www.bezpeka.com/ru/lib/spec/

infsys/art108.html.

Trusted Computer Systems Evaluation crite-ria, US DoD 5200.28-STD, 1985.

Information Technology Security Evaluation Criteria, v. 1.2. Office for Official publications of the European Communities, 1991.

Canadian Trusted Computer Product Evalua-tion Criteria, v. 3.0. Canadian System Security Centre, Communications Security Establishment, Government of Canada, 1993.

Federal Criteria for Information Technology security. – NIST, NSA, US Government, 1993.

ISO/IEC 15408-1:2009 – Information technol-ogy – Security techniques – Evaluation criteria for IT security – Part1: Introduction and general model. man-agement [Электронный ресурс]. – Режим доступа: http://www.iso.org/iso/catalogue_detail.htm?

csnumber=50341

ISO/IEC 15408-2:2008 – Information technol-ogy – Security techniques – Evaluation criteria for IT security – Part 2: Security functional requirements. [Электронный ресурс]. – Режим доступа:

http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=46414

ISO/IEC 15408-3:2008 – Information technol-ogy – Security techniques – Evaluation criteria for IT security – Part 3: Security assurance requirements. [Электронный ресурс]. – Режим доступа:

http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=46413

ДСТУ ISO/IEC TR 13335-1:2003 Iнформацiйнi технологiї. Настанови з керування безпекою інформаційних технологій. Частина 1. Концепцiї та моделi безпеки інформаційних технологій. [Электронный ресурс]. – Режим доступа: ttp://lindex.net.ua/ua/shop/bibl/500/doc/11423

ДСТУ ISO/IEC TR 13335-2:2003 Iнформацiйнi технологiї. Частина 2. Настанови з керування безпекою iнформацiйних технологiй. [Электронный ресурс]. – Режим доступа:

http://www.premier-hs.com.ua/ru/content/dstu-isoiec-tr-13335-22003-nastanovi-z-kieruvannia-biezpiekoiu-informatsiinikh-tiekhnologhii

ДСТУ ISO/IEC TR 13335-3:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 3. Методи керування захистом інформаційних технологій. [Электронный ресурс]. – Режим доступа: http://lindex.net.ua/ua/shop/bibl/500/doc/11425

ДСТУ ISO/IEC TR 13335-4:2005 Інформаційні технології. Настанови з управлiння безпекою інформаційних технологій. Частина 4. Вибирання засобiв захисту. [Электронный ресурс]. – Режим доступа http://metrology.com.ua/download/ iso-iec-ohsas-i-dr/61-iso/290-dstu-iso-iec-tr-13335-4-2005.

ДСТУ ISO/IEC TR 13335-5:2005 Інформаційні технології. Настанови з управлiння безпекою інформаційних технологій. Частина 5. Настанова з управлiння мережною безпекою. [Элек-тронный ресурс]. – Режим доступа:

http://lindex.net.ua/ua/shop/bibl/500/doc/11427.

ISO/IEC 27001:2013 Information technology – Security techniques – Information security manage-ment systems – Requirements. [Электронный ресурс]. – Режим доступа: http://www.iso.org/iso/home/ store/catalogue_tc/catalogue_detail.htm?csnumber=54534.

ISO/IEC 27002:2013 – Information technolo-gy -- Security techniques – Code of practice for infor-mation security controls. [Электронный ресурс]. – Режим доступа: http://www.iso.org/iso/home/store/ catalogue_tc/catalogue_detail.htm?csnumber=54533

ISO/IEC 27006:2015 – Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems [Электронный ресурс]. – Режим доступа к ресурсу: http://www.iso.org/iso/home/search

.htm?qt=ISO%2FIEC+27006%3A2015+&sort=rel&type=simple&published=on.

Стандарт України СОУ Н НБУ 65.1 СУІБ 1.0:2010. Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2005, MOD). [Электронный ресурс]. – Режим доступа: https://kyianyn.files. wordpress.com/2010/12/nbu-27001.pdf

Стандарт України СОУ Н НБУ 65.1 СУІБ 1.0:2010. Інформаційні технології. Методи захисту. Звід правил для управління інформаційною безпе-кою (ISO/IEC 27002:2005, MOD) [Электр. ресурс]. – Режим доступа: http://s-byte.com/useful/27002.pdf

СЕМ-97/017. Common Evaluation Method-ology for Information Technology Security – Part 1: Introduction and general model.

Зегжда Д. Как построить защищенную информационную систему / Д. Зегжда, А. Ивашко. – СПб : Мир и семья - 95, 1997. – 312 с.

Методичні рекомендації щодо впровад-ження системи управління інформаційною безпе-кою та методики оцінки ризиків відповідно до стандартів Національного банку України [Текст]: лист департаменту інформатизації Національного банку України банкам України від 03 березня 2011 р. № 24-112/365. – К.: НБУ, 2011.

Потій О.В. Дослідження методів оцінки ризиків безпеці інформації та розробка пропозицій з їх вдосконалення на основі системного підходу // О.В. Потій, А.В. Лєншин / Збірник наукових праць ХУПС, 2010. Вип. 2(24). – С.85 –91.

ISO/IEC 27005:2011 – Information technolo-gy – Security techniques – Information security risk management [Электр. ресурс]. – Режим доступа: http://www.iso.org/iso/ru/catalogue_detail?csnumber=56742

Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. ГОСТ Р ИСО/МЭК 15408-2-2008 [Электронный ресурс]. – Режим доступа к ресурсу:http://primorsky.ru/authorities/executive-agencies/departments/

informationsecurity/Documents/doki-po-ib/

Кобзарь М. Методология оценки безопас-ности информационных технологий по общим критериям // М. Кобзарь, А. Сидак / Информационный бюлетень Jet Info. 2004. Вып. 6(133). – С. 2 – 16.

Руководящий документ. Безопасность информационных технологий. Общая методология оценки безопасности информационных технологий. Проект [Электронный ресурс]. – Режим доступу к ресурсу: http://fstec.ru/component/attachments/293

РС БР ИББС-2.2-2009. Методика оценки рисков нарушения информационной безопасности. [Электронный ресурс]. – Режим доступа к ресурсу: http://www.cbr.ru/credit/gubzi_docs/st22_09.pdf

Постанова Правління Національного банку України від 18 червня 2003 року № 254 «Про затвердження Положення про організацію операційної діяльності в банках України», К: НБУ., 2003. – 28 с.

Корченко А. О. Банківська безпека. / А.О. Корченко, Л.М. Скачек, В.О. Хорошко. – К. : ПВП «Задруга». – 2014. – 185 с.

Іванченко І. С. Забезпечення інформаційної безпеки держави. / І.С. Іванченко, В.О. Хорошко, Ю.Є. Хохлачова, Д.В. Чирков. – К. : ПВП «Задруга», 2013. – 170 с.

Published

2016-11-30

Issue

Section

Information Security Management