SafeERP в режиме реального времени обеспечивает контроль состояния защищённости Ваших SAP систем, предоставляя быстрый доступ к настройкам безопасности и журналам событий безопасности в системе.
В настоящее время SAP является основной платформой для автоматизации деятельности и повышения эффективности процессов управления крупных компаний. Система хранит конфиденциальную информацию и обрабатывает критичные для бизнеса данные, что привлекает злоумышленников и конкурентов. Все это происходит на фоне роста количества уязвимостей в программных продуктах и постоянной необходимости в квалифицированных специалистах, способных поддерживать защищенность систем на должном уровне.
Программный комплекс SafeERP автоматизирует процесс управления безопасностью в SAP системах компании, предоставляя полную картину защищённости систем по всему ландшафту. Он позволяет быстро проанализировать защищенность систем, проверить безопасность разработок и поставить на контроль критичные объекты.
Основу комплекса составляют Сервер управления SafeERP и Агенты SafeERP, устанавливаемые в SAP системы компании. Единая консоль информационной безопасности отображает настройки безопасности всех контролируемых SAP систем.
Настройка работы комплекса происходит на Сервере управления с использованием консоли администратора, где выбираются необходимые политики безопасности и задаются параметры сбора информации с Агентов.
Использование комплекса возможно на системах SAP NetWeaver 7.0 и более поздних версий. Для работы программного комплекса необходимо приложение SAP GUI текущей версии.
Клиент получает готовый к установке и работе комплекс с преднастроенными политиками безопасности.
Повышение безопасности и защищенности информационных систем на платформе SAP NetWeaver является важнейшей задачей позволяющей сократить издержки от потери информации и простоев SAP систем.
По функциональным возможностям программный комплекс SafeERP представлен двумя программными продуктами:
Также существует расширенная версия программного продукта – SafeERP Security Suite, объединяющая весь имеющийся в программном комплексе функционал. В ней реализован комплексный подход к обеспечению информационной безопасности SAP систем, включая безопасность транспорта кода разработки в продуктивную систему.
Если у вас есть вопросы по продукту, пожалуйста, обратитесь к нашим специалистам.
Классическая SAP ERP система - 5 лет эксплуатации и развития:
Сотни документов, содержащих конфиденциальную информацию
Более 150 учетных записей стандартных суперпользователей на информационную систему и десятки пользователей SAP*
Кол-во настроек безопасности – более 500 на информационную систему
Более 3000 SAP Security Notes об уязвимостях
Программный комплекс SafeERP Platform Security предназначен для автоматизации процесса обеспечения информационной безопасности в SAP-системах, гарантируя защищенность по всему ландшафту.
Функционал программного комплекса позволяет оперативно провести проверку конфигурации SAP-системы на безопасность, зафиксировать и контролировать её неизменность, тем самым снизить риски информационной безопасности, возникающие в ходе обновлений, изменений конфигурации системы, либо доработок функционала на языке ABAP.
В состав программного комплекса SafeERP Platform Security входят агенты для следующих продуктов SAP: ABAP, Java, HANA, BO, MDM.
Централизованный контроль настроек информационной безопасности, изменений учетных записей пользователей, ролей, полномочий осуществляется через единую консоль администратора информационной безопасности. Мониторинг событий информационной безопасности обеспечивает контроль доступа к конфиденциальной информации, коммерческой тайне и персональным данным.
Программный комплекс SafeERP Platform Security обладает следующими сертификатами:
- ФСТЭК России по 4 уровню контроля НДВ и ТУ №3191 от 08.08.2014г.
- SAP ICC, SAP Certified №26543304 от 13.11.2014г.
Наличие сертификатов подтверждает надежную работу решения, гарантируя отсутствие негативного влияния на смежные компоненты ИТ-инфраструктуры, позволяет привести защиту информационных систем в соответствие с требованиями регулирующих органов РФ, в том числе создавать системы защиты персональных данных.
Ключевые особенности
- Снижение издержек на обеспечение информационной безопасности, за счет использования автоматизированного средства.
- Быстрая интеграция - отсутствие инфраструктурных затрат – сертифицированный SAP Add-On.
- Комплексное решение - средство защиты на всем ландшафте SAP с единой консолью для офицера безопасности.
- Масштабируемость - клиент-серверная архитектура решения.
- Соответствие стандартам и требованиям в области информационной безопасности – ISACA, DSAG, PCI DSS, ISO27001:2013, ФСТЭК России.
Основные функции
Сканирование и анализ защищенности
Проверка настроек системы на соответствие стандартам безопасности включает в себя анализ различных параметров безопасности, в том числе анализ:
- параметров профилей инстанции
- состояния сервисов ICF
- присвоения критичных ролей и полномочий
Анализ защищенности производится на основе рекомендуемых компанией SAP корректур безопасности, пакетов поддержки, отраслевых стандартов и собственных наработок компании Газинформсервис, а так же настраиваемых пользователем политик информационной безопасности.
Контроль конфиденциальной информации, коммерческой тайны и персональных данных
В программном комплексе SafeERP Platform Security реализован механизм категорирования информации в SAP системах, в соответствии с уровнем значимости. Данный функционал позволяет отслеживать обращения к закрытой для основного числа сотрудников информации, фиксировать их и использовать для дальнейшего расследования инцидентов. Использование сложных, агрегированных, событий, на основании последовательности действий пользователей в системе, даёт возможность однозначно интерпретировать события информационной безопасности как инцидент.
Контроль разделения полномочий, матрица SoD
В процессе распределения полномочий между ролями в SAP-системе и определения ролей для конкретного пользователя могут возникать ситуации, когда отдельные пользователи получают избыточные полномочия, которые могут позволить им совершить полный цикл того или иного бизнес-процесса без участия других пользователей. Такая возможность может приводить к ошибкам или даже мошенническим действиям со стороны таких пользователей.
Использование подхода связанного с разделение полномочий (Separation/Segregation of Duties, SoD) позволяет избежать таких рисков. Вместе с тем ручной анализ полномочий пользователей на предмет их критичного для бизнеса сочетания, а тем более отслеживание изменений полномочий в динамике является достаточно трудоемкой задачей. SafeERP Platform Security предоставляет удобный инструментарий для проведения такого анализа.
Использование подхода SoD, автоматизированного при помощи SafeERP позволяет оперативно и с минимальными затратами выявлять недостатки в модели распределения полномочий и не допускать возможностей для действий инсайдеров.
Поддержание требуемого уровня защищенности, контроль целостности
В рамках контроля целостности программных объектов репозиториев SAP систем осуществляется:
- ведение списка объектов, поставленных на контроль
- вычисление контрольных сумм программных объектов
- регистрация факта изменения контрольных сумм объектов, с регистрацией даты, времени, идентификатора запроса на изменение.
Объекты проверки целостности могут находиться в системах, построенных на платформе SAP NetWeaver. Классифицируются объекты следующим образом: ABAP-объекты, BI-объекты, BO-объекты, MDM, PI и т.п.
Функции контроля целостности реализована методом периодического вычисления контрольных сумм программных объектов с использованием алгоритма MD5, SHA-1 или в соответствии с требованиями ГОСТ Р 34.11-94.
Классическая SAP ERP система - 5 лет эксплуатации и развития:
Стандартный SAP функционал ~300 млн.строк кода ABAP
Кастомизированный код в среднем составляет 5 млн. строк кода ABAP
Одна критическая уязвимость на каждую 1000 строк кода
Достаточно одной уязвимости, чтобы злоумышленник смог получить доступ к системе
Программный комплекс SafeERP Code Security предназначен для выявления уязвимостей информационной безопасности в АВАР коде информационных систем, построенных на платформе SAP NetWeaver.
В ходе работы программного комплекса производится статический анализ с использованием сигнатур, который определяет участки кода, которые с большой долей вероятности содержат уязвимости. Анализ проходит посредством обращения к серверам приложений SAP. Прямое обращение к коду системы происходит без его выгрузки во внешнее средство, увеличивая безопасность, точность нахождения уязвимостей и повышая скорость проведения тестов. Существует возможность встраивания процесса проверки кода в транспортную систему на уровне проверки запросов, с функцией блокировки переноса кода разработки, не прошедшего проверку.
Информация с перечнем найденных уязвимостей и предупреждений предоставляется Администратору информационной безопасности в виде соответствующих отчетов. Каждая найденная уязвимость имеет детальное описание с примерами ее эксплуатации и описанием бизнес рисков.
Ключевые особенности
- Снижение издержек на проверку кода разработок, за счет использования автоматизированного средства.
- Быстрая интеграция, отсутствие инфраструктурных затрат – сертифицированный SAP Add-On.
- Значительное количество проверок кода – более 80 сценариев Security, более 50 сценариев Performance, десятки проверок качества кода.
- Соответствие ключевым стандартам и требованиям к качеству разработки – Basel II, BIZEC APP/11, EuroSOX, PCI DSS, SOX, CWE/SANS, OWASP, ФСТЭК России.
- Категоризация уязвимостей – позволяет ранжировать уязвимости по значимости для дальнейшей обработки.
- Детальное описание уязвимостей с примерами эксплуатации – возможность быстро дать оценку рискам.
- Классификация угроз по ФСТЭК БнД УБИ.
- Широкие возможности представления отчетов – технические для разработчиков и наглядные для руководства.
Основные функции
Безопасность кода
Программный комплекс SafeERP Code Security автоматизирует процесс анализа кода и обнаружения в нем уязвимостей.
На сегодняшний день реализовано 89 сценария проверок кода на уязвимости, в числе которых:
- Отсутствие проверки полномочий.
- Неконтролируемое использование критичных системных команд.
- Уязвимости типа «Backdoors».
- Наличие пользовательских привилегий в программном коде.
- Динамическое выполнение команд.
- SQL инъекции.
- Межсайтовый скриптинг (XSS).
- Силовой просмотр.
Быстродействие кода
Проверки кода АВАР на быстродействие, реализованные в программном комплексе, осуществляются с целью выявления участков программ, приводящих к:
- Избыточному вызову циклов.
- Лишним запросам к БД или серверу приложений.
- Непрогнозируемому потреблению памяти и иных ресурсов системы и т.д.
В настоящий момент реализовано 58 сценариев проверок быстродействия кода, определяющих места, которые замедляют его работу.
Качество кода, удобство сопровождения
Программный комплекс предоставляет функционал проверки качества кода разработок.
Для удобства сопровождения кода необходимо соблюдать определенный набор правил его написания, например:
- по процентному соотношению код/комментарии - 70/30, когда количество строк комментариев в тексте кода должно быть не менее 30%
- по размеру программных объектов (функциональных модулей, классов, подпрограмм)
- по использованию текстовых объектов на разных языках
- по ненадлежащему использованию псевдо комментариев
Выполнение указанных рекомендаций позволяет сократить издержки при последующих доработках разрабатываемого функционала и обеспечить преемственность.
Сертификаты
Сертификат соответствия ФСТЭК России №3191 по 4 уровню контроля НДВ и ТУ. Дата выдачи: 8 августа 2014г. Дата окончания срока действия: 8 августа 2017г.
Если Вы хотите приобрести данный продукт, пожалуйста, заполните необходимые поля формы заказа и отправьте запрос нашим специалистам.
С Вами обязательно свяжутся в ближайшее время.
1.2 MB