Оценка риска информационной безопасности при использовании ERP-систем | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Авторы: , ,

Рубрика: Технические науки

Опубликовано в Молодой учёный №15 (119) август-1 2016 г.

Дата публикации: 04.08.2016

Статья просмотрена: 1111 раз

Библиографическое описание:

Белозёрова, А. А. Оценка риска информационной безопасности при использовании ERP-систем / А. А. Белозёрова, С. Ю. Микова, М. А. Нестеренко. — Текст : непосредственный // Молодой ученый. — 2016. — № 15 (119). — С. 152-155. — URL: https://moluch.ru/archive/119/33109/ (дата обращения: 16.12.2024).



Оценка риска информационной безопасности при использовании ERP-систем

Белозёрова Ангелина Андреевна, студент;

Микова Софья Юрьевна, студент;

Нестеренко Максим Алексеевич, студент

Волгоградский государственный университет

Дано определение ERP-систем. Выделены крупнейшие игроки российского и мирового ERP-рынок. Проанализирована проблема нарушения информационной безопасности в ERP-системе. Обозначена актуальность процесса оценки рисков информационной безопасности ERP-систем в деятельности современного предприятия. Выделены основные этапы оценки информационных рисков ERP-системы.

Ключевые слова: ERP-система, информационная безопасность, оценка риска, угроза, уязвимость

Система класса ERP (EnterpriseResourcePlanning — управление ресурсами предприятия) — это корпоративная информационная система для автоматизации планирования, учета, контроля и анализа всех основных бизнес-процессов и решения бизнес задач в масштабе предприятия (организации). ERP-система помогает интегрировать все отделы и функции компании в единую систему, при этом все департаменты работают с единой базой данных и им проще обмениваться между собой разного рода информацией.

На рынке ERP-систем доминируют Северная Америка и Европа. В числе крупнейших игроков мирового ERP-рынка GlobalIndustryAnalysts названы: ABASSoftware, CDCSoftware, ConsonaCorporation, EpicorSoftwareCorporation, Microsoft, NetSuite, Oracle, QAD Inc, SAP SE и др. Лидерами являются SAP SE, Oracle, Microsoft. К числу ERP-систем российских компаний можно отнести целый ряд продуктов: 1C, БЭСТ, ФРЕГАТ, Лагуна, Парус, Галактика. Положительную динамику рынка ERP — систем будет обеспечивать увеличение конкуренции во всех отраслях мировой экономики.

Согласно данным TAdviser о внедрениях ERP-систем 2013 года, крупнейшую долю на мировом рынке продолжала удерживать компания SAP, занимая 26 %, на втором месте — Oracle (17 %), затем группа вендоров уровня Tier II (14 %), MicrosoftDynamics (11 %) и группа вендоровTier III и прочих. Причем по сравнению с исследованием 2013 года, доля вендоров Tier II и Tier III снизилась 16 % до 14 % и с 37 % до 31 % соответственно. Данные исследования 2014 года показали, что SAP ERP среди вендоров по-прежнему наиболее часто попадает в short-листы ERP-проектов: в 51 % случаев, за ней следуют решения Oracle(43 %) и линейка MicrosoftDynamics (32 %).

http://www.tadviser.ru/images/thumb/9/95/Panorama_clash_2014.png/550px-Panorama_clash_2014.pngC:\Users\Ангелина\Desktop\Курсач\3-1.gif

Рис. 1. Статистика использования ERP-систем на предприятиях

Объем российского рынка систем в 2013 году IDC оценила в $1,07 млрд, что на 5,9 % больше по сравнению с предыдущим годом ($1,015 млрд).

Результаты 2013 года показывают, то расстановка сил осталась прежней за исключением того, что Microsoft опередила Oracle: SAP (49,9 %), «1С» (30,5 %), Microsoft (7,8 %), Oracle (5,6 %), «Галактика» (1,9 %). Их суммарная доля — 95,7 % рынка (год назад — 95,9 %). Два поставщика — SAP и «1С» контролируют более 80 % рынка.

Популярность в большей степени зависит от предпочтений и удобства их использования на предприятиях. Однако, известность и распространённость данных решений порождает ряд проблем связанных с информационной безопасностью. Это обусловлено с тем, что злоумышленник имеет больше информации о незакрытых уязвимостях и узких местах в защите данных решений, а следовательно, может это использовать при реализации атаки на корпоративные сети предприятий эксплуатирующие ERP.

ERP-системы ориентирована на непрерывную балансировку и оптимизацию ресурсов предприятия посредством специализированного пакета прикладного программного обеспечения, который обеспечивает общую модель данных и процессов для всех сфер деятельности. При этом данные и процессы могут иметь различную степень конфиденциальности и ценность для предприятия. Следовательно, их утечка, нарушение целостности и доступности в результате реализации угроз информационной безопасности различного характера могут привести к ряду негативных последствий. Данные последствия представляют собой ущерб материального и нематериального характера, который может значительно повлиять на конкурентоспособность предприятия и его дальнейшее существование на рынке [1,2].

Рис. 2. Экономические последствия реализации угроз информационной безопасности

Поэтому, управление информационной безопасностью имеет большое значение для ERP. Неотъемлемой частью этого процесса является оценка рисков информационной безопасности, которую необходимо периодически проводить в целях эффективного внедрения мероприятий по управлению информационной безопасностью, учёта новых угроз и уязвимостей, а также изменений в требованиях и приоритетах деятельности организации.

Оценка риска обеспечивает понимание возможных опасных событий, их причин и последствий, вероятности их возникновения и принятие решений. Способ реализации этого процесса зависит не только от области применения процесса менеджмента риска, но также и от методов оценки риска.

В настоящее время для оценки рисков информационной безопасности используется множество различных подходов, методов и средств. Анализ литературных источников [2–5] показывает, что при расчете риска могут использоваться качественные, количественные и смешанные подходы, наиболее распространенными из которых являются

– двухфакторная модель оценки рисков;

– трехфакторная модель оценки риска;

– оценка риска через предотвращенный ущерб;

– оценка рисков на основе теории квалиметрических шкал, карт, моделей линейного упорядочения альтернатив и парных сравнении;

– оценка риска на базе теории игр.

В них предлагаются разные способы сопоставления возможного ущерба в результате инцидентов информационной безопасности с вероятностью реализации угроз и получения соответствующих выводов риска. Оценка информационных рисков, несмотря на имеющиеся специфические для неё нюансы в различных сферах деятельности, представляет собой упорядоченный процесс, состоящий из одних и тех же этапов, на каждом из которых могут быть применены свои методы и средства. Поэтому, первоочередное внимание в исследованиях такого рода следует уделять не результативности методов вообще, а их эффективности на том или ином этапе, возможностям их сочетаний и комбинаций, способам перехода от одного метода к другому, обеспечивающим корректную интерпретацию результатов.

Любая, хорошо продуманная, методология оценки рисков информационной безопасности предусматривает такие этапы, как:

– оценка угроз;

– оценка уязвимостей;

– вероятности реализации угроз (возможного ущерба).

Основные этапы процесса оценки информационных рисков могут быть представлены в виде вложенного алгоритма (процедуры). (Рисунок 3).

Рис. 3. Блок-схема методики оценки рисков ИБ в ERP-системе

Данная методика и ее этапы могут применяться при оценке рисков информационной безопасности ERP-систем. И будут аналогичны для любых организаций, независимо от сферы их деятельности, масштабов, уровня организационной зрелости.

Литература:

  1. Оладько В. С. Белозерова А. А. Микова С. Ю. Нестеренко М. А. облемы информационной безопасности при использовании ERP-систем// Молодой ученый. — 2016. — № 12. — С.346–348
  2. Аткина В. С. Воробьев А. Е. Подход к оценке рисков нарушения информационной безопасности с использованием иерархического подхода к ранжированию ресурсов// Информационные системы и технологии. — 2015. — № 1 (87) январь — февраль 2015. — С.125–131.
  3. Выборнова О. Н. Онтологическая модель процесса оценки рисков// Вестник АГТУ. Сер.: Управление, вычислительная техника и информатика. — 2015. — № 2. — С. 97–102.
  4. Зефиров С. Л., Щербакова А. Ю. Оценка инцидентов информационной безопасности //Доклады Томского государственного университета систем управления и радиоэлектроники. — 2014. — № 2(32). — С.77–81.
  5. Oladko V. S., Mikova S.Yu. The Risk Assessment of the Implementation of Network Attacks on Information Infrastructure on the Example of Tourism Enterprises// Sochi Journal of Economy.2016. Vol. 39, Issue 1. P.42–51
Основные термины (генерируются автоматически): SAP, информационная безопасность, ERP, оценка риска, III, оценка рисков, IDC, QAD, возможный ущерб, информационная безопасность ERP-систем.


Похожие статьи

Проблемы информационной безопасности при использовании ERP-систем

Обозначена актуальность использования ERP-систем в деятельности современного предприятия. Выделены основные функции ERP-систем и категории данных обрабатываемых ими. Проанализирована проблема нарушения информационной безопасности в ERP-системе. Соста...

Применение CVP-анализа для объяснения оперативных управленческих решений в бизнес-анализе

В статье рассмотрены основные механизмы CVP-анализа, даны главные определения технологии CVP-анализа, а также определены условия применения CVP-анализа для объяснения оперативных управленческих решений, выявлены и перечислены основные задачи метода, ...

Состояние процессов внедрения цифровых технологий в работу логистических систем в условиях санкций

Требования и условия, которые сегодня диктует современный мир, достаточно жестоки. Именно поэтому сфера внедрения цифровых технологий и автоматизации ручного труда имеет высокую актуальность и непрерывно развивается. Главной целью данной работы явля...

Организационно-экономические ситуации функционирования и развития предприятий в условиях риска

В статье представлен авторский подход к пониманию категории «риск», его дуальной сущности и содержания, а также к классификации рисков предприятий. Выделены группы факторов, оказывающих влияние на возникновение и уровень риска предприятий. Изложена х...

Алгоритм повышения эффективности деятельности предприятий строительного комплекса на основе функционирования системы управления рисками

В статье предложен алгоритм последовательных действий по повышению эффективности деятельности предприятий строительного комплекса, базирующийся на основе эффективного функционирования на предприятиях интегрированных систем управления рисками. Раскрыт...

Классификация состояний информационной системы по критерию безопасности

В статье рассмотрена проблема идентификации нарушений безопасности в информационной системе предприятия посредством анализа и классификации событий системы. Проанализирована динамика нарушений безопасности информации в организации. Сделан вывод, что ...

Применение системы управления рисками при проведении таможенного контроля

В статье рассмотрены вопросы системности рисков при проведении таможенного контроля, создания методов их минимизации. Был проведен анализ законодательной базы в области применения системы управления рисками в таможенных органах Российской Федерации, ...

Европейские стандарты платежеспособности для страховых компаний Solvency II в ЕС и РФ на современном этапе

В статье анализируется содержание европейских стандартов для страховых компаний Solvency II. Изучается их предыстория и введение в рамках ЕС. Рассматриваются преимущества и недостатки нового режима регулирования страхового сектора. Прогнозируются воз...

Анализ эффективности внедрения и использования ERP-систем на предприятии

В современном мире важное значение отводится эффективному управлению финансами, активами и трудовыми ресурсами организации. Для обеспечения оптимизации различных бизнес-процессов внедряют ERP-системы. Так как проекты по внедрению ERP требуют больших ...

Информационная безопасность в малом и среднем бизнесе. Алгоритмы и действия

В статье представлен алгоритм по повышению информационной безопасности в компаниях среднего и малого бизнеса. Рассмотрены основные угрозы, возникающие в различных предприятиях, связанных с интернет преступниками и методы их предотвращения. В анализе ...

Похожие статьи

Проблемы информационной безопасности при использовании ERP-систем

Обозначена актуальность использования ERP-систем в деятельности современного предприятия. Выделены основные функции ERP-систем и категории данных обрабатываемых ими. Проанализирована проблема нарушения информационной безопасности в ERP-системе. Соста...

Применение CVP-анализа для объяснения оперативных управленческих решений в бизнес-анализе

В статье рассмотрены основные механизмы CVP-анализа, даны главные определения технологии CVP-анализа, а также определены условия применения CVP-анализа для объяснения оперативных управленческих решений, выявлены и перечислены основные задачи метода, ...

Состояние процессов внедрения цифровых технологий в работу логистических систем в условиях санкций

Требования и условия, которые сегодня диктует современный мир, достаточно жестоки. Именно поэтому сфера внедрения цифровых технологий и автоматизации ручного труда имеет высокую актуальность и непрерывно развивается. Главной целью данной работы явля...

Организационно-экономические ситуации функционирования и развития предприятий в условиях риска

В статье представлен авторский подход к пониманию категории «риск», его дуальной сущности и содержания, а также к классификации рисков предприятий. Выделены группы факторов, оказывающих влияние на возникновение и уровень риска предприятий. Изложена х...

Алгоритм повышения эффективности деятельности предприятий строительного комплекса на основе функционирования системы управления рисками

В статье предложен алгоритм последовательных действий по повышению эффективности деятельности предприятий строительного комплекса, базирующийся на основе эффективного функционирования на предприятиях интегрированных систем управления рисками. Раскрыт...

Классификация состояний информационной системы по критерию безопасности

В статье рассмотрена проблема идентификации нарушений безопасности в информационной системе предприятия посредством анализа и классификации событий системы. Проанализирована динамика нарушений безопасности информации в организации. Сделан вывод, что ...

Применение системы управления рисками при проведении таможенного контроля

В статье рассмотрены вопросы системности рисков при проведении таможенного контроля, создания методов их минимизации. Был проведен анализ законодательной базы в области применения системы управления рисками в таможенных органах Российской Федерации, ...

Европейские стандарты платежеспособности для страховых компаний Solvency II в ЕС и РФ на современном этапе

В статье анализируется содержание европейских стандартов для страховых компаний Solvency II. Изучается их предыстория и введение в рамках ЕС. Рассматриваются преимущества и недостатки нового режима регулирования страхового сектора. Прогнозируются воз...

Анализ эффективности внедрения и использования ERP-систем на предприятии

В современном мире важное значение отводится эффективному управлению финансами, активами и трудовыми ресурсами организации. Для обеспечения оптимизации различных бизнес-процессов внедряют ERP-системы. Так как проекты по внедрению ERP требуют больших ...

Информационная безопасность в малом и среднем бизнесе. Алгоритмы и действия

В статье представлен алгоритм по повышению информационной безопасности в компаниях среднего и малого бизнеса. Рассмотрены основные угрозы, возникающие в различных предприятиях, связанных с интернет преступниками и методы их предотвращения. В анализе ...

Задать вопрос