Описание встроенных механизмов безопасности системы Global ERP

Описание встроенных механизмов безопасности системы Global ERP#

Общие положения#

Настоящий документ «Описание встроенных механизмов безопасности системы Global ERP» (далее — Описание) определяет состав, назначение и принципы реализации встроенных механизмов защиты информации в системе Global ERP, а также устанавливает границы ответственности ООО «Бизнес Технологии» (далее — Общество) и заказчика при создании автоматизированных систем в защищенном исполнении (АСЗИ) всоответствии с ГОСТ Р 51583-2014.

Целями Описания являются:

  • предоставление внутренним подразделениям и заказчикам достоверной информации о составе и назначении встроенных механизмов безопасности системы;

  • обоснование соответствия архитектуры системы требованиям ГОСТ Р 51583-2014 в части обеспечения безопасности программного продукта;

  • разграничение зон ответственности Общества как разработчика и заказчика как эксплуатирующей организации при построении и аттестации АСЗИ.

В Обществе применяется принцип обеспечения безопасности на этапе проектирования (security by design), предусматривающий встраивание механизмов защиты в архитектуру системы на всех этапах ее жизненного цикла.

Система Global ERP в типовой поставке не является готовой АСЗИ. Встроенные механизмы безопасности предоставляют базовый функционал, который конфигурируется и при необходимости дополняется внешними средствами защиты информации (СЗИ) в рамках конкретного проекта внедрения. Полное соответствие требованиям ГОСТ Р 51583-2014 и статус АСЗИ достигаются после проведения аттестации в реальных условиях эксплуатации заказчика.

Термины и определения#

В настоящем Описании используются следующие термины и определения:

  • автоматизированная система в защищенном исполнении (АСЗИ) — автоматизированная система, в которой требования к защите информации реализуются на всех этапах жизненного цикла в соответствии с ГОСТ Р 51583-2014;

  • встроенные механизмы безопасности — реализованные в коде и архитектуре системы функции защиты информации, доступные для конфигурирования и применения без установки дополнительного программного обеспечения;

  • наложенные средства защиты информации (СЗИ) — внешние по отношению к системе программные и аппаратные средства, обеспечивающие дополнительные меры защиты информации в конкретном контуре эксплуатации;

  • заказчик — юридическое лицо, осуществляющее внедрение, конфигурирование и эксплуатацию системы Global ERP в своем контуре;

  • security by design — подход к разработке, при котором требования безопасности учитываются на всех этапах жизненного цикла программного обеспечения, начиная с формирования требований и проектирования архитектуры.

Область применения#

Настоящее Описание распространяется на все версии системы Global ERP и связанную с ними эксплуатационную документацию.

Требования Описания обязательны для применения:

  • подразделениями разработки при проектировании и реализации встроенных механизмов безопасности;

  • подразделениями внедрения и сопровождения при консультировании заказчиков;

  • подразделением информационной безопасности при оценке соответствия системы нормативным требованиям.

Описание применяется совместно со следующими внутренними нормативными документами Общества:

Нормативная база#

Встроенные механизмы безопасности системы и порядок их разработки реализованы с учетом требований следующих нормативных и методических документов:

  • ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;

  • ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;

  • Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;

  • методические рекомендации OWASP;

  • внутренние нормативные документы Общества по информационной безопасности и безопасной разработке.

Архитектурные принципы безопасности#

Архитектура системы Global ERP реализует следующие принципы безопасности:

  • учет требований информационной безопасности на этапе проектирования (security by design);

  • совместимость с внешними средствами защиты информации и предоставление интерфейсов для их интеграции;

  • отсутствие конфликтов встроенных механизмов безопасности с бизнес-функциональностью системы;

  • сохранение проектных показателей производительности при работе встроенных механизмов защиты.

Встроенные механизмы безопасности охватывают следующие функциональные подсистемы:

  • идентификация и аутентификация;

  • управление доступом;

  • аудит и журналирование;

  • защита каналов связи;

  • управление секретами;

  • безопасность выполнения и обработки запросов.

Учет требований ГОСТ Р 51583-2014 в процессе разработки#

Процесс создания системы Global ERP учитывает положения ГОСТ Р 51583-2014 в части обеспечения безопасности программного продукта следующими мерами:

  • разработка ведется в соответствии с техническим заданием, в котором на этапе проектирования архитектуры фиксируются требования к подсистеме безопасности;

  • архитектура системы атформы обеспечивает совместимость с внешними средствами защиты информации и предоставляет интерфейсы для их интеграции;

  • встроенные механизмы безопасности не препятствуют нормальному функционированию системы и не снижают ее производительность ниже проектных показателей;

  • в жизненный цикл разработки интегрированы обязательные процедуры верификации безопасности: статический анализ кода, автоматизированный анализ зависимостей (SCA), динамическое тестирование веб-интерфейсов и рецензирование изменений, обеспечивающие соответствие компонентов требованиям безопасности перед включением в поставочный контур;

  • управление изменениями и выпуском релизов осуществляется в соответствии с Положением о безопасной разработке: обязательные проверки кода и зависимостей, контроль уязвимостей перед выпуском;

  • Система сопровождается комплектом документации, обеспечивающим заказчику возможность проектирования подсистемы защиты, безопасной конфигурации и проведения приемочных испытаний;

  • обеспечивается регламентированный процесс обновления и технической поддержки.

Встроенные механизмы безопасности системы#

Архитектура Global ERP предоставляет следующие встроенные механизмы, соответствующие требованиям ГОСТ Р 51583-2014 и применимые при построении АСЗИ.

Идентификация и аутентификация#

  • Политика паролей. Система поддерживает настройку требований к сложности паролей (использование символов различных типов, минимальная длина), а также контроль истории и срока действия паролей. Параметры настраиваются в соответствии с руководством по политике паролей.

  • Интеграция со службами каталогов. Поддерживается аутентификация пользователей через LDAP-каталоги, включая Microsoft Active Directory и ALDPro. Настройка выполняется в соответствии с инструкциями по LDAP-синхронизации и подключению к Active Directory.

  • Единый вход (SSO). Система поддерживает использование внешних провайдеров аутентификации по протоколу OpenID Connect. Настройка выполняется в соответствии с руководством по настройке SSO.

  • Двухфакторная аутентификация (2FA). Поддерживается использование второго фактора аутентификации (подтверждение по e-mail) при использовании внешнего провайдера идентификации. Настройка выполняется на стороне провайдера в соответствии с документацией по настройке 2FA.

Управление доступом#

  • Ролевая модель (RBAC). Доступ к функциям, данным и операциям системы предоставляется на основе ролей. Роли включают права на выполнение операций (чтение, добавление, изменение, удаление, выполнение действий) и назначаются пользователям через механизмы управления доступом в соответствии с руководством по настройке ролей.

  • Дискретный доступ к объектам. Система поддерживает ограничение доступа на уровне отдельных объектов с использованием механизма дискретного доступа. Настройка правил выполняется в соответствии с разделом документации.

Аудит и журналирование#

  • Аудит пользовательской активности. Регистрация изменений данных и действий пользователей в системе (создание, изменение, удаление объектов). Аудит настраивается на уровне классов с сохранением данных в таблицах аудита и доступен для просмотра через интерфейс системы.

  • Журналы информационной безопасности. Регистрация событий безопасности (аутентификация, ошибки входа, управление правами, сессии и др.). События логируются через специализированный логгер в формате CEF. Поддерживается экспорт событий во внешние системы (SIEM) по протоколу Syslog. Настройка журналирования и параметров экспорта выполняется в соответствии с документацией по настройке логирования событий информационной безопасности.

Защита каналов связи#

  • Защита сетевого взаимодействия обеспечивается с использованием TLS/SSL на уровне балансировщика (HAProxy), включая настройку сертификатов и HTTPS-подключения. Конфигурация выполняется согласно инструкции по настройке HAProxy и TLS.

Управление секретами#

  • Хэширование паролей. Пароли пользователей хранятся в виде хэшей алгоритма Argon2id без возможности восстановления исходного значения. Используется контроль истории паролей в хэшированном виде.

  • Шифрование учетных данных. Для исключения хранения учетных данных в открытом виде применяется механизм шифрования данных. Настройка и выполнение шифрования осуществляется в соответствии с документацией по шифрованию учетных данных.

  • Интеграция с Kubernetes Secrets. Система поддерживает развертывание через Helm-чарт (начиная с версии 5.4.0) и может использоваться совместно с внешними решениями для автоматизации работы с секретами: helm-secrets, sops, Sealed Secrets, External Secrets.

Безопасность выполнения и обработки запросов#

  • Архитектура системы предусматривает меры безопасности, направленные на предотвращение внедрения SQL-кода (SQL Injection), сокрытие информации о веб-сервере и безопасное выполнение серверной логики. Детальное описание реализованных мер приведено в соотвествующем разделе.

Зона ответственности ООО «Бизнес Технологии»#

В рамках обеспечения возможности построения АСЗИ на базе системы Global ERP Общество обеспечивает:

  • реализацию встроенных механизмов безопасности в соответствии с разделом «Встроенные механизмы безопасности системы» настоящего Описания;

  • соблюдение требований ГОСТ Р 51583-2014 в процессе разработки системы, а также требований внутренних нормативных документов по информационной безопасности;

  • предоставление заказчику эксплуатационной документации, необходимой для проектирования, безопасной конфигурации и аттестации системы защиты информации;

  • регламентированное сопровождение системы в части выпуска обновлений, устранения выявленных уязвимостей и технической поддержки.

Зона ответственности заказчика#

Статус АСЗИ и соответствие требованиям ГОСТ Р 51583-2014 достигаются заказчиком в рамках проекта внедрения путем реализации комплекса организационных и технических мероприятий по защите информации, соответствующих модели угроз и условиям эксплуатации конкретного контура.

В рамках построения АСЗИ на базе системы Global ERP заказчик, в частности, обеспечивает:

  • разработку модели угроз и технического задания на систему защиты информации для конкретного контура эксплуатации;

  • конфигурирование встроенных механизмов безопасности в соответствии с эксплуатационной документацией и моделью угроз;

  • развертывание и интеграцию наложенных средств защиты информации (СЗИ от НСД, антивирусных средств, СКЗИ и др.) в соответствии с проектной документацией;

  • организацию аттестации системы на соответствие требованиям информационной безопасности.

Приведенный перечень не является исчерпывающим. Состав и содержание мероприятий определяются моделью угроз, техническим заданием на систему защиты информации и требованиями аттестационной документации для конкретного контура эксплуатации.

Содержание