Важнейшая корпоративная информация и связанные с ней автоматизируемые процессы имеют тенденцию постепенно перебираться из разрозненных файловых систем, баз данных и отдельных приложений в единые системы управления предприятием, наиболее распространенной из которых является SAP ERP. При этом в качестве одной из ключевых задач аудита информационной безопасности становится аудит безопасности данной ERP-системы, т.е. акцент смещается с общесистемного аудита на внутрисистемый. Наиболее трудоемкой задачей такого аудита ERP-системы, является аудит распределения полномочий пользователей.
Методика аудита полномочий в SAP ERP, которую нам пришлось разрабатывать, опираясь на зарубежные руководства, включает в себя много чего и, вообще говоря, довольно сложна. Чтобы как-то упростить и удешевить процесс я разбиваю данную методику на две части: базовую и расширенную. Базовая часть методики включает в себя: анализ концепции авторизации, анализ состава пользователей, обзор назначенных пользователям профилей и ролей, анализ авторизаций (объектов, транзакций и уровней доступа) внутри профилей, проверка установленных лимитов.
Далее приведу основные шаги базовой методики в сокращенном виде. Основная цель — дать общее представления о том, что и в какой последовательности надо делать, т.е. в общих чертах как выгружать информацию из SAP и на что смотреть. Поскольку в открытых русскоязычных источниках я такой информации не встречал, это должно быть полезно нашему проф. сообществу.
Расширенную методику анализа полномочий в SAP ERM приведу в следующей статье данного цикла. Ее имеет смысл использовать в случае, если все проблемы, выявленные на базовом уровне, устранены.
Оглавление
Анализ концепции авторизации SAP
Концепция авторизации устанавливает взаимосвязь между объектами авторизации SAP (таблицами, транзакциями и программами ABAP/4) и субъектами – пользователями SAP. Механизмом реализации модели ролевого доступа в SAP выступают пользовательские профили, группы и роли. Концепция авторизации должна обеспечивать правильное определение профилей и групп, ролей их состав и соответствие функциональным ролям пользователей в бизнес-процессах. При определении полномочий пользователя в системе должен соблюдаться принцип минимизации привилегий и принцип разделения критичных ролей в бизнес-процессах. При анализе концепции авторизации проверяется наличие в организации необходимых внутренних нормативных документов, подходов и процессов, определяющих концепцию авторизации в системе SAP и позволяющих поддерживать систему авторизации в актуальном состоянии.
Анализ концепции авторизации охватывает следующий круг вопросов:
- В каких внутренних нормативных документах определена концепция авторизации?
- Каким образом осуществляется оценка и обработка рисков, связанных с некорректной авторизацией?
- Кто и каким образом разрабатывал концепцию авторизации?
- Кто и каким образом реализовывал концепцию авторизации?
- Кто, каким образом и когда тестировал концепцию авторизации?
Анализ состава пользователей SAP
При анализе списка пользователей SAP выявляем:
- Лишние пользователи, которым не должно предоставляться доступа к SAP (третьи лица, уволенные сотрудники, сотрудники, которым по должности не положен доступ к SAP)
- Групповые (совместно используемые, неперсонифицированные) учетные записи пользователей.
Шаг 1. Выгрузка пользователей и групп
Способ выгрузки данных SAP:
- AIS system -> User Administration -> IS Users and Authorizations -> User -> By User ID
- Транзакция: SA38, Отчет: RSUSR002
Шаг 2. Сравнение списка пользователей SAP со списком сотрудников компании
Выявляем:
- Действующих сотрудников
- Уволенных сотрудников
- Сотрудников, допущенных работе в SAP
- Третьих лиц
Обзор профилей и ролей, назначенных пользователям SAP
Проверка назначенных пользователям профилей включает в себя следующие шаги:
- Критичные стандартные системные профили (super, administration, development) должны быть назначены только ограниченной группе системных администраторов, среди этих администраторов нет лишних людей, и данные профили соответствуют их должностным обязанностям.
- В системе не используется стандартных функциональных профилей SAP, не обеспечивающих достаточной степени разграничения полномочий (например, в бухгалтерии).
- Именование и описание профилей в системе должно соответствовать концепции авторизации.
- Назначенные пользователям профили соответствуют их должностным обязанностям, определяемым штатным расписанием и ролями пользователей в бизнес-процессах.
- Назначенные одному пользователю профили не нарушают принципа разделения критичных ролей (например, бухгалтера и казначея).
Шаг 1. Выгрузка пользователей и групп
Исходные данные:
- Матрица полномочий
- Выгрузка из системы списка пользователей
Способ выгрузки данных SAP:
- AIS system -> User Administration -> IS Users and Authorizations -> User -> By User ID
- Транзакция: SA38, Отчет: RSUSR002
Шаг 2. Выявление «общих учетных записей»
Критичные системные функции должны назначаться пользователям на индивидуальной основе. Все пользователи должны быть индивидуализированы. Не должно использоваться «общих» учетных записей (User ID) группой пользователей, таких как Admin, Operator, Author, Developer, Accountant, Buyer и т.п.
Шаг 3. Проверка состава пользовательских групп
На данном шаге устанавливается:
- В какие группы входит пользователь?
- Соответствуют ли данные группы его функциональным обязанностям?
- Где и кем определено назначение конкретных групп и какие пользователи должны входить в данные группы?
Шаг 4. Проверка назначенных пользователям профилей
Способ выгрузки данных SAP:
- AIS system -> User Administration -> IS Users and Authorizations -> User -> By User ID
- Транзакция: SA38, Отчет: RSUSR002
- Кнопка Profiles.
На данном шаге осуществляется сравнение матрицы полномочий со списком назначенных пользователю профилей:
- Все назначенные пользователю профили должны быть определены в матрице полномочий.
- Имена профилей должны соответствовать установленным правилам.
- Не должны использоваться стандартные профили SAP, особенно в бизнес-подразделениях (например, F_BUCH_ALL)
Шаг 5. Выявление пользователей, не имеющих авторизаций
В системе не должно быть пользователей без авторизаций. Пользователи без авторизаций выявляются путем сортировки списка пользователей и назначенных им профилей.
Шаг 6. Проверка стандартных профилей SAP
Рекомендуется:
- Замена на профили с урезанными правами
- Ограничение использования до 2-3 администраторов
- Не должны назначаться бизнес-пользователям
- Не должны назначаться группам пользователей
- Не должны назначаться разработчикам и внешним консультантам
Анализ авторизаций внутри профилей SAP
Для анализа авторизаций в рамках конкретных профилей используется случайная выборка из наиболее критичных профилей. В качестве критериев выбора используются следующие признаки:
- Выделяющиеся профили и роли (не описанные в матрице полномочий, имеющие отклонения от принятых правил именования, описание профиля свидетельствует о его общем (типовом) предназначении, либо использовании профиля для разработки)
- Профили с некритичными авторизациями (например, Display)
- Случайная выборка профилей из оставшихся, не вошедших в первые два пункта
В ходе анализа профиле определяется:
- Соответствуют ли авторизации профиля его назначению?
- Не предоставляет ли профиль расширенных полномочий, которые могут быть использованы для злоупотреблений?
Анализ сгенерированных профилей
Способ выгрузки списка сгенерированных профилей SAP:
- AIS system -> System Audit -> User Administration -> IS Users and Authorizations -> Profiles -> by activity group
- Транзакция: SA38, Отчет: RSUSR020
- Edit -> All selections
- Selection criteria: active versions, generated profiles
Анализ выбранных профилей:
- AIS system -> System Audit -> User Administration -> Profile Generator -> Activity group maintenance
- Транзакция: PFCG
- Выбирается группа для анализа кнопкой Display
Выполняемые проверки:
- Осмысленное описание профиля
- Цель и назначение профиля должны быть определены
- Диапазоны полномочий пользователей
- Транзакции, назначенные профилю (должны быть назначены только те транзакции, которые описаны в концепции)
- Назначенные профилю авторизации (не должно быть лишних авторизаций, особое внимание уделяется критичным авторизациям)
- Пользователи, назначенные в данную группу (не должно быть лишних людей)
Анализ запрограммированных профилей
Данный вид анализа также используется для сгенерированных профилей.
Способ выгрузки данных SAP:
- system -> System Audit -> User Administration -> IS Users and Authorizations -> Profiles -> by profile name or text
- Транзакция: SA38, Отчет: RSUSR020
- Кнопка where used list. Вывод списка пользователей, которым назначен профиль.
Выполняемые проверки:
- Достаточность описания назначения профиля и авторизаций
- Проверка авторизаций транзакций для объекта S_TCODE (какие транзакции можно выполнять?). Лишних транзакций быть не должно.
- Проверка авторизаций для объектов, имеющих организационные ограничения (если профиль предназначен для работы во определенном коде компании, то в объекты должны быть включены только авторизации, имеющие данный код компании)
- Проверка соответствия значений активности (поле ACTVT) назначению профиля. Если профиль предназначен только для просмотра, то в каждом объекте профиля поле ACTVT должно содержать значение 03 (Display)
- Все авторизации и объекты должны соответствовать назначению профиля. (Например, для бухгалтерии авторизации должны относится к классу объектов F_XXX).
- Пользователи, которым назначен данный профиль (не должно быть лишних людей).
Анализ авторизаций на установленные лимиты
Необходимо проанализировать орг. структуру организации, определяемую в SAP ERP, на предмет того, какие лимиты денежных средств и прочие ограничения установлены для подразделений и должностных лиц. Затем сопоставить данные лимиты с соответствующими нормативными документами организации.