Post on 12-Apr-2017
Актуальные проблемы защиты SAP
Менеджер по продуктуООО «Газинформсервис»Лачугин Сергей Владимирович
#CODEIB
Предпосылки
1. Обрабатывается информация ограниченного доступа, в том числе персональные данные
CRM
MDM
SRM
EP
SCM
PI,PO#CODEIB
Трехзонный системный ландшафт. Теория
SAP ERP
ПредпосылкиТеорияТеория
#CODEIB
Трехзонный системный ландшафт. Теория
SAP ERP
ПредпосылкиПрактикаПрактика
#CODEIB
Трехзонный системный ландшафт. Теория
SAP ERP
Предпосылки
SAP PI
SAP BI
Информационная системаИнформационная системав компаниив компании
#CODEIB
Предпосылки
2. Требования законодательства
#CODEIB
Предпосылки Проектирование
1. Защита данных, передаваемых по каналам связи и выходящих за пределы контролируемой зоны
#CODEIB
Предпосылки Проектирование
1. Защита данных, передаваемых по каналам связи и выходящих за пределы контролируемой зоны
#CODEIB
Предпосылки Проектирование
2. Обеспечение юридической силы документов в системе
Вычисление хэш документа
Подписание хэш ключом пользователя
Склеивание документа и подписанного хэш
#CODEIB
Предпосылки Проектирование
#CODEIB
Предпосылки ПроектированиеВнедрение/изменение платформы
1. Безопасная настройка платформы
#CODEIB
Предпосылки ПроектированиеВнедрение/изменение платформы
2. Установка последних версий обновлений и исправлений
В сентябре 2010 года компания SAP перешла к регулярному выпуску SAP Security Notes, каждый второй вторник месяца.Каждое SAP Security Note закрывает одно или несколько уязвимостей.
На сегодня существуют более 3 300 SAP Security Notes об уязвимостях в тех или иных компонентах SAP.
#CODEIB
Предпосылки ПроектированиеВнедрение/изменение платформы
3. Распределение ролей и полномочийОпределение функций SoD (логических задач)
Пример:• Функция А: Оформление заказа• Функция Б: Оплата заказа
Назначение транзакций к функциям SoDПример:• Функция А: C-01, CA01, CA02, …• Функция Б: BA31, BA32, BA35, …
Определение правил Рисков для Конфликтов• Определение конфликтов: Функций A & B• Присвоение конфликтам уровней финансовыхРисков: Высокий, Средний, Низкий• Назначение правил Рисков для конфликтов функций SoD. #CODEIB
Разработка/доработка кода
Предпосылки Проектирование Внедрение/изменение платформы
#CODEIB
Разработка/доработка кода
Предпосылки Проектирование Внедрение/изменение платформы
1. Безопасность кода. ТОП 5 уязвимостей на миллион строк кода
#CODEIB
Разработка/доработка кода
Предпосылки Проектирование Внедрение/изменение платформы
2. Производительность кода. ТОП 5 дефектов на миллион строк кода
#CODEIB
Разработка/доработка кода
Предпосылки Проектирование Внедрение/изменение платформы
3. Удобство сопровождения кода
#CODEIB
Разработка/доработка кода
Предпосылки Проектирование Внедрение/изменение платформы
4. Транспорт кода
#CODEIB
Разработка/доработка кодаЭксплуатация
Предпосылки Проектирование Внедрение/изменение платформы
1. Контроль отсутствия несанкционированных изменений:
#CODEIB
Разработка/доработка кодаЭксплуатация
Предпосылки Проектирование Внедрение/изменение платформы
1. Контроль доступа пользователей к информации ограниченного доступа (ИОД)
#CODEIB
Разработка/доработка кодаЭксплуатация
Предпосылки Проектирование Внедрение/изменение платформы
3. Сканирование на наличие угроз ИБ. Обновления, исправления, рекомендации.
#CODEIB
Разработка/доработка кодаЭксплуатация
Предпосылки Проектирование Внедрение/изменение платформы
4. Оперативная реакция на события безопасности
#CODEIB
Разработка/доработка кодаЭксплуатация
Предпосылки Проектирование Внедрение/изменение платформы
У всякой проблемы всегда есть решение – простое, удобное и, конечно, ошибочное. (с) Генри Менкен
#CODEIB
Разработка/доработка кодаЭксплуатация
Предпосылки Проектирование Внедрение/изменение платформы
Методология внешнего аудита всегда основана на выборочных процедурах и в силу того, что выявление случаев мошенничества не является основной целью, внешние аудиты позволяют выявить в среднем только 3% случаев мошенничества и не снижают потерь от них.Отсутствие внутреннего контроля было наиболее часто упоминаемым фактором более чем в 35% случаев мошенничества.
#CODEIB
Интегратор и Вендор в области безопасности
Более 10 лет на рынке10 ДО, 6 филиалов
Более 700 сотрудников
Более 700 проектов в год
по ИБ и ИТСОПолный спектр услуг
Партнерство с ключевыми вендорами6 линеек собственного
ПО
Все необходимые лицензии и
сертификатыСтабильное состояние
#CODEIB
Спасибо за внимание!Менеджер по продуктуООО «Газинформсервис»Лачугин Сергей Владимирович
#CODEIB
Lachugin-S@gaz-is.ru+7-911-775-40-93+7-911-775-40-93