Прокудин Аркадий, SAP CIS Щукин Сергей, SAP · PDF filesap grc. ащита бизнеса от до Я Прокудин Аркадий, sap cis Щукин

SAP GRC. Защита бизнеса от А до Я

Прокудин Аркадий, SAP CIS

Щукин Сергей, SAP Labs

© 2016 SAP AG. All rights reserved. 2

Международная статистика

По оценке Kroll Advisory Solutions, российские

компании теряют в среднем 1,9% от выручки в

год вследствие злоупотреблений и халатности

со стороны персонала, партнеров и

поставщиков.

ACFE - Средняя величина потерь от

воровства: 5% годового дохода*

*По данным ACFE (Ассоциация сертифицированных специалистов по

расследованию хищений)

Информация из отчета PwC

Global Economic Crime Survey 2016


GRC (Роли, контроли, риски, аудит)

Информационная безопасность

SAP Identity Management application

SAP Single Sign-Onapplication

SAP Enterprise Threat Detection application

Безопасность бизнеса. Рецепт от SAP.Решения, входящие в блок GRC

SAP Access Control application

SAP Process Control application

SAP Risk Management application

SAP Audit Management

application

SAP Fraud Management

Мошенничество

Управление конфликтами ролей Контрольные процедуры Управление рисками Управление аудитом

Противодействие мошенничеству

Управление доступомЕдиный вход в информационные системы Контроль защищенности SAP


Семинар: Модель угроз и рисков SAP систем

Помогает клиентам SAP оптимизировать управление ИБ. Усилия направлены на приведение систем SAP в соответствие с лучшими практиками

на основе «дорожной карты», составленной экспертами SAP.

Требования клиента

Формирование модели угроз, упорядочивание аспектов безопасности SAP

Проведение сервиса

Подготовка специально под клиента

Проведение серии интервью с IT и ИБ

Отчет для руководства

Follow-up (опционально)

Продолжительность: ~ 2 недели

Выгоды:

Модель угроз и рисков SAP систем

Ясные и четкие рекомендации согласно «дорожной карте» SAP

Привлекаются:

Консультанты SAP ONE Service

Команда ИБ Заказчика

Команда Базиса Заказчика


Бизнес-ориентированное управление ролями

Импорт

технических

ролей

Дизайн

бизнес-

ролей

Анализ

рисковСнижение

рисков

Роли,

доступные

пользователям

Публика-

ция ролей

Согласо-

вание

Менеджер

Служба

безопасности

Владелец

роли

SAP Access Control

application

Информационная

безопасность

Разделение и управление

доступом к информационным

ресурсам организации

Бухгалтерия\Финансы

Снижение рисков финансового

мошенничества за счет

разделения конфликтов

полномочий (SoD)

Информационные технологии

Быстрый анализ новых ролей,

снижение времени ожидания

выдачи полномочий по запросу

Департамент рисков

Снижение рисков финансового

мошенничества за счет разделения

управления и конфликтов

полномочий (SoD)

Служба внутреннего контроля

Создание и управление

контрольными процедурами при

согласовании ролей с SoD-

конфликтами

Департамент безопасности

Снижение возможности

проведения мошеннических

операций сотрудниками

Служба внутреннего аудита

Быстрый аудит конфликтов

полномочий и запрошенных

расширенных прав в бизнес-

системах


SAP GRC Access control

Управление рисками

доступа и предотвращение

мошенничества

SAP Access Control

application

Управление рисками финансового мошенничества

Превентивное управление рисками финансового мошенничества в

организации

Повышение эффективности управления рисками разделения

полномочий

Снижение фрагментированного подхода к управлению рисками доступа

Обеспечение быстрого анализа новых ролей

Снижение времени ожидания на предоставление доступа

Снижение рисков неправомерного изменения данных

Повышение эффективности СВК


SAP Access Control, RDS*

* RDS (“Rapid Deployment Solution”) – быстро разворачиваемое решение

Требования бизнеса

Уменьшение рисков неправомерного доступа к системам SAP

Контроль административных пользователей и процедур экстренного доступа

Сервис позволяет компаниям быстро развернуть Access Control. Используя лучшие практики и преднастроенные модули SAP, сервис помогает

выстроить управление рисками доступа.


Преднастроенные модули SAP разворачиваются в облаке

Разворачиваемое решение полностью работоспособно при подключении к SAP ERP клиента

Длительность: 10-20 недель

Выгоды клиента

Быстрая установка

Снижение расходов на управление доступом и сопровождение

Постоянный контроль рисков ролей и полномочий

Аналитика по неиспользуемым ролям и транзакциям





Роли и полномочия (1)

Потребности клиента Контроль рисков Segregation of Duties (SoD) в концепции ролей и полномочий

Снижение трудозатрат базиса на ведение ролей и полномочий

Соответствие полномочий рекомендациям SAP

Подход

Выгрузка необходимых таблиц (с учетом требований конфиденциальности)

из системы заказчика

Удаленный анализ рисков и использования транзакций с помощью GRC Access Control

Презентация результатов

Продолжительность: ~ две недели

Результат Качественный и количественный анализ ролей и полномочий, рисков SoD

Аргументация в пользу использования SAP GRC Access Control, и/или переработки концепции ролей и полномочий




Референциальные клиенты:

Удаленная проверка рисков, содержащихся в полномочиях пользователей, а также проверка разрешенных, но не используемых

транзакций. Для проведения сервиса используется стандартный набор правил и полномочий пакета SAP GRC Access Control.

Результаты представляются у клиента в виде семинара.


Семинар: Системы на базе HANA

Разработка концепции ролей и полномочий HANA, вопросы безопасности использования HANA

Осуществлен переход на SAP HANA, однако есть непонимание каким образом строить роли и полномочия HANA

Недостаток опыта в конфигурировании HANA

Обучение лучшим практикам по настройке HANA в части безопасности

Обучение ведению пользователей и ролей HANA

Семинар с лучшими практиками по созданию ролей HANA

Обзор вопросов информационной безопасности HANA

Продолжительность: 1 день





Консультант SAP ONE Service




Управление доступом в системах non-SAPSAP Identity Management

Приложения

SAP Business Suite

SAP Access Control (GRC)

Lotus Domino / Notes

Остальные

SAP Application Server

Microsoft Windows NT

Unix/Linux

Shell-скрипты

Собственные Java адаптеры

Базы данных

Microsoft SQL Server

Microsoft Access

Oracle database

Технологии

SPML

LDAP

ODBC / JDBC / OLE-DB

RFC

LDIF-файлы

XML-файлы

CSV-файлы

Службы каталогов

Microsoft Active Directory

IBM Tivoli Directory

Novell eDirectory

SunONE Java Directory

Oracle Internet Directory

Microsoft Active Directory

Application Mode (ADAM)

Siemens DirX

OpenLDAP

eB2Bcom View500 Directory Server

CA eTrust Directory

SAP NetWeaver IDM Virtual

Directory Server

Любая совместимая с LDAP v3

IBM UDB (DB2)

MySQL

Sybase

Microsoft Exchange

RSA ClearTrust

RSA SecurID

SAP Identity Management application


SAP Access control + SAP Identity manager

SAP BusinessObjects

Access Control (GRC)SAP

Identity ManagementSAP Access Control

Запрос на согласование

роли1

Запрос на

анализ

рисков3

Статус по

рискам6

Согласование2

Назначение роли8

Внесение прав75

Снижение

рисков

4Анализ

рисков

SAP SCM

SAP ERP HCM

SAP ERP

Java

Portal

Database

Legacy

OS

E-mail

Web app

SAP applications Non-SAP applications

… …


Межсистемная аутентификацияSAP Single Sign-On

Security• Пароль вводим один раз

• Не нужно запоминать пароли для каждой системы

• Все пароли защищены и управляются централизованно

Reduce Costs• Эффективное управление временем пользователя, самообслуживание

• Повышение продуктивности за счет использования прозрачного входа,

автоматизация сброса пароля, высвобождение рук в helpdesk,…

Simplicity• Быстрое внедрение новых решений для пользователей

• Нет проблем с частой сменой паролей в разных системах

• Нет проблем выполнением парольной политики и политики безопасности компании

SAP Single Sign-Onapplication


Семинар: Сценарий использования Single Sign-On

Анализ ландшафта SAP относительно реализации определенного сценария SSO. Предложение по использованию сценария SAP Single Sign-On.

Использование беспарольного входа

Двухфакторная аутентификация

Интеграция со сторонними приложениями, облачными решениями, доступ для партнеров

Поддержка сторонних методов доступа (Active Directory, Radius, LDAP) и смарт-карт

Обучение сотрудников Заказчика лучшим практикам использования Single Sign-On

Семинар с обсуждением сценария внедрения SSO

Обучение сотрудников IT

Продолжительность: ~1 неделя









Семинар: Мобильные платформы

Сервис позволит компаниям управлять мобильными платформами, повысить безопасность их использования

Централизованный контроль мобильных устройств и их данных

Шифрование данных при работе с мобильными устройствами

Отключение приложений, удаление данных в экстренных случаях

Обучение обеспечению безопасности мобильных решений SAP

Семинар по работе с продуктами SAP:

‒ Afaria

‒ Mocana

‒ Mobile Docs

Продолжительность: 1 день








Управление конфиденциальными данными

Сервис помогает компаниям оптимизировать работу с конфиденциальными данными, согласно внутренним политикам безопасности, стандартам

отрасли и требованиям законодательства

Потребности клиента

Скрытие критичных данных систем SAP

Логирование просмотра, изменения и удаления критичных данных систем SAP

Подход

Установка и настройка необходимых продуктов SAP, либо custom-разработка

под заказчика

Семинар для сотрудников ИБ и IT клиента

Продолжительность: 2-5 недель

Результат

Маскирование критичных данных (напр., заработной платы)

Журналирование критичных данных на случай разбора ситуаций (доступ к

персональным данным, бизнес-данным, данным о паролях и др.)

Исполнение локальных и международных стандартов, политик безопасности и

требований законодательства





Управление защищенностью бизнес-инфраструктуры

SAP Enterprise Threat Detection

Безопасность в

инфраструктуре SAP

• Сбор событий со всего ландшафта SAP

• Выявление подозрительной активности пользователей

• Корреляция событий в инциденты

• Формирование автоматической реакции

• Получение сигнала о возникновении угрозы

• Расследование инцидентов

• Интеграция с SIEM

Автоматизация процесса управления инцидентами безопасности


SAP Enterprise Threat DetectionПроведение расследований

Процесс инцидент-менеджмента

Самостоятельный анализ и

проведение расследований

Может использоваться как

дополнительный инструмент к SOC

Хранит дополнительную

информацию об операциях в ERP,

необходимую для проведения

расследований финансовых

преступлений



SAP Enterprise Threat DetectionПроведение расследований

Сравнение выявленных событий с

историческими данными

Демонстрация вектора

распространения атаки на систему

Возможность выявления

первоисточника атаки

Визуализация точек

распространения угрозы в

инфраструктурной карте



Обнаружение атак в реальном времени

Сервис демонстрирует компаниям использование SAP Enterprise Threat Detection (ETD) в инфраструктуре заказчика. ETD – программный продукт,

позволяющий обнаруживать и реагировать на проведение подозрительных действий в режиме реальном времени.


Защита информационных систем от внешних угроз


Установка SAP Enterprise Threat Detection

Настройка паттернов обнаружения и реагирования

Обучение сотрудников ИБ

Продолжительность: ~ две недели


Снижение риска совершения противоправных действий





Обеспечение безопасности RFC

Потребности клиента Защита RFC интерфейсов

Подход

Проверка безопасности компонент RFC интерфейсов:

‒ Полномочия RFCUSER

‒ RFC Gateway

‒ Отключение неиспользуемых ФМ

‒ Защита RFC Callback

‒ Доверенные подключения

‒ Переключаемые проверки полномочий

‒ Мониторинг, журналирование RFC

Обучение команды базиса

Продолжительность: примерно четыре недели

Результат Исправление потенциальных уязвимостей в RFC-соединениях

Недопущение повторения с помощью инструментов мониторинга




Цель: Обеспечение безопасности RFC интерфейсов систем SAP NetWeaver и стратегия тиражирования


Обновление SAP систем

Помощь в ежемесячной установке новых нот по безопасности (Security Notes): экспертная оценка по каждой ноте, обучение

необходимым инструментам, совместное написание регламента, оптимизация процесса тестирования, мониторинг.

Свежие ноты безопасности (Security Notes) должны устанавливаться ежемесячно

Расширенная информация об уязвимостях

Высокоэффективный процесс обновления SAP систем за счет оптимизации процесса установки патчей и тестирования

Установка и настройка Solution Manager'а (опционально)

Семинар:

‒ Формирование регламента, настройка отчетов

План тестирования, анализ последствий

Непрерывная поддержка в течении года

Потребности клиента

Подход

Результат





SAP Process control на разных уровнях управления компаний

• Улучшения бизнес-процессов (устранение ошибок, неточностей и злоупотреблений)

• Достоверная финансовая отчетность и результат

• Комплаенс (требования законодательства, внутренние стандарты, приказы и процедуры)

Совет, CEO, CFO, Финансовый Контроллер

• Среда внутреннего контроля

• Проведение (ежегодного) контроля процессов (быстро, постоянно, с высоким уровнем надежности результатов)

• Переход к непрерывному мониторингу (Continuous Monitoring), отказ от проверок один раз в год

Функция Комплаенс,

Chief Compliance Officer

• ВА полагается на результат самооценки, тестирования и выявленные недостатки

• Использовать оценку рисков и выявленные недостатки при планировании проверок ВА

Функция Внутреннего Аудита,

CAE – Chief Audit Executive,

• Риск-ориентированный подход к построению системы внутреннего контроля

• Контроль – это мероприятие по снижению риска

Функция управления рисками,

Chief Risk Officer



Достижение большей уверенностиМеньше затраты и совершенствование процессов

Снижение затрат и совершенствование

процессов

Ручные контроли


Автоматические

Сегодня Уровень зрелости 1


Автоматические

Уровень зрелости 2

Время

# Контролей

Затраты

Уверенность


SAP Process ControlКлючевые возможности

Оц

ен

ка

Ко

нтр

ол

ьО

тч

етн

ос

ть

До

кум

.О

бъ

ем

Документирование

Подразделений, Процессов,

Рисков, Контролей, …

Формирование объема (scoping)

Риск-ориентированный

Внутренний контроль

Ручные тесты и оценки

Ручные

ТестыWorkflow

Мониторинг и

контроль исполнения

Отчетность

Отчетность

Политики

Автоматич.

Мониторинг

Legacy Apps

Комплаенс и Внутренний контроль

Workflow



SAP Risk Management

Позволяет создать единую базу данных

лучших практик шаблонов по рискам и

реакциям на них.

Позволяет распределить (как копию либо

ссылку) лучшие практики по всем

подразделениям

Информированность владельцев рисков

и владельцев процессов о рисках и

контролях, которые связаны с бизнес

контекстом по управлению

Обеспечивает прозрачность связей

рисков и риск факторов, последствий и

мероприятий по снижению.

Позволяет проводить групповую оценку

рисков на основе баллов в режиме off-line

на основе опросов.

Позволяет связать риски и

корпоративные политики, а также

выполнять тестирование сотрудников на

понимание

Позволяет регистрировать инциденты и

выполнять корректирующие и

восстанавливающие мероприятия по ним

Выгоды

Усовершенствует эффективность

программ по управлению рисками за

счет обеспечения прозрачности при

управлении рисками компании в

целом

Уменьшает влияние рисков за счет

проактивного и устойчивого

управления рисками

Увеличивает понимание контекста

по управлению рисками для бизнес-

владельцев

Увеличивает продуктивность работы

и снижает время при выполнении

опросов по рискам, сбора обратной

связи и переоценке рисков

Придает уверенность в соответствии

корпоративным требованиям и

политикам, как мера по снижению

рисков

Ответственность владельцев и

постоянный мониторинг

запланированных мероприятий по

снижению рисков

ПреимуществаФункциональность

Диаграмма «бабочка»

Согласованность рисков,

политик и процедур

Расширенные возможности

по оценке рисков

Интегрированное

управление рисками и

бизнес-процессами

Карточка риска и реакции

?

Согласованное управление

рисками и инцидентами



Пример рабочего места для мониторинга рисковОтслеживание эффективности и полноты действий по реагированию



Риск-ориентированный внутренний контрольSAP GRC Process Control & Risk Management

Документирование СВК, с

возможностью хранения документов

оригиналов

Планирование тестирования, Scoping

с учетом существенности рисков

Оценка эффективности СВК

(операционная, самооценка, планы

тестирования off-line)

Определение стратегии

тестирования по результатам оценки

рисков

Постоянный мониторинг

Управление инцидентами

Управление политиками

Полная двунаправленная интеграция

Система внутреннего контроля не

интегрирована в бизнес-процессы

Система контролей существует

отдельно от управления рисками

Много времени занимает процесс

управления изменениями, в условиях

изменения бизнес-процессов

Много времени занимает мониторинг

контролей

Много времени уходит на подготовку

к внешнему аудиту

Гибкая и масштабируемая

поддержка документирования

Единый подход к формированию

планов тестирования

Общая среда документирования

замечаний как по результатам

тестирования, так и дополнительных

Снижение времени на мониторинг

контролей за счет автоматизации

Контрольные процедуры встроенные

в бизнес-процессы

Риск-ориентированная стратегия

тестирования

Проблемы Возможности решения Преимущества

Цель: Повышение эффективности бизнес-процессов, выявление ошибок, злоупотреблений и

противоправных действий. Уверенность в достижении стратегических целей компании. Лучшие практики: Риск-ориентированная среда внутреннего контроля


Риск-ориентированная СВК бизнес процессов

Унификация

Масштабируемая поддержка нескольких категорий требований

Преднастроенный документооборот

Преднастроенные отчеты и пульты управления на базе SAP Crystal

Reports, Xcelsius

Защита стоимости компании

Анализ и формирования объема тестирования на основе рисков

Непрерывный мониторинг эффективности контролей

Анализ выявленных отклонений, мониторинг мероприятия по

обработке

Создание дополнительных преимуществ

Встраивание контрольных процедур в бизнес-процессы

Анализ влияния отклонений на достижение бизнес-целей

Поставляемые автоматические контрольные процедуры

Efficiently control access and prevent fraudПреимущества автоматизации СВК


SAP Audit ManagementУправление аудитом

• Мобильные возможности

позволяют быстро делать

аудиторские проверки

• Глобальный мониторинг и

обмен информацией

• Интуитивно понятный и

простой интерфейс

• Интеграция с решениями

SAP GRC Risk management,

Process Control и Fraud

Management

• Настраиваемые экраны и

визуализация для

составления отчетности.

• Гибкая настройка основных

областей аудита в сочетании

с планированием ресурсов

• Высокоскоростная платформа

SAP HANA позволяет быстрее

искать и обрабатывать данные

• Основанная на SAP HANA

предиктивная аналитика может

использоваться для

планирования, мониторинга и

аналитики.

• Совместные инструменты

обеспечивают непрерывное

активное участие бизнеса.

Оптимизация проверки за

счет использования

технологии для создания,

организации и обмена

рабочими документами

Усилить влияние и

значение внутреннего

аудита с помощью

аналитики следующего

поколения для

предоставления более

полной информации

Использование технологий

позволяет усилить

проникновение аудита в

ключевые бизнес-

процессы и обеспечить

прозрачность ключевых

рисков


application


SAP Audit ManagementУправление аудитом

• Планирование аудита, его согласование

• Назначение ответственных за проверки

• Выбор ресурсов, подходящих для планируемых работ

• Управление загруженностью аудиторов

• Получение результатов аудита в любой момент времени

• Привязка границ аудита к Risk management и выявленным проблемам

• Наполнение отчета об аудите информацией из Process control

• Использование мобильных устройств для фиксации нарушений и

проведения аудита


application


Пример управления аудитомSAP Audit Management

SAP Access Control application




application

Управление конфликтами ролейРеальная ситуация по SoD-конфликтам и по принятым

согласующими сотрудникамирискам

Контрольные процедурыИнформация по сработанным

контрольным процедурам, зафиксировавшим отклонения от

описанного процесса

Управление рискамиФормирование scope-аудита на основании самых критичных для

компании рисков

Управление аудитом

Автоматическое наполнение отчетов об

аудиторских проверках по выбранным бизнес-

системам информацией из решений GRC

SAP Fraud Management analytic

application

Противодействие мошенничеству

При проведении расследований

обмен данными о ситуации в бизнес-

системе


application


Создание процедуры внутреннего аудита ИБ

Потребности клиента Готовность к внешнему аудиту

Подход

Создание регламента регулярного внутреннего аудита безопасности SAP-систем

Установка и настройка необходимого ПО:

‒ Audit Information System

‒ Security Audit Log

‒ Security Optimization Service

‒ Configuration Validation

‒ GRC Audit Management

Обучение внутренней команды

Продолжительность: ~ 1-3 мес.

Результат Выстроенная процедура регулярного внутреннего аудита ИБ SAP систем




Цель сервиса: выстроить процесс внутреннего технического аудита SAP


SAP Fraud managementПротиводействие корпоративному мошенничеству


Выявление и

предотвращение


Мониторинг с помощью

графиков, отчетов и KPI

Управление

предупреждениями,

квалификация и

расследование


Обработка данных в реальном времени, выявление и

приостановка выполняемых бизнес-транзакций

Определение

стратегии выявления

мошеннических

действий и

оптимизация их с

помощью калибровки

Выбор и подготовка

правил и данных,

которые будут

обрабатываться

SAP HANA

Enable Rules

Pre-delivered

Rules

Simplified Rules

Creation

Predictive Rules

(*) Can be preformed with SAP HANA studio, SAP InfiniteInsight (optional) or 3rd-party tools

Автоматизация процесса контроля мошенничества в закупках,

продажах, а также во внутренних процессах компании


Примеры

Формирование заявки на закупку

Выбор победителя торгов

Поиск аффилированных сотрудников организации с участниками торгов.

Перемещение товара по складам

Вывоз ТМЦ со складов мимо отчетности

Анализ типовых схем прохождения процесса и уведомление при отклонениях

Выявление мошеннических операций в финансовых системах, используя сигнатуры

мировых практик.

Противодействие мошенничествуАвтоматизация схем выявления мошеннических операций



Интегрированная система экономической безопасности в

организации

Датчики

и системы наблюдения

Системы наблюдения,

СКУД, датчики, весовое

хозяйство, метки RFID

Хранилище данных

Методология

системы контроля

Визуализация

знаний

Мониторинг

и обработка отклонений

Бизнес-системы

SAP и другие

автоматизированные

системы организации

SPI iRule

Выявление цепочек

связей, проведение

расследований,

подготовка

отчетности

SAP Fraud management

Оценка рисков,

автоматизированный

мониторинг, дела, расчет КПЭ

SAP HANA

E&Y

Процессы и

процедуры системы

контроля

Источники информации


Решение SAP GRCНаши клиенты использующие GRC решения

http://kazakhtelecom.yvision.kz/

http://kazakhtelecom.yvision.kz/

http://www.altyn-orda.kz/uploads/kpo_logo.gif

http://www.altyn-orda.kz/uploads/kpo_logo.gif

Спасибо

Прокудин Аркадий (SAP CIS)

[email protected]

Mob. +7(903) 224-59-50

Tel. +7(495) 755-98-00 (ext.4190)

Щукин Сергей (SAP Labs)

[email protected]

Mob. +7(963) 673-93-64

Tel. +7(495) 755-98-00 (ext.2094)

mailto:[email protected]

mailto:[email protected]

Documents

Прокудин Аркадий, SAP CIS Щукин Сергей, SAP · PDF filesap grc. ащита бизнеса от до Я Прокудин Аркадий, sap cis Щукин