РАЗВИТИЕ ПРОЦЕССОВ КОНТРОЛЯ ДОСТУПА К ... -...
Transcript of РАЗВИТИЕ ПРОЦЕССОВ КОНТРОЛЯ ДОСТУПА К ... -...
РАЗВИТИЕ ПРОЦЕССОВ КОНТРОЛЯ
ДОСТУПА К ДАННЫМ. ЛОГГИРОВАНИЕ И
МАСКИРОВАНИЕ ПОЛЬЗОВАТЕЛЬСКОГО
ИНТЕРФЕЙСА С ПОМОЩЬЮ SAP UI LOGGING
& MASKING»
24.05.2017 г. Москва
Максим Зотов, Департамент КСУ
Стр. 2
ПРЕДПОСЫЛКИ ВНЕДРЕНИЯ РЕШЕНИЯ
Из новостей
www.vedomosti.ru - Сотрудники каждой второй российской компании крадут данные
www.HeadHunter.ru - Половина сотрудников компаний после увольнения уносит с собой различные рабочие материалы и конфиденциальную коммерческую информацию
www.gazeta.ru - сотрудники Сбербанка подозреваются в причастности к хищению 50 млн рублей у клиентов
www.searchinform.ru - в 2016 году утечки конфиденциальной информации случились в каждой второй компании России
Стр. 3
ПРЕДПОСЫЛКИ ВНЕДРЕНИЯ РЕШЕНИЯ
Федеральный закон N 152-ФЗ "О персональных данных" от 27.07.2006
Требование защиты конфиденциальных данных компании
Одно решение по регистрации активностей пользователей на систему
Возможность получить читабельный лог, для проведения расследований по
инциденту информационной безопасности
Балансирование между ограничением доступа и разрешениями:
• Расширенные права пользователя – повышенная потребность
регистрации событий
• Сложный Workflow при назначении ролей принципиально не изменяет
злоупотребление служебными обязанностями
Стр. 4
Повышение качества
процессов контроля доступа к критичной информации
Согласование перечня критичной информации в разрезе системной
реализации
Обеспечение аудиторского следа при доступе к критичной информации
Мониторинг и формирование отчетности
Управление рисками
разделения полномочий при доступе к критичной информации
Создание конфигурируемого решения позволяющего скрывать значения
критичных полей
Однозначное определение группы пользователей, авторизованных на
просмотр и изменение информации ограниченного доступа
Сокращение времени
выполнения процессов контроля доступа к критичной информации
Фоновая регистрация обращений к критичной информации
Для повышения эффективности и автоматизации процессов контроля доступа к информации, составляющей коммерческую тайну, а также персональным данным ставились задачи:
ЦЕЛЬ И ЗАДАЧИ ПРОЕКТА
Стр. 5
ГРАНИЦЫ ПРОЕКТА
Пилотный объем включает в себя внедрение инструментов UI Logging, UI Masking на 3 модулях SAP: HCM, FI и MM
Расширенный объем проекта включает тиражирование реализованного решения на 7 модулей и компонентов SAP: PM, RE-FX, SD, R/3, BPC, BW 7.0, BW 7.3
Интеграция с системой анализа событий ArcSight HP
ФУНКЦИОНАЛЬНЫЙ КОНТУР ПРОЕКТА
Классификация полей на предмет критичности для настройки логирования
Установка и настройка решения SAP UI Logging
Классификация полей на предмет критичности для настройки маскировки
Установка и настройка решения SAP UI Masking
Стр. 6
ВЫБОР СИСТЕМЫ
Функциональность
Осуществление контроля доступа за всеми данными системы (чтение, поиск, хранение, обновление)
Возможность использования BADI для формирования сложной бизнес логики
Контроль за использованием выданных разрешений
Возможность исключать пользователей из логгирование
Обеспечение безопасности конфиденциальных данных
Выгода от использования продукта
Завершенная конфигурация
Работа на стороне сервера Клиенториентированная логика, для
расширения возможностей используются BADI
Усиливает существующие меры по защите данных (Концепция авторизации и др.)
Обеспечение логгирования данных таких транзакций как SE16, а также загрузки информации и печати
Наличие инструментов для формирования аналитических отчётов в лог-файл
Возможности охвата
Логгирование интерфейсов SAP GUI
Логгирование CRM Web Client UI Логгирование BW Access
Логгирование Web Dynpro ABAP
Логгирование RFC/BAPI и Web Service
Стр. 7
В ОБЩЕМ И ЦЕЛОМ О SAP UI LOGGING
Что позволяет? – Записывает и анализирует отображаемые данные в UI:
Поля ввода/вывода, заголовки, таблицы, списки и т.д.
Все неявные обращения к базе данных регистрируются (поиск, чтение, хранение,
обновление)
Мощный инструмент выборки данных из лога
Каким образом? – Захват данных происходит в момент отправки данных сервером
клиенту
Оптимальная производительность: UI Logging запускается в фоне поэтому оказывает
минимальное влияние на производительность
Оптимизированный размер лог-файла с функцией архивации
Простое решение
Быстрое и эффективное внедрение
Не затрагивает системную функциональность
Стр. 8
В ОБЩЕМ И ЦЕЛОМ О SAP UI MASKING
Что позволяет?
Скрывать конфиденциальные данные в SAP GUI
Регистрировать обращения к замаскированным данным
Как это работает?
Данные искажаются непосредственно перед выводом на экран
Настраиваются правила маскирования
Определяются ответственные пользователи, которые могут видеть незамаскированные
данные
Мониторинг обращений к конфиденциальным данным (кто, когда, IP и т.д.) которые
выгружены в лог-файл
Какая выгода?
Избежание убытков компании связанных с утечкой данных
Обеспечивает соблюдение ФЗ-152 "О персональных данных" от 27.07.2006
Контрольный журнал на уровне отдельных полей обеспечивает прозрачность доступа к
конфиденциальной информации
Стр. 9
РЕШАЕМЫЕ ЗАДАЧИ
UI Masking
• Конфиденциальность данных – защита и ограничение доступа к данным в полях отчетов: например, к финансовым показателям и персональным данным
• «Маскинг» критичной информации – Зарплата, ФИО
• Отправка уведомлений - в случае чтения персональных и иных данных, для которых было предварительно настроено маскирование
UI Logging
• Регистрация доступа к конфиденциальной и «критичной» информации, в рамках вызова конкретной транзакции или отчета
• Регистрация отображаемых пользователю данных и предоставление возможности для анализа этих логов
• Сценарий использования функционала UI Logging позволяет регистрировать все данные, отображаемые и введенные пользователем в системе, для настроенных к логированию транзакций
Стр. 10
СРАВНИТЕЛЬНАЯ ТАБЛИЦА
Критичные данные могут быть скрыты от пользователей
Критичные данные в целом доступны
Техническое ограничение на просмотр определенных данных
Общее снижение рисков случайных угроз
Проактивный подход Ретроспективный подход
SAP NetWeaver AS ABAP versions 7.00, 7.01, 7.02, 7.10, 7.11,7.20, 7.30, 7.31, 7.40 on Hana
Влияние на производительность AS< 4%
SAP GUI (Windows / HTML / Java) SAP GUI, CRM Web Client UI, BW, WebDynpro ABAP, RFC/BAPI & WebServices, SAP RFC
UI Masking UI Logging
Стр. 11
АРХИТЕКТОРА SAP UI LOGGING
Сервер-ориентированная архитектура
UI Logging & Masking – это отдельные Add-on, который осуществляет захват потока данных между SAP GUI и сервером
Стр. 12
РЕГИСТРАЦИЯ ОБРАЩЕНИЙ К ДАННЫМ UI
UI L
ogg
ing
Данные логгируются при отображении, для транзакцийкоторые настроеных на логгирование
Регистрация обращения к данным происходит на сторонесервера, поэтому запрос данных, передаваемый изфронтэнда и ответные данные, посылаемые к фронтэндубудут захвачены.
Стр. 13
АРХИТЕКТУРА UI MASKINGU
I Mas
kin
g
Данные маскируются при отображении
Доступ к маскированным данным логируется
Настройка на уровне экрана поля конкретного отчета
Настройка идет поэтапноТаблица-Поле-Программа-Экран-Генерация-Активация
Используется роль /UIM/PFCG_ROLE –снимает ограничение на маскирование
Стр. 14
ПРИМЕР ИСПОЛЬЗОВАНИЯ UI LOGGING
Рассмотрим пример настройки UI Logging для транзакции SE16.Сначала активируем регистрацию событий на уровне системы в ветках SPRO:
Стр. 15
ПРИМЕР ИСПОЛЬЗОВАНИЯ UI LOGGING
Далее выбираем “Activate Logging on Transaction Level” и добавляем транзакцию SE16, которая при запуске пользователем будет логироваться
Запустив транзакцию /n/logwin/SHOW_LOG «Display of Temporary Log Data» и задав необходимые фильтры получаем результат логирования:
Стр. 16
ПРИМЕР ИСПОЛЬЗОВАНИЯ UI LOGGING
Журнал логирования для SE16, на котором видно – время запуска, транзакцию, логин пользователя, IP адрес и хост.Из скрина видно, что просматривалась таблица UST04:
Стр. 18
ПРИМЕР ИСПОЛЬЗОВАНИЯ UI MASKING
Функциональность UI Masking дает возможность просмотра значения полей только для пользователей имеющихавторизацию на эти уровни полей. Если пользователь не авторизован для просмотра значения поля, то данные будутскрываться, значениями специальных символов. Только пользователи имеющие авторизацию на просмотр значения полеймогут видеть оригинальные значения. При настройке идет контроль маскирования на уровне экрана (конкретная программа,экран, поле экрана)
Для примера настроим маскирование поля EMFTX (Получатель платежа - Payee) таблицы Q0009 (инфо-тип 0009 банковскиереквизиты) транзакция PA20, при этом будут маскированы первые 10 символов паттерном **$$$????:
PA20 Настройка
Стр. 19
ПРИМЕР ИСПОЛЬЗОВАНИЯ UI MASKING
Далее указываются название программы, номер экрана, и имя поля экрана, соответствующей таблицы, где будутмаскированы данные. После генерации и активации данной записи маскирования, проверяем, запустив PA20
Данные будут скрыты в интерфейсе (GUI-транзакциях) для неавторизованных пользователей. Это также распространяется ина администраторов (в динамических транзакциях - SE11, SE12, SE16, SE16n).Для пользователей, с ролью /UIM/PFCG_ROLE данные маскироваться не будут.UI Masking также защищает данные во время загрузки, экспорта и печати.
Результат
Стр. 20
ПОЛУЧЕННЫЕ ВЫГОДЫ И РЕЗУЛЬТАТЫ ПРОЕКТА
Сокращены сроки расследования инцидентов, связанных с несанкционнированнымдоступом к критичной информации за счет постоянной регистрации действий пользователей
Реализован инструмент для управления рисками разделения полномочий при доступе к критичной информации. Возможность не только логировать, но и скрывать информацию ограниченного доступа в системах SAP
Внедрены инструменты мониторинга, реализована гибкая отчётность, а также выполнена настройка уведомлений о несанкционированных обращениях к критичной информации
Реализованы задачи:
Автоматизирован процесс предотвращения утечки информации, составляющей коммерческую тайну, а также персональных данных, размещенных в системах SAP
Выполнена классификация полей на предмет критичности согласно утвержденному перечню информации, относящейся к коммерческой тайне
Внедрено решение, позволяющее маскировать и скрывать значения критичных полей
Настроена интеграция с системой анализа событий ArcSight HP
Сформирована отчётность по результатам мониторинга несанкционированного доступа
Стр. 21
УРОКИ ПРОЕКТА
Необходимость вовлечения экспертов по функциональным направлениям с высоким уровнем компетенций для качественного переноса перечня конфиденциальной информации в системную плоскость
Интеграция с системой анализа событий ArcSight HP
Быстрое внедрение и настройка инструмента, позволяющее не учитывать синхронизацию с другими проектами, системную функциональность
Возможность быстрого конфигурирования в системе состава логируемых и маскируемых полей в случае расширения перечня конфиденциальной информации
Сохранение целостности информации в базе данных за счет искажения данных непосредственно перед выводом на экран
Факторы успеха
Отсутствие консолидированного перечня критичной информации и информации, содержащей персональные данные в разрезе системной реализации
Отсутствие консолидированного перечня критичной информации и информации, содержащей персональные данные в разрезе бизнес-процессов Компании
Сложности
Особенности проекта
Стр. 22
ДАЛЬНЕЙШИЕ ШАГИ ПО РАЗВИТИЮ ВНЕДРЁННОГО РЕШЕНИЯ
Развитие функционального покрытия
Настройка регистрации обращений к данным и маскирования полей для функциональностей PM, RE-
FX, SD, R/3, BPC, BW 7.0, BW 7.3
Внедрение новых автоматизированных контрольных процедур утечки конфиденциальной и критичной
информации
Переход к модели предоставления доступа с учетом маскирования полей
Повышение юзабилити отчётности по мониторингам на основе более детальной проработки
требований во время использования инструментов логирования и маскирования на пилотных модулях
Интеграция с другими системами Компании и внедрение дополнительных решений SAP Расширение состава событий для анализа системой ArcSight HP
Проработка возможностей интеграции с решениями SAP GRC AC, SAP GRC PC
Стр. 23
СПАСИБО ЗА ВНИМАНИЕ!
Контакты
Максим ЗотовРуководитель отделаДепартамент защиты корпоративных систем управленияООО «ИТСК»[email protected]
Стр. 24
ПРИЛОЖЕНИЕ 1 – УСТАНОВКА SAP UI LOGGING
Скачиваем с маркетплейса аддоны LOGCOM, LOGSGUI и патчи к ним:
Выбрать категорию «Downloads»;
Отфильтровать по компонентам;
Выбрать самую последнюю версию компонента для установки;
Выбрать обновления для данной версии; 5 зайти в корзину для скачивания всех выбранных файлов.
Скопировать файлы на сервер приложений через доступный файл-менеджер по открытому для учётной записи протоколу
(например FAR через FTPS) и распаковать файлы выполнив строку SAPCAR -xvf “*.SAR” -R /usr/sap/trans
Запустить транзакцию SAINT в 000 клиенте с языком EN и выбрать пункт меню Installation Package -> Load Packages ->
From Application Server. Система сама находит распакованные аддоны и патчи. Нажать кнопку “Start”.
Выделить аддоны, которые хотим установить и жмем Continue.
Стр. 25
ПРИЛОЖЕНИЕ 2 – УСТАНОВКА SAP UI MASKING
Требуется развертывание SAP нот «1738702 UIM 100: Installation ERP 6.0» и «2246841 UIM: Add-on UIM 100, SP03
Installation Note» и пост-инсталляционная настройка согласно ноты 2009623.
После установки аддона, запускаем отчет /UIM/SP02_INSTALLATION_CHECK, который проверяет корректность установки
компонентов.