Магистерская диссертация по информационной безопасности - Тема - анализ уязвимостей банковских интернет сервисов и выработка рекомендаций по их устранению

Введение

Многие современные отечественные банковские организации активно внедряют различные финансовые технологии для получения конкурентных преимуществ в сфере оказания банковских услуг.

Одним из наиболее популярных и приоритетных направлений реконструкции и развития современных банковских сервисов является функциональное расширение перечня финансовых возможностей и услуг по автоматизации управления средствами клиентов посредством создания и использования прикладных финансовых приложений. К сожалению, публикуемая статистика, связанная с проблемами в сфере обеспечения информационной безопасности (ИБ) финансовых сервисов банков, имеет характер к постоянному росту количества успешных взломов данных и хакерских атак, нацеленных на нарушение работыиспользуемого программного обеспечения [1].

В результате высокой эффективности подобных негативных воздействий со стороны злоумышленниковнекоторые клиенты банков регулярно утрачивают денежные средства в разных объемах. Это, в свою очередь, отражает проблематику обеспечения защиты данных (ЗД)в используемых банковских сервисах, что негативно отражается и на репутационном уровне организаций, способствуя оттоку клиентской базы. В связи с этим актуальным направлением исследования является тематика информационной безопасности в контексте оценки уязвимости современных интернет сервисов финансовых и банковских учреждений

Целью работы является анализ и оценка уязвимостей банковских интернет-сервисов на базе применения аппарата нечеткой логики для последующей выработки рекомендаций по их устранению.

Объект исследования – специфика информационной безопасности и защиты данных.

Предмет исследования – особенности применение теории нечетких множеств для оценки и анализа уязвимостей банковских интернет-сервисов.

Задачами работы являются:

-         анализ существующих проблем в сфере защиты информации;

-         анализ мер и подходов обеспечения информационной безопасности;

-         обзор технологий и средств защиты данных;

-         исследование особенностей организации деятельности современных банков;

-         обзор специфики деятельности современных финансовых интернет-сервисов;

-         анализ ключевых уязвимостей и проблем информационной безопасности в банковской сфере;

-         описание методики и технологий для проведения исследований;

-         формализация ключевых бизнес-процессов в функционировании банковских интернет-сервисом;

-         построение нечеткой модели анализа и оценки рисков;

-         выработка рекомендаций по устранению уязвимостей.

СОДЕРЖАНИЕ

Введение. 2

1 Проблематика информационной безопасности в финансовой сфере. 4

1.1 Анализ существующих проблем в сфере защиты информации. 4

1.2 Меры и подходы обеспечения информационной безопасности. 15

1.3 Обзор технологий и средств защиты данных. 24

2 Анализ проблематики работы банковских интернет-сервисов. 32

2.1 Особенности организации деятельности современных банков. 32

2.2 Специфика деятельности современных финансовых интернет-сервисов. 39

2.3 Анализ ключевых уязвимостей и проблем информационной безопасности в банковской сфере. 45

3 Анализ и оценка рисков уязвимостей банковских интернет-сервисов. 52

3.1 Описание методики и технологий для проведения исследований. 52

3.2 Формализация ключевых бизнес-процессов в функционировании банковских интернет-сервисом. 56

3.3 Построение нечеткой модели анализа и оценки рисков. 60

3.4 Выработка рекомендаций по устранению уязвимостей. 77

Заключение. 80

Список используемых источников. 81

ПриложениеА.. 85

Список используемых источников

1.      Салкуцан А.А., Ниязов Р.Т. Анализ современных уязвимостей информационной безопасности финансовых приложений российских банков / Экономический журнал. – 2020. – №2 (58). – С. 61-74.

2.      Попов Г.А., Штонда К.Н. Процедура оценки информационной безопасности АСУТП на основе классификации важности показателей / Вестн. Астрахан. гос. техн. ун-та.– 2008. – № 1 (42). – С. 66-73.

3.    Белов Е.Б., Лось В.П. Основы информационной безопасности. – М.: Горячая Линия-Телеком, 2011. – 384 с.

4.      Белов С.В. Методика формирования множества угроз для объекта информатизации / Вестн. Астрахан. гос. техн. ун-та. Сер.: Управление, вычислительная техника и информатика. – 2011. – № 2. – С. 74-79.

5.      Белов С.В., Досмухамедов Б.Р. Оценка степени злоумышленного интереса к различным компонентам объекта защиты / Вестник АГТУ. Сер.: Управление, вычислительная техника и информатика. – 2013. – № 1. – С. 14-20.

6.    Бирюков А.В. Информационная безопасность: защита и нападение. –  М.:ДМК-Пресс 2013. – 416 с.

7.    Боридько С.И., Забелинский А.А., Коваленко Ю.И., Тараскин М.М. Защита информации в организациях: методика исследования угроз, уязвимостей и рисков. – М.: МИНИТ, 2011. – 124 с.

8.      Волокитин А.В., Маношкин А.П. Информационная безопасность государственных организаций и коммерческих фирм. – М.: НТЦ "ФИОРД-ИНФО", 2012. – 270 c.

9.      Грушо А.А. Теоретические основы компьютерной безопасности. – М.: Академия, 2012. – 267 с.

10.Защита информации от несанкционированного доступа информации [Электронный ресурс] – Режим доступа: http://indeed-id.ru/glossary-access.html

11.Маккарти Л. IT-безопасность корпорации. – СПб.: Кудиц-образ, 2010. – 315 с.

12.Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. – М.: Горячая Линия-Телеком, 2014. – 685 с.

13.Оценка угроз и уязвимостей информации [Электронный ресурс]. – Режим доступа: http://xn----7sbab7afcqes2bn.xn--p1ai/content/ocenka-ugroz-i-uyazvimostey

14.Симонов С.В. Методология анализа безопасности в информационных системах. – СПб.:Конфидент. 2011. – 314 с.

15.Трубачев А.П., Оценка безопасности информационных систем. – М.: Издательство СИП РИА, 2014. – 428 с.

16.Царегородцев А.В., Тараскин М.М., Дербин Е.А. Один из подходов к формализации описания угроз, уязвимостей и рисков системы защиты информации на предприятии. / Национальная безопасность. Nota Bene. – 2012. – № 6. – C. 60-68.

17. Шаньгин В.Ф. Комплексная защита информации в корпоративных системах. – М.: ИД «Форум»: Инфра-М, 2010. – 592 с.

18.Шаньгин В. Ф., Соколов А.В. Защита информации в распределенных корпоративных сетях и системах. – М.:ДМК, 2012. – 656 с.

19.Щеглов А.Ю. Защита информации он несанкционированного доступа. – М.: Гелиос АРВ, 2010. – 384 с.

20.Малофеев С.Н.. Проблемы защиты информации в банковской сфере / Инновации и инвестиции. – 2019. – №12. – С. 154-160.

21.Автоматизированные информационные технологии в банковской деятельности: Учебное пособие для студентов вузов, обучающихся по специальности «Финансы и кредит» / Г.А.Титоренко, В.И. Суворова, И.Ф. Возгилевич; под ред. Г.А.Титоренко – М.: Финстатинформ, 2007. – 268 с

22.Артеменко К.И. Информационные банковские системы. – СПб.: Питер, 2011. – 314 с.

23.Букин С.О. Безопасность банковской деятельности. – СПб.: Питер, 2011. – 288 с

24.Вдовин В.М. Предметно-ориентированные экономические информационные систем. – М.: Дашков и К, 2012. – 386 с.

25.Гамза В.А., Ткачук И.Б. Безопасность коммерческого банка: Учебно-практическое пособие. – М.: издатель Шумилова И.И., 2010. – 216 с.

26.Гамза В.А. Безопасность банковской деятельности. – М.:Юрайт, 2015. – 514 с.

27.Дик В.В. Банковские информационные системы. – М.: Маркет ДС, 2010. – 816 с.

28.Закарая Ж.В. Информационные системы внутреннего контроля безопасности в коммерческом банке. – М.: Компьютерный аудит, 2013. – 417 с.

29.Мозгунов О.Н. Реструктуризация подходов к обеспечению безопасности информационных банковских систем. – М.: Банковский ряд, 2011. – 315 с.

30.Стандарт Банка России: «Методика оценки соответствия информационной безопасности организаций банковской системы российской федерации требованиям СТО БР ИББС-1.2-2014 / СТО БР ИББС-1.2-2014 Принят и введен в действие Распоряжением Банка России от 17 мая 2014 года № Р-399.

31.Уязвимости онлайн-банков: подводим итоги анализа [Электронный ресурс]. – Режим доступа: https://www.ptsecurity.com/ru-ru/research/analytics/vulnerabilities-rbo-2019/

32. Круглов В.В., Дли М.И. Интеллектуальные информационные системы: компьютерная поддержка систем нечеткой логики и нечеткого вывода. – М.: Физматлит, 2002. – 541 с.

33. Леоленков А.В. Нечеткое моделирование в среде MATLAB и fuzzyTECH. – СПб., 2003. – 331 с.

34. Рутковская Д., Пилиньский М., Рутковский Л. Нейронные сети, генетические алгоритмы и нечеткие системы. – М., 2004. – 212 с.

35. Масалович А. Нечеткая логика в бизнесе и финансах. [Электронный ресурс]. – Режим доступа: www.tora-centre.ru/library/fuzzy/fuzzy-.htm

36. Матлахова Т.А. Исследование и анализ трудоемкости алгоритмов нечеткой логики во встраиваемых системах [Электронный ресурс]. – Режим доступа: https://www.scienceforum.ru/2016/pdf/20397.pdf

37. С.И. Новиков, В.Р. Шахнович, А.В. Сафронов Методы нечеткой логики в задачах автоматизации тепловых процессов электростанций / «Вестник ИГЭУ». – 2010. - №4. – С.1-4.

38. Деменков Н.П. Нечеткое управление в технических системах: учеб. пособие. – М.: изд-во МГТУ им. Н.Э. Баумана, 2005. – 396 c/

39. Тэрано Т., Асаи К., Сугено М. Прикладные нечеткие системы. – М.: Мир, 1993.