Актуальные проблемы защиты SAP. Предпосылки 1. Обрабатывается информация ограниченного доступа, в том числе персональные данные SAP ERP FICOPSSDAMMMHRISWFQMPMPP.

Презентация:

Advertisements

Похожие презентации

Защита баз данных. Повестка дня Реалии сегодняшнего дня … Источники атак Уязвимости СУБД Что делать ? Кто поможет ? DbProtect – новое предлагаемое решение.

Advertisements

Информационная безопасность Лекция 3 Административный уровень.

Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.

ООО «Газинформсервис» Технологический партнер Ведущий менеджер – руководитель разработки Роздобара Евгений ООО «Газинформсервис»

«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)

Использование сертифицированных СЗИ от НСД для Linux при построении защищенных автоматизированных систем Инфофорум-2012 Юрий Ровенский Москва, 7 февраля.

Предмет и задачи информационного менеджмента Тема 2.

ЭЛЕКТРОННЫЕ ГОСУДАРСТВЕННЫЕ УСЛУГИ Взгляд со стороны злоумышленника.

4К-Зарплата Универсальное решение для бизнеса. 2 О компании Дата основания1 июня 1993 года Основное направление деятельности Разработка.

Система учета авансовой отчетности Командировочные, хозяйственные, представительские расходы Разработчик: ООО «Адвантум»

Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального.

Совершенствование системы принятия управленческих решений в нефтесервисной компании Москва 2007 ШИНГАРЕВ П.В. Центр Управленческого консалтинга ЗАО «BKR-Интерком-Аудит»

«1С:Документооборот 8». Зачем автоматизировать документооборот? Единая информационная база документов Возможность параллельного выполнения операций Непрерывность.

Cisco Solution Technology Integrator Сетевая безопасность для вертикальных рынков Решения для коммуникационных провайдеров СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ.

Использование информационных технологий в аудиторской деятельности George Antoci 31 мая 2012 Заседание Экспертной группы по ключевым национальным показателям.

Подготовил : Суфианов Андрей Управление рисками в IT безопасности Научно-практическая конференция "Бизнес-образование как инструмент устойчивого развития.

СОЗДАНИЕ И РАЗВИТИЕ ОТКРЫТОЙ ЭЛЕКТРОННОЙ БИБЛИОТЕКИ РЕЗУЛЬТАТОВ ПРОЦЕССОВ МОДЕРНИЗАЦИИ РОССИЙСКОГО ОБРАЗОВАНИЯ, ВКЛЮЧАЯ ЭКСПЕРТИЗУ И ЭКСПЕРТНУЮ ОЦЕНКУ.

ЦЕНТРЫ КОМПЕТЕНЦИИ по информационной безопасности СОЗДАНИЕ ЕДИНОЙ СИСТЕМЫ АУДИТА И МОНИТОРИНГА В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Применение Radmin для техподдержки сотрудников банка. Примеры успешного внедрения. Виталий Лавров менеджер по работе с ключевыми клиентами компании Фаматек.

Развитие ППО «АКСИОК.Net» и перевод на web технологии.

Транксрипт:

Актуальные проблемы защиты SAP

Предпосылки 1. Обрабатывается информация ограниченного доступа, в том числе персональные данные SAP ERP FICOPSSDAMMMHRISWFQMPMPP CRM MDM SRM EP SCM PI,PO

Трехзонный системный ландшафт. Теория SAP ERP Предпосылки Теория

Трехзонный системный ландшафт. Теория SAP ERP Предпосылки Практика

Трехзонный системный ландшафт. Теория SAP ERP Предпосылки SAP PI SAP BI Информационная система в компании

Предпосылки 2. Требования законодательства РоскомнадзорФСТЭК РФЦБ РФФСБФедеральные законы Международные правовые акты

Предпосылки Проектирование 1. Защита данных, передаваемых по каналам связи и выходящих за пределы контролируемой зоны

Предпосылки Проектирование 1. Защита данных, передаваемых по каналам связи и выходящих за пределы контролируемой зоны

Предпосылки Проектирование 2. Обеспечение юридической силы документов в системе Вычисление хэш документа Подписание хэш ключом пользователя Склеивание документа и подписанного хэш

Предпосылки Проектирование Разработка/ Доработка Кода Эксплуатация Внедрение/ Изменение Платформы

Предпосылки Проектирование Внедрение/изменение платформы 1. Безопасная настройка платформы SAP Authorization ConceptDatabase Security (Oracle, IBM, etc.)Security Audit LogNetwork SecuritySecurity Aspects for BSPSSF & DSSecurity Aspects for Web DynproUser Authentication

Предпосылки Проектирование Внедрение/изменение платформы 2. Установка последних версий обновлений и исправлений В сентябре 2010 года компания SAP перешла к регулярному выпуску SAP Security Notes, каждый второй вторник месяца. Каждое SAP Security Note закрывает одно или несколько уязвимостей. На сегодня существуют более SAP Security Notes об уязвимостях в тех или иных компонентах SAP.

Предпосылки Проектирование Внедрение/изменение платформы 3. Распределение ролей и полномочий Определение функций Назначение транзакций Определение Конфликтов и Рисков Определение функций SoD (логических задач) Пример: Функция А: Оформление заказа Функция Б: Оплата заказа Назначение транзакций к функциям SoD Пример: Функция А: C-01, CA01, CA02, … Функция Б: BA31, BA32, BA35, … Определение правил Рисков для Конфликтов Определение конфликтов: Функций A & B Присвоение конфликтам уровней финансовых Рисков: Высокий, Средний, Низкий Назначение правил Рисков для конфликтов функций SoD.

Разработка/доработка кода Предпосылки ПроектированиеВнедрение/изменение платформы Одна критическая уязвимость на каждую строк кода Достаточно одной уязвимости, чтобы злоумышленник сумел получить доступ к системе Стандартный SAP функционал ~300 млн строк кода АВАРКастомизированный код составляет 5 млн строк кода АВАР

Разработка/доработка кода Предпосылки ПроектированиеВнедрение/изменение платформы 1. Безопасность кода. ТОП 5 уязвимостей на миллион строк кода ПРЯМОЕ ИЗМЕНЕНИЕ БДЖЁСТКИЕ ПРОВЕРКИ SPA/GPA ПАРАМЕТРОВОТСУТСТВИЕ ПРОВЕРКИ ПОЛНОМОЧИЙ В ОТЧЕТАХОТСУТСТВИЕ ПРОВЕРКИ ПОЛНОМОЧИЙ ДО ВЫЗОВА ТРАНЗАКЦИИВСЕ ВХОЖДЕНИЯ SY-UNAME

Разработка/доработка кода Предпосылки ПроектированиеВнедрение/изменение платформы 2. Производительность кода. ТОП 5 дефектов на миллион строк кода ИСПОЛЬЗОВАНИЕ INTO В КОМАНДЕ LOOP ATВЛОЖЕННЫЕ ЦИКЛЫ (LOOP/DO/WHILE/SELECT)ИСПОЛЬЗОВАНИЕ В КОМАНДЕ SELECT СИМВОЛА '*' ВМЕСТО ПЕРЕЧНЯ ПОЛЕЙИСПОЛЬЗОВАНИЕ SELECT С ОДНОЙ И ТОЙ ЖЕ ТАБЛИЦЕЙ ВНУТРИ ОДНОГО МОДУЛЯКОМАНДА SELECT В ЦИКЛЕ

Разработка/доработка кода Предпосылки ПроектированиеВнедрение/изменение платформы 3. Удобство сопровождения кода

Разработка/доработка кода Предпосылки ПроектированиеВнедрение/изменение платформы 4. Транспорт кода

Разработка/доработка кода Эксплуатация Предпосылки ПроектированиеВнедрение/изменение платформы 1. Контроль отсутствия несанкционированных изменений: – кода информационно-управляющих систем;– распределения ролей и полномочий.– настроек платформы;

Разработка/доработка кода Эксплуатация Предпосылки ПроектированиеВнедрение/изменение платформы 1. Контроль доступа пользователей к информации ограниченного доступа (ИОД)

Разработка/доработка кода Эксплуатация Предпосылки ПроектированиеВнедрение/изменение платформы 3. Сканирование на наличие угроз ИБ. Обновления, исправления, рекомендации.

Разработка/доработка кода Эксплуатация Предпосылки ПроектированиеВнедрение/изменение платформы 4. Оперативная реакция на события безопасности

Разработка/доработка кода Эксплуатация Предпосылки ПроектированиеВнедрение/изменение платформы У всякой проблемы всегда есть решение – простое, удобное и, конечно, ошибочное. (с) Генри Менкен

Разработка/доработка кода Эксплуатация Предпосылки ПроектированиеВнедрение/изменение платформы Методология внешнего аудита всегда основана на выборочных процедурах и в силу того, что выявление случаев мошенничества не является основной целью, внешние аудиты позволяют выявить в среднем только 3% случаев мошенничества и не снижают потерь от них. Отсутствие внутреннего контроля было наиболее часто упоминаемым фактором более чем в 35% случаев мошенничества.

Интегратор и Вендор в области безопасности Более 10 лет на рынке 10 ДО, 6 филиалов Более 700 сотрудников Более 700 проектов в год по ИБ и ИТСО Полный спектр услуг Партнерство с ключевыми вендорами 6 линеек собственного ПО Все необходимые лицензии и сертификаты Стабильное состояние

Спасибо за внимание! Менеджер по продукту ООО «Газинформсервис» Лачугин Сергей Владимирович