Методологія оцінювання безпеки інформаційних технологій автоматизованих банківських систем України
DOI:
https://doi.org/10.18372/2225-5036.22.11103Ключові слова:
автоматизована банківська система, банківська інформація, інформаційна технологія, методологія, синергетична модель загроз, інформаційна безпека, кібербезпека, безпека інформаціїАнотація
Сучасні автоматизовані банківські системи (АБС) щодня піддаються атакам як в кіберпросторі, так і на різних рівнях технічних систем захисту інформації. Особливо гостро стоять питання забезпечення безпеки не тільки критичних транзакцій і банківських операцій, але і захисту всього комплексу банківської інформації (БІн). Тому винахід злочинцями нових витончених атак і технік їх реалізації на автоматизовані банківські системи обумовлює необхідність подальшого вдосконалення правової та методологічний бази, присвяченій питанням оцінювання безпеки інформаційних технологій (ІТ) АБС. Спираючись на науково-технічний аналіз кращих світових і національних стандартів, а також керівних документів в галузі управління інформаційною безпекою (ІБ), в статті вперше розкривається зовсім нова методологія оцінювання безпеки ІТ АБС України. Характерною особливістю запропонованої методології є те, що на відміну від відомих підходів, базисом оцінювання безпеки ІТ АБС України є розроблена синергетична модель загроз безпеки БІн. Запропонована методологія дозволяє враховувати практично весь спектр найбільш актуальних загроз кібербезпеки, інформаційної безпеки та безпеки інформації ІТ АБС України, а на основі отриманої синергетичної оцінки розробляти, впроваджувати та супроводжувати безпечні ІТ АБС.
Посилання
Hryshchuk R. The synergetic approach for providing bank information security: the problem formulation // R. Hryshchuk, S. Yevseiev / Безпека інформації. – 2016. – № 22 (1). – С. 64 – 74. – doi:10.18372/2225-5036.22.10456
Грищук Р. В. Основи кібернетичної безпе-ки : Монографія / Р.В. Грищук, Ю.Г. Даник; за заг. ред. проф. Ю.Г. Даника. – Житомир : ЖНАЕУ, 2016. – 636 с.
Sun L., Srivastava R. P., Mock T. J. An Infor-mation Systems Security Risk Assessment Model under Dempster-Shafer Theory of Belief Functions // [Элек-тронный ресурс]. – Режим доступа к ресурсу: http://www.tandfonline.com/doi/abs/10.2753/MIS0742-1222220405. – doi: 10.2753/mis0742-1222220405
Потий А.В. Концепция стратегического управления информационной безопасностью // А. В. Потий, Д.Ю. Пилипенко / Радіоелектронні і комп’ютерні системи. 2010. – № 6 (47). – С. 53 – 58.
Потий А.В. Классификация показателей безопасности информации // А.В. Потий, Д.Ю. Пилипенко / Системи обробки інформації, 2010. Вип. 3(84). – С. 53 – 56.
Горбенко И.Д. Критерии и методология оценки безопасности информационных техноло-гий// И.Д. Горбенко, А.В. Потий, П.И. Терещенко / [Электронный ресурс]. – 2000. – Режим доступа к ресурсу: http://www.bezpeka.com/ru/lib/spec/
infsys/art108.html.
Trusted Computer Systems Evaluation crite-ria, US DoD 5200.28-STD, 1985.
Information Technology Security Evaluation Criteria, v. 1.2. Office for Official publications of the European Communities, 1991.
Canadian Trusted Computer Product Evalua-tion Criteria, v. 3.0. Canadian System Security Centre, Communications Security Establishment, Government of Canada, 1993.
Federal Criteria for Information Technology security. – NIST, NSA, US Government, 1993.
ISO/IEC 15408-1:2009 – Information technol-ogy – Security techniques – Evaluation criteria for IT security – Part1: Introduction and general model. man-agement [Электронный ресурс]. – Режим доступа: http://www.iso.org/iso/catalogue_detail.htm?
csnumber=50341
ISO/IEC 15408-2:2008 – Information technol-ogy – Security techniques – Evaluation criteria for IT security – Part 2: Security functional requirements. [Электронный ресурс]. – Режим доступа:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=46414
ISO/IEC 15408-3:2008 – Information technol-ogy – Security techniques – Evaluation criteria for IT security – Part 3: Security assurance requirements. [Электронный ресурс]. – Режим доступа:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=46413
ДСТУ ISO/IEC TR 13335-1:2003 Iнформацiйнi технологiї. Настанови з керування безпекою інформаційних технологій. Частина 1. Концепцiї та моделi безпеки інформаційних технологій. [Электронный ресурс]. – Режим доступа: ttp://lindex.net.ua/ua/shop/bibl/500/doc/11423
ДСТУ ISO/IEC TR 13335-2:2003 Iнформацiйнi технологiї. Частина 2. Настанови з керування безпекою iнформацiйних технологiй. [Электронный ресурс]. – Режим доступа:
ДСТУ ISO/IEC TR 13335-3:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 3. Методи керування захистом інформаційних технологій. [Электронный ресурс]. – Режим доступа: http://lindex.net.ua/ua/shop/bibl/500/doc/11425
ДСТУ ISO/IEC TR 13335-4:2005 Інформаційні технології. Настанови з управлiння безпекою інформаційних технологій. Частина 4. Вибирання засобiв захисту. [Электронный ресурс]. – Режим доступа http://metrology.com.ua/download/ iso-iec-ohsas-i-dr/61-iso/290-dstu-iso-iec-tr-13335-4-2005.
ДСТУ ISO/IEC TR 13335-5:2005 Інформаційні технології. Настанови з управлiння безпекою інформаційних технологій. Частина 5. Настанова з управлiння мережною безпекою. [Элек-тронный ресурс]. – Режим доступа:
http://lindex.net.ua/ua/shop/bibl/500/doc/11427.
ISO/IEC 27001:2013 Information technology – Security techniques – Information security manage-ment systems – Requirements. [Электронный ресурс]. – Режим доступа: http://www.iso.org/iso/home/ store/catalogue_tc/catalogue_detail.htm?csnumber=54534.
ISO/IEC 27002:2013 – Information technolo-gy -- Security techniques – Code of practice for infor-mation security controls. [Электронный ресурс]. – Режим доступа: http://www.iso.org/iso/home/store/ catalogue_tc/catalogue_detail.htm?csnumber=54533
ISO/IEC 27006:2015 – Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems [Электронный ресурс]. – Режим доступа к ресурсу: http://www.iso.org/iso/home/search
.htm?qt=ISO%2FIEC+27006%3A2015+&sort=rel&type=simple&published=on.
Стандарт України СОУ Н НБУ 65.1 СУІБ 1.0:2010. Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2005, MOD). [Электронный ресурс]. – Режим доступа: https://kyianyn.files. wordpress.com/2010/12/nbu-27001.pdf
Стандарт України СОУ Н НБУ 65.1 СУІБ 1.0:2010. Інформаційні технології. Методи захисту. Звід правил для управління інформаційною безпе-кою (ISO/IEC 27002:2005, MOD) [Электр. ресурс]. – Режим доступа: http://s-byte.com/useful/27002.pdf
СЕМ-97/017. Common Evaluation Method-ology for Information Technology Security – Part 1: Introduction and general model.
Зегжда Д. Как построить защищенную информационную систему / Д. Зегжда, А. Ивашко. – СПб : Мир и семья - 95, 1997. – 312 с.
Методичні рекомендації щодо впровад-ження системи управління інформаційною безпе-кою та методики оцінки ризиків відповідно до стандартів Національного банку України [Текст]: лист департаменту інформатизації Національного банку України банкам України від 03 березня 2011 р. № 24-112/365. – К.: НБУ, 2011.
Потій О.В. Дослідження методів оцінки ризиків безпеці інформації та розробка пропозицій з їх вдосконалення на основі системного підходу // О.В. Потій, А.В. Лєншин / Збірник наукових праць ХУПС, 2010. Вип. 2(24). – С.85 –91.
ISO/IEC 27005:2011 – Information technolo-gy – Security techniques – Information security risk management [Электр. ресурс]. – Режим доступа: http://www.iso.org/iso/ru/catalogue_detail?csnumber=56742
Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. ГОСТ Р ИСО/МЭК 15408-2-2008 [Электронный ресурс]. – Режим доступа к ресурсу:http://primorsky.ru/authorities/executive-agencies/departments/
informationsecurity/Documents/doki-po-ib/
Кобзарь М. Методология оценки безопас-ности информационных технологий по общим критериям // М. Кобзарь, А. Сидак / Информационный бюлетень Jet Info. 2004. Вып. 6(133). – С. 2 – 16.
Руководящий документ. Безопасность информационных технологий. Общая методология оценки безопасности информационных технологий. Проект [Электронный ресурс]. – Режим доступу к ресурсу: http://fstec.ru/component/attachments/293
РС БР ИББС-2.2-2009. Методика оценки рисков нарушения информационной безопасности. [Электронный ресурс]. – Режим доступа к ресурсу: http://www.cbr.ru/credit/gubzi_docs/st22_09.pdf
Постанова Правління Національного банку України від 18 червня 2003 року № 254 «Про затвердження Положення про організацію операційної діяльності в банках України», К: НБУ., 2003. – 28 с.
Корченко А. О. Банківська безпека. / А.О. Корченко, Л.М. Скачек, В.О. Хорошко. – К. : ПВП «Задруга». – 2014. – 185 с.
Іванченко І. С. Забезпечення інформаційної безпеки держави. / І.С. Іванченко, В.О. Хорошко, Ю.Є. Хохлачова, Д.В. Чирков. – К. : ПВП «Задруга», 2013. – 170 с.
