Upload
buitruc
View
260
Download
5
Embed Size (px)
Citation preview
Безопасность бизнес-модулей SAP
Гуцко Дмитрийруководитель группы анализа безопасности бизнес-систем
Positive Technologies
Архитектура SAP
Business module
Application Core: SAP-BASIS
Database
Operating system, Network
Бизнес модули SAP в России
Краткоенаименование
Процент Описание
SAP FI 29% Financial Accounting
SAP CO 7% Controlling
SAP MM 17% Materials Management
SAP SD 10% Sales and Distribution
SAP BI 18% Business Intelligence
SAP HCM/HR 11% Human Capital Management
SAP SRM 1% Supplier Relationship Management
SAP CRM 1% Customer Relationship Management
Остальные 6%
* По данным из открытых источников (sapboard.ru, hh.ru)
Бизнес модули SAP в России
Краткоенаименование
Процент Описание
SAP FI 29% Financial Accounting
SAP CO 7% Controlling
SAP MM 17% Materials Management
SAP SD 10% Sales and Distribution
SAP BI 18% Business Intelligence
SAP HCM/HR 11% Human Capital Management
SAP SRM 1% Supplier Relationship Management
SAP CRM 1% Customer Relationship Management
Остальные 6%
* По данным из открытых источников (sapboard.ru, hh.ru)
Модуль SAP HCM
• Кадровый учет
• Расчет заработанной платы
• Планирование и учет рабочего времени
• Управление организационно-штатной структурой
• Управление льготами
• Управление компетенциями сотрудников
• Обрабатываемые данные
• Персональные данные: ФИО, дата рождения, паспортные данные
• Банковские реквизиты сотрудников
• Основные выплаты: зарплата, премия, переработки
Модуль SAP MM
• Управление материалами, складской учет
• Управление запасами
• Планирование/Оформление закупок
• Обрабатываемые данные:
• Материалы, запасы
• Заявки на закупку
• Поставщики
Последствия нарушений требований ИБ
Могут привести:
– К утечке данных
– К нарушению требованию регуляторов (152 ФЗ)
– К финансовым потерям
– К потере репутации
– К демотивации сотрудников
– К нарушениям производственных или бизнес процессов
Вследствие:
– Мошеннических действий
– Человеческого фактора
Примеры рисков в SAP HCM
• Несанкционированное увеличение зарплаты, назначение дополнительных выплат (премий)
• Создание “мертвых душ”, выплаты уже уволенным сотрудникам
• Разглашение информации о заработанной плате коллег
• Изменение привязки к организационной структуре, зарплатной сетке
• Изменение счета получателя заработанной платы
Примеры рисков в SAP MM
• Неавторизованные изменения в записях поставщиков
• Создание /обработка/утверждение заявок на закупку/заказов на закупку одним ответственным лицом
• Внесение изменений в базу по остаткам материалов (уровня запасов)
• Оприходование неправильного количества и качества материала
• Дублирование записей материалов
Дополнительные сложности:
• Привязка полномочий к организационной структуре предприятия (структурные полномочия)
• Наличие в системе возможностей по отключению проверок авторизации
• Использование дополнительных сущностей (инфотипы)
• Управление доступом к собственным данным
• Наличие ссылочных пользователей
Кто виноват и что делать?
• Наведение порядка в SAP Basis
• Проверка полномочий пользователей на выполнение критичных действий
• Проверка соответствия орг-штатной позиции сотрудника и его полномочий
• Контроль матрицы SOD
• Контроль специфических настроек бизнес модулей
• Контроль активных/неактивных пользователей (ограничение прав доступа у неактивных пользователей)
• Контроль всего ландшафта, включая системы DEV и QA
• Контроль изменений
Контроль изменения банковских реквизитов (SAP HCM)
Контроль изменения заработанной платы (SAP HCM)
Контроль изменения организационной структуры (SAP HCM)
Контроль утверждения заявок (SAP MM)
Контроль изменения данных поставщика (SAP MM)
Разграничение обязанностей
Бизнес-процесс
– Бизнес-действие• Набор авторизаций
Матрица SOD:Ведение мастер-
данных
сотрудников
Ведение данных
об отработанном
времени
Изменение
структуры
Утверждение
времени
Удаление данных
расчета зарплаты
Осуществление
расчета зарплаты
Ведение мастер-
данных
сотрудников
Ведение данных
об отработанном
времени
Изменение
структуры
Утверждение
времени
Удаление данных
расчета зарплаты
Осуществление
расчета зарплаты
Разграничение обязанностей
Пример правила:([S_TCODE:TCD=PC00_M99_PA03_RELEA] or ([S_TCODE:TCD=PA03] and [P_TCODE:TCD=PA03])) and [P_PCR:ACTVT=02]
Контроль пользовательских объектов авторизации (динамические контроли)
Не забываем про проверки SAP-BASIS!
• Доступ к таблицам базы данных
• Возможность выполнения программ(отчетов)
• Запуск команд операционной системы
• Написание новых ABAP программ
• Использование функций отладки
• Наличие супер привилегий
Конец рассказаСпасибо за внимание
Дмитрий Гуцко
руководитель группы анализа безопасности бизнес-систем
Positive Technologies