Газинформсервис. Сергей Лачугин "Актуальные проблемы защиты SAP"

Актуальные проблемы защиты SAP

Менеджер по продуктуООО «Газинформсервис»Лачугин Сергей Владимирович

#CODEIB

Предпосылки

1. Обрабатывается информация ограниченного доступа, в том числе персональные данные

CRM

MDM

SRM

EP

SCM

PI,PO#CODEIB

Трехзонный системный ландшафт. Теория

SAP ERP

ПредпосылкиТеорияТеория

#CODEIB


SAP ERP

ПредпосылкиПрактикаПрактика

#CODEIB


SAP ERP


SAP PI

SAP BI

Информационная системаИнформационная системав компаниив компании

#CODEIB


2. Требования законодательства

#CODEIB

Предпосылки Проектирование

1. Защита данных, передаваемых по каналам связи и выходящих за пределы контролируемой зоны

#CODEIB


1. Защита данных, передаваемых по каналам связи и выходящих за пределы контролируемой зоны

#CODEIB


2. Обеспечение юридической силы документов в системе

Вычисление хэш документа

Подписание хэш ключом пользователя

Склеивание документа и подписанного хэш

#CODEIB


#CODEIB

Предпосылки ПроектированиеВнедрение/изменение платформы

1. Безопасная настройка платформы

#CODEIB


2. Установка последних версий обновлений и исправлений

В сентябре 2010 года компания SAP перешла к регулярному выпуску SAP Security Notes, каждый второй вторник месяца.Каждое SAP Security Note закрывает одно или несколько уязвимостей.

На сегодня существуют более 3 300 SAP Security Notes об уязвимостях в тех или иных компонентах SAP.

#CODEIB


3. Распределение ролей и полномочийОпределение функций SoD (логических задач)

Пример:• Функция А: Оформление заказа• Функция Б: Оплата заказа

Назначение транзакций к функциям SoDПример:• Функция А: C-01, CA01, CA02, …• Функция Б: BA31, BA32, BA35, …

Определение правил Рисков для Конфликтов• Определение конфликтов: Функций A & B• Присвоение конфликтам уровней финансовыхРисков: Высокий, Средний, Низкий• Назначение правил Рисков для конфликтов функций SoD. #CODEIB

Разработка/доработка кода

Предпосылки Проектирование Внедрение/изменение платформы

#CODEIB



1. Безопасность кода. ТОП 5 уязвимостей на миллион строк кода

#CODEIB



2. Производительность кода. ТОП 5 дефектов на миллион строк кода

#CODEIB



3. Удобство сопровождения кода

#CODEIB



4. Транспорт кода

#CODEIB

Разработка/доработка кодаЭксплуатация


1. Контроль отсутствия несанкционированных изменений:

#CODEIB



1. Контроль доступа пользователей к информации ограниченного доступа (ИОД)

#CODEIB



3. Сканирование на наличие угроз ИБ. Обновления, исправления, рекомендации.

#CODEIB



4. Оперативная реакция на события безопасности

#CODEIB



У всякой проблемы всегда есть решение – простое, удобное и, конечно, ошибочное. (с) Генри Менкен

#CODEIB



Методология внешнего аудита всегда основана на выборочных процедурах и в силу того, что выявление случаев мошенничества не является основной целью, внешние аудиты позволяют выявить в среднем только 3% случаев мошенничества и не снижают потерь от них.Отсутствие внутреннего контроля было наиболее часто упоминаемым фактором более чем в 35% случаев мошенничества.

#CODEIB

Интегратор и Вендор в области безопасности

Более 10 лет на рынке10 ДО, 6 филиалов

Более 700 сотрудников

Более 700 проектов в год

по ИБ и ИТСОПолный спектр услуг

Партнерство с ключевыми вендорами6 линеек собственного

ПО

Все необходимые лицензии и

сертификатыСтабильное состояние

#CODEIB

Спасибо за внимание!Менеджер по продуктуООО «Газинформсервис»Лачугин Сергей Владимирович

#CODEIB

[email protected]+7-911-775-40-93+7-911-775-40-93

mailto:[email protected]

Software

Газинформсервис. Сергей Лачугин "Актуальные проблемы защиты SAP"