понедельник, 23 декабря 2013 г.

СОИБ. Анализ. Модель угроз SAP

В сегодняшней заметке хочу начать серию (возможно две) статей по защите ИС на платформе SAP.  По данной теме написано немало информации, но я постараюсь добавить что то новое, чтобы вам было интересно.

Изначально мне надо было подобрать комплекс технических решений по защите SAP, потом возникло желание протестировать применение приказов 17, 21 и недавнего проекта методического документа ФСТЭК Р на практике.

Для начала зафиксируем характеристики ИС, на основе которых в дальнейшем будем делать выбор мер защиты. Так как регулятор нам не дал нам необходимого перечня – придется придумывать самому.






Далее начинаем двигаться в сторону выбора мер защиты. Но первым делом нужно определить перечень актуальных угроз.

В предыдущих заметках (тут и тут) я приводил результаты моделирования угроз /экспресс-анализа рисков в виде таблицы.

В этот раз я решил выполнить модель угроз в виде графической схемы .  А почему бы и нет, если методические документы ФСТЭК нам не говорят что такое моделирование угроз?


У такого моделирования есть свои плюсы – можно одним взглядом/одним слайдом охватить все угрозы. При этом для всех угроз определен источник, объект и уязвимости, с которыми связана угроза. Например – “атака на сервер приложений из корпоративных сетей, использующие уязвимости или недостатки конфигурации сервера приложений”, “доступа пользователей к файловому серверу из корпоративной сети, использующих легальный доступ и недостатки контроля (бизнес-логики)”

А ниже привожу упрощенный вариант модели  - без угроз, связанных с низким уровнем риска.



Отличительные особенности модели угроз ИС на платформе SAP: наиболее ценная информация хранится в БД, но на серверах приложений реализуется большое количество обработки (бизнес-логики) и они так-же относятся к наиболее критичным, а вот на АРМ пользователей объемы информации минимальны и угрозы для них получаются неактуальными, на общем фоне. Ещё одна особенность - большой масштаб приложений SAP и как следствие в них, почти наверняка, будут уязвимости; кроме этого в каждой организации разрабатывается надстройки на ABAP или Java, которые уникальны для организации, но так-же могут содержать уязвимости.

В следующей статье продолжу непосредственно про выбор мер защиты ИС на платформе SAPи способов их реализации.

PS: Другие полезные материалы по теме угроз SAP – от DSec и PTsecurity





4 комментария:

ser-storchak комментирует...

Что подразумевается под "иные ПДн" в третьей таблице?

Сергей Борисов комментирует...

Это из ПП 1119.
Иные - если не попадают под другие приведенные категории: специальные категории, биометрические, общедоступные.

ser-storchak комментирует...

Чем они отличаются от ПДн (не)сотрудников? Зачем конкретизировать, если есть иные?
Это не существенно, просто придираюсь к мелочам =)

Сергей Борисов комментирует...

Там просто 2 группы категорий объединены в одном столбце. Надо было на 2 разделить чтобы было понятнее.

1 группа:
- специальные
- биометрические
- общедоступные
- иные

2 группа:
- данные сотрудников
- данные "несотрудников"

Таким образом в системе могут, например обрабатываться:
- специальные категории персональных данных сотрудников
- иные персональные данные несотрудников
- иные персональные данные как сотрудников так и лиц не являющихся сотрудниками