Повышение защищенности информации в SAP системах.
Долго думал с чего начать данную статью, ничего не придумав решил, - начну с банального утверждения. В современном мире важную роль играет защита информации. В частности в России, с его известным законом «О персональных данных» № 152 –ФЗ. Именно выход данного закона заставил задуматься о том, на сколько хорошо защищены системы SAP на базе SAP Netweaver и чего с точки зрения системного администратора (SAP базисника) там не хватает.
А не хватает простой вещи – рабочего места администратора безопасности. Сейчас, практически во всех тендерных требованиях прошедших через меня, особенно от государевых контор, и особенно где предусматривается внедрение SAP HR, присутствует набор требований, выполнить которые разом удобно создав именно такое рабочее место. Если рассматривать функции данного рабочего места, то оно должно включать в себя:
· Стандартные, уже существующие SAP NetWeaver функции имеющие отношение к безопасности, сгруппированные в едином месте, пунктах меню и защищенные отдельными ролями с требуемыми полномочиями.
· Новые, дополнительные функции, реализующие потребности заказчика.
Собрав и проанализировав требования нескольких тендеров, я пришел к выводу о возможности создания некоторого программного продукта, установка которого повышала бы защищенность системы и позволили бы закрыть тендерные требования. Исходя из данных предпосылок и родился программный комплекс «Базис». Написали, запустили у своих заказчиков, а дальше что? Сертификация во ФСТЭК! Долог и труден этот путь, но как оказалось он проходим. Результат - cертификат №2562 (от 2 февраля 2012 года) программного комплекса «Базис», предназначенного для защиты от несанкционированного доступа систем SAP, обрабатывающих конфиденциальную информацию, в том числе информацию, содержащую персональные данные. Посмотреть информацию о нем можно на сайте www.bcsol.ru.
Рассмотрим, дополнительный функционал, привносимый в систему SAP NW программным комплексом «Базис»:
· Введено понятие инцидента, как совокупность событий записанных в аудит лог файл за заданный промежуток времени. Например инцидентом может быть объявлена совокупность событий - пользователь apetrov вошел в систему SAP мандант 300 и запустил средство разработки. Для создания инцидентов создан специальный конструктор.
· Консоль инцидентов для администратора безопасности. Выявленные инциденты можно взять в обработку, закрыть, передать другому администратору.
· Рассечет контрольных сумм для репозиторных объектов SAP (программы, элементы данных, таблицы) с использованием ГОСТ алгоритма и уведомлением администратора безопасности о событии их изменения.
· Привязка логина пользователя к адресу или имени его рабочей станции. Соответственно введена проверка на то, входит ли пользователь в систему с зарегистрированной рабочей станции или нет.
· Реализована функция автореакции на инцидент. Например, при возникновении инцидента пользователь его вызвавший будет заблокирован в системе, а его сессия разорвана.
· Добавлена фиксация новых событий, важных при продуктивной эксплуатации систем. события фиксируются в стандартном аудит лог файл системы SAP NW. Следующие события была добавлены:
o Открытие манданта на изменение;
o Запуск средств разработки(ABAP редактор);
o Вход пользователя в режим отладчика;
o Отсутствуют события связанные с изменением данных программ, таблиц;
o Вход пользователя с не зарегистрированной рабочей станции;
o Изменение контрольных для выбранных объектов.
Решение о выводе всех добавленных событий в стандартный аудит лог системы оказалось достаточно удачным. Оно позволяет другим, сторонним программам использующим аудит лог сапа в качестве информации о событиях в нем видеть и наши дополнительные новые события без какой либо модификации или перенастройки.
В настоящий момент идет работа над следующей версии продукта, он обещает стать более удобным в использовании и включить в себя преднастроенные инциденты для различных модулей SAP.
С уважением, Алексей Вандышев.