Актуальность исследования. Информация является одним из важнейших активов любой организации, поэтому они должны быть соответствующим образом защищены. Информация объединяет системы безопасности, операций и внутреннего контроля для обеспечения целостности и конфиденциальности данных, и процедур работы в организации. Доступность информации также важна для организации. Если информация целостна и конфиденциальна, но не доступна для авторизованных пользователей, она считается бесполезной.
Системы планирования ресурсов предприятия (Enterprise resource planning) - это программные системы для управления бизнесом, охватывающие модули, поддерживающие такие функциональные области, как планирование, производство, продажа, маркетинг, дистрибуция, учет, финансы, управление персоналом, управление проектами, управление запасами, обслуживание, транспортировка и электронный бизнес. Архитектура программного обеспечения облегчает прозрачную интеграцию модулей, обеспечивая постоянный поток информации между всеми функциями внутри предприятия. Внедрение ERP позволяют компаниям внедрять единую интегрированную систему путем замены своих несовместимых устаревших информационных систем. ERP состоит из коммерческого пакета программного обеспечения, который включает бесшовную интеграцию всей информации. ERP-системы представляют собой настраиваемые пакеты информационных систем, которые объединяют информационные процессы и функциональные области в организации. Обеспечение той или иной степени защищенности информации необходимо на каждом уровне. При этом выбор механизмов защиты информации на различных уровнях ERP-системы зависит от специфики конкретного проекта и от уровня риска каждой угрозы. Роль оценки риска информационной безопасности в деятельности предприятий очень велика [4]. Полученные значения рисков ИБ необходимы для выработки рекомендаций по снижению уровня риска при использовании ERP-системы, а также принятия эффективных мер по обеспечению ИБ всего предприятия.
Степень проработанности темы исследования. В имеющейся литературе рассмотрены такие вопросы, как:
1. Классификация, анализ [6], ERP-систем [9].
2. Построение корпоративной сети с внедренной ERP-системой.
3. Особенности ERP систем, анализ существующих угроз [11, 12].
4. Определение вершин и ребер в графе [4, 8].
5. Угрозы и риски распространения вредоносной информации в корпоративных сетях [10].
Однако, несмотря на большое количество уже существующих работ, связанных с заданной тематикой, остаются не проработанными отличительные особенности процессов распространения информационных эпидемий внутри корпоративных сетей с внедренной ERP-системой.
Исходя из проанализированных источников в ERP-системах наблюдаются следующие противоречия между:
1. Ростом частоты возникающих угроз от реализации информационных атак и недостаточным уровнем защищенности ERP-систем.
2. Потребностью в научно обоснованных методах риск-анализа субъектов информационных атак и готовностью науки предоставить данные методы для эффективного их использования.
3. Значимостью внедрения средств защиты информации в корпоративные сети, в которую внедрены ERP-системы, и последующей их настройки в целях снижения рисков и реализации информационных атак различного характера на главные серверы, и различные ПК пользователей.
Объектом исследования являются ERP-системы и модели оценки информационных рисков.
Предметом исследования являются риски, связанные с информационными атаками на ERP-системы.
Цель исследования состоит в повышении защищенности ERP систем, на основе разработки их моделей, учитывающих конфликтность противоборствующих в них субъектов.
Для достижения поставленной цели в работе решены следующие задачи.
1. Провести подробный анализ ERP-систем, выявить основные уязвимости и угрозы безопасности.
2. Проанализировать информационные риски при использовании ERP-систем
3. Смоделировать корпоративную сеть с внедренной ERP-системой, с помощью программного комплекса Netepidemic, и выработать рекомендации по управлению рисками в данных сетях.
Методы исследования. Для решения поставленных задач в работе используются методы системного анализа, математического анализа, теория графов и методы математического моделирования.
Новизна результатов:
1. Впервые произведен анализ оценки информационных рисков в ERP-системах, с использованием карты риска.
2. В отличие от аналогичных работ, рассматривающих распространение деструктивного воздействия в корпоративных сетях, произведено моделирование эпидемического процесса в корпоративной сети, использующей ERP-систему, при моделировании учтена иерархичность структуры корпоративной сети и проанализирован ущерб в зависимости от типа распространения деструктивного воздействия по сети.
3. Впервые было произведено моделирование процесса инфицирования пользователей в ERP-системах при помощи программного обеспечения NetEpidemic и выработаны рекомендации по уменьшению рисков.
Практическая ценность результатов:
1. Предложены рекомендации по управлению рисками в корпоративной сети с внедренной ERP-системой, позволит оценить информационные риски в процессе использования системы.
2. Предложены меры защиты и архитектура корпоративной сети с внедренной ERP-системой, на которых может быть построена любая корпоративная сеть, в которую внедрена ERP-система.
|