ЗАБЕЗПЕЧЕННЯ ПОЛІТИКИ БЕЗПЕКИ ХМАРНИХ ERP-СИСТЕМ

Олена Анатоліївна Нємкова, Олег Вадимович Наумов

Анотація


У статті проаналізовано можливості забезпечення політики безпеки підприємства сучасними хмарними ERP-системами. Розглянуто стан засобів інформаційної безпеки, що надають хмарні ERP-системи зі списку топ10. Показано, що забезпечення інформаційної безпеки хмарними ERP-системами стосується захисту інформаційних ресурсів підприємства від зовнішніх загроз, а саме менеджменту прав доступу, безпеці транспортного рівня та захисту від мережевих атак. При наявності доступу до журналів логів та файлів даних не розвинуто технологій виявлення інцидентів порушення політики безпеки та формування сигналу тривоги. Захист від витоку інформації з підприємства хмарними ERP-системами не забезпечується. Також розглянуто можливості перенесення в хмару систем, що запобігають витоку інформації з підприємства, так званих DLP-систем. Проаналізовано сервіси конкретних DLP-систем, що є на українському ринку. Досліджено, що повноцінних хмарних аналогів локальним DLP-системам немає. Для перенесення DLP-системи в хмару і створення «DLP як сервіс» локальна система має бути трансформована. Частина системи, що забезпечує перевірку дій на робочих комп’ютерах, має залишитись на локальному рівні. У хмару може бути перенесена частина системи, яка фіксує виток інформації через канали зв’язку (Інтернет, Skype та інші), а також база проіндексованої інформації, сервіс налаштування політики безпеки і центр формування сигналу тривоги. Все це призведе до нових технічних вимог на канали зв’язку, необхідності використовувати послуги хмарного брокеру з відповідними сертифікатами безпеки, а також суттєвого підвищення вартості експлуатації хмарних послуг. Проведена оцінка вартості послуг існуючих хмарних DLP-систем показала, що підприємство не може контролювати повністю весь потік інформації внаслідок дуже високої ціни. Таким чином, для ефективної роботи хмарних DLP-систем необхідна постійна активна участь співробітників інформаційної безпеки підприємства. Плюсами майбутніх хмарних DLP-систем є забезпечення підприємства потужностями для зберігання проіндексованих даних і розвиненими технологіями пошуку інцидентів політики безпеки.


Ключові слова


виток інформації; політика безпеки; інцидент інформаційної безпеки; хмарна ERP-система; DLP як сервіс; хмарний брокер

Повний текст:

PDF

Посилання


Badger, L., Grance, T., Patt-Corner, R., & Voas, J. (2011, May). DRAFT Cloud Computing Synopsis and Recommendations. NIST. Retrieved from http://csrc.nist.gov/publications/draft s/800-146/Draft -NISTSP800-146.pdf.

Challenging Security Requirements for US Government Cloud Computing Adoption (Draft ) (2011, November). NIST. Retrieved from http://collaborate.nist.gov/twiki-cloud-computing/pub/CloudComputing/CloudSecurity/NIST_Security_Requirements _for_US_Government_Cloud.pdf.

Jansen, W., & Grance, T. (2011, December). Guidelines on Security and Privacy in Public Cloud Computing. NIST. Retrieved from https://csrc.nist.gov/publications/ detail/sp/800-144/final.

Dodson, D., Carroll, D., Scinta, G., Prafullchandra, H., Singh, H., Yeluri, R., et al. (2018, August). Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments Relevance. NIST. Retrieved from https://csrc.nist.gov/publications/detail/sp/1800-19/draft .

Site SAP Cloud Platform. (n. d.). help.sap.com. Retrieved from https://help.sap.com/viewer/65de2977205c403bbc107264b8eccf4b/Cloud/en-US/eb70f16b420447b6b33dedc3ebcf91cc.html.

Site Oracle. (n. d.). Cloud Security Ebook. www.oracle.com. Retrieved from https://www.oracle.com/security/index.html.

Buldakova, Т. I., & Korshunov, A. V. (2015). Obespechenie informacionnoi bezopasnosti ERP-sistem [Ensuring the information security of ERP-systems]. Voprosy kiberbezopasnosti. Specialnyi vypusk — Cyber security issues. Special issue, 5 (13), 41—44 [in Russian].

Catteddu, D., & Hogben, G. (2009). Cloud Computing Benefi ts, risks and recommendations for information security. Th e European Network and Information Security Agency. Retrieved from https://resilience.enisa.europa. eu/cloud-security-and-resilience/publications/cloud-computing-benefi ts-risks-and-recommendations-forinformation-security.

Patel, A., Taghavi, M., Bakhtiyari, K., & Celestino, J. (2013). An Intrusion Detection And Prevention System In Cloud Computing: A Systematic. Júnior Journal of Network and Computer Applications, 36 (1), 25—41.

SAP Cloud Platform. (n. d.). help.sap.com. Retrieved from https://help.sap.com/doc/ bd6250c40c9c4c5391e3009a6f26dc3b/Cloud/en-US/SAP_Cloud_Platform.pdf.

SAAS Security: Best Practices for Minimizing Risk in the Cloud. (n. d.). Retrieved from https://www.intel.com/content/www/us/en/it-management/intel-it-best-practices/saas-security-best-practices-minimizing-risk-inthe-cloud-paper.html.

Sait CNEWS. Ekspertiza REDSYS. U 77% kompanii net avariinogo plana reagirovaniya na kiberataki [Site CNEWS. Expertise REDSYS. 77% of companies do not have an emergency cyber attack plan]. (2018). redsys.cnews.ru. Retrieved from http://redsys.cnews.ru/news/top/2018-05-24_u_77_kompanij_net_avarijnogo_plana_reagirovaniya [in Russian].

Panorama consulting solutions. 2019 Top 10 Distribution ERP Systems Report. (n. d.). cdn2.hubspot.net. Retrieved from https://cdn2.hubspot.net/hubfs/4439340/Top-10-Distribution-ERP-Systems-2.pdf.

SAP Help Portal. (n. d.). Protection from Web Attacks. help.sap.com. Retrieved from https://help.sap.com/viewer/65de2977205c403bbc107264b8eccf4b/Cloud/en-US/52750a8f86bb428ca224daa4312d122e.html.

Th e State of Security. (n. d.). Tripwire Visibility for ICS: Getting From Data Mountains to Event Nuggets. www.tripwire.com. Retrieved from https://www.tripwire.com/state-of-security/ics-security/tripwire-visibility-ics.

Sait SearchInform. (n. d.). Kontur Informaciinoi Bezpeky SearchInform [Site SearchInform. Information Security Contour SearchInform]. searchinform.com.ua. Retrieved from http://searchinform.com.ua [in Ukrainian].


Пристатейна бібліографія ГОСТ


Badger L. DRAFT Cloud Computing Synopsis and Recommendations [Electronic resource] / L. Badger, T. Grance, R. Patt-Corner, J. Voas // NIST. — 2011. — May. — 86 p. — Available at : http://csrc.nist.gov/publications/draft s/800-146/Draft -NIST-SP800-146.pdf.
Challenging Security Requirements for US Government Cloud Computing Adoption (Draft ) [Electronic resource] // NIST. — 2011. — November. — 68 p. — Available at : http://collaborate.nist.gov/twiki-cloud-computing/pub/CloudComputing/CloudSecurity/NIST_Security_Requirements_for_US_Government_Cloud.pdf.
Jansen W. Guidelines on Security and Privacy in Public Cloud Computing [Electronic resource] / W. Jansen, T. Grance // NIST. — 2011. — December. — 80 p. — Available at : https://csrc.nist.gov/publications/detail/sp/800-144/final.
Dodson D. Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments Relevance [Electronic resource] / D. Dodson, D. Carroll, G. Scinta, H. Prafullchandra, H. Singh, R. Yeluri et al. // NIST. — 2018. — August. — 4 p. — Available at : https://csrc.nist.gov/publications/detail/sp/1800-19/draft.
SAP Cloud Platform [Electronic resource]. — Available at : https://help.sap.com/viewer/65de2977205c403bbc107264b8eccf4b/Cloud/en-US/eb70f16b420447b6b33dedc3ebcf91cc.html.
Oracle. Cloud Security Ebook [Electronic resource]. — Available at : https://www.oracle.com/security/index.html.
Булдакова Т. И. Обеспечение информационной безопасности ERP-систем / Т. И. Булдакова, А. В. Коршунов // Вопросы кибербезопасности : спецвып. — 2015. — № 5 (13) — С. 41—44.
Catteddu D. Cloud Computing Benefi ts, risks and recommendations for information security [Electronic resource] / D. Catteddu, G. Hogben // Th e European Network and Information Security Agency. — 2009. — November. — 50 p. — Available at : https://resilience.enisa.europa.eu/cloud-security-and-resilience/publications/cloud-computing-benefi ts-risks-and-recommendations-for-information-security.

Patel A. An Intrusion Detection And Prevention System In Cloud Computing: A Systematic Review / A. Patel, M. Taghavi, K. Bakhtiyari, J. Celestino // Júnior Journal of Network and Computer Applications. — 2013. — Vol. 36. — Is. 1. — P. 25—41.
SAP Cloud Platform [Electronic resource]. — 2422 p. — Available at : https://help.sap.com/doc/bd6250c40c9c4c5391e3009a6f26dc3b/Cloud/en-US/SAP_Cloud_Platform.pdf.
SAAS Security: Best Practices for Minimizing Risk in the Cloud [Electronic resource]. — 11 p. — Available at : https://www.intel.com/content/www/us/en/it-management/intel-it-best-practices/saas-security-bestpractices-minimizing-risk-in-the-cloud-paper.html.
Сайт CNEWS. Экспертиза REDSYS. У 77 % компаний нет аварийного плана реагирования на кибератаки [Электронный ресурс]. — 2018. — Режим доступа : http://redsys.cnews.ru/news/top/2018-05-24_u_77_kompanij_net_avarijnogo _plana_reagirovaniya.
Panorama consulting solutions. 2019 Top 10 Distribution ERP Systems Report [Electronic resource]. — 14 p. — Available at : https://cdn2.hubspot.net/hubfs/4439340/Top-10-Distribution-ERP-Systems-2.pdf.
SAP Help Portal. Protection from Web Attacks [Electronic resource]. — Available at : https://help.sap.com/viewer/65de2977205c403bbc107264b8eccf4b/Cloud/en-US/52750a8f86bb428ca224daa4312d122e.html.
Th e State of Security. Tripwire Visibility for ICS: Getting From Data Mountains to Event Nuggets [Electronic resource]. — Available at : https://www.tripwire.com/state-of-security/ics-security/tripwire-visibility-ics/.
Сайт SearchInform. Контур Інформаційної Безпеки SearchInform [Електронний ресурс]. — Режим доступу : http://searchinform.com.ua.





Copyright (c) 2018 Олена Анатоліївна Нємкова, Олег Вадимович Наумов

Creative Commons License
Ця робота ліцензована Creative Commons Attribution 4.0 International License.

ISSN (print) 2221-755Х