Документ описывает актуальные проблемы защиты данных в системах SAP, включая требования к безопасности и законодательству. Также рассматриваются методы проектирования, внедрения и разработки кода для обеспечения безопасности и контроля доступа к данным. В заключение упоминается о компании 'Газинформсервис' как интеграторе в области безопасности, предоставляющей широкий спектр услуг.

1. Актуальные проблемы
защиты SAP
Менеджер по продукту
ООО «Газинформсервис»
Лачугин Сергей Владимирович
#CODEIB

2. Предпосылки
1. Обрабатывается информация ограниченного
доступа, в том числе персональные данные
CRM
MDM
SRM
EP
SCM
PI,PO
#CODEIB

3. Трехзонный системный ландшафт. Теория
SAP ERP
Предпосылки
ТеорияТеория
#CODEIB

4. Трехзонный системный ландшафт. Теория
SAP ERP
Предпосылки
ПрактикаПрактика
#CODEIB

5. Трехзонный системный ландшафт. Теория
SAP ERP
Предпосылки
SAP PI
SAP BI
Информационная системаИнформационная система
в компаниив компании
#CODEIB

6. Предпосылки
2. Требования законодательства
#CODEIB

7. Предпосылки Проектирование
1. Защита данных, передаваемых по каналам связи
и выходящих за пределы контролируемой зоны
#CODEIB

8. Предпосылки Проектирование
1. Защита данных, передаваемых по каналам связи
и выходящих за пределы контролируемой зоны
#CODEIB

9. Предпосылки Проектирование
2. Обеспечение юридической силы документов в
системе
Вычисление хэш
документа
Подписание хэш
ключом пользователя
Склеивание документа и
подписанного хэш
#CODEIB

10. Предпосылки Проектирование
#CODEIB

11. Предпосылки Проектирование
Внедрение/изменение платформы
1. Безопасная настройка платформы
#CODEIB

12. Предпосылки Проектирование
Внедрение/изменение платформы
2. Установка последних версий обновлений и
исправлений
В сентябре 2010 года компания SAP перешла к регулярному выпуску
SAP Security Notes, каждый второй вторник месяца.
Каждое SAP Security Note закрывает одно или несколько уязвимостей.
На сегодня существуют более 3 300 SAP Security Notes об уязвимостях
в тех или иных компонентах SAP.
#CODEIB

13. Предпосылки Проектирование
Внедрение/изменение платформы
3. Распределение ролей и полномочий
Определение функций SoD (логических задач)
Пример:
• Функция А: Оформление заказа
• Функция Б: Оплата заказа
Назначение транзакций к функциям SoD
Пример:
• Функция А: C-01, CA01, CA02, …
• Функция Б: BA31, BA32, BA35, …
Определение правил Рисков для Конфликтов
• Определение конфликтов: Функций A & B
• Присвоение конфликтам уровней финансовых
Рисков: Высокий, Средний, Низкий
• Назначение правил Рисков для конфликтов
функций SoD. #CODEIB

14. Разработка/доработка кода
Предпосылки Проектирование Внедрение/изменение платформы
#CODEIB

15. Разработка/доработка кода
Предпосылки Проектирование Внедрение/изменение платформы
1. Безопасность кода. ТОП 5 уязвимостей на
миллион строк кода
#CODEIB

16. Разработка/доработка кода
Предпосылки Проектирование Внедрение/изменение платформы
2. Производительность кода. ТОП 5 дефектов на
миллион строк кода
#CODEIB

17. Разработка/доработка кода
Предпосылки Проектирование Внедрение/изменение платформы
3. Удобство сопровождения кода
#CODEIB

18. Разработка/доработка кода
Предпосылки Проектирование Внедрение/изменение платформы
4. Транспорт кода
#CODEIB

19. Разработка/доработка кода
Эксплуатация
Предпосылки Проектирование Внедрение/изменение платформы
1. Контроль отсутствия несанкционированных
изменений:
#CODEIB

20. Разработка/доработка кода
Эксплуатация
Предпосылки Проектирование Внедрение/изменение платформы
1. Контроль доступа пользователей к
информации ограниченного доступа (ИОД)
#CODEIB

21. Разработка/доработка кода
Эксплуатация
Предпосылки Проектирование Внедрение/изменение платформы
3. Сканирование на наличие угроз ИБ.
Обновления, исправления, рекомендации.
#CODEIB

22. Разработка/доработка кода
Эксплуатация
Предпосылки Проектирование Внедрение/изменение платформы
4. Оперативная реакция на события безопасности
#CODEIB

23. Разработка/доработка кода
Эксплуатация
Предпосылки Проектирование Внедрение/изменение платформы
У всякой проблемы всегда есть решение – простое,
удобное и, конечно, ошибочное. (с) Генри Менкен
#CODEIB

24. Разработка/доработка кода
Эксплуатация
Предпосылки Проектирование Внедрение/изменение платформы
Методология внешнего аудита всегда основана на
выборочных процедурах и в силу того, что выявление
случаев мошенничества не является основной целью,
внешние аудиты позволяют выявить в среднем только 3%
случаев мошенничества и не снижают потерь от них.
Отсутствие внутреннего контроля было наиболее часто
упоминаемым фактором более чем в 35% случаев
мошенничества.
#CODEIB

25. Интегратор и Вендор в области безопасности
Более 10 лет на рынке
10 ДО, 6 филиалов
Более 700 сотрудников
Более 700 проектов в год
по ИБ и ИТСО
Полный спектр услуг
Партнерство с ключевыми
вендорами
6 линеек собственного ПО
Все необходимые
лицензии и сертификаты
Стабильное состояние
#CODEIB

26. Спасибо за внимание!
Менеджер по продукту
ООО «Газинформсервис»
Лачугин Сергей Владимирович
#CODEIB
Lachugin-S@gaz-is.ruLachugin-S@gaz-is.ru
+7-911-775-40-93+7-911-775-40-93