Актуальные проблемы защиты SAP. Предпосылки 1. Обрабатывается информация ограниченного доступа, в том числе персональные данные SAP ERP FICOPSSDAMMMHRISWFQMPMPP. - презентация

1 Актуальные проблемы защиты SAP

2 Предпосылки 1. Обрабатывается информация ограниченного доступа, в том числе персональные данные SAP ERP FICOPSSDAMMMHRISWFQMPMPP CRM MDM SRM EP SCM PI,PO

3 Трехзонный системный ландшафт. Теория SAP ERP Предпосылки Теория

4 Трехзонный системный ландшафт. Теория SAP ERP Предпосылки Практика

5 Трехзонный системный ландшафт. Теория SAP ERP Предпосылки SAP PI SAP BI Информационная система в компании

6 Предпосылки 2. Требования законодательства РоскомнадзорФСТЭК РФЦБ РФФСБФедеральные законы Международные правовые акты

7 Предпосылки Проектирование 1. Защита данных, передаваемых по каналам связи и выходящих за пределы контролируемой зоны

8 Предпосылки Проектирование 1. Защита данных, передаваемых по каналам связи и выходящих за пределы контролируемой зоны

9 Предпосылки Проектирование 2. Обеспечение юридической силы документов в системе Вычисление хэш документа Подписание хэш ключом пользователя Склеивание документа и подписанного хэш

10 Предпосылки Проектирование Разработка/ Доработка Кода Эксплуатация Внедрение/ Изменение Платформы

11 Предпосылки Проектирование Внедрение/изменение платформы 1. Безопасная настройка платформы SAP Authorization ConceptDatabase Security (Oracle, IBM, etc.)Security Audit LogNetwork SecuritySecurity Aspects for BSPSSF & DSSecurity Aspects for Web DynproUser Authentication

12 Предпосылки Проектирование Внедрение/изменение платформы 2. Установка последних версий обновлений и исправлений В сентябре 2010 года компания SAP перешла к регулярному выпуску SAP Security Notes, каждый второй вторник месяца. Каждое SAP Security Note закрывает одно или несколько уязвимостей. На сегодня существуют более SAP Security Notes об уязвимостях в тех или иных компонентах SAP.

13 Предпосылки Проектирование Внедрение/изменение платформы 3. Распределение ролей и полномочий Определение функций Назначение транзакций Определение Конфликтов и Рисков Определение функций SoD (логических задач) Пример: Функция А: Оформление заказа Функция Б: Оплата заказа Назначение транзакций к функциям SoD Пример: Функция А: C-01, CA01, CA02, … Функция Б: BA31, BA32, BA35, … Определение правил Рисков для Конфликтов Определение конфликтов: Функций A & B Присвоение конфликтам уровней финансовых Рисков: Высокий, Средний, Низкий Назначение правил Рисков для конфликтов функций SoD.

14 Разработка/доработка кода Предпосылки ПроектированиеВнедрение/изменение платформы Одна критическая уязвимость на каждую строк кода Достаточно одной уязвимости, чтобы злоумышленник сумел получить доступ к системе Стандартный SAP функционал ~300 млн строк кода АВАРКастомизированный код составляет 5 млн строк кода АВАР

15 Разработка/доработка кода Предпосылки ПроектированиеВнедрение/изменение платформы 1. Безопасность кода. ТОП 5 уязвимостей на миллион строк кода ПРЯМОЕ ИЗМЕНЕНИЕ БДЖЁСТКИЕ ПРОВЕРКИ SPA/GPA ПАРАМЕТРОВОТСУТСТВИЕ ПРОВЕРКИ ПОЛНОМОЧИЙ В ОТЧЕТАХОТСУТСТВИЕ ПРОВЕРКИ ПОЛНОМОЧИЙ ДО ВЫЗОВА ТРАНЗАКЦИИВСЕ ВХОЖДЕНИЯ SY-UNAME

16 Разработка/доработка кода Предпосылки ПроектированиеВнедрение/изменение платформы 2. Производительность кода. ТОП 5 дефектов на миллион строк кода ИСПОЛЬЗОВАНИЕ INTO В КОМАНДЕ LOOP ATВЛОЖЕННЫЕ ЦИКЛЫ (LOOP/DO/WHILE/SELECT)ИСПОЛЬЗОВАНИЕ В КОМАНДЕ SELECT СИМВОЛА '*' ВМЕСТО ПЕРЕЧНЯ ПОЛЕЙИСПОЛЬЗОВАНИЕ SELECT С ОДНОЙ И ТОЙ ЖЕ ТАБЛИЦЕЙ ВНУТРИ ОДНОГО МОДУЛЯКОМАНДА SELECT В ЦИКЛЕ

17 Разработка/доработка кода Предпосылки ПроектированиеВнедрение/изменение платформы 3. Удобство сопровождения кода

18 Разработка/доработка кода Предпосылки ПроектированиеВнедрение/изменение платформы 4. Транспорт кода

19 Разработка/доработка кода Эксплуатация Предпосылки ПроектированиеВнедрение/изменение платформы 1. Контроль отсутствия несанкционированных изменений: – кода информационно-управляющих систем;– распределения ролей и полномочий.– настроек платформы;

20 Разработка/доработка кода Эксплуатация Предпосылки ПроектированиеВнедрение/изменение платформы 1. Контроль доступа пользователей к информации ограниченного доступа (ИОД)

21 Разработка/доработка кода Эксплуатация Предпосылки ПроектированиеВнедрение/изменение платформы 3. Сканирование на наличие угроз ИБ. Обновления, исправления, рекомендации.

22 Разработка/доработка кода Эксплуатация Предпосылки ПроектированиеВнедрение/изменение платформы 4. Оперативная реакция на события безопасности

23 Разработка/доработка кода Эксплуатация Предпосылки ПроектированиеВнедрение/изменение платформы У всякой проблемы всегда есть решение – простое, удобное и, конечно, ошибочное. (с) Генри Менкен

24 Разработка/доработка кода Эксплуатация Предпосылки ПроектированиеВнедрение/изменение платформы Методология внешнего аудита всегда основана на выборочных процедурах и в силу того, что выявление случаев мошенничества не является основной целью, внешние аудиты позволяют выявить в среднем только 3% случаев мошенничества и не снижают потерь от них. Отсутствие внутреннего контроля было наиболее часто упоминаемым фактором более чем в 35% случаев мошенничества.

25 Интегратор и Вендор в области безопасности Более 10 лет на рынке 10 ДО, 6 филиалов Более 700 сотрудников Более 700 проектов в год по ИБ и ИТСО Полный спектр услуг Партнерство с ключевыми вендорами 6 линеек собственного ПО Все необходимые лицензии и сертификаты Стабильное состояние

26 Спасибо за внимание! Менеджер по продукту ООО «Газинформсервис» Лачугин Сергей Владимирович