# Описание встроенных механизмов безопасности системы Global ERP

## Общие положения

Настоящий документ «Описание встроенных механизмов безопасности системы Global ERP» (далее — Описание) определяет состав, назначение и принципы реализации встроенных механизмов защиты информации в системе Global ERP, а также устанавливает границы ответственности ООО «Бизнес Технологии» (далее — Общество) и заказчика при создании автоматизированных систем в защищенном исполнении (АСЗИ) всоответствии с ГОСТ Р 51583-2014.

Целями Описания являются:
- предоставление внутренним подразделениям и заказчикам достоверной информации о составе и назначении встроенных механизмов безопасности системы;
- обоснование соответствия архитектуры системы требованиям ГОСТ Р 51583-2014 в части обеспечения безопасности программного продукта;
- разграничение зон ответственности Общества как разработчика и заказчика как эксплуатирующей организации при построении и аттестации АСЗИ.

В Обществе применяется принцип обеспечения безопасности на этапе проектирования (*security by design*), предусматривающий встраивание механизмов защиты в архитектуру системы на всех этапах ее жизненного цикла.

Система Global ERP в типовой поставке не является готовой АСЗИ. Встроенные механизмы безопасности предоставляют базовый функционал, который конфигурируется и при необходимости дополняется внешними средствами защиты информации (СЗИ) в рамках конкретного проекта внедрения. Полное соответствие требованиям ГОСТ Р 51583-2014 и статус АСЗИ достигаются после проведения аттестации в реальных условиях эксплуатации заказчика.

## Термины и определения

В настоящем Описании используются следующие термины и определения:
- **автоматизированная система в защищенном исполнении (АСЗИ)** — автоматизированная система, в которой требования к защите информации реализуются на всех этапах жизненного цикла в соответствии с ГОСТ Р 51583-2014;
- **встроенные механизмы безопасности** — реализованные в коде и архитектуре системы функции защиты информации, доступные для конфигурирования и применения без установки дополнительного программного обеспечения;
- **наложенные средства защиты информации (СЗИ)** — внешние по отношению к системе программные и аппаратные средства, обеспечивающие дополнительные меры защиты информации в конкретном контуре эксплуатации;
- **заказчик** — юридическое лицо, осуществляющее внедрение, конфигурирование и эксплуатацию системы Global ERP в своем контуре;
- ***security by design*** — подход к разработке, при котором требования безопасности учитываются на всех этапах жизненного цикла программного обеспечения, начиная с формирования требований и проектирования архитектуры.

## Область применения

Настоящее Описание распространяется на все версии системы Global ERP и связанную с ними эксплуатационную документацию.

Требования Описания обязательны для применения:
- подразделениями разработки при проектировании и реализации встроенных механизмов безопасности;
- подразделениями внедрения и сопровождения при консультировании заказчиков;
- подразделением информационной безопасности при оценке соответствия системы нормативным требованиям.

Описание применяется совместно со следующими внутренними нормативными
документами Общества:
- [Положение о безопасной разработке](https://help.globalerp.ru/books/SecurityGuide/SNAPSHOT/html/realization/020_безопасн_разработка.html#id1);
- регламент управления уязвимостями;
- проектная документация на разработку системы.

## Нормативная база

Встроенные механизмы безопасности системы и порядок их разработки реализованы с учетом требований следующих нормативных и методических документов:
- ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
- ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
- Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
- методические рекомендации OWASP;
- внутренние нормативные документы Общества по информационной безопасности и безопасной разработке.

## Архитектурные принципы безопасности

Архитектура системы Global ERP реализует следующие принципы безопасности:
- учет требований информационной безопасности на этапе проектирования (*security by design*);
- совместимость с внешними средствами защиты информации и предоставление интерфейсов для их интеграции;
- отсутствие конфликтов встроенных механизмов безопасности с бизнес-функциональностью системы;
- сохранение проектных показателей производительности при работе встроенных механизмов защиты.

Встроенные механизмы безопасности охватывают следующие функциональные подсистемы:
- идентификация и аутентификация;
- управление доступом;
- аудит и журналирование;
- защита каналов связи;
- управление секретами;
- безопасность выполнения и обработки запросов.

## Учет требований ГОСТ Р 51583-2014 в процессе разработки

Процесс создания системы Global ERP учитывает положения ГОСТ Р 51583-2014 в части обеспечения безопасности программного продукта следующими мерами:
- разработка ведется в соответствии с техническим заданием, в котором на этапе проектирования архитектуры фиксируются требования к подсистеме безопасности;
- архитектура системы атформы обеспечивает совместимость с внешними средствами защиты информации и предоставляет интерфейсы для их интеграции;
- встроенные механизмы безопасности не препятствуют нормальному функционированию системы и не снижают ее производительность ниже проектных показателей;
- в жизненный цикл разработки интегрированы обязательные процедуры верификации безопасности: [статический анализ кода](https://help.globalerp.ru/books/GlobalServerAppGuide/SNAPSHOT/html/050_tools/stat_analyz/0040_стат_анализ.html#id1), [автоматизированный анализ зависимостей (SCA)](https://help.globalerp.ru/books/SecurityGuide/SNAPSHOT/html/realization/020_безопасн_разработка.html#id14), [динамическое тестирование веб-интерфейсов](https://help.globalerp.ru/books/SecurityGuide/SNAPSHOT/html/realization/020_безопасн_разработка.html#api) и [рецензирование изменений](https://help.globalerp.ru/books/SecurityGuide/SNAPSHOT/html/realization/020_безопасн_разработка.html#id11), обеспечивающие соответствие компонентов требованиям безопасности перед включением в поставочный контур;
- управление изменениями и выпуском релизов осуществляется в соответствии с [Положением о безопасной разработке](https://help.globalerp.ru/books/SecurityGuide/SNAPSHOT/html/realization/020_безопасн_разработка.html#id1): обязательные проверки кода и зависимостей, контроль уязвимостей перед выпуском;
- Система сопровождается комплектом документации, обеспечивающим заказчику возможность проектирования подсистемы защиты, безопасной конфигурации и проведения приемочных испытаний;
- обеспечивается [регламентированный процесс обновления](https://help.globalerp.ru/books/G3SysAdminDoc/SNAPSHOT/html/060_обновление.html#global-erp) и технической поддержки.

## Встроенные механизмы безопасности системы

Архитектура Global ERP предоставляет следующие встроенные механизмы, соответствующие требованиям ГОСТ Р 51583-2014 и применимые при построении АСЗИ.

### Идентификация и аутентификация

- **Политика паролей.** Система поддерживает настройку требований к сложности паролей (использование символов различных типов, минимальная длина), а также контроль истории и срока действия паролей. Параметры настраиваются в соответствии с [руководством по политике паролей](https://help.globalerp.ru/books/G3AppAdministrationGuide/SNAPSHOT/html/070_Политика_паролей.html#btk-userpasswordsetting).

- **Интеграция со службами каталогов.** Поддерживается аутентификация пользователей через LDAP-каталоги, включая Microsoft Active Directory и ALDPro. Настройка выполняется в соответствии с [инструкциями по LDAP-синхронизации](https://help.globalerp.ru/books/GlobalUserGuideSystemWide/SNAPSHOT/html/service/0080_синхронизация.html#id6) и [подключению к Active Directory](https://help.globalerp.ru/books/AccessGuide/SNAPSHOT/html/0100_Пользователи.html#id6).

- **Единый вход (SSO).** Система поддерживает использование внешних провайдеров аутентификации по протоколу OpenID Connect. Настройка выполняется в соответствии с [руководством по настройке SSO](https://help.globalerp.ru/books/G3SysAdminDoc/SNAPSHOT/html/070_addition/005_openid.html#sso).

- **Двухфакторная аутентификация (2FA).** Поддерживается использование второго фактора аутентификации (подтверждение по e-mail) при использовании внешнего провайдера идентификации. Настройка выполняется на стороне провайдера в соответствии с [документацией по настройке 2FA](https://help.globalerp.ru/books/G3SysAdminDoc/SNAPSHOT/html/070_addition/005_openid.html#fa-e-mail).

### Управление доступом

- **Ролевая модель (RBAC).** Доступ к функциям, данным и операциям системы предоставляется на основе ролей. Роли включают права на выполнение операций (чтение, добавление, изменение, удаление, выполнение действий) и назначаются пользователям через механизмы управления доступом в соответствии с [руководством по настройке ролей](https://help.globalerp.ru/books/AccessGuide/SNAPSHOT/html/0300_Роли.html#id2).

- **Дискретный доступ к объектам.** Система поддерживает ограничение доступа на уровне отдельных объектов с использованием механизма дискретного доступа. Настройка правил выполняется в соответствии с [разделом документации](https://help.globalerp.ru/books/G3AppAdministrationGuide/SNAPSHOT/html/040_дискертный_доступ.html#id2).

### Аудит и журналирование

- **Аудит пользовательской активности.** Регистрация изменений данных и действий пользователей в системе (создание, изменение, удаление объектов). [Аудит настраивается](https://help.globalerp.ru/books/GlobalServerAppGuide/SNAPSHOT/html/030_class/service/050_Безопасность_и_сист_управление.html#id6) на уровне классов с сохранением данных в таблицах аудита и доступен для просмотра через интерфейс системы.

- **Журналы информационной безопасности.** Регистрация событий безопасности (аутентификация, ошибки входа, управление правами, сессии и др.). События логируются через специализированный логгер в формате CEF. Поддерживается экспорт событий во внешние системы (SIEM) по протоколу Syslog. Настройка журналирования и параметров экспорта выполняется в соответствии с документацией по [настройке логирования событий информационной безопасности](https://help.globalerp.ru/books/GlobalServerAppGuide/SNAPSHOT/html/080_addition/120_структуры_аудита.html#cef).

### Защита каналов связи

- Защита сетевого взаимодействия обеспечивается с использованием TLS/SSL на уровне балансировщика (HAProxy), включая настройку сертификатов и HTTPS-подключения. Конфигурация выполняется согласно инструкции по [настройке HAProxy и TLS](https://help.globalerp.ru/books/G3SysAdminDoc/SNAPSHOT/html/030_global-standalone/040_haproxy_standAlone.html#tls-ssl).

### Управление секретами

- **Хэширование паролей.** Пароли пользователей хранятся в виде хэшей алгоритма Argon2id без возможности восстановления исходного значения. Используется контроль истории паролей в хэшированном виде.

- **Шифрование учетных данных.** Для исключения хранения учетных данных в открытом виде применяется механизм шифрования данных. Настройка и выполнение шифрования осуществляется в соответствии с [документацией по шифрованию учетных данных](https://help.globalerp.ru/books/BtkDocumentation/SNAPSHOT/html/140_Шифрование_данных.html).

- **Интеграция с Kubernetes Secrets.** Система поддерживает развертывание через Helm-чарт (начиная с версии 5.4.0) и может использоваться совместно с внешними решениями для автоматизации работы с секретами: [helm-secrets, sops, Sealed Secrets, External Secrets](https://help.globalerp.ru/books/G3SysAdminDoc/SNAPSHOT/html/040_global-k8s/060_chart.html#id2).

### Безопасность выполнения и обработки запросов

- Архитектура системы предусматривает меры безопасности, направленные на предотвращение внедрения SQL-кода (SQL Injection), сокрытие информации о веб-сервере и безопасное выполнение серверной логики. Детальное описание реализованных мер приведено в [соотвествующем разделе](https://help.globalerp.ru/books/SecurityGuide/SNAPSHOT/html/realization/030_запросы.html#id1).

## Зона ответственности ООО «Бизнес Технологии»

В рамках обеспечения возможности построения АСЗИ на базе системы Global ERP Общество обеспечивает:
- реализацию встроенных механизмов безопасности в соответствии с разделом «Встроенные механизмы безопасности системы» настоящего Описания;
- соблюдение требований ГОСТ Р 51583-2014 в процессе разработки системы, а также требований внутренних нормативных документов по информационной безопасности;
- предоставление заказчику эксплуатационной документации, необходимой для проектирования, безопасной конфигурации и аттестации системы защиты информации;
- регламентированное сопровождение системы в части выпуска обновлений, устранения выявленных уязвимостей и технической поддержки.

## Зона ответственности заказчика

Статус АСЗИ и соответствие требованиям ГОСТ Р 51583-2014 достигаются заказчиком в рамках проекта внедрения путем реализации комплекса организационных и технических мероприятий по защите информации, соответствующих модели угроз и условиям эксплуатации конкретного контура.

В рамках построения АСЗИ на базе системы Global ERP заказчик, в частности, обеспечивает:
- разработку модели угроз и технического задания на систему защиты информации для конкретного контура эксплуатации;
- конфигурирование встроенных механизмов безопасности в соответствии с эксплуатационной документацией и моделью угроз;
- развертывание и интеграцию наложенных средств защиты информации (СЗИ от НСД, антивирусных средств, СКЗИ и др.) в соответствии с проектной документацией;
- организацию аттестации системы на соответствие требованиям информационной безопасности.

Приведенный перечень не является исчерпывающим. Состав и содержание мероприятий определяются моделью угроз, техническим заданием на систему защиты информации и требованиями аттестационной документации для конкретного контура эксплуатации.