Журнал "Information Security/ Информационная безопасность" #2, 2026

SAP традиционно использовался круп- ными промышленными, энергетическими и транспортными предприятиями – имен- но теми, кто сегодня оказался в ядре регулирования КИИ. Главной сложностью здесь является унаследованная запутан- ность. Кодовая база накапливалась года- ми: сотни Z-разработок, тысячи транс- портных запросов, роли, которые кочуют из проекта в проект вместе с людьми, и RFC-соединения, о назначении которых уже никто точно не помнит. При этом поддержка вендора для многих стала недоступной, что дополнительно услож- няет контроль над актуальностью патчей. У 1С история другая, но исход похожий. Платформа с годами стала рабочим про- странством, которое меняется под каждую бизнес-задачу: здесь доработали, там рас- ширили, добавили внешнюю обработку, подключили интеграцию. Эта гибкость – главное конкурентное преимущество 1С и одновременно растущая поверхность атаки. Каждое изменение потенциально вносит новые уязвимости, а отследить их в живой развивающейся системе без спе- циализированного инструмента практи- чески невозможно. Отдельного внимания заслуживают компании, которые прямо сейчас находятся в процессе миграции с SAP на 1С в рамках импортозамещения: в переходный период риски обеих плат- форм существуют одновременно. Логичным следующимшагом для любой ИБ-службы становится поиск готового инструмента. И здесь обнаруживается еще одна ловушка: классические системы статического анализа кода (SAST) умеют работать с Java, .NET, Python, но не с ABAP и не со встроенным языком 1С. Специфика этих платформ попросту выхо- дит за пределы их компетенции. Альтер- нативы с открытым исходным кодом фор- мально могут частично закрыть задачу, но создают другую проблему: после 2024 г. для объектов КИИ рекомендовано использовать российское ПО из реестра Минцифры, и выбор сужается. Но даже если найти подходящий инстру- мент для анализа кода, он закроет лишь одну из пяти критичных зон ERP. Парал- лельно нужен контроль ролей и полномо- чий, выявление конфликтов разделения обязанностей – ситуаций, когда один человек может и согласовать, и провести финансовую операцию, – мониторинг настроек безопасности платформы, про- верка полноты журналирования и отсле- живание всех активных интеграций. Тео- ретически можно собрать пять разных инструментов под каждую задачу. Но на практике это быстро превращается в зоо- парк: разные интерфейсы, разные мето- дологии, пробелы на стыке ответствен- ности между вендорами и отсутствие единой картины. Когда приходит проверка ФСТЭК России, нужен целостный ответ на вопрос: в каком состоянии защищен- ность вашей ERP прямо сейчас? Ответ на него предполагает не просто поддержку ERP в списке технологий, а глубокое понимание внутренней логики платформ – ролевых моделей, механиз- мов интеграций, связи технических настроек с бизнес-процессами. Чтобы построить такую экспертизу, нужны годы работы именно с этими системами, а не с ERP вообще. Именно этим путем с 2012 г. шла команда SafeERP. Плат- форма изначально создавалась как спе- циализированное решение для защиты корпоративных систем – SAP и 1С. Для SAP модуль Security Suite в едином интерфейсе позволяет проверять ABAP- код, включая каждый транспортный запрос перед переносом в продуктивную зону, анализировать ролевую модель, выявлять конфликты разделения обязан- ностей, контролировать RFC-соединения и параметры безопасности платформы. Это непрерывный процесс контроля – именно то, чего требует приказ № 117. Для 1С Extension Module анализирует код из нескольких источников: репозито- рия Git, базы 1С, продуктивной базы 1С и файловой системы. Принципиальная осо- бенность – автоматическое отделение кода вендора от собственных доработок: компания видит риски именно в своем коде и не тонет в стан- дартных уязвимостях плат- формы. Дополнительно имеется контроль ролей и профилей безопасности, параметры журналирова- ния и контроль профилей безопасности. Для компа- ний, которые сейчас миг- рируют с SAP на 1С, это особенно важно: SafeERP позволяет одновременно контролировать обе плат- формы без смены инстру- мента. Выводы и рекомендации ERP уже нельзя защи- щать набором разрознен- ных ручных действий и ежегодным аудитом. Нужен системный подход, чтобы видеть состояние защищенности непрерывно и уметь доказать ее наличие. Практический первый шаг – честно ответить себе на несколько вопросов: попадает ли ваша ERP в периметр КИИ по отраслевым перечням? Кто отвечает за контроль ее безопасности? Все ли критичные действия журналируются? Когда последний раз проверялся пользовательский код? Акту- альна ли карта ролей и полномочий? Есть ли понимание всех активных интеграций? Если хотя бы на половину из них нет быстрого и уверенного ответа, то это и есть повод начать выстраивать систем- ную защиту. SafeERP – инструмент, который помогает пройти этот путь для SAP и 1С. И он умеет говорить одновре- менно на языке регулятора и на языке реальной жизни вашей системы. SafeERP – комплексное решение для защиты ERP систем на платформах SAP и 1С, которое сочетает анализ кода, контроль настроек и мониторинг без- опасности. Включено в реестр россий- ского ПО Минцифры. Разработчик – "Газинформсервис". l • 15 БЕЗОПАСНОСТЬ И НАДЕЖНОСТЬ 1С www.itsec.ru Рис. 2. Соответствие SafeERP рекомендациям ФСТЭК России и требованиям КИИ для SAP АДРЕСА И ТЕЛЕФОНЫ ГАЗИНФОРМСЕРВИС см. стр. 78 NM Реклама