Библиографическое описание:

Белозёрова А. А., Микова С. Ю., Нестеренко М. А. Оценка риска информационной безопасности при использовании ERP-систем // Молодой ученый. — 2016. — №15. — С. 152-155.



Оценка риска информационной безопасности при использовании ERP-систем

Белозёрова Ангелина Андреевна, студент;

Микова Софья Юрьевна, студент;

Нестеренко Максим Алексеевич, студент

Волгоградский государственный университет

Дано определение ERP-систем. Выделены крупнейшие игроки российского и мирового ERP-рынок. Проанализирована проблема нарушения информационной безопасности в ERP-системе. Обозначена актуальность процесса оценки рисков информационной безопасности ERP-систем в деятельности современного предприятия. Выделены основные этапы оценки информационных рисков ERP-системы.

Ключевые слова: ERP-система, информационная безопасность, оценка риска, угроза, уязвимость

Система класса ERP (EnterpriseResourcePlanning — управление ресурсами предприятия) — это корпоративная информационная система для автоматизации планирования, учета, контроля и анализа всех основных бизнес-процессов и решения бизнес задач в масштабе предприятия (организации). ERP-система помогает интегрировать все отделы и функции компании в единую систему, при этом все департаменты работают с единой базой данных и им проще обмениваться между собой разного рода информацией.

На рынке ERP-систем доминируют Северная Америка и Европа. В числе крупнейших игроков мирового ERP-рынка GlobalIndustryAnalysts названы: ABASSoftware, CDCSoftware, ConsonaCorporation, EpicorSoftwareCorporation, Microsoft, NetSuite, Oracle, QAD Inc, SAP SE и др. Лидерами являются SAP SE, Oracle, Microsoft. К числу ERP-систем российских компаний можно отнести целый ряд продуктов: 1C, БЭСТ, ФРЕГАТ, Лагуна, Парус, Галактика. Положительную динамику рынка ERP — систем будет обеспечивать увеличение конкуренции во всех отраслях мировой экономики.

Согласно данным TAdviser о внедрениях ERP-систем 2013 года, крупнейшую долю на мировом рынке продолжала удерживать компания SAP, занимая 26 %, на втором месте — Oracle (17 %), затем группа вендоров уровня Tier II (14 %), MicrosoftDynamics (11 %) и группа вендоровTier III и прочих. Причем по сравнению с исследованием 2013 года, доля вендоров Tier II и Tier III снизилась 16 % до 14 % и с 37 % до 31 % соответственно. Данные исследования 2014 года показали, что SAP ERP среди вендоров по-прежнему наиболее часто попадает в short-листы ERP-проектов: в 51 % случаев, за ней следуют решения Oracle(43 %) и линейка MicrosoftDynamics (32 %).

http://www.tadviser.ru/images/thumb/9/95/Panorama_clash_2014.png/550px-Panorama_clash_2014.pngC:\Users\Ангелина\Desktop\Курсач\3-1.gif

Рис. 1. Статистика использования ERP-систем на предприятиях

Объем российского рынка систем в 2013 году IDC оценила в $1,07 млрд, что на 5,9 % больше по сравнению с предыдущим годом ($1,015 млрд).

Результаты 2013 года показывают, то расстановка сил осталась прежней за исключением того, что Microsoft опередила Oracle: SAP (49,9 %), «1С» (30,5 %), Microsoft (7,8 %), Oracle (5,6 %), «Галактика» (1,9 %). Их суммарная доля — 95,7 % рынка (год назад — 95,9 %). Два поставщика — SAP и «1С» контролируют более 80 % рынка.

Популярность в большей степени зависит от предпочтений и удобства их использования на предприятиях. Однако, известность и распространённость данных решений порождает ряд проблем связанных с информационной безопасностью. Это обусловлено с тем, что злоумышленник имеет больше информации о незакрытых уязвимостях и узких местах в защите данных решений, а следовательно, может это использовать при реализации атаки на корпоративные сети предприятий эксплуатирующие ERP.

ERP-системы ориентирована на непрерывную балансировку и оптимизацию ресурсов предприятия посредством специализированного пакета прикладного программного обеспечения, который обеспечивает общую модель данных и процессов для всех сфер деятельности. При этом данные и процессы могут иметь различную степень конфиденциальности и ценность для предприятия. Следовательно, их утечка, нарушение целостности и доступности в результате реализации угроз информационной безопасности различного характера могут привести к ряду негативных последствий. Данные последствия представляют собой ущерб материального и нематериального характера, который может значительно повлиять на конкурентоспособность предприятия и его дальнейшее существование на рынке [1,2].

Рис. 2. Экономические последствия реализации угроз информационной безопасности

Поэтому, управление информационной безопасностью имеет большое значение для ERP. Неотъемлемой частью этого процесса является оценка рисков информационной безопасности, которую необходимо периодически проводить в целях эффективного внедрения мероприятий по управлению информационной безопасностью, учёта новых угроз и уязвимостей, а также изменений в требованиях и приоритетах деятельности организации.

Оценка риска обеспечивает понимание возможных опасных событий, их причин и последствий, вероятности их возникновения и принятие решений. Способ реализации этого процесса зависит не только от области применения процесса менеджмента риска, но также и от методов оценки риска.

В настоящее время для оценки рисков информационной безопасности используется множество различных подходов, методов и средств. Анализ литературных источников [2–5] показывает, что при расчете риска могут использоваться качественные, количественные и смешанные подходы, наиболее распространенными из которых являются

– двухфакторная модель оценки рисков;

– трехфакторная модель оценки риска;

– оценка риска через предотвращенный ущерб;

– оценка рисков на основе теории квалиметрических шкал, карт, моделей линейного упорядочения альтернатив и парных сравнении;

– оценка риска на базе теории игр.

В них предлагаются разные способы сопоставления возможного ущерба в результате инцидентов информационной безопасности с вероятностью реализации угроз и получения соответствующих выводов риска. Оценка информационных рисков, несмотря на имеющиеся специфические для неё нюансы в различных сферах деятельности, представляет собой упорядоченный процесс, состоящий из одних и тех же этапов, на каждом из которых могут быть применены свои методы и средства. Поэтому, первоочередное внимание в исследованиях такого рода следует уделять не результативности методов вообще, а их эффективности на том или ином этапе, возможностям их сочетаний и комбинаций, способам перехода от одного метода к другому, обеспечивающим корректную интерпретацию результатов.

Любая, хорошо продуманная, методология оценки рисков информационной безопасности предусматривает такие этапы, как:

– оценка угроз;

– оценка уязвимостей;

– вероятности реализации угроз (возможного ущерба).

Основные этапы процесса оценки информационных рисков могут быть представлены в виде вложенного алгоритма (процедуры). (Рисунок 3).

Рис. 3. Блок-схема методики оценки рисков ИБ в ERP-системе

Данная методика и ее этапы могут применяться при оценке рисков информационной безопасности ERP-систем. И будут аналогичны для любых организаций, независимо от сферы их деятельности, масштабов, уровня организационной зрелости.

Литература:

  1. Оладько В. С. Белозерова А. А. Микова С. Ю. Нестеренко М. А. облемы информационной безопасности при использовании ERP-систем// Молодой ученый. — 2016. — № 12. — С.346–348
  2. Аткина В. С. Воробьев А. Е. Подход к оценке рисков нарушения информационной безопасности с использованием иерархического подхода к ранжированию ресурсов// Информационные системы и технологии. — 2015. — № 1 (87) январь — февраль 2015. — С.125–131.
  3. Выборнова О. Н. Онтологическая модель процесса оценки рисков// Вестник АГТУ. Сер.: Управление, вычислительная техника и информатика. — 2015. — № 2. — С. 97–102.
  4. Зефиров С. Л., Щербакова А. Ю. Оценка инцидентов информационной безопасности //Доклады Томского государственного университета систем управления и радиоэлектроники. — 2014. — № 2(32). — С.77–81.
  5. Oladko V. S., Mikova S.Yu. The Risk Assessment of the Implementation of Network Attacks on Information Infrastructure on the Example of Tourism Enterprises// Sochi Journal of Economy.2016. Vol. 39, Issue 1. P.42–51
Основные термины (генерируются автоматически): информационной безопасности, рисков информационной безопасности, оценки рисков информационной, информационной безопасности erp-систем, нарушения информационной безопасности, угроз информационной безопасности, информационной безопасностью, реализации угроз информационной, инцидентов информационной безопасности, оценки информационных рисков, оценка риска, риска информационной безопасности, процесса оценки, оценка рисков информационной, оценке рисков информационной, рисков нарушения информационной, процесса оценки рисков, оценки риска, информационной безопасности различного, Оценка риска.

Обсуждение

Социальные комментарии Cackle
Задать вопрос