Оценка риска информационной безопасности при использовании ERP-систем | Статья в журнале «Молодой ученый»

Авторы: , ,

Рубрика: Технические науки

Опубликовано в Молодой учёный №15 (119) август-1 2016 г.

Дата публикации: 04.08.2016

Статья просмотрена: 342 раза

Библиографическое описание:

Белозёрова А. А., Микова С. Ю., Нестеренко М. А. Оценка риска информационной безопасности при использовании ERP-систем // Молодой ученый. — 2016. — №15. — С. 152-155. — URL https://moluch.ru/archive/119/33109/ (дата обращения: 26.09.2018).



Оценка риска информационной безопасности при использовании ERP-систем

Белозёрова Ангелина Андреевна, студент;

Микова Софья Юрьевна, студент;

Нестеренко Максим Алексеевич, студент

Волгоградский государственный университет

Дано определение ERP-систем. Выделены крупнейшие игроки российского и мирового ERP-рынок. Проанализирована проблема нарушения информационной безопасности в ERP-системе. Обозначена актуальность процесса оценки рисков информационной безопасности ERP-систем в деятельности современного предприятия. Выделены основные этапы оценки информационных рисков ERP-системы.

Ключевые слова: ERP-система, информационная безопасность, оценка риска, угроза, уязвимость

Система класса ERP (EnterpriseResourcePlanning — управление ресурсами предприятия) — это корпоративная информационная система для автоматизации планирования, учета, контроля и анализа всех основных бизнес-процессов и решения бизнес задач в масштабе предприятия (организации). ERP-система помогает интегрировать все отделы и функции компании в единую систему, при этом все департаменты работают с единой базой данных и им проще обмениваться между собой разного рода информацией.

На рынке ERP-систем доминируют Северная Америка и Европа. В числе крупнейших игроков мирового ERP-рынка GlobalIndustryAnalysts названы: ABASSoftware, CDCSoftware, ConsonaCorporation, EpicorSoftwareCorporation, Microsoft, NetSuite, Oracle, QAD Inc, SAP SE и др. Лидерами являются SAP SE, Oracle, Microsoft. К числу ERP-систем российских компаний можно отнести целый ряд продуктов: 1C, БЭСТ, ФРЕГАТ, Лагуна, Парус, Галактика. Положительную динамику рынка ERP — систем будет обеспечивать увеличение конкуренции во всех отраслях мировой экономики.

Согласно данным TAdviser о внедрениях ERP-систем 2013 года, крупнейшую долю на мировом рынке продолжала удерживать компания SAP, занимая 26 %, на втором месте — Oracle (17 %), затем группа вендоров уровня Tier II (14 %), MicrosoftDynamics (11 %) и группа вендоровTier III и прочих. Причем по сравнению с исследованием 2013 года, доля вендоров Tier II и Tier III снизилась 16 % до 14 % и с 37 % до 31 % соответственно. Данные исследования 2014 года показали, что SAP ERP среди вендоров по-прежнему наиболее часто попадает в short-листы ERP-проектов: в 51 % случаев, за ней следуют решения Oracle(43 %) и линейка MicrosoftDynamics (32 %).

http://www.tadviser.ru/images/thumb/9/95/Panorama_clash_2014.png/550px-Panorama_clash_2014.pngC:\Users\Ангелина\Desktop\Курсач\3-1.gif

Рис. 1. Статистика использования ERP-систем на предприятиях

Объем российского рынка систем в 2013 году IDC оценила в $1,07 млрд, что на 5,9 % больше по сравнению с предыдущим годом ($1,015 млрд).

Результаты 2013 года показывают, то расстановка сил осталась прежней за исключением того, что Microsoft опередила Oracle: SAP (49,9 %), «1С» (30,5 %), Microsoft (7,8 %), Oracle (5,6 %), «Галактика» (1,9 %). Их суммарная доля — 95,7 % рынка (год назад — 95,9 %). Два поставщика — SAP и «1С» контролируют более 80 % рынка.

Популярность в большей степени зависит от предпочтений и удобства их использования на предприятиях. Однако, известность и распространённость данных решений порождает ряд проблем связанных с информационной безопасностью. Это обусловлено с тем, что злоумышленник имеет больше информации о незакрытых уязвимостях и узких местах в защите данных решений, а следовательно, может это использовать при реализации атаки на корпоративные сети предприятий эксплуатирующие ERP.

ERP-системы ориентирована на непрерывную балансировку и оптимизацию ресурсов предприятия посредством специализированного пакета прикладного программного обеспечения, который обеспечивает общую модель данных и процессов для всех сфер деятельности. При этом данные и процессы могут иметь различную степень конфиденциальности и ценность для предприятия. Следовательно, их утечка, нарушение целостности и доступности в результате реализации угроз информационной безопасности различного характера могут привести к ряду негативных последствий. Данные последствия представляют собой ущерб материального и нематериального характера, который может значительно повлиять на конкурентоспособность предприятия и его дальнейшее существование на рынке [1,2].

Рис. 2. Экономические последствия реализации угроз информационной безопасности

Поэтому, управление информационной безопасностью имеет большое значение для ERP. Неотъемлемой частью этого процесса является оценка рисков информационной безопасности, которую необходимо периодически проводить в целях эффективного внедрения мероприятий по управлению информационной безопасностью, учёта новых угроз и уязвимостей, а также изменений в требованиях и приоритетах деятельности организации.

Оценка риска обеспечивает понимание возможных опасных событий, их причин и последствий, вероятности их возникновения и принятие решений. Способ реализации этого процесса зависит не только от области применения процесса менеджмента риска, но также и от методов оценки риска.

В настоящее время для оценки рисков информационной безопасности используется множество различных подходов, методов и средств. Анализ литературных источников [2–5] показывает, что при расчете риска могут использоваться качественные, количественные и смешанные подходы, наиболее распространенными из которых являются

– двухфакторная модель оценки рисков;

– трехфакторная модель оценки риска;

– оценка риска через предотвращенный ущерб;

– оценка рисков на основе теории квалиметрических шкал, карт, моделей линейного упорядочения альтернатив и парных сравнении;

– оценка риска на базе теории игр.

В них предлагаются разные способы сопоставления возможного ущерба в результате инцидентов информационной безопасности с вероятностью реализации угроз и получения соответствующих выводов риска. Оценка информационных рисков, несмотря на имеющиеся специфические для неё нюансы в различных сферах деятельности, представляет собой упорядоченный процесс, состоящий из одних и тех же этапов, на каждом из которых могут быть применены свои методы и средства. Поэтому, первоочередное внимание в исследованиях такого рода следует уделять не результативности методов вообще, а их эффективности на том или ином этапе, возможностям их сочетаний и комбинаций, способам перехода от одного метода к другому, обеспечивающим корректную интерпретацию результатов.

Любая, хорошо продуманная, методология оценки рисков информационной безопасности предусматривает такие этапы, как:

– оценка угроз;

– оценка уязвимостей;

– вероятности реализации угроз (возможного ущерба).

Основные этапы процесса оценки информационных рисков могут быть представлены в виде вложенного алгоритма (процедуры). (Рисунок 3).

Рис. 3. Блок-схема методики оценки рисков ИБ в ERP-системе

Данная методика и ее этапы могут применяться при оценке рисков информационной безопасности ERP-систем. И будут аналогичны для любых организаций, независимо от сферы их деятельности, масштабов, уровня организационной зрелости.

Литература:

  1. Оладько В. С. Белозерова А. А. Микова С. Ю. Нестеренко М. А. облемы информационной безопасности при использовании ERP-систем// Молодой ученый. — 2016. — № 12. — С.346–348
  2. Аткина В. С. Воробьев А. Е. Подход к оценке рисков нарушения информационной безопасности с использованием иерархического подхода к ранжированию ресурсов// Информационные системы и технологии. — 2015. — № 1 (87) январь — февраль 2015. — С.125–131.
  3. Выборнова О. Н. Онтологическая модель процесса оценки рисков// Вестник АГТУ. Сер.: Управление, вычислительная техника и информатика. — 2015. — № 2. — С. 97–102.
  4. Зефиров С. Л., Щербакова А. Ю. Оценка инцидентов информационной безопасности //Доклады Томского государственного университета систем управления и радиоэлектроники. — 2014. — № 2(32). — С.77–81.
  5. Oladko V. S., Mikova S.Yu. The Risk Assessment of the Implementation of Network Attacks on Information Infrastructure on the Example of Tourism Enterprises// Sochi Journal of Economy.2016. Vol. 39, Issue 1. P.42–51
Основные термины (генерируются автоматически): информационная безопасность, SAP, ERP, оценка риска, оценка рисков, III, QAD, информационная безопасность ERP-систем, IDC, возможный ущерб.


Похожие статьи

Проблемы информационной безопасности при использовании...

Оценка риска информационной безопасности при использовании ERP-систем. Методика проведения аудита информационной безопасности информационных систем

Применение экспертных систем для анализа и оценки информационной безопасности.

Оценка рисков информационной безопасности с помощью...

Для решения проблемы отсутствия готовых данных и сложности поиска оптимального значения оценки рисков информационной безопасности в данной статье применяется новый метод информационной меры и нечеткой кластеризации в оценке рисков информационной...

Методика оценки рисков информационной безопасности

Обеспечение информационной безопасности это одна из ключевых задач современных организаций. Угрозу организации могут представлять технические сбои, несогласованность данных в системах организации, безграничный доступ служащих к хранимой информации.

Основные аспекты управления рисками информационной...

оценка риска, процесс управления рисками информационной безопасности, компоненты безопасности, обработка риска, определение уровня риска.

Некоторые аспекты информационной безопасности в распределенной компьютерной системе.

Анализ информационных рисков в обеспечении экономической...

OCTAVE, информационная безопасность, экономическая безопасность, CORAS, риск, система, экономическая безопасность предприятия, комплексная оценка, устойчивый рост, финансовый риск.

Управление ИТ-рисками при эксплуатации информационных...

После оценки возможного ущерба и вероятности наступления того или иного риска необходимо выбрать наиболее серьезные риски и работать с ними.

Похожие статьи. Анализ методов обеспечения безопасности эксплуатации трубопроводных систем.

Значение обеспечения информационной безопасности...

В последнее время информационное управление рисками, основанное на оценке полезных для организации рисков, стало важной частью бизнеса. И именно правильное определение специалистом по информационной безопасности необходимости рисков является главной...

Методы оценки информационной безопасности сетей...

информационная безопасность, сети телекоммуникации, оценка информационной безопасности, риск информационной безопасности, количественная оценка риска.

Применение экспертных систем для анализа и оценки информационной безопасности.

Обсуждение

Социальные комментарии Cackle

Похожие статьи

Проблемы информационной безопасности при использовании...

Оценка риска информационной безопасности при использовании ERP-систем. Методика проведения аудита информационной безопасности информационных систем

Применение экспертных систем для анализа и оценки информационной безопасности.

Оценка рисков информационной безопасности с помощью...

Для решения проблемы отсутствия готовых данных и сложности поиска оптимального значения оценки рисков информационной безопасности в данной статье применяется новый метод информационной меры и нечеткой кластеризации в оценке рисков информационной...

Методика оценки рисков информационной безопасности

Обеспечение информационной безопасности это одна из ключевых задач современных организаций. Угрозу организации могут представлять технические сбои, несогласованность данных в системах организации, безграничный доступ служащих к хранимой информации.

Основные аспекты управления рисками информационной...

оценка риска, процесс управления рисками информационной безопасности, компоненты безопасности, обработка риска, определение уровня риска.

Некоторые аспекты информационной безопасности в распределенной компьютерной системе.

Анализ информационных рисков в обеспечении экономической...

OCTAVE, информационная безопасность, экономическая безопасность, CORAS, риск, система, экономическая безопасность предприятия, комплексная оценка, устойчивый рост, финансовый риск.

Управление ИТ-рисками при эксплуатации информационных...

После оценки возможного ущерба и вероятности наступления того или иного риска необходимо выбрать наиболее серьезные риски и работать с ними.

Похожие статьи. Анализ методов обеспечения безопасности эксплуатации трубопроводных систем.

Значение обеспечения информационной безопасности...

В последнее время информационное управление рисками, основанное на оценке полезных для организации рисков, стало важной частью бизнеса. И именно правильное определение специалистом по информационной безопасности необходимости рисков является главной...

Методы оценки информационной безопасности сетей...

информационная безопасность, сети телекоммуникации, оценка информационной безопасности, риск информационной безопасности, количественная оценка риска.

Применение экспертных систем для анализа и оценки информационной безопасности.

Задать вопрос