Расширенная методика аудита полномочий пользователей в SAP ERP

Расширенная методика аудита полномочий SAP ERP в дополнение к базовой методике включает в себя анализ наиболее критичных транзакций, а также использование ряда дополнительных аналитических возможностей, предоставляемых SAP для этих целей, в том числе анализ групп толерантности.

Базовая методика аудита полномочий SAP ERP была описана в предыдущей статье:

http://iso27000.ru/blogi/aleksandr-astahov/bazovaya-metodika-audita-polnomochii-polzovatelei-v-sisteme-sap-erp

Анализ наиболее критичных транзакций

Примерами критичных транзакций являются:

• Изменение записей контрагентов
• Проверка и согласование документов
• Изменение банковских реквизитов
• Проверка счетов, заявок на оплату
• Администрирование пользователей и изменение авторизаций
• Изменение контрольных параметров

Эти транзакции не должны быть назначены лишним пользователям и профилям. Если выявляются профили с непонятными авторизациями (транзакциями), то эти профили нуждаются в дополнительном анализе на предмет того, является ли это частной ошибкой, либо закономерностью (слабостью системы авторизации).

Процедура анализа критичных транзакций включает в себя следующие шаги:

• Идентификация транзакций «создать, изменить»
• Идентификация назначенных объектов
• Идентификация функционального назначения объекта авторизации
• Идентификация частично или полностью деактивированных объектов
• Идентификация и оценка отдельных авторизаций и пользователей

Шаг 1. Идентификация критичных транзакций

Исходные данные:

• Список критичных транзакций
• Случайная выборка профилей из списка согласно установленным критериям

Способ выгрузки данных SAP:

1. SAP menu
2. Таблица TSTC

Критичные транзакции выбираются из разных модулей SAP:

• FK02 – изменение записи поставщика
• FB01 – отправка документа
• F110 – параметр для автоматической оплаты
• MR21 – изменение цены
• VF11 – отмена платежного документа (счета)
• SE38 – ABAP редактор (разработка)
• SCC4 – администрирование клиента

Шаг 2. Идентификация назначенных объектов авторизации в критичных транзакциях

Идентификация назначенных объектов авторизации в критичных транзакциях выполняется при помощи анализа кодов авторизации в программах SAP.

Исходные данные:

1. Список критичных транзакций

Способ выгрузки данных SAP:

1. AIS system -> System Audit -> Development/Customizing -> ABAP Programs  -> Statistical program analysis
2. Транзакция: SA38, Отчет: RSABAPSC

Определение объектов авторизации в транзакции, например:

• Transaction code FK02
• ABAP language command ATHORITY-CHECK
• Recurrence level 5

Также можно идентифицировать объекты авторизации в таблице USOBT_C, вызвав ее в транзакции SE16 и задав имя транзакции (например, FK02) в качестве параметра.

Шаг 3. Идентификация функционального назначения объекта авторизации

Исходные данные:

1. Таблица со списком объектов авторизации из предыдущего шага

Способ выгрузки данных SAP:

1. AIS system -> System Audit -> User Administration -> IS Users and Authorization Objects  -> By object name, text
2. Транзакция: SA38, Отчет: RSUSR040

Далее вводится имя объекта, из списка объектов выбирается нужных объект и нажимается кнопка Documentation.

Шаг 4. Идентификация частично или полностью деактивированных объектов

Администратор SAP мог деактивировать объект авторизации для всех или некоторых транзакций. Деактивированные объекты анализировать не надо.

Способ выгрузки данных SAP:

1. Транзакция: SE16, Таблица: USOBX_C
2. Нужно ввести имя транзакции и объекта
3. Если Check flag = N, то объект деактивирован.

Объекты могут быть деактивированы, только если установлено значение системного параметра:

Auth/object_disabling_active = Y

Транзакция: SA38, Отчет: RSPARAM

Проверяем, разрешена ли глобальная деактивация объектов.

Способ выгрузки данных SAP:

1. AIS system -> System Audit -> User Administration -> Profile Generator -> Authorization objects customer CheckID
2. Транзакция: SU24
3. Вводим код транзакции (например, FK02) и нажимаем кнопку Check indicator

Получаем список объектов авторизации, назначенных для данной транзакции. (Глобально деактивированные объекты в списке выделены красным цветом).

Кнопка Field values выводит значения полей таблицы USOBT_C. Значения полей должны отражать важные организационные характеристики объекта (например, группы клиентов, группы авторизации). Объекты, содержащие значения полей, относящиеся к несуществующим организационным характеристикам не следует включать в область аудита.

Шаг 5. Идентификация и оценка отдельных авторизаций и пользователей

Способ выгрузки данных SAP:

1. AIS system -> System Audit -> User Administration -> IS Users and Authorizations -> User -> By complex search criteria
2. Транзакция: SA38, Отчет: RSUSR002
3. Вводим код транзакции (например, FK02) для анализа
4. Таблица S_TCODE показывает разрешена ли данная транзакция
5. В части формы Selection by values надо ввести названия объектов авторизации (не более 3-х объектов за один раз) и нажать кнопку Entry values и ввести значения авторизаций.

Получаем список всех пользователей, которые могут вызвать данную транзакцию. Сравниваем данный список с функциональными ролями пользователей в матрице полномочий. Если в данном списке обнаруживаются лишние пользователи, то требуется проведение анализа присвоенных данным пользователям профилей и групп активности с целью выявления профилей с расширенными полномочиями.

Дополнительные средства анализа полномочий пользователей

В качестве дополнительных средств выявления пользователей с избыточными полномочиями используются следующие:

1. Вывод списка пользователей, которым разрешены определенные действия
2. Вывод списка пользователей с административными полномочиями
3. Определение критичных комбинаций авторизаций
4. Сравнение пользователей, профилей и авторизаций
5. Проверка авторизаций на установленные лимиты

Шаг 1. Отчет о пользователях, которым разрешены определенные действия

“which user is allowed to …”

Способ выгрузки данных SAP:

1. AIS system -> System Audit -> User Administration -> IS Users and Authorizations -> User -> With critical authorizations
2. Транзакция: SA38, Отчет: RSUSR050

Выявляем пользователей с критичными авторизациями к выбранным объектам. Например:

• Кто может выполнять команды ОС?
• Кто может изменять коды компаний?
• Кто может изменять периоды бух. Учета?
• И т.п.

Шаг 2. Определение пользователей с административными полномочиями

Способ выгрузки данных SAP:

1. AIS system -> System Audit -> User Administration -> IS Users and Authorizations -> User -> With critical authorizations
2. Транзакция: SA38, Отчет: RSUSR040

В представленном отчете критичные авторизации выделены красным цветом.

Шаг 3. Определение критичных комбинаций авторизаций

Способ выгрузки данных SAP:

1. AIS system -> System Audit -> User Administration -> IS Users and Authorizations -> User -> By critical combinations
2. Для проверки можно вводить любую комбинацию транзакций.

(Требуется дополнительная проверка объектов авторизации, относящихся к бизнес задаче).

Шаг 4. Сравнение пользователей, профилей и авторизаций

Способ выгрузки данных SAP:

1. AIS system -> System Audit -> User Administration -> IS Users and Authorizations -> Comparisons -> User
2. Транзакция: SA38, Отчет: RSUSR050

Сравниваем шаблонного пользователя с другими пользователями в его группе. Смотрим какие авторизации различаются.

Шаг 5. Проверка авторизаций на установленные лимиты

Способ выгрузки данных SAP:

1. Транзакция: SE16, Таблица: T043T

Выводим группы толерантности для различных бизнес процессов и смотрим какие лимиты установлены.