Журнал "Information Security/ Информационная безопасность" #2, 2026

Еще недавно вопрос безопасности ERP лишь изредка всплывал на сове- щаниях по ИБ, но всегда, что называет- ся, были задачи поважнее. ERP была больше внутренним инструментом и не воспринималась как инфраструктура, которая может однажды оказаться под прицелом регулятора. В 2026 г. распоряжение Правительства РФ № 360-р закрепило перечень типо- вых отраслевых объектов критической информационной инфраструктуры, и в этот перечень для ряда секторов впер- вые явно вошли корпоративные системы управления предприятием. Если ваша ERP обслуживает финансы, закупки, производство или логистику в органи- зации из затронутых отраслей, то она больше не является исключительно вашим внутренним делом. В глазах госу- дарства она теперь является инфра- структурой, от которой зависят критиче- ские процессы предприятия, – сбой в ней может грозить большими рисками. Почти одновременно с этим изменился и подход к категорированию. После выхода ПП № 1762 компании обязаны соотносить свою инфраструктуру не только с внутренней оценкой критично- сти, но и с отраслевыми перечнями. Раньше компания сама решала, насколь- ко система важна, но теперь есть внеш- ний ориентир, отклонение от которого нужно обосновывать. А с 1 марта 2026 г. приказ ФСТЭК России № 117 перевел защиту объектов КИИ в режим непре- рывного мониторинга: регулятор теперь хочет видеть живой процесс контроля и готовность продемонстрировать его в любой момент. Когда компания впервые сталкивается с новой нормативной реальностью, то задается вполне человеческими вопро- сами: нас это вообще касается? Кто у нас за это отвечает? Что именно пока- зать проверяющему, если он придет завтра? Честные ответы нередко только больше путают, потому что требования закона и реальная эксплуатация ERP различаются. А задачу перевода одного в другое никто перед ИТ-командой спе- циально не ставил. В итоге типичная картина выглядит примерно так: компания знает, что риски существуют, но не может быстро сказать, где именно они находятся. Никто не уверен, что все критичные действия действительно журналируются. Конфи- гурация менялась, но что именно изме- нилось за последний квартал, отследить сложно. Пользовательский код накап- ливался годами, а кто и когда его про- верял на безопасность, неизвестно. Внешние соединения есть, но полной карты нет. Все это – стандартная ситуа- ция для любой живой ERP, которая росла вместе с бизнесом. И сейчас эта размытость превращается в регулятор- ный и репутационный риск. Среди всех объектов КИИ ERP зани- мает особое место по сложности защи- ты, потому что системы управления предприятием строились в логике эффективности, а не безопасности. Большинство ERP-платформ появились задолго до того, как безопасность кода стала обязательным атрибутом разра- ботки. В итоге в кодовых базах накап- ливались небезопасные паттерны: дина- мические SQL-запросы, прямой доступ к базам данных без авторизации, отсут- ствие проверки полномочий при вызове критичных функций. Уязвимости наме- ренно не создавались, но их никто и не искал. Аргумент "ну до сих пор же ничего не случилось" звучал достаточно убедительно. К этому добавляется кадровая про- блема, которую не решить быстро. Спе- циалист, одновременно разбирающийся в архитектуре ERP-платформы и в мето- дологии анализа уязвимостей, – ред- кость на рынке. Вырастить такого внутри компании реально, но долго. Нанять непросто. И даже если удастся, то один человек не обеспечит непрерывный мониторинг большого ландшафта, кото- рого теперь требует закон. Если говорить о российском корпора- тивном рынке, то примерно 60% крупных учетных и управленческих систем рабо- тают на двух платформах – SAP и 1С. Обе попали в фокус новых требований, но проблемы у них разные. 14 • СПЕЦПРОЕКТ Когда ERP становится КИИ: что теперь отвечать регулятору – и что делать прямо сейчас 2026 году государство признало ERP-системы объектом кри- тической информационной инфраструктуры. Это означает новый уровень ответственности, другие сроки и дополнитель- ные вопросы от регулятора. В Римма Кулешова, менеджер продукта SafeERP, “Газинформсервис” Рис. 1. Соответствие SafeERP рекомендациям ФСТЭК России и требованиям КИИ для 1С (корпоративные системы) Фото: Газинформсервис