Повышение защищенности Microsoft Dynamics NAV в крупном медиа холдинге
В четвертом квартале 2015 года компанией GlobalTrust был реализован проект по анализу защищенности, проектированию и внедрению системы защиты информационной системы Microsoft Dynamics NAV в одном из крупнейших российских медиа холдингов.
ERP-система Microsoft Dynamics NAV – это программное решение для управления финансовыми, кадровыми и прочими активами предприятия, позволяющее повысить эффективность бизнес-процессов. Данное решение используется для формирования и ведения штатного расписания; кадрового и персонифицированного учета; расчета заработной платы и налогов, а также взаимодействия с налоговыми органами и пенсионным фондом РФ.
В ходе выполнения работ специалистами GlobalTrust были решены следующие задачи:
- Разработка модели угроз и нарушителей информационной безопасности Microsoft Dynamics NAV;
- Анализ защищенности Microsoft Dynamics NAV и среды функционирования;
- Оценка надежности и полноты существующих контрмер, соответствие внутренним и международным стандартам;
- Подготовка рекомендаций по повышению защищенности Microsoft Dynamics NAV и среды функционирования;
- Проектирование и внедрение подсистемы защиты Microsoft Dynamics NAV.
С целью решения данных задач специалистами GlobalTrust была разработана программа и методика тестовых испытаний для Microsoft Dynamics NAV, направленных на выявление уязвимостей и несоответствий требованиям безопасности, выполнено проектирование общей архитектуры посистемы защиты, разработана проектная документация, внедрены дополнительные средства защиты информации.
По словам генерального директора GlobalTrust Александра Астахова: «Ключевыми особенностями Microsoft Dynamics NAV как объекта защиты являются ее распределенная клиент-серверная архитектура, многоуровневость, а также концентрация основного объема обрабатываемой информации в базе данных MSSQLServer. Уязвимости данной ERP-системы распределены по уровням, также как и ее функциональные компоненты: сетевой уровень, уровень операционной системы, уровень СУБД, прикладной уровень, веб-интерфейсы, клиентские компоненты ERP-системы. Для каждого из этих уровней характерен свой набор слабых мест, которые могут повлечь компрометацию всей системы, даже в случае идеально настроенных остальных. Отдельную проблему представляет достаточно сложная система управления доступом к объектам внутри ERP-системы. Поэтому для контроля распределения прав доступа могут потребоваться дополнительные специализированные средства, разрабатываемые для Microsoft Dynamics NAV».
Результаты работы позволили выявить и устранить имеющиеся уязвимости и несоответствия в одной из ключевых бизнес-систем медиа холдинга и повысить защищенность обрабатываемых в Microsoft Dynamics NAV персональных данных и финансовой информации.
GlobalTrust оценил соответствие Тексбанка требованиям Положения Банка России № 382-П
Эксперты GlobalTrust оценили соответствие Тексбанка требованиям Положения Банка России № 382-П по обеспечению защиты информации при осуществлении переводов денежных средств.
В ходе проведенного компанией GlobalTrust аудита процессов и систем денежных переводов АО АКБ «Тексбанк» было подтверждено соответствие требованиям Положения Банка России № 382-П от 09 июня 2012 (редакция от 14.08.2014) по обеспечению защиты информации при осуществлении переводов денежных средств.
Итоговый показатель соответствия Rпс для АО АКБ «Тексбанк» составил 0,77. Это означает, что работа в АО АКБ «Тексбанк» по обеспечению защиты информации при осуществлении переводов денежных средств, в целом, обеспечивает выполнение установленных требований. Значение качественной оценки выполнения требований – удовлетворительная.
Данный показатель соответствия улучшился по сравнению с результатами предыдущей оценки. В ходе проекта были выработаны рекомендации по совершенствованию механизмов защиты информации систем денежных переводов и сформирован план мероприятий по устранению выявленных недостатков.
В ходе выполнения работ были решены следующие задачи:
- Оценка соответствия требованиям Положения Банка России № 382-П
- Сбор и анализ свидетельств аудита
- Анализ документации, интервьюирование представителей организации
- Оценка выполнения требований категорий 1-3
- Вычисление обобщающих показателей соответствия EV1пс и EV2пс
- Вычисление итогового показателя соответствия Rпс
- Документирование результатов оценки соответствия требованиям 382-П
- Планирование мероприятий по обеспечению соответствия 382-П
- Подготовка и согласование отчетных документов
- Разработка организационно-распорядительных документов для обеспечения соответствия требованиям 382-П
- Проведение интервьюирования уполномоченного персонала Банка
- Анализ и документирование процессов и методов обеспечения ИБ
- Определение требований к процессам обеспечения ИБ
- Определение ролей и ответственности персонала, а также порядка взаимодействия между подразделениями
- Разработка и согласование проектов ОРД по обеспечению ИБ
- Доработка проектов ОРД, устранение замечаний
В ходе выполнения проекта специалистами GlobalTrust были подготовлены следующие документы:
- Отчет о соответствии 382-П
- План мероприятий по обеспечению соответствия требованиям 382-П
- Более 20 организационно-распорядительных документов, регламентирующих различные аспекты защиты информации в платежных системах Банка.