Оценка риска информационной безопасности при использовании ERP-систем
Белозёрова Ангелина Андреевна, студент;
Микова Софья Юрьевна, студент;
Нестеренко Максим Алексеевич, студент
Волгоградский государственный университет
Дано определение ERP-систем. Выделены крупнейшие игроки российского и мирового ERP-рынок. Проанализирована проблема нарушения информационной безопасности в ERP-системе. Обозначена актуальность процесса оценки рисков информационной безопасности ERP-систем в деятельности современного предприятия. Выделены основные этапы оценки информационных рисков ERP-системы.
Ключевые слова: ERP-система, информационная безопасность, оценка риска, угроза, уязвимость
Система класса ERP (EnterpriseResourcePlanning — управление ресурсами предприятия) — это корпоративная информационная система для автоматизации планирования, учета, контроля и анализа всех основных бизнес-процессов и решения бизнес задач в масштабе предприятия (организации). ERP-система помогает интегрировать все отделы и функции компании в единую систему, при этом все департаменты работают с единой базой данных и им проще обмениваться между собой разного рода информацией.
На рынке ERP-систем доминируют Северная Америка и Европа. В числе крупнейших игроков мирового ERP-рынка GlobalIndustryAnalysts названы: ABASSoftware, CDCSoftware, ConsonaCorporation, EpicorSoftwareCorporation, Microsoft, NetSuite, Oracle, QAD Inc, SAP SE и др. Лидерами являются SAP SE, Oracle, Microsoft. К числу ERP-систем российских компаний можно отнести целый ряд продуктов: 1C, БЭСТ, ФРЕГАТ, Лагуна, Парус, Галактика. Положительную динамику рынка ERP — систем будет обеспечивать увеличение конкуренции во всех отраслях мировой экономики.
Согласно данным TAdviser о внедрениях ERP-систем 2013 года, крупнейшую долю на мировом рынке продолжала удерживать компания SAP, занимая 26 %, на втором месте — Oracle (17 %), затем группа вендоров уровня Tier II (14 %), MicrosoftDynamics (11 %) и группа вендоровTier III и прочих. Причем по сравнению с исследованием 2013 года, доля вендоров Tier II и Tier III снизилась 16 % до 14 % и с 37 % до 31 % соответственно. Данные исследования 2014 года показали, что SAP ERP среди вендоров по-прежнему наиболее часто попадает в short-листы ERP-проектов: в 51 % случаев, за ней следуют решения Oracle(43 %) и линейка MicrosoftDynamics (32 %).
Рис. 1. Статистика использования ERP-систем на предприятиях
Объем российского рынка систем в 2013 году IDC оценила в $1,07 млрд, что на 5,9 % больше по сравнению с предыдущим годом ($1,015 млрд).
Результаты 2013 года показывают, то расстановка сил осталась прежней за исключением того, что Microsoft опередила Oracle: SAP (49,9 %), «1С» (30,5 %), Microsoft (7,8 %), Oracle (5,6 %), «Галактика» (1,9 %). Их суммарная доля — 95,7 % рынка (год назад — 95,9 %). Два поставщика — SAP и «1С» контролируют более 80 % рынка.
Популярность в большей степени зависит от предпочтений и удобства их использования на предприятиях. Однако, известность и распространённость данных решений порождает ряд проблем связанных с информационной безопасностью. Это обусловлено с тем, что злоумышленник имеет больше информации о незакрытых уязвимостях и узких местах в защите данных решений, а следовательно, может это использовать при реализации атаки на корпоративные сети предприятий эксплуатирующие ERP.
ERP-системы ориентирована на непрерывную балансировку и оптимизацию ресурсов предприятия посредством специализированного пакета прикладного программного обеспечения, который обеспечивает общую модель данных и процессов для всех сфер деятельности. При этом данные и процессы могут иметь различную степень конфиденциальности и ценность для предприятия. Следовательно, их утечка, нарушение целостности и доступности в результате реализации угроз информационной безопасности различного характера могут привести к ряду негативных последствий. Данные последствия представляют собой ущерб материального и нематериального характера, который может значительно повлиять на конкурентоспособность предприятия и его дальнейшее существование на рынке [1,2].
Рис. 2. Экономические последствия реализации угроз информационной безопасности
Поэтому, управление информационной безопасностью имеет большое значение для ERP. Неотъемлемой частью этого процесса является оценка рисков информационной безопасности, которую необходимо периодически проводить в целях эффективного внедрения мероприятий по управлению информационной безопасностью, учёта новых угроз и уязвимостей, а также изменений в требованиях и приоритетах деятельности организации.
Оценка риска обеспечивает понимание возможных опасных событий, их причин и последствий, вероятности их возникновения и принятие решений. Способ реализации этого процесса зависит не только от области применения процесса менеджмента риска, но также и от методов оценки риска.
В настоящее время для оценки рисков информационной безопасности используется множество различных подходов, методов и средств. Анализ литературных источников [2–5] показывает, что при расчете риска могут использоваться качественные, количественные и смешанные подходы, наиболее распространенными из которых являются
– двухфакторная модель оценки рисков;
– трехфакторная модель оценки риска;
– оценка риска через предотвращенный ущерб;
– оценка рисков на основе теории квалиметрических шкал, карт, моделей линейного упорядочения альтернатив и парных сравнении;
– оценка риска на базе теории игр.
В них предлагаются разные способы сопоставления возможного ущерба в результате инцидентов информационной безопасности с вероятностью реализации угроз и получения соответствующих выводов риска. Оценка информационных рисков, несмотря на имеющиеся специфические для неё нюансы в различных сферах деятельности, представляет собой упорядоченный процесс, состоящий из одних и тех же этапов, на каждом из которых могут быть применены свои методы и средства. Поэтому, первоочередное внимание в исследованиях такого рода следует уделять не результативности методов вообще, а их эффективности на том или ином этапе, возможностям их сочетаний и комбинаций, способам перехода от одного метода к другому, обеспечивающим корректную интерпретацию результатов.
Любая, хорошо продуманная, методология оценки рисков информационной безопасности предусматривает такие этапы, как:
– оценка угроз;
– оценка уязвимостей;
– вероятности реализации угроз (возможного ущерба).
Основные этапы процесса оценки информационных рисков могут быть представлены в виде вложенного алгоритма (процедуры). (Рисунок 3).
Рис. 3. Блок-схема методики оценки рисков ИБ в ERP-системе
Данная методика и ее этапы могут применяться при оценке рисков информационной безопасности ERP-систем. И будут аналогичны для любых организаций, независимо от сферы их деятельности, масштабов, уровня организационной зрелости.
Литература:
- Оладько В. С. Белозерова А. А. Микова С. Ю. Нестеренко М. А. облемы информационной безопасности при использовании ERP-систем// Молодой ученый. — 2016. — № 12. — С.346–348
- Аткина В. С. Воробьев А. Е. Подход к оценке рисков нарушения информационной безопасности с использованием иерархического подхода к ранжированию ресурсов// Информационные системы и технологии. — 2015. — № 1 (87) январь — февраль 2015. — С.125–131.
- Выборнова О. Н. Онтологическая модель процесса оценки рисков// Вестник АГТУ. Сер.: Управление, вычислительная техника и информатика. — 2015. — № 2. — С. 97–102.
- Зефиров С. Л., Щербакова А. Ю. Оценка инцидентов информационной безопасности //Доклады Томского государственного университета систем управления и радиоэлектроники. — 2014. — № 2(32). — С.77–81.
- Oladko V. S., Mikova S.Yu. The Risk Assessment of the Implementation of Network Attacks on Information Infrastructure on the Example of Tourism Enterprises// Sochi Journal of Economy.2016. Vol. 39, Issue 1. P.42–51
