public Информационная безопасность облачных решений sap ·...

Алексей Шабанов, Никита Гергель, Стуков Михаил

Информационная безопасность

облачных решений SAP

Public

© 2016 SAP SE or an SAP affiliate company. All rights reserved. 2Public

Вопросы

• Безопасность в облачных решениях SAP

• Центр обработки данных SAP в России

• Сертификация продуктов SAP

• Управление инцидентами ИБ


Преимущества Cloud

Снижение совокупной стоимости владения

Автоматические обновления

Быстрый результат

Надежность

Безопасность

Масштабируемость

Интеграция

Простота в использовании


Ключевые ценности SAP Cloud

Чтобы завоевать доверие наших клиентов, мы…

Защищаем Ваши данные также хорошо, как это делаете Вы, и даже лучше;

Оберегаем персональные данные Ваших сотрудников также хорошо, как

это делаете Вы, и даже лучше;

Гарантируем надежность, которую ожидаете Вы, и даже выше;

Обеспечиваем открытость и прозрачность наших процессов, политик,

методик и сервисов на уровне Вашего ИТ-подразделения и даже выше;

Предлагаем гибкий подход к обеспечению Ваших будущих

потребностей;

Не создаем преград для управления изменениями.


Центры обработки данных SAP

Sydney, AU

Amsterdam, NL

Chandler, AZ

US Operations EU Operations

Ashburn, VA

APJ Operations

St. Leon-Rot, DE

Data center location

Shanghai, CNMoscow, RU


Стандарты SAP

Система информационной безопасности:

Политика ИБ базируется на стандартах ISO2700x

Сертификация решений SAP

ISO/IEC 27001 менеджмент защиты информации

ISO/IEC 27002 правила менеджмента ИБ

ISO/IEC 27003 менеджмент ИБ

ISO/IEC 22301 менеджмент непрерывности бизнеса

BS 10012 менеджмент персональных данных

Требования SAP к ЦОДам

Tier Level III, III+ or IV уровень отказоустойчивости

ISO 9001:2008 система управления качеством

ISO/IEC 27001:2013 система менеджмента ИБ

PCI-DSS v3.0 безопасность платежных систем

Аудит ИБ согласно SSAE16-SOC2* Type 2 – раз в полгода*Statements on Standards for Attestation Engagements No. 16 - Service Organization Control Audit

Безопасность в облачных

решениях SAP


Private Cloud: Архитектура HANA Enterprise Cloud

Изолирование ресурсов

Каждый заказчик получает собственную изолированную

инфраструктуру

Выделанная сеть заказчика полностью интегрируется с

корпоративной сетью клиента посредствам WAN и VPN

Corporate

Ad

min

Fir

ew

all

Administrative Jump

Hosts

Shared Administrative

Infrastructure

Management Networks

Customer #3

Customer #2

HANA ENTERPRISE

CLOUD

MPLS

MPLS

VPN

Public

Internet Access

#1

#2

#3

Customer #1

Интеграция облака HEC и SAP

Сеть DC и корпоративная сеть SAP

полностью изолированы

Двухфакторная аутентификация

Администрирование HEC

Администрирование

инфраструктуры

осуществляется с

использованием общих

управляющих ресурсов и сетей

управления


Public Cloud: Архитектура решения

Клиент A

Схема

Конфигурация

Клиент B

Схема


Клиент C

Схема


Клиент D

Схема


Уровень данных

Бизнес-пользователи

Уровень приложений

Набор приложений

Уровень представления данных на основе

HTMLWeb Services Интерфейс

Приложения

клиента

“A” конфиг. XML “B” конфиг. XML “C” конфиг. XML “D” конфиг. XML


Резервное копирование

Каждый день: инкрементальный

Каждая неделя: полный

Срок хранения: от 30 дней

Основной сайт Резервный сайт

Ежеквартальное

тестирование

Каждый час: журнал транзакции

Резервное копирование: в пределах 24 часов

Среднее время восстановления: в пределах 72 часов

Процесс резервного копирования подтвержден аудитом SSAE-16 SOC-2


Защита данных на всех этапах в облачных решениях SAP

Этапы Средства защиты Технологии

Аутентификация

Передача данных

Использование Приложений

Хранение данных

Резервные копии

Интеграция

SAML 2.0**

SAML 1.1, 3DES, SHA1, MD5 or HMAC*

Сертификат VeriSIgn,

Только 443 порт, Firewall, ЭЦП

Архитектура приложения,

Java Runtime Environment, Антивирус

Встроенные средства шифрования

NetApp Datafort appliance

Пользовательские ключи PGP,

Сертификат VeriSign

Single sign on

HTTPS: SSL-128bit / 256bit

VPN: IPSec AES-256bit

Многопользовательская архитектура

AES-256bit

AES-256bit

sFTP / FTPs & PGP*,

Opportunistic TLS**,

HTTPS SSL-128bit / 256bit

* BizX core option, only

** Optional for BizX collaboration


Мониторинг

Data Center

External Intrusion Detection

Perimeter Firewall

Internal Intrusion Detection

Access Contol

& Logging(JumpHost)

A

d

m

i

n

V

P

N

Двухфакторная

аутентификация RSA

Еженедельные

тесты на

проникновение

КлиентыТесты на проникновение

Регулярное

сканирование

инфраструктуры

Операторы SAP

Центр обработки данных

SAP в России


Сертификация всех функций безопасности, встроенных в ПО, а также наложенных

средств защиты информации по требованиям ФСТЭК России

Аттестация каждого решения ЦОД по 2-му уровню

защищенности ПДн

Аттестация HEC по классу 1Г для ИС, обрабатывающих

конфиденциальную информацию, включая коммерческую

тайну

Регистрация САП СНГ в Роскомнадзоре в качестве

оператора ПДн

Сертификация решений ЦОД по ISO 27001

Соответствие облачных решений SAP

требованиям Российского законодательства


Аттестаты соответствия информационных систем

ЦОДа САП СНГ требованиям безопасности информации

Все облачные решения SAP на обеих площадках российского ЦОДа (Ariba, SuccessFactors и HEC) получили

Аттестаты соответствия по 2-му уровню защищенности ПДн.

Кроме того HEC аттестован по классу 1Г для ИС, обрабатывающих конфиденциальную информацию.


Лицензии САП СНГ (1):

Бессрочная лицензия ФСБ России №0010533,

рег. №13685Н от 26.06.2014г.

на 12 видов деятельности, включая распространение

(продажу), инсталляцию, техническое обслуживание

шифровальных (криптографических) средств,

предоставление услуг в области шифрования информации.

Позволяет:

соответствовать требованиям законодательства в вопросах

получения по электронным каналам и продажи продуктов SAP,

имеющий функции шифрования;

предоставлять услуги, включая облачные, на территории РФ по

использованию продуктов SAP, имеющий функции шифрования;

соответствовать тендерным требованиям заказчиков при создании

защищенных информационных систем.


Лицензии САП СНГ (2):

Бессрочные лицензии ФСТЭК России №005836, рег. № 2429 и

№005837, рег. № 1312 от 7.09.2014г.

на деятельность по разработке и производству средств защиты

конфиденциальной информации

на деятельность по технической защите конфиденциальной

информации

Позволяют:

предоставлять услуги, включая облачные, на территории РФ по

использованию продуктов SAP по технической защите

конфиденциальной информации, включая персональные данные;

соответствовать тендерным требованиям заказчиков при создании

защищенных информационных систем.

Сертификация продуктов SAP


Действующие сертификаты на ПО SAP

Федеральная Служба по Техническому и Экспортному Контролю РФ (ФСТЭК России)

SAP NetWeaver 7.02 – сертификат №2395 (ABAP) от 04.08.2011, №2873 (Java) от 30.04.2013

Позволяет использовать SAP NW для построения систем, обрабатывающих конфиденциальную

информацию

Позволяет использовать SAP NW для построения типовых информационных систем персональных данных

(ИСПДн) самого высокого уровня – К1

Министерство Обороны Российской Федерации (МО РФ)*

SAP NetWeaver 2004 – сертификат №779 от 16.05.2008

Позволяет использовать SAP NW для построения систем, обрабатывающих информацию, составляющую

государственную тайну не выше уровня «секретно»

SAP NetWeaver 7.02 и SAP ERP 6.05 – заключения 8 Управления ГШ МО РФ от 31.12.2011

Позволяет использовать SAP NW и SAP ERP для построения систем, обрабатывающих информацию,

составляющую государственную тайну не выше уровня «секретно»**

* Сертификаты и Заключения ГШ МО РФ являются документами с грифом ДСП. Копии могут быть предоставлены конечному заказчику

при наличии у него соответствующих допусков.

** Возможно повышение уровня секретности обрабатываемой информации при соблюдении дополнительных условий указанных в

Заключении


Действующие сертификаты на ПО ЦОД SAP


Облачные решения SAP прошедшие сертификацию:

• HANA Enterprise Cloud

• Success Factors

• Ariba

Полученные сертификаты ФСТЭК России позволили успешно провести аттестацию

облачных информационных систем ЦОД SAP по 2-му уровню защищенности для ИС ПДн.


Запланированные сертификационные испытания


SAP Afaria 7 – проводится экспертиза сертификационных испытаний:

Позволяет использовать SAP Afaria в составе информационных систем, обрабатывающих

конфиденциальную информацию

SAP HANA 1.0 – завершена экспертиза сертификационных испытаний:

Позволяет использовать SAP HANA в составе информационных систем, обрабатывающих

конфиденциальную информацию

SAP NetWeaver 7.5 – начата подготовка к проведению сертификационных испытаний:

Позволяет использовать SAP Netweaver и решения на его базе для построения информационных систем,

обрабатывающих конфиденциальную информацию


Информационные ресурсы

Информация о сертификации решений SAP на портале поддержки

http://service.sap.com/cis-certificates

http://service.sap.com/cis-certificates

Управление инцидентами ИБ


Управление инцидентами ИБКонцепция

Заказчики

облачных услуг

ЦОД SAP

Портал SAP

для заказчиков

облачных услуг

Сообщение об инциденте ИБ

Получение услуг из «облака» SAP

Контроль и отчетность от SAP

Облако

SAP HEC


Управление инцидентами ИБОсновные принципы

Технологические процессы ИС в ЦОД SAP Портал облачных услуг для Заказчиков

• За управление инцидентами ИБ облачных услуг SAP

отвечает Департамент ИБ ООО «САП СНГ»

• Инциденты ИБ могут быть зарегистрированы в SAP

круглосуточно 7 дней в неделю 365 дней в году

• К обработке инцидентов ИБ могут привлекаться

специалисты различных подразделений SAP

• ООО «САП СНГ» предоставляет отчет (по запросу) об

инцидентах ИБ заказчика



Управление инцидентами ИБ Основные определения

В основе лежат положения международных стандартов ИБ ISO 27001, 27035, 27040

1. В журнале сообщений фиксируется событие с мобильного устройства

пользователя облачных услуг

2. Событие указывает на отклонение некоторого параметра ИБ от нормы

3. Отклонение параметра ИБ от нормы нарушает политику безопасности

4. ИС или её компонент была скомпрометирована

5. Обнаружена успешная попытка НСД к защищаемым данным

Событие Тревога! Событие ИБ?

Инцидент ИБ?

Нарушение ИБ?Облако SAP

1 2 3 4 5


Сообщить

Управление инцидентами ИБЭтапы обработки инцидента ИБ

Заказчик сообщает об инциденте ИБ через «Портал облачных услуг SAP»

Департамент ИБ даёт оценку инциденту ИБ:

“Инцидент ИБ без НСД к защищаемым данным”

“НСД к защищаемым данным!”

Заказчик получает решение в форме:

Инструкций, необходимых для устранения инцидента и его последствий

Изменений в ИС, необходимых для устранений предпосылок возникновения подобных инцидентов ИБ в

будущем

Заказчик получает отчёт об инциденте ИБ:

Отчёт о нарушении ИБ и причинах возникновения инцидента ИБ

Отчёт о предпринятых действиях по устранению инцидента ИБ

Оценить влияние

Устранить

Отчитаться


Управление инцидентами ИБТехнологический процесс

Сообщение об инциденте ИБ

Портал облачных услуг SAP

Специалисты ООО «САП СНГ»

Заказчик

Первичная работа с инцидентом Техническая служба ЦОД ООО «САП СНГ»

1

Инцидент ИБ

в форме

эл. документа

2

Вызов

3

Администратор ИБ

Сбор информации об инциденте ИБ

4

Инцидент ИБ

сопровождается НСД

к защищаемым данным,

требуется содействие

группы компаний SAP SE

4

Устранение

последствий

нарушения ИБ5

Запрос поддержки со стороны

группы компаний SAP SE

5

Представители Заказчика

Консультации

5Пересмотренный инцидент ИБ,

отчет о нарушении ИБ7

SAP SE

Инцидент ИБ,

отчет о нарушении ИБ

6

Необязательный шаг


Управление инцидентами ИБ Модель поддержки 24/7

Концептуальная модель процессов управления инцидентами ИБ:

Основные процессы – Мониторинг и управление событиями ИБ

Сотрудничество с оперативными службам SAP

Распределение задач по уровням

В режиме 24/7

1 уровень 2 уровень 3 уровень

Мониторинг событий ИБ

1 уровень 2 уровень 3 уровень 4 уровень


Технические службы

ЦОД ООО «САП СНГ»

Отследить и зарегистрировать тревожные события

Исключать ложные тревожные события

Проанализировать журналы сообщений ОС и ПО

Создавать и обрабатывать инциденты ИБ

Классифицировать и назначать инциденты ИБ

Соотносить и категорировать данные об инциденте

ИБ

Давать оценку и расследовать инцидент ИБ

Разрешать и устранять последствия инцидента ИБ

Сформировать отчеты

Выполнять корректирующие действия

Создавать типовые сценарии

Подозрительная активность в ИС

Нужна консультация по ИБ

Обнаружен инцидент ИБ

SAP «на связи», когда:


Управление инцидентами ИБ4 уровня обработки инцидентов ИБ

Уровень 1

Контролировать поступающие

инциденты ИБ

Исключить ложные

тревожные события

Уровень 4

Проводить экспертизу

инцидентов ИБ

Исследовать новые угрозы

Взаимодействовать со

внешними экспертами

Уровень 3

Координировать обработку


Уточнять оценку инцидента ИБ

Взаимодействовать с

подразделениями SAP

Проводить расследования


Планировать и выполнять

действия оп устранению

последствий инцидентов ИБ

Документировать инциденты ИБ

Уровень 2

Контролировать поступающие

инциденты ИБ

Давать оценку инцидента ИБ

Выполнять корректирующие

действия

Спасибо

Никита ГергельЭксперт по информационной

безопасности

T +7 495 755 9800

M +7 903 790 6087

E [email protected]

www.sap.com/cis

САП СНГ

Космодамианская наб., 52/7

115054 Москва

Алексей ШабановЭксперт по информационной

безопасности

T +7 495 755 9800

M +7 966 311 2329

E [email protected]

www.sap.com/cis

САП СНГ


115054 Москва

Михаил СтуковСтарший специалист по

информационной безопасности

T +7 495 755 9800

M +7 967 298 6754

E [email protected]

www.sap.com/cis

САП СНГ


115054 Москва

Backups


Infrastructure Security Requirements – Datacenter

Cloud hosted customer environments need to be

operated in an

SAP Tier Level III, III+ or IV

classified Datacenter

to meet the physical security and operational compliance

requirements of the customer industries.

For co-location data center (non-SAP DC), access to

SAP Cloud infrastructure needs to be physically

separated from other DC customers, e.g. using cages

public Информационная безопасность облачных решений sap ·...

Documents