Подготовка к комплексному аудиту и техническому анализу системы SAP Access Control 10.0
SAPexperts/GRC
Статья содержит бесценные советы и рекомендации по решению проблем аудита, специфичных для системы SAP Access Control 10.0.
После изучения этой статьи вы научитесь:
называть области SAP Access Control, в которых могут быть выявлены проблемы при аудите системы SAP Access Control
описывать стратегии и примеры успешной практики для подготовки аудита системы SAP Access Control
выполнять ведение наборов правил и потока операций для разделения полномочий (SoD)
Ключевое понятие
Аудит системы выполняется для подтверждения правильности работы всех определенных средств контроля, что позволит исключить вероятность любых мошеннических или неправомерных действий в системе предприятия. Этот процесс включает проверку соответствия политике и процедурам посредством критического изучения объективных и эмпирических доказательств. Анализ системы SAP Access Control 10.0 обычно выполняется перед переходом к продуктивной эксплуатации и после него, а также периодически для обеспечения непрерывного соответствия. Как правило, в аудит SAP-системы входит проверка определенных в системе средств контроля согласно положениям политики безопасности, установленной в организации.
За время работы я принимал участие в проектах внедрения, аудита и анализа систем SAP Access Control. Как показывает мой опыт работы с такими задачами, не все функциональные эксперты и конечные пользователи уделяют должное внимание специфичным операциям, в результате чего система SAP Access Control и подключенные бэкэнд-системы подвергаются неоправданному риску. На основании этого в статье описаны некоторые важные области, на которые следует обратить внимание при планировании, внедрении и эксплуатации системы SAP Access Control 10.0.
SAP Access Control функционирует на базе стандартной системы SAP ABAP с дополнительной архитектурой SAP Java, которую можно интегрировать с другими SAP-системами или сторонними системами. Таким образом, в SAP Access Control можно выполнять общепринятые операции аудита и технического анализа, применимые для других ландшафтов SAP.
Однако в этом специальном отчете основное внимание уделено базовыми возможностям системы SAP Access Control и областям, которые могут вызывать связанные с аудитом трудности при выполнении проверки системы. Здесь также рассматриваются функциональные и технические области, которые при некорректном управлении могут стать причиной возникновения угроз для системы SAP Access Control и сделать ее уязвимой.
После обзора предпосылок для тщательной системной проверки в статье рассматриваются наиболее эффективные стратегии и примеры успешной практики, которые позволят компаниям получить уникальную информацию по различным целям контроля с точки зрения аудита SAP Access Control, включая следующие темы:
- Проверка технической установки
- Активация сервисов Internet Communication Framework (ICF)
- Определение и ведение набора правил для разделения полномочий (SoD)
- Ведение потока операций
- Управление запросами на изменение
- Архивация данных
- Управление полномочиями технических пользователей
- Запрет входа в систему с ид. Firefighter
- Управление полномочиями ролей SoD
- Управление фоновыми заданиями и их мониторинг
- Интеграция с бэкэнд-системами
- Оптимизация производительности
- Отсутствующие индексы
- Непрерывность бизнес-процессов и аварийное восстановление
- Настройка часового пояса
- Документация
Оформите подписку sappro и получите полный доступ к материалам SAPPRO
Оформить подпискуУ вас уже есть подписка?
Войти