Общие положения

Общие положения#

Раздел описывает встроенные механизмы безопасности системы Global ERP, а также возможности интеграции со сторонними средствами и сервисами безопасности для усиления защиты в процессе эксплуатации.

Встроенные механизмы безопасности системы реализованы в архитектуре и функциональности Global ERP. Они применяются для идентификации и аутентификации пользователей, управления доступом, аудита, журналирования, защиты каналов связи, управления секретами и безопасной обработки запросов.

Система Global ERP в типовой поставке не является готовой автоматизированной системой в защищенном исполнении (АСЗИ). Встроенные механизмы безопасности предоставляют базовый функционал, который конфигурируется и при необходимости дополняется внешними средствами защиты информации в рамках конкретного проекта внедрения. Полное соответствие требованиям ГОСТ Р 51583-2014 и статус АСЗИ достигаются после аттестации в реальных условиях эксплуатации заказчика.

Область применения#

Раздел распространяется на компоненты Global ERP, включая платформу, серверные и клиентские модули, прикладные решения, эксплуатационную документацию и интерфейсы интеграции.

Материалы раздела применяются:

  • подразделениями разработки при проектировании и реализации встроенных механизмов безопасности;

  • подразделениями внедрения и сопровождения при консультировании заказчиков;

  • подразделением информационной безопасности при оценке соответствия системы нормативным требованиям;

  • заказчиками при проектировании защищенного контура эксплуатации системы.

Подходы к обеспечению безопасности#

В Global ERP используются два взаимодополняющих подхода:

  • Security by design — базовые меры информационной безопасности встроены в архитектуру и функциональность системы и обеспечиваются на уровне платформы.

  • Расширяемая модель безопасности — система предусматривает интеграцию со сторонними средствами и сервисами безопасности, включая внешние системы аутентификации, мониторинга, контроля доступа и защиты инфраструктуры.

Архитектура системы Global ERP реализует следующие принципы безопасности:

  • учет требований информационной безопасности на этапе проектирования;

  • совместимость с внешними средствами защиты информации и предоставление интерфейсов для их интеграции;

  • отсутствие конфликтов встроенных механизмов безопасности с бизнес-функциональностью системы;

  • сохранение проектных показателей производительности при работе встроенных механизмов защиты.

Состав встроенных механизмов#

Встроенные механизмы безопасности Global ERP описаны в отдельных страницах раздела:

  • Идентификация и аутентификация — описывает способы установления пользователя, проверки учетных данных, локальную аутентификацию, парольную политику, защиту от подбора паролей, работу с LDAP, SSO, внешним прокси-сервером авторизации и техническими подключениями.

  • Управление доступом — описывает категории учетных записей, ролевую модель доступа и контроль привилегий.

  • Безопасность выполнения и обработки запросов — описывает меры безопасности при выполнении серверной логики, обработке пользовательского ввода и работе HTTP-интерфейсов.

  • Логирование, аудит и управление инцидентами — описывает регистрацию событий безопасности, аудит действий пользователей, защиту журналов, обработку инцидентов и учет уязвимостей.

  • Инфраструктурная безопасность и сопровождение — описывает меры безопасности, относящиеся к инфраструктуре, сетевому взаимодействию, защите каналов связи, управлению секретами, резервному копированию и обновлениям.

Страница «Рекомендации по информационной безопасности» содержит эксплуатационные рекомендации и не входит в описание встроенных механизмов безопасности системы.

Учет требований ГОСТ Р 51583-2014#

Процесс создания системы Global ERP учитывает положения ГОСТ Р 51583-2014 в части обеспечения безопасности программного продукта следующими мерами:

  • Разработка ведется в соответствии с техническим заданием, в котором на этапе проектирования архитектуры фиксируются требования к подсистеме безопасности.

  • Архитектура системы обеспечивает совместимость с внешними средствами защиты информации и предоставляет интерфейсы для их интеграции.

  • Встроенные механизмы безопасности не препятствуют нормальному функционированию системы и не снижают ее производительность ниже проектных показателей.

  • В жизненный цикл разработки интегрированы обязательные процедуры верификации безопасности: статический анализ кода, автоматизированный анализ зависимостей (SCA), динамическое тестирование веб-интерфейсов и рецензирование изменений.

  • Управление изменениями и выпуском релизов осуществляется в соответствии с Положением о безопасной разработке.

  • Система сопровождается комплектом документации, обеспечивающим заказчику возможность проектирования подсистемы защиты, безопасной конфигурации и проведения приемочных испытаний.

  • Обеспечивается регламентированный процесс обновления и технической поддержки.

Границы ответственности#

В рамках обеспечения возможности построения АСЗИ на базе системы Global ERP ООО «Бизнес Технологии» обеспечивает:

  • реализацию встроенных механизмов безопасности;

  • соблюдение требований ГОСТ Р 51583-2014 в процессе разработки системы, а также требований внутренних нормативных документов по информационной безопасности;

  • предоставление заказчику эксплуатационной документации, необходимой для проектирования, безопасной конфигурации и аттестации системы защиты информации;

  • регламентированное сопровождение системы в части выпуска обновлений, устранения выявленных уязвимостей и технической поддержки.

Статус АСЗИ и соответствие требованиям ГОСТ Р 51583-2014 достигаются заказчиком в рамках проекта внедрения путем реализации комплекса организационных и технических мероприятий по защите информации, соответствующих модели угроз и условиям эксплуатации конкретного контура.

В рамках построения АСЗИ на базе Global ERP заказчик обеспечивает:

  • разработку модели угроз и технического задания на систему защиты информации для конкретного контура эксплуатации;

  • конфигурирование встроенных механизмов безопасности в соответствии с эксплуатационной документацией и моделью угроз;

  • развертывание и интеграцию наложенных средств защиты информации, включая СЗИ от НСД, антивирусные средства и СКЗИ, в соответствии с проектной документацией;

  • организацию аттестации системы на соответствие требованиям информационной безопасности.

Состав и содержание мероприятий определяются моделью угроз, техническим заданием на систему защиты информации и требованиями аттестационной документации для конкретного контура эксплуатации.

Нормативная база#

Встроенные механизмы безопасности системы и порядок их разработки реализованы с учетом требований следующих нормативных и методических документов:

  • ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;

  • ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;

  • Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;

  • методические рекомендации OWASP;

  • внутренние нормативные документы ООО «Бизнес Технологии» в области информационной безопасности;

  • Положение о безопасной разработке;

  • регламент управления уязвимостями;

  • проектная документация на разработку системы.

Термины и сокращения#

  • ALDPro — служба каталогов, используемая в инфраструктуре заказчика в качестве источника учетных данных.

  • АСЗИ — автоматизированная система в защищенном исполнении, в которой требования к защите информации реализуются на всех этапах жизненного цикла в соответствии с ГОСТ Р 51583-2014.

  • CEF (Common Event Format) — стандартный формат представления событий безопасности.

  • DRP (Disaster Recovery Plan) — план восстановления после сбоев и аварий.

  • IDM (Identity Management) — система управления учетными записями, ролями и жизненным циклом идентичностей.

  • MDM (Mobile Device Management) — класс систем для управления и контроля мобильных устройств.

  • MFA (Multi-Factor Authentication) — многофакторная аутентификация, использующая 2 и более независимых фактора подтверждения личности.

  • NTP (Network Time Protocol) — протокол синхронизации времени в сетях.

  • ORM (Object-Relational Mapping) — технология сопоставления объектов приложения с записями в базе данных.

  • Security by design — подход к разработке, при котором требования безопасности учитываются на всех этапах жизненного цикла программного обеспечения.

  • SIEM (Security Information and Event Management) — система сбора, корреляции и анализа событий информационной безопасности.

  • SOAP (Simple Object Access Protocol) — протокол обмена структурированными сообщениями между приложениями.

  • SQL Injection — уязвимость, связанная с внедрением SQL-кода через пользовательский ввод.

  • SSO (Single Sign-On) — единая аутентификация пользователя для доступа к нескольким системам без повторного ввода учетных данных.

  • SSRF (Server-Side Request Forgery) — уязвимость, позволяющая инициировать запросы от имени сервера к внутренним или внешним ресурсам.

  • SYSLOG — протокол передачи сообщений журналирования.

  • XSS (Cross-Site Scripting) — уязвимость, связанная с выполнением внедренного сценарного кода в интерфейсе пользователя.

  • XXE (XML External Entity) — уязвимость, связанная с обработкой внешних XML-сущностей.

  • Встроенные механизмы безопасности — реализованные в коде и архитектуре системы функции защиты информации, доступные для конфигурирования и применения без установки дополнительного программного обеспечения.

  • Заказчик — юридическое лицо, осуществляющее внедрение, конфигурирование и эксплуатацию системы Global ERP в своем контуре.

  • Информационная безопасность (ИБ) — состояние защищенности информации и информационных систем от несанкционированного доступа, искажения, утраты и иных угроз.

  • Контроль целостности — проверка неизменности компонентов системы и данных.

  • Наложенные средства защиты информации (СЗИ) — внешние по отношению к системе программные и аппаратные средства, обеспечивающие дополнительные меры защиты информации в конкретном контуре эксплуатации.

  • Расширяемая модель безопасности — модель, предусматривающая интеграцию системы со сторонними средствами и сервисами безопасности.

  • Ролевая модель доступа — модель разграничения доступа на основе ролей, назначаемых пользователям.

  • Сетевая безопасность — совокупность мер по защите сетевых взаимодействий и ограничению сетевого доступа.

Содержание