РАЗВИТИЕ ПРОЦЕССОВ КОНТРОЛЯ

ДОСТУПА К ДАННЫМ. ЛОГГИРОВАНИЕ И

МАСКИРОВАНИЕ ПОЛЬЗОВАТЕЛЬСКОГО

ИНТЕРФЕЙСА С ПОМОЩЬЮ SAP UI LOGGING

& MASKING»

24.05.2017 г. Москва

Максим Зотов, Департамент КСУ

ZotovMS@it-sk.ru

Стр. 2

ПРЕДПОСЫЛКИ ВНЕДРЕНИЯ РЕШЕНИЯ

Из новостей

www.vedomosti.ru - Сотрудники каждой второй российской компании крадут данные

www.HeadHunter.ru - Половина сотрудников компаний после увольнения уносит с собой различные рабочие материалы и конфиденциальную коммерческую информацию

www.gazeta.ru - сотрудники Сбербанка подозреваются в причастности к хищению 50 млн рублей у клиентов

www.searchinform.ru - в 2016 году утечки конфиденциальной информации случились в каждой второй компании России

Стр. 3

ПРЕДПОСЫЛКИ ВНЕДРЕНИЯ РЕШЕНИЯ

Федеральный закон N 152-ФЗ "О персональных данных" от 27.07.2006

Требование защиты конфиденциальных данных компании

Одно решение по регистрации активностей пользователей на систему

Возможность получить читабельный лог, для проведения расследований по

инциденту информационной безопасности

Балансирование между ограничением доступа и разрешениями:

• Расширенные права пользователя – повышенная потребность

регистрации событий

• Сложный Workflow при назначении ролей принципиально не изменяет

злоупотребление служебными обязанностями

Стр. 4

Повышение качества

процессов контроля доступа к критичной информации

Согласование перечня критичной информации в разрезе системной

реализации

Обеспечение аудиторского следа при доступе к критичной информации

Мониторинг и формирование отчетности

Управление рисками

разделения полномочий при доступе к критичной информации

Создание конфигурируемого решения позволяющего скрывать значения

критичных полей

Однозначное определение группы пользователей, авторизованных на

просмотр и изменение информации ограниченного доступа

Сокращение времени

выполнения процессов контроля доступа к критичной информации

Фоновая регистрация обращений к критичной информации

Для повышения эффективности и автоматизации процессов контроля доступа к информации, составляющей коммерческую тайну, а также персональным данным ставились задачи:

ЦЕЛЬ И ЗАДАЧИ ПРОЕКТА

Стр. 5

ГРАНИЦЫ ПРОЕКТА

Пилотный объем включает в себя внедрение инструментов UI Logging, UI Masking на 3 модулях SAP: HCM, FI и MM

Расширенный объем проекта включает тиражирование реализованного решения на 7 модулей и компонентов SAP: PM, RE-FX, SD, R/3, BPC, BW 7.0, BW 7.3

Интеграция с системой анализа событий ArcSight HP

ФУНКЦИОНАЛЬНЫЙ КОНТУР ПРОЕКТА

Классификация полей на предмет критичности для настройки логирования

Установка и настройка решения SAP UI Logging

Классификация полей на предмет критичности для настройки маскировки

Установка и настройка решения SAP UI Masking

Стр. 6

ВЫБОР СИСТЕМЫ

Функциональность

Осуществление контроля доступа за всеми данными системы (чтение, поиск, хранение, обновление)

Возможность использования BADI для формирования сложной бизнес логики

Контроль за использованием выданных разрешений

Возможность исключать пользователей из логгирование

Обеспечение безопасности конфиденциальных данных

Выгода от использования продукта

Завершенная конфигурация

Работа на стороне сервера Клиенториентированная логика, для

расширения возможностей используются BADI

Усиливает существующие меры по защите данных (Концепция авторизации и др.)

Обеспечение логгирования данных таких транзакций как SE16, а также загрузки информации и печати

Наличие инструментов для формирования аналитических отчётов в лог-файл

Возможности охвата

Логгирование интерфейсов SAP GUI

Логгирование CRM Web Client UI Логгирование BW Access

Логгирование Web Dynpro ABAP

Логгирование RFC/BAPI и Web Service

Стр. 7

В ОБЩЕМ И ЦЕЛОМ О SAP UI LOGGING

Что позволяет? – Записывает и анализирует отображаемые данные в UI:

Поля ввода/вывода, заголовки, таблицы, списки и т.д.

Все неявные обращения к базе данных регистрируются (поиск, чтение, хранение,

обновление)

Мощный инструмент выборки данных из лога

Каким образом? – Захват данных происходит в момент отправки данных сервером

клиенту

Оптимальная производительность: UI Logging запускается в фоне поэтому оказывает

минимальное влияние на производительность

Оптимизированный размер лог-файла с функцией архивации

Простое решение

Быстрое и эффективное внедрение

Не затрагивает системную функциональность

Стр. 8

В ОБЩЕМ И ЦЕЛОМ О SAP UI MASKING

Что позволяет?

Скрывать конфиденциальные данные в SAP GUI

Регистрировать обращения к замаскированным данным

Как это работает?

Данные искажаются непосредственно перед выводом на экран

Настраиваются правила маскирования

Определяются ответственные пользователи, которые могут видеть незамаскированные

данные

Мониторинг обращений к конфиденциальным данным (кто, когда, IP и т.д.) которые

выгружены в лог-файл

Какая выгода?

Избежание убытков компании связанных с утечкой данных

Обеспечивает соблюдение ФЗ-152 "О персональных данных" от 27.07.2006

Контрольный журнал на уровне отдельных полей обеспечивает прозрачность доступа к

конфиденциальной информации

Стр. 9

РЕШАЕМЫЕ ЗАДАЧИ

UI Masking

• Конфиденциальность данных – защита и ограничение доступа к данным в полях отчетов: например, к финансовым показателям и персональным данным

• «Маскинг» критичной информации – Зарплата, ФИО

• Отправка уведомлений - в случае чтения персональных и иных данных, для которых было предварительно настроено маскирование

UI Logging

• Регистрация доступа к конфиденциальной и «критичной» информации, в рамках вызова конкретной транзакции или отчета

• Регистрация отображаемых пользователю данных и предоставление возможности для анализа этих логов

• Сценарий использования функционала UI Logging позволяет регистрировать все данные, отображаемые и введенные пользователем в системе, для настроенных к логированию транзакций

Стр. 10

СРАВНИТЕЛЬНАЯ ТАБЛИЦА

Критичные данные могут быть скрыты от пользователей

Критичные данные в целом доступны

Техническое ограничение на просмотр определенных данных

Общее снижение рисков случайных угроз

Проактивный подход Ретроспективный подход

SAP NetWeaver AS ABAP versions 7.00, 7.01, 7.02, 7.10, 7.11,7.20, 7.30, 7.31, 7.40 on Hana

Влияние на производительность AS< 4%

SAP GUI (Windows / HTML / Java) SAP GUI, CRM Web Client UI, BW, WebDynpro ABAP, RFC/BAPI & WebServices, SAP RFC

UI Masking UI Logging

Стр. 11

АРХИТЕКТОРА SAP UI LOGGING

Сервер-ориентированная архитектура

UI Logging & Masking – это отдельные Add-on, который осуществляет захват потока данных между SAP GUI и сервером

Стр. 12

РЕГИСТРАЦИЯ ОБРАЩЕНИЙ К ДАННЫМ UI

UI L

ogg

ing

Данные логгируются при отображении, для транзакцийкоторые настроеных на логгирование

Регистрация обращения к данным происходит на сторонесервера, поэтому запрос данных, передаваемый изфронтэнда и ответные данные, посылаемые к фронтэндубудут захвачены.

Стр. 13

АРХИТЕКТУРА UI MASKINGU

I Mas

kin

g

Данные маскируются при отображении

Доступ к маскированным данным логируется

Настройка на уровне экрана поля конкретного отчета

Настройка идет поэтапноТаблица-Поле-Программа-Экран-Генерация-Активация

Используется роль /UIM/PFCG_ROLE –снимает ограничение на маскирование

Стр. 14

ПРИМЕР ИСПОЛЬЗОВАНИЯ UI LOGGING

Рассмотрим пример настройки UI Logging для транзакции SE16.Сначала активируем регистрацию событий на уровне системы в ветках SPRO:

Стр. 15

ПРИМЕР ИСПОЛЬЗОВАНИЯ UI LOGGING

Далее выбираем “Activate Logging on Transaction Level” и добавляем транзакцию SE16, которая при запуске пользователем будет логироваться

Запустив транзакцию /n/logwin/SHOW_LOG «Display of Temporary Log Data» и задав необходимые фильтры получаем результат логирования:

Стр. 16

ПРИМЕР ИСПОЛЬЗОВАНИЯ UI LOGGING

Журнал логирования для SE16, на котором видно – время запуска, транзакцию, логин пользователя, IP адрес и хост.Из скрина видно, что просматривалась таблица UST04:

Стр. 17

ПРИМЕР ИСПОЛЬЗОВАНИЯ UI LOGGING

Так же полностью видно и то, что отображалось в запросе:

Стр. 18

ПРИМЕР ИСПОЛЬЗОВАНИЯ UI MASKING

Функциональность UI Masking дает возможность просмотра значения полей только для пользователей имеющихавторизацию на эти уровни полей. Если пользователь не авторизован для просмотра значения поля, то данные будутскрываться, значениями специальных символов. Только пользователи имеющие авторизацию на просмотр значения полеймогут видеть оригинальные значения. При настройке идет контроль маскирования на уровне экрана (конкретная программа,экран, поле экрана)

Для примера настроим маскирование поля EMFTX (Получатель платежа - Payee) таблицы Q0009 (инфо-тип 0009 банковскиереквизиты) транзакция PA20, при этом будут маскированы первые 10 символов паттерном **$$$????:

PA20 Настройка

Стр. 19

ПРИМЕР ИСПОЛЬЗОВАНИЯ UI MASKING

Далее указываются название программы, номер экрана, и имя поля экрана, соответствующей таблицы, где будутмаскированы данные. После генерации и активации данной записи маскирования, проверяем, запустив PA20

Данные будут скрыты в интерфейсе (GUI-транзакциях) для неавторизованных пользователей. Это также распространяется ина администраторов (в динамических транзакциях - SE11, SE12, SE16, SE16n).Для пользователей, с ролью /UIM/PFCG_ROLE данные маскироваться не будут.UI Masking также защищает данные во время загрузки, экспорта и печати.

Результат

Стр. 20

ПОЛУЧЕННЫЕ ВЫГОДЫ И РЕЗУЛЬТАТЫ ПРОЕКТА

Сокращены сроки расследования инцидентов, связанных с несанкционнированнымдоступом к критичной информации за счет постоянной регистрации действий пользователей

Реализован инструмент для управления рисками разделения полномочий при доступе к критичной информации. Возможность не только логировать, но и скрывать информацию ограниченного доступа в системах SAP

Внедрены инструменты мониторинга, реализована гибкая отчётность, а также выполнена настройка уведомлений о несанкционированных обращениях к критичной информации

Реализованы задачи:

Автоматизирован процесс предотвращения утечки информации, составляющей коммерческую тайну, а также персональных данных, размещенных в системах SAP

Выполнена классификация полей на предмет критичности согласно утвержденному перечню информации, относящейся к коммерческой тайне

Внедрено решение, позволяющее маскировать и скрывать значения критичных полей

Настроена интеграция с системой анализа событий ArcSight HP

Сформирована отчётность по результатам мониторинга несанкционированного доступа

Стр. 21

УРОКИ ПРОЕКТА

Необходимость вовлечения экспертов по функциональным направлениям с высоким уровнем компетенций для качественного переноса перечня конфиденциальной информации в системную плоскость

Интеграция с системой анализа событий ArcSight HP

Быстрое внедрение и настройка инструмента, позволяющее не учитывать синхронизацию с другими проектами, системную функциональность

Возможность быстрого конфигурирования в системе состава логируемых и маскируемых полей в случае расширения перечня конфиденциальной информации

Сохранение целостности информации в базе данных за счет искажения данных непосредственно перед выводом на экран

Факторы успеха

Отсутствие консолидированного перечня критичной информации и информации, содержащей персональные данные в разрезе системной реализации

Отсутствие консолидированного перечня критичной информации и информации, содержащей персональные данные в разрезе бизнес-процессов Компании

Сложности

Особенности проекта

Стр. 22

ДАЛЬНЕЙШИЕ ШАГИ ПО РАЗВИТИЮ ВНЕДРЁННОГО РЕШЕНИЯ

Развитие функционального покрытия

Настройка регистрации обращений к данным и маскирования полей для функциональностей PM, RE-

FX, SD, R/3, BPC, BW 7.0, BW 7.3

Внедрение новых автоматизированных контрольных процедур утечки конфиденциальной и критичной

информации

Переход к модели предоставления доступа с учетом маскирования полей

Повышение юзабилити отчётности по мониторингам на основе более детальной проработки

требований во время использования инструментов логирования и маскирования на пилотных модулях

Интеграция с другими системами Компании и внедрение дополнительных решений SAP Расширение состава событий для анализа системой ArcSight HP

Проработка возможностей интеграции с решениями SAP GRC AC, SAP GRC PC

Стр. 23

СПАСИБО ЗА ВНИМАНИЕ!

Контакты

Максим ЗотовРуководитель отделаДепартамент защиты корпоративных систем управленияООО «ИТСК»ZotovMS@it-sk.ru

Стр. 24

ПРИЛОЖЕНИЕ 1 – УСТАНОВКА SAP UI LOGGING

Скачиваем с маркетплейса аддоны LOGCOM, LOGSGUI и патчи к ним:

Выбрать категорию «Downloads»;

Отфильтровать по компонентам;

Выбрать самую последнюю версию компонента для установки;

Выбрать обновления для данной версии; 5 зайти в корзину для скачивания всех выбранных файлов.

Скопировать файлы на сервер приложений через доступный файл-менеджер по открытому для учётной записи протоколу

(например FAR через FTPS) и распаковать файлы выполнив строку SAPCAR -xvf “*.SAR” -R /usr/sap/trans

Запустить транзакцию SAINT в 000 клиенте с языком EN и выбрать пункт меню Installation Package -> Load Packages ->

From Application Server. Система сама находит распакованные аддоны и патчи. Нажать кнопку “Start”.

Выделить аддоны, которые хотим установить и жмем Continue.

Стр. 25

ПРИЛОЖЕНИЕ 2 – УСТАНОВКА SAP UI MASKING

Требуется развертывание SAP нот «1738702 UIM 100: Installation ERP 6.0» и «2246841 UIM: Add-on UIM 100, SP03

Installation Note» и пост-инсталляционная настройка согласно ноты 2009623.

После установки аддона, запускаем отчет /UIM/SP02_INSTALLATION_CHECK, который проверяет корректность установки

компонентов.