СОИБ. Анализ. Модель угроз SAP
В сегодняшней заметке хочу начать
серию (возможно две) статей по защите ИС на платформе SAP. По данной теме написано
немало информации, но я постараюсь добавить что то новое, чтобы вам было
интересно.
Изначально мне надо было подобрать
комплекс технических решений по защите SAP, потом возникло желание протестировать применение приказов 17, 21
и недавнего проекта методического документа ФСТЭК Р на практике.
Для начала зафиксируем характеристики
ИС, на основе которых в дальнейшем будем делать выбор мер защиты. Так как
регулятор нам не дал нам необходимого перечня – придется придумывать самому.
Далее начинаем двигаться в сторону
выбора мер защиты. Но первым делом нужно определить перечень актуальных угроз.
В предыдущих заметках (тут и тут) я
приводил результаты моделирования угроз /экспресс-анализа рисков в виде
таблицы.
В этот раз я решил выполнить модель
угроз в виде графической схемы . А
почему бы и нет, если методические документы ФСТЭК нам не говорят что такое
моделирование угроз?
У такого моделирования есть свои плюсы
– можно одним взглядом/одним слайдом охватить все угрозы. При этом для всех
угроз определен источник, объект и уязвимости, с которыми связана угроза.
Например – “атака на сервер приложений из корпоративных сетей, использующие
уязвимости или недостатки конфигурации сервера приложений”, “доступа
пользователей к файловому серверу из корпоративной сети, использующих легальный
доступ и недостатки контроля (бизнес-логики)”
А ниже привожу упрощенный вариант модели - без угроз, связанных с низким уровнем
риска.
Отличительные особенности модели угроз ИС на платформе SAP: наиболее ценная информация хранится в БД, но на серверах приложений реализуется большое количество обработки (бизнес-логики) и они так-же относятся к наиболее критичным, а вот на АРМ пользователей объемы информации минимальны и угрозы для них получаются неактуальными, на общем фоне. Ещё одна особенность - большой масштаб приложений SAP и как следствие в них, почти наверняка, будут уязвимости; кроме этого в каждой организации разрабатывается надстройки на ABAP или Java, которые уникальны для организации, но так-же могут содержать уязвимости.
В следующей статье продолжу непосредственно
про выбор мер защиты ИС на платформе SAPи способов
их реализации.
Комментарии
Иные - если не попадают под другие приведенные категории: специальные категории, биометрические, общедоступные.
Это не существенно, просто придираюсь к мелочам =)
1 группа:
- специальные
- биометрические
- общедоступные
- иные
2 группа:
- данные сотрудников
- данные "несотрудников"
Таким образом в системе могут, например обрабатываться:
- специальные категории персональных данных сотрудников
- иные персональные данные несотрудников
- иные персональные данные как сотрудников так и лиц не являющихся сотрудниками