Повышение защищенности Microsoft Dynamics NAV в крупном медиа холдинге

В четвертом квартале 2015 года компанией GlobalTrust был реализован проект по анализу защищенности, проектированию и внедрению системы защиты информационной системы Microsoft Dynamics NAV в одном из крупнейших российских медиа холдингов.

ERP-система Microsoft Dynamics NAV – это программное решение для управления финансовыми, кадровыми и прочими активами предприятия, позволяющее повысить эффективность бизнес-процессов. Данное решение используется для формирования и ведения штатного расписания; кадрового и персонифицированного учета; расчета заработной платы и налогов, а также взаимодействия с налоговыми органами и пенсионным фондом РФ.

В ходе выполнения  работ специалистами GlobalTrust были решены следующие задачи:

• Разработка модели угроз и нарушителей информационной безопасности Microsoft Dynamics NAV;
• Анализ защищенности Microsoft Dynamics NAV и среды функционирования;
• Оценка надежности и полноты существующих контрмер, соответствие внутренним и международным стандартам;
• Подготовка рекомендаций по повышению защищенности Microsoft Dynamics NAV и среды функционирования;
• Проектирование и внедрение подсистемы защиты Microsoft Dynamics NAV.

С целью решения данных задач специалистами GlobalTrust  была разработана программа и методика тестовых испытаний для Microsoft Dynamics NAV, направленных на выявление уязвимостей и несоответствий требованиям безопасности, выполнено проектирование общей архитектуры посистемы защиты, разработана проектная документация, внедрены дополнительные средства защиты информации.

По словам генерального директора GlobalTrust Александра Астахова: «Ключевыми особенностями Microsoft Dynamics NAV как объекта защиты являются ее распределенная клиент-серверная архитектура, многоуровневость, а также концентрация основного объема обрабатываемой информации в базе данных MSSQLServer. Уязвимости данной ERP-системы распределены по уровням, также как и ее функциональные компоненты: сетевой уровень, уровень операционной  системы, уровень СУБД, прикладной уровень, веб-интерфейсы, клиентские компоненты ERP-системы. Для каждого из этих уровней характерен свой набор слабых мест, которые могут повлечь компрометацию всей системы, даже в случае идеально настроенных остальных. Отдельную проблему представляет достаточно сложная система управления доступом к объектам внутри ERP-системы. Поэтому для контроля распределения прав доступа могут потребоваться дополнительные специализированные средства, разрабатываемые для Microsoft Dynamics NAV».

Результаты работы позволили выявить и устранить имеющиеся уязвимости и несоответствия в одной из ключевых бизнес-систем медиа холдинга и повысить защищенность обрабатываемых в Microsoft Dynamics NAV персональных данных и финансовой информации.