public Информационная безопасность облачных решений sap ·...
TRANSCRIPT
Алексей Шабанов, Никита Гергель, Стуков Михаил
Информационная безопасность
облачных решений SAP
Public
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 2Public
Вопросы
• Безопасность в облачных решениях SAP
• Центр обработки данных SAP в России
• Сертификация продуктов SAP
• Управление инцидентами ИБ
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 3Public
Преимущества Cloud
Снижение совокупной стоимости владения
Автоматические обновления
Быстрый результат
Надежность
Безопасность
Масштабируемость
Интеграция
Простота в использовании
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 4Public
Ключевые ценности SAP Cloud
Чтобы завоевать доверие наших клиентов, мы…
Защищаем Ваши данные также хорошо, как это делаете Вы, и даже лучше;
Оберегаем персональные данные Ваших сотрудников также хорошо, как
это делаете Вы, и даже лучше;
Гарантируем надежность, которую ожидаете Вы, и даже выше;
Обеспечиваем открытость и прозрачность наших процессов, политик,
методик и сервисов на уровне Вашего ИТ-подразделения и даже выше;
Предлагаем гибкий подход к обеспечению Ваших будущих
потребностей;
Не создаем преград для управления изменениями.
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 5Public
Центры обработки данных SAP
Sydney, AU
Amsterdam, NL
Chandler, AZ
US Operations EU Operations
Ashburn, VA
APJ Operations
St. Leon-Rot, DE
Data center location
Shanghai, CNMoscow, RU
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 6Public
Стандарты SAP
Система информационной безопасности:
Политика ИБ базируется на стандартах ISO2700x
Сертификация решений SAP
ISO/IEC 27001 менеджмент защиты информации
ISO/IEC 27002 правила менеджмента ИБ
ISO/IEC 27003 менеджмент ИБ
ISO/IEC 22301 менеджмент непрерывности бизнеса
BS 10012 менеджмент персональных данных
Требования SAP к ЦОДам
Tier Level III, III+ or IV уровень отказоустойчивости
ISO 9001:2008 система управления качеством
ISO/IEC 27001:2013 система менеджмента ИБ
PCI-DSS v3.0 безопасность платежных систем
Аудит ИБ согласно SSAE16-SOC2* Type 2 – раз в полгода*Statements on Standards for Attestation Engagements No. 16 - Service Organization Control Audit
Безопасность в облачных
решениях SAP
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 8Public
Private Cloud: Архитектура HANA Enterprise Cloud
Изолирование ресурсов
Каждый заказчик получает собственную изолированную
инфраструктуру
Выделанная сеть заказчика полностью интегрируется с
корпоративной сетью клиента посредствам WAN и VPN
Corporate
Ad
min
Fir
ew
all
Administrative Jump
Hosts
Shared Administrative
Infrastructure
Management Networks
Customer #3
Customer #2
HANA ENTERPRISE
CLOUD
MPLS
MPLS
VPN
Public
Internet Access
#1
#2
#3
Customer #1
Интеграция облака HEC и SAP
Сеть DC и корпоративная сеть SAP
полностью изолированы
Двухфакторная аутентификация
Администрирование HEC
Администрирование
инфраструктуры
осуществляется с
использованием общих
управляющих ресурсов и сетей
управления
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 9Public
Public Cloud: Архитектура решения
Клиент A
Схема
Конфигурация
Клиент B
Схема
Конфигурация
Клиент C
Схема
Конфигурация
Клиент D
Схема
Конфигурация
Уровень данных
Бизнес-пользователи
Уровень приложений
Набор приложений
Уровень представления данных на основе
HTMLWeb Services Интерфейс
Приложения
клиента
“A” конфиг. XML “B” конфиг. XML “C” конфиг. XML “D” конфиг. XML
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 10Public
Резервное копирование
Каждый день: инкрементальный
Каждая неделя: полный
Срок хранения: от 30 дней
Основной сайт Резервный сайт
Ежеквартальное
тестирование
Каждый час: журнал транзакции
Резервное копирование: в пределах 24 часов
Среднее время восстановления: в пределах 72 часов
Процесс резервного копирования подтвержден аудитом SSAE-16 SOC-2
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 11Public
Защита данных на всех этапах в облачных решениях SAP
Этапы Средства защиты Технологии
Аутентификация
Передача данных
Использование Приложений
Хранение данных
Резервные копии
Интеграция
SAML 2.0**
SAML 1.1, 3DES, SHA1, MD5 or HMAC*
Сертификат VeriSIgn,
Только 443 порт, Firewall, ЭЦП
Архитектура приложения,
Java Runtime Environment, Антивирус
Встроенные средства шифрования
NetApp Datafort appliance
Пользовательские ключи PGP,
Сертификат VeriSign
Single sign on
HTTPS: SSL-128bit / 256bit
VPN: IPSec AES-256bit
Многопользовательская архитектура
AES-256bit
AES-256bit
sFTP / FTPs & PGP*,
Opportunistic TLS**,
HTTPS SSL-128bit / 256bit
* BizX core option, only
** Optional for BizX collaboration
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 12Public
Мониторинг
Data Center
External Intrusion Detection
Perimeter Firewall
Internal Intrusion Detection
Access Contol
& Logging(JumpHost)
A
d
m
i
n
V
P
N
Двухфакторная
аутентификация RSA
Еженедельные
тесты на
проникновение
КлиентыТесты на проникновение
Регулярное
сканирование
инфраструктуры
Операторы SAP
Центр обработки данных
SAP в России
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 14Public
Сертификация всех функций безопасности, встроенных в ПО, а также наложенных
средств защиты информации по требованиям ФСТЭК России
Аттестация каждого решения ЦОД по 2-му уровню
защищенности ПДн
Аттестация HEC по классу 1Г для ИС, обрабатывающих
конфиденциальную информацию, включая коммерческую
тайну
Регистрация САП СНГ в Роскомнадзоре в качестве
оператора ПДн
Сертификация решений ЦОД по ISO 27001
Соответствие облачных решений SAP
требованиям Российского законодательства
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 15Public
Аттестаты соответствия информационных систем
ЦОДа САП СНГ требованиям безопасности информации
Все облачные решения SAP на обеих площадках российского ЦОДа (Ariba, SuccessFactors и HEC) получили
Аттестаты соответствия по 2-му уровню защищенности ПДн.
Кроме того HEC аттестован по классу 1Г для ИС, обрабатывающих конфиденциальную информацию.
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 16Public
Лицензии САП СНГ (1):
Бессрочная лицензия ФСБ России №0010533,
рег. №13685Н от 26.06.2014г.
на 12 видов деятельности, включая распространение
(продажу), инсталляцию, техническое обслуживание
шифровальных (криптографических) средств,
предоставление услуг в области шифрования информации.
Позволяет:
соответствовать требованиям законодательства в вопросах
получения по электронным каналам и продажи продуктов SAP,
имеющий функции шифрования;
предоставлять услуги, включая облачные, на территории РФ по
использованию продуктов SAP, имеющий функции шифрования;
соответствовать тендерным требованиям заказчиков при создании
защищенных информационных систем.
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 17Public
Лицензии САП СНГ (2):
Бессрочные лицензии ФСТЭК России №005836, рег. № 2429 и
№005837, рег. № 1312 от 7.09.2014г.
на деятельность по разработке и производству средств защиты
конфиденциальной информации
на деятельность по технической защите конфиденциальной
информации
Позволяют:
предоставлять услуги, включая облачные, на территории РФ по
использованию продуктов SAP по технической защите
конфиденциальной информации, включая персональные данные;
соответствовать тендерным требованиям заказчиков при создании
защищенных информационных систем.
Сертификация продуктов SAP
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 19Public
Действующие сертификаты на ПО SAP
Федеральная Служба по Техническому и Экспортному Контролю РФ (ФСТЭК России)
SAP NetWeaver 7.02 – сертификат №2395 (ABAP) от 04.08.2011, №2873 (Java) от 30.04.2013
Позволяет использовать SAP NW для построения систем, обрабатывающих конфиденциальную
информацию
Позволяет использовать SAP NW для построения типовых информационных систем персональных данных
(ИСПДн) самого высокого уровня – К1
Министерство Обороны Российской Федерации (МО РФ)*
SAP NetWeaver 2004 – сертификат №779 от 16.05.2008
Позволяет использовать SAP NW для построения систем, обрабатывающих информацию, составляющую
государственную тайну не выше уровня «секретно»
SAP NetWeaver 7.02 и SAP ERP 6.05 – заключения 8 Управления ГШ МО РФ от 31.12.2011
Позволяет использовать SAP NW и SAP ERP для построения систем, обрабатывающих информацию,
составляющую государственную тайну не выше уровня «секретно»**
* Сертификаты и Заключения ГШ МО РФ являются документами с грифом ДСП. Копии могут быть предоставлены конечному заказчику
при наличии у него соответствующих допусков.
** Возможно повышение уровня секретности обрабатываемой информации при соблюдении дополнительных условий указанных в
Заключении
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 20Public
Действующие сертификаты на ПО ЦОД SAP
Федеральная Служба по Техническому и Экспортному Контролю РФ (ФСТЭК России)
Облачные решения SAP прошедшие сертификацию:
• HANA Enterprise Cloud
• Success Factors
• Ariba
Полученные сертификаты ФСТЭК России позволили успешно провести аттестацию
облачных информационных систем ЦОД SAP по 2-му уровню защищенности для ИС ПДн.
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 21Public
Запланированные сертификационные испытания
Федеральная Служба по Техническому и Экспортному Контролю РФ (ФСТЭК России)
SAP Afaria 7 – проводится экспертиза сертификационных испытаний:
Позволяет использовать SAP Afaria в составе информационных систем, обрабатывающих
конфиденциальную информацию
SAP HANA 1.0 – завершена экспертиза сертификационных испытаний:
Позволяет использовать SAP HANA в составе информационных систем, обрабатывающих
конфиденциальную информацию
SAP NetWeaver 7.5 – начата подготовка к проведению сертификационных испытаний:
Позволяет использовать SAP Netweaver и решения на его базе для построения информационных систем,
обрабатывающих конфиденциальную информацию
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 22Public
Информационные ресурсы
Информация о сертификации решений SAP на портале поддержки
http://service.sap.com/cis-certificates
Управление инцидентами ИБ
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 24Public
Управление инцидентами ИБКонцепция
Заказчики
облачных услуг
ЦОД SAP
Портал SAP
для заказчиков
облачных услуг
Сообщение об инциденте ИБ
Получение услуг из «облака» SAP
Контроль и отчетность от SAP
Облако
SAP HEC
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 25Public
Управление инцидентами ИБОсновные принципы
Технологические процессы ИС в ЦОД SAP Портал облачных услуг для Заказчиков
• За управление инцидентами ИБ облачных услуг SAP
отвечает Департамент ИБ ООО «САП СНГ»
• Инциденты ИБ могут быть зарегистрированы в SAP
круглосуточно 7 дней в неделю 365 дней в году
• К обработке инцидентов ИБ могут привлекаться
специалисты различных подразделений SAP
• ООО «САП СНГ» предоставляет отчет (по запросу) об
инцидентах ИБ заказчика
Управление инцидентами ИБ
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 26Public
Управление инцидентами ИБ Основные определения
В основе лежат положения международных стандартов ИБ ISO 27001, 27035, 27040
1. В журнале сообщений фиксируется событие с мобильного устройства
пользователя облачных услуг
2. Событие указывает на отклонение некоторого параметра ИБ от нормы
3. Отклонение параметра ИБ от нормы нарушает политику безопасности
4. ИС или её компонент была скомпрометирована
5. Обнаружена успешная попытка НСД к защищаемым данным
Событие Тревога! Событие ИБ?
Инцидент ИБ?
Нарушение ИБ?Облако SAP
1 2 3 4 5
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 27Public
Сообщить
Управление инцидентами ИБЭтапы обработки инцидента ИБ
Заказчик сообщает об инциденте ИБ через «Портал облачных услуг SAP»
Департамент ИБ даёт оценку инциденту ИБ:
“Инцидент ИБ без НСД к защищаемым данным”
“НСД к защищаемым данным!”
Заказчик получает решение в форме:
Инструкций, необходимых для устранения инцидента и его последствий
Изменений в ИС, необходимых для устранений предпосылок возникновения подобных инцидентов ИБ в
будущем
Заказчик получает отчёт об инциденте ИБ:
Отчёт о нарушении ИБ и причинах возникновения инцидента ИБ
Отчёт о предпринятых действиях по устранению инцидента ИБ
Оценить влияние
Устранить
Отчитаться
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 28Public
Управление инцидентами ИБТехнологический процесс
Сообщение об инциденте ИБ
Портал облачных услуг SAP
Специалисты ООО «САП СНГ»
Заказчик
Первичная работа с инцидентом Техническая служба ЦОД ООО «САП СНГ»
1
Инцидент ИБ
в форме
эл. документа
2
Вызов
3
Администратор ИБ
Сбор информации об инциденте ИБ
4
Инцидент ИБ
сопровождается НСД
к защищаемым данным,
требуется содействие
группы компаний SAP SE
4
Устранение
последствий
нарушения ИБ5
Запрос поддержки со стороны
группы компаний SAP SE
5
Представители Заказчика
Консультации
5Пересмотренный инцидент ИБ,
отчет о нарушении ИБ7
SAP SE
Инцидент ИБ,
отчет о нарушении ИБ
6
Необязательный шаг
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 29Public
Управление инцидентами ИБ Модель поддержки 24/7
Концептуальная модель процессов управления инцидентами ИБ:
Основные процессы – Мониторинг и управление событиями ИБ
Сотрудничество с оперативными службам SAP
Распределение задач по уровням
В режиме 24/7
1 уровень 2 уровень 3 уровень
Мониторинг событий ИБ
1 уровень 2 уровень 3 уровень 4 уровень
Управление инцидентами ИБ
Технические службы
ЦОД ООО «САП СНГ»
Отследить и зарегистрировать тревожные события
Исключать ложные тревожные события
Проанализировать журналы сообщений ОС и ПО
Создавать и обрабатывать инциденты ИБ
Классифицировать и назначать инциденты ИБ
Соотносить и категорировать данные об инциденте
ИБ
Давать оценку и расследовать инцидент ИБ
Разрешать и устранять последствия инцидента ИБ
Сформировать отчеты
Выполнять корректирующие действия
Создавать типовые сценарии
Подозрительная активность в ИС
Нужна консультация по ИБ
Обнаружен инцидент ИБ
SAP «на связи», когда:
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 30Public
Управление инцидентами ИБ4 уровня обработки инцидентов ИБ
Уровень 1
Контролировать поступающие
инциденты ИБ
Исключить ложные
тревожные события
Уровень 4
Проводить экспертизу
инцидентов ИБ
Исследовать новые угрозы
Взаимодействовать со
внешними экспертами
Уровень 3
Координировать обработку
инцидентов ИБ
Уточнять оценку инцидента ИБ
Взаимодействовать с
подразделениями SAP
Проводить расследования
инцидентов ИБ
Планировать и выполнять
действия оп устранению
последствий инцидентов ИБ
Документировать инциденты ИБ
Уровень 2
Контролировать поступающие
инциденты ИБ
Давать оценку инцидента ИБ
Выполнять корректирующие
действия
Спасибо
Никита ГергельЭксперт по информационной
безопасности
T +7 495 755 9800
M +7 903 790 6087
www.sap.com/cis
САП СНГ
Космодамианская наб., 52/7
115054 Москва
Алексей ШабановЭксперт по информационной
безопасности
T +7 495 755 9800
M +7 966 311 2329
www.sap.com/cis
САП СНГ
Космодамианская наб., 52/7
115054 Москва
Михаил СтуковСтарший специалист по
информационной безопасности
T +7 495 755 9800
M +7 967 298 6754
www.sap.com/cis
САП СНГ
Космодамианская наб., 52/7
115054 Москва
Backups
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 33Public
Infrastructure Security Requirements – Datacenter
Cloud hosted customer environments need to be
operated in an
SAP Tier Level III, III+ or IV
classified Datacenter
to meet the physical security and operational compliance
requirements of the customer industries.
For co-location data center (non-SAP DC), access to
SAP Cloud infrastructure needs to be physically
separated from other DC customers, e.g. using cages