# Общие положения

Раздел описывает встроенные механизмы безопасности системы Global ERP, а также возможности интеграции со сторонними средствами и сервисами безопасности для усиления защиты в процессе эксплуатации.

Встроенные механизмы безопасности системы реализованы в архитектуре и функциональности Global ERP. Они применяются для идентификации и аутентификации пользователей, управления доступом, аудита, журналирования, защиты каналов связи, управления секретами и безопасной обработки запросов.

Система Global ERP в типовой поставке не является готовой автоматизированной системой в защищенном исполнении (АСЗИ). Встроенные механизмы безопасности предоставляют базовый функционал, который конфигурируется и при необходимости дополняется внешними средствами защиты информации в рамках конкретного проекта внедрения. Полное соответствие требованиям ГОСТ Р 51583-2014 и статус АСЗИ достигаются после аттестации в реальных условиях эксплуатации заказчика.

## Область применения

Раздел распространяется на компоненты Global ERP, включая платформу, серверные и клиентские модули, прикладные решения, эксплуатационную документацию и интерфейсы интеграции.

Материалы раздела применяются:
- подразделениями разработки при проектировании и реализации встроенных механизмов безопасности;
- подразделениями внедрения и сопровождения при консультировании заказчиков;
- подразделением информационной безопасности при оценке соответствия системы нормативным требованиям;
- заказчиками при проектировании защищенного контура эксплуатации системы.

## Подходы к обеспечению безопасности

В Global ERP используются два взаимодополняющих подхода:

- **Security by design** — базовые меры информационной безопасности встроены в архитектуру и функциональность системы и обеспечиваются на уровне платформы.
- **Расширяемая модель безопасности** — система предусматривает интеграцию со сторонними средствами и сервисами безопасности, включая внешние системы аутентификации, мониторинга, контроля доступа и защиты инфраструктуры.

Архитектура системы Global ERP реализует следующие принципы безопасности:
- учет требований информационной безопасности на этапе проектирования;
- совместимость с внешними средствами защиты информации и предоставление интерфейсов для их интеграции;
- отсутствие конфликтов встроенных механизмов безопасности с бизнес-функциональностью системы;
- сохранение проектных показателей производительности при работе встроенных механизмов защиты.

## Состав встроенных механизмов

Встроенные механизмы безопасности Global ERP описаны в отдельных страницах раздела:

- **Идентификация и аутентификация** — описывает способы установления пользователя, проверки учетных данных, локальную аутентификацию, парольную политику, защиту от подбора паролей, работу с LDAP, SSO, внешним прокси-сервером авторизации и техническими подключениями.
- **Управление доступом** — описывает категории учетных записей, ролевую модель доступа и контроль привилегий.
- **Безопасность выполнения и обработки запросов** — описывает меры безопасности при выполнении серверной логики, обработке пользовательского ввода и работе HTTP-интерфейсов.
- **Логирование, аудит и управление инцидентами** — описывает регистрацию событий безопасности, аудит действий пользователей, защиту журналов, обработку инцидентов и учет уязвимостей.
- **Инфраструктурная безопасность и сопровождение** — описывает меры безопасности, относящиеся к инфраструктуре, сетевому взаимодействию, защите каналов связи, управлению секретами, резервному копированию и обновлениям.

Страница «Рекомендации по информационной безопасности» содержит эксплуатационные рекомендации и не входит в описание встроенных механизмов безопасности системы.

## Учет требований ГОСТ Р 51583-2014

Процесс создания системы Global ERP учитывает положения ГОСТ Р 51583-2014 в части обеспечения безопасности программного продукта следующими мерами:

- Разработка ведется в соответствии с техническим заданием, в котором на этапе проектирования архитектуры фиксируются требования к подсистеме безопасности.
- Архитектура системы обеспечивает совместимость с внешними средствами защиты информации и предоставляет интерфейсы для их интеграции.
- Встроенные механизмы безопасности не препятствуют нормальному функционированию системы и не снижают ее производительность ниже проектных показателей.
- В жизненный цикл разработки интегрированы обязательные процедуры верификации безопасности: [статический анализ кода](https://help.globalerp.ru/books/GlobalServerAppGuide/SNAPSHOT/html/050_tools/stat_analyz/0040_стат_анализ.html#id1), [автоматизированный анализ зависимостей (SCA)](https://help.globalerp.ru/books/SecurityGuide/SNAPSHOT/html/realization/020_безопасн_разработка.html#id14), [динамическое тестирование веб-интерфейсов](https://help.globalerp.ru/books/SecurityGuide/SNAPSHOT/html/realization/020_безопасн_разработка.html#api) и [рецензирование изменений](https://help.globalerp.ru/books/SecurityGuide/SNAPSHOT/html/realization/020_безопасн_разработка.html#id11).
- Управление изменениями и выпуском релизов осуществляется в соответствии с [Положением о безопасной разработке](https://help.globalerp.ru/books/SecurityGuide/SNAPSHOT/html/realization/020_безопасн_разработка.html#id1).
- Система сопровождается комплектом документации, обеспечивающим заказчику возможность проектирования подсистемы защиты, безопасной конфигурации и проведения приемочных испытаний.
- Обеспечивается [регламентированный процесс обновления](https://help.globalerp.ru/books/G3SysAdminDoc/SNAPSHOT/html/060_обновление.html#global-erp) и технической поддержки.

## Границы ответственности

В рамках обеспечения возможности построения АСЗИ на базе системы Global ERP ООО «Бизнес Технологии» обеспечивает:

- реализацию встроенных механизмов безопасности;
- соблюдение требований ГОСТ Р 51583-2014 в процессе разработки системы, а также требований внутренних нормативных документов по информационной безопасности;
- предоставление заказчику эксплуатационной документации, необходимой для проектирования, безопасной конфигурации и аттестации системы защиты информации;
- регламентированное сопровождение системы в части выпуска обновлений, устранения выявленных уязвимостей и технической поддержки.

Статус АСЗИ и соответствие требованиям ГОСТ Р 51583-2014 достигаются заказчиком в рамках проекта внедрения путем реализации комплекса организационных и технических мероприятий по защите информации, соответствующих модели угроз и условиям эксплуатации конкретного контура.

В рамках построения АСЗИ на базе Global ERP заказчик обеспечивает:

- разработку модели угроз и технического задания на систему защиты информации для конкретного контура эксплуатации;
- конфигурирование встроенных механизмов безопасности в соответствии с эксплуатационной документацией и моделью угроз;
- развертывание и интеграцию наложенных средств защиты информации, включая СЗИ от НСД, антивирусные средства и СКЗИ, в соответствии с проектной документацией;
- организацию аттестации системы на соответствие требованиям информационной безопасности.

Состав и содержание мероприятий определяются моделью угроз, техническим заданием на систему защиты информации и требованиями аттестационной документации для конкретного контура эксплуатации.

## Нормативная база

Встроенные механизмы безопасности системы и порядок их разработки реализованы с учетом требований следующих нормативных и методических документов:

- ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
- ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
- Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
- методические рекомендации OWASP;
- внутренние нормативные документы ООО «Бизнес Технологии» в области информационной безопасности;
- [Положение о безопасной разработке](https://help.globalerp.ru/books/SecurityGuide/SNAPSHOT/html/realization/020_безопасн_разработка.html#id1);
- регламент управления уязвимостями;
- проектная документация на разработку системы.

## Термины и сокращения

- ALDPro — служба каталогов, используемая в инфраструктуре заказчика в качестве источника учетных данных.
- АСЗИ — автоматизированная система в защищенном исполнении, в которой требования к защите информации реализуются на всех этапах жизненного цикла в соответствии с ГОСТ Р 51583-2014.
- CEF (Common Event Format) — стандартный формат представления событий безопасности.
- DRP (Disaster Recovery Plan) — план восстановления после сбоев и аварий.
- IDM (Identity Management) — система управления учетными записями, ролями и жизненным циклом идентичностей.
- MDM (Mobile Device Management) — класс систем для управления и контроля мобильных устройств.
- MFA (Multi-Factor Authentication) — многофакторная аутентификация, использующая 2 и более независимых фактора подтверждения личности.
- NTP (Network Time Protocol) — протокол синхронизации времени в сетях.
- ORM (Object-Relational Mapping) — технология сопоставления объектов приложения с записями в базе данных.
- Security by design — подход к разработке, при котором требования безопасности учитываются на всех этапах жизненного цикла программного обеспечения.
- SIEM (Security Information and Event Management) — система сбора, корреляции и анализа событий информационной безопасности.
- SOAP (Simple Object Access Protocol) — протокол обмена структурированными сообщениями между приложениями.
- SQL Injection — уязвимость, связанная с внедрением SQL-кода через пользовательский ввод.
- SSO (Single Sign-On) — единая аутентификация пользователя для доступа к нескольким системам без повторного ввода учетных данных.
- SSRF (Server-Side Request Forgery) — уязвимость, позволяющая инициировать запросы от имени сервера к внутренним или внешним ресурсам.
- SYSLOG — протокол передачи сообщений журналирования.
- XSS (Cross-Site Scripting) — уязвимость, связанная с выполнением внедренного сценарного кода в интерфейсе пользователя.
- XXE (XML External Entity) — уязвимость, связанная с обработкой внешних XML-сущностей.
- Встроенные механизмы безопасности — реализованные в коде и архитектуре системы функции защиты информации, доступные для конфигурирования и применения без установки дополнительного программного обеспечения.
- Заказчик — юридическое лицо, осуществляющее внедрение, конфигурирование и эксплуатацию системы Global ERP в своем контуре.
- Информационная безопасность (ИБ) — состояние защищенности информации и информационных систем от несанкционированного доступа, искажения, утраты и иных угроз.
- Контроль целостности — проверка неизменности компонентов системы и данных.
- Наложенные средства защиты информации (СЗИ) — внешние по отношению к системе программные и аппаратные средства, обеспечивающие дополнительные меры защиты информации в конкретном контуре эксплуатации.
- Расширяемая модель безопасности — модель, предусматривающая интеграцию системы со сторонними средствами и сервисами безопасности.
- Ролевая модель доступа — модель разграничения доступа на основе ролей, назначаемых пользователям.
- Сетевая безопасность — совокупность мер по защите сетевых взаимодействий и ограничению сетевого доступа.