Безопасность бизнес-модулей SAP

Гуцко Дмитрийруководитель группы анализа безопасности бизнес-систем

Positive Technologies

Архитектура SAP

Business module

Application Core: SAP-BASIS

Database

Operating system, Network

Бизнес модули SAP в России

Краткоенаименование

Процент Описание

SAP FI 29% Financial Accounting

SAP CO 7% Controlling

SAP MM 17% Materials Management

SAP SD 10% Sales and Distribution

SAP BI 18% Business Intelligence

SAP HCM/HR 11% Human Capital Management

SAP SRM 1% Supplier Relationship Management

SAP CRM 1% Customer Relationship Management

Остальные 6%

* По данным из открытых источников (sapboard.ru, hh.ru)

Бизнес модули SAP в России

Краткоенаименование

Процент Описание

SAP FI 29% Financial Accounting

SAP CO 7% Controlling

SAP MM 17% Materials Management

SAP SD 10% Sales and Distribution

SAP BI 18% Business Intelligence

SAP HCM/HR 11% Human Capital Management

SAP SRM 1% Supplier Relationship Management

SAP CRM 1% Customer Relationship Management

Остальные 6%

* По данным из открытых источников (sapboard.ru, hh.ru)

Модуль SAP HCM

• Кадровый учет

• Расчет заработанной платы

• Планирование и учет рабочего времени

• Управление организационно-штатной структурой

• Управление льготами

• Управление компетенциями сотрудников

• Обрабатываемые данные

• Персональные данные: ФИО, дата рождения, паспортные данные

• Банковские реквизиты сотрудников

• Основные выплаты: зарплата, премия, переработки

Модуль SAP MM

• Управление материалами, складской учет

• Управление запасами

• Планирование/Оформление закупок

• Обрабатываемые данные:

• Материалы, запасы

• Заявки на закупку

• Поставщики

Последствия нарушений требований ИБ

Могут привести:

– К утечке данных

– К нарушению требованию регуляторов (152 ФЗ)

– К финансовым потерям

– К потере репутации

– К демотивации сотрудников

– К нарушениям производственных или бизнес процессов

Вследствие:

– Мошеннических действий

– Человеческого фактора

Примеры рисков в SAP HCM

• Несанкционированное увеличение зарплаты, назначение дополнительных выплат (премий)

• Создание “мертвых душ”, выплаты уже уволенным сотрудникам

• Разглашение информации о заработанной плате коллег

• Изменение привязки к организационной структуре, зарплатной сетке

• Изменение счета получателя заработанной платы

Примеры рисков в SAP MM

• Неавторизованные изменения в записях поставщиков

• Создание /обработка/утверждение заявок на закупку/заказов на закупку одним ответственным лицом

• Внесение изменений в базу по остаткам материалов (уровня запасов)

• Оприходование неправильного количества и качества материала

• Дублирование записей материалов

Дополнительные сложности:

• Привязка полномочий к организационной структуре предприятия (структурные полномочия)

• Наличие в системе возможностей по отключению проверок авторизации

• Использование дополнительных сущностей (инфотипы)

• Управление доступом к собственным данным

• Наличие ссылочных пользователей

Кто виноват и что делать?

• Наведение порядка в SAP Basis

• Проверка полномочий пользователей на выполнение критичных действий

• Проверка соответствия орг-штатной позиции сотрудника и его полномочий

• Контроль матрицы SOD

• Контроль специфических настроек бизнес модулей

• Контроль активных/неактивных пользователей (ограничение прав доступа у неактивных пользователей)

• Контроль всего ландшафта, включая системы DEV и QA

• Контроль изменений

Контроль изменения банковских реквизитов (SAP HCM)

Контроль изменения заработанной платы (SAP HCM)

Контроль изменения организационной структуры (SAP HCM)

Контроль утверждения заявок (SAP MM)

Контроль изменения данных поставщика (SAP MM)

Разграничение обязанностей

Бизнес-процесс

– Бизнес-действие• Набор авторизаций

Матрица SOD:Ведение мастер-

данных

сотрудников

Ведение данных

об отработанном

времени

Изменение

структуры

Утверждение

времени

Удаление данных

расчета зарплаты

Осуществление

расчета зарплаты

Ведение мастер-

данных

сотрудников

Ведение данных

об отработанном

времени

Изменение

структуры

Утверждение

времени

Удаление данных

расчета зарплаты

Осуществление

расчета зарплаты

Разграничение обязанностей

Пример правила:([S_TCODE:TCD=PC00_M99_PA03_RELEA] or ([S_TCODE:TCD=PA03] and [P_TCODE:TCD=PA03])) and [P_PCR:ACTVT=02]

Контроль пользовательских объектов авторизации (динамические контроли)

Не забываем про проверки SAP-BASIS!

• Доступ к таблицам базы данных

• Возможность выполнения программ(отчетов)

• Запуск команд операционной системы

• Написание новых ABAP программ

• Использование функций отладки

• Наличие супер привилегий

Конец рассказаСпасибо за внимание

Дмитрий Гуцко

dgutsko@ptsecurity.com

руководитель группы анализа безопасности бизнес-систем

Positive Technologies