В своей работе эксперты Газинформсервис разделяют подходы к обеспечению информационной безопасности в SAP системах на задачи защиты платформы SAP NetWeaver и обеспечения безопасной разработки кода АВАР. Безопасность платформенной части информационной системы затрагивает множество подзадач. К ним относятся, например, разделение прав и полномочий (SoD), контроль доступа к коммерческой тайне и персональным данным. А также вопросы обеспечения безопасности самих данных. Последнее – основное, что нас в конечном итоге должно волновать при решении вопросов информационной безопасности. Программный комплекс «SafeERP» (ПК SafeERP) – это комплексное решение, объединяющее оба подхода.

О новой версии ПК SafeERP и пойдет речь в нашем обзоре.

Эксперты Газинформсервис постоянно занимаются поиском уязвимостей информационных систем, построенных на программном обеспечении SAP. Одним из аспектов безопасности является обеспечение безопасного обновления и доработки системы. Обновления системы могут поступать путем установки пакетов обновлений с сайта производителя, а также посредством импорта запросов на изменения через транспортную систему из зоны разработки системного ландшафта. Запросы на изменения могут включать пакеты с разработанным кодом, содержащим уязвимости и дефекты. Злоумышленники могут вносить изменения даже в проверенный ранее код, либо осуществить подмену программы внутри пакетов в процессе транспорта запросов на изменение.

Администраторы информационных систем совершенно не представляют, что за уязвимости содержатся в SAP программах. Проходят ли они проверку надлежащим образом? Зона их ответственности лежит лишь на этапе транспорта изменений в продуктивную систему. В итоге образуется канал поступления уязвимостей в информационную систему, который необходимо контролировать. Обеспечение автоматизированного контроля транспорта кода разработок стало главной задачей нового функционала ПК SafeERP.

В новой версии ПК SafeERP производитель реализовал функционал блокировки запросов на изменения, не прошедших проверку на наличие уязвимостей.
Изначально все транспортные запросы в SAP системе создаются в заблокированном состоянии. Деблокирование и дальнейшая обработка запроса происходит только после проведения проверки. Администраторам стала доступна расширенная настройка проверок транспортных запросов, включающая процедуру анализа кода SAP программ на языке АВАР. Функционал анализатора кода разработок позволяет выполнять сценарии проверок на безопасность и производительность. По результатам работы анализатора кода администратор получает отчет обо всех найденных уязвимостях и может обоснованно принять решение о деблокировании транспортного запроса. Код разработки, не содержащий уязвимостей, попадает в информационную систему в виде нового функционала. В противном случае администратор принимает решение отклонить запрос и отправить код на доработку.

Весь процесс анализа кода хорошо документирован. От администратора не требуются глубокие познания в разработке АВАР. А гибкие возможности по настройке отчетов о найденных уязвимостях позволяют оперативно информировать руководство и напрямую разработчиков. ПК SafeERP выполнен в виде функционального модуля SAP и имеет сертификат Powered by SAP NetWeaver®. Анализ кода производится непосредственно в SAP системе и программный код не покидает границ системы и организации в целом. Более не требуется обеспечивать контроль транспорта кода во внешнее средство анализа и защиту от доступа к нему злоумышленников. Риски утраты интеллектуальной собственности сведены к минимуму.

Благодаря интеграции ПК SafeERP в информационную систему на получение результатов тратится значительно меньше времени – комплексная проверка кода занимает меньше минуты.

Получить необходимые консультации и демо-версию программного продукта Вы сможете на странице нашего сайта, пройдя по ссылке www.gaz-is.ru/safeerp.

Примеры интерфейса:

Действия Администратора информации безопасности при переносе запроса.

В транзакции SE09 при деблокировании запроса осуществляется автоматическая проверка объектов на уязвимости.

Двойной клик на сообщения проверки инспектора кода открывает диалоговое окно инспектора кода с результатами анализа.

Для каждой найденной уязвимости, при нажатии кнопки «Документация», доступно описания. Отображение местоположения уязвимого кода доступно при нажатии на поле «Тесты».