20.04.2009

Особенности обеспечения безопасности ERP-систем

img_small_184

Автор: Евгения Поцелуевская

Должность: Эксперт департамента проектирования и консалтинга

С ростом бизнеса и расширением штата сотрудников всё больше крупных организаций переходит к использованию автоматизированных систем управления  ресурсами предприятия (Enterprise Resource Planning System, ERP). Выгоды от внедрения ERP-системы очевидны: автоматизация и централизация  бизнес-процессов позволяет повысить эффективность управления компанией и значительно снизить трудозатраты персонала. Однако все эти удобства влекут за собой дополнительные риски, связанные, в первую очередь, с появлением единой точки доступа ко всей ценной информации предприятия. Поэтому игнорировать вопросы защиты подобного “узкого места” нельзя.

При обеспечении информационной безопасности ERP-систем должен применяться комплексный подход, включающий в себя как внедрение различных организационных мер, так и использование технических средств защиты, начиная от межсетевого экрана и заканчивая антивирусом. Кроме того, стоит особое внимание уделить обеспечению безопасности СУБД и Сервера приложений, который выполняет все основные функции по управлению ресурсами.

Все перечисленные меры защиты являются типичными для любой системы с трехзвенной архитектурой и, при правильной реализации, довольно эффективны. Однако ERP-системы обладают собственной спецификой, связанной с тем, что, как правило, администратору приходится работать с большим количеством пользователей и ресурсов. Поэтому стоит ему проявить невнимательность, и права на доступ к конфиденциальной информации могут оказаться предоставлены сотруднику, которому такой доступ запрещен политикой безопасности. В связи с этим, ведущие производители ERP-систем (в частности, SAP и Oracle) предусмотрели в линейке своих продуктов средства, позволяющие реализовать концепцию «Governance, Risk, Compliance» (GRC). Данные технические решения позволяют автоматизировать процессы управления полномочиями пользователей и анализа рисков, связанных с некорректным разграничением прав доступа к ресурсам.

Внедрение GRC-систем – это отдельный трудоемкий процесс, результатом которого служит упрощение администрирования ERP-системы и обеспечение контроля соответствия настроек приложений нормативным требованиям компании.