Управление экстренным доступом как централизованный и доступный для аудита процесс в используемой среде SAP
Решение SAP BusinessObjects Access Control 10.0 обеспечивает централизованную обработку процессов управления доступом на основе особой ситуации, которые в традиционных системах выполняются разрозненно. До выхода этой системы администраторы выполняли ведение присвоения пользователя "Firefighter", владельца и руководителя в каждой системе локально, а пользователи бизнес-процессов инициировали в этих системах сессии пользователя "Firefighter". В версии 10.0 процесс ведения и инициализации сессий пользователя "Firefighter" выполняется на платформе SAP BusinessObjects GRC. Помимо этого в рамках нового потока операций предоставляется контролируемый процесс для подтверждения проверки руководителями новых консолидированных отчетов по журналам после операций пользователя "Firefighter". Автор показывает дополнительные возможности отчетов по журналам, благодаря которым деятельность пользователя "Firefighter" можно отслеживать более тщательно. В статье даны инструкции по работе с новыми функциями версии 10.0, которые значительно расширяют возможности процесса управления экстренным доступом.
Ключевое понятие |
В предыдущих версиях решения функция управления экстренным доступом в составе SAP BusinessObjects Access Control 10.0 поставлялась под разными именами. В версии 5.3 она называлась функцией управления полномочиями суперпользователей, а ранее использовалось название "Firefighter", широко распространенное и сейчас. Основной целью функции является снятие критических полномочий с пользователей бизнес-процессов с присвоением этих полномочий пользователям "Firefighter". Далее пользователи бизнес-процессов получают доступ к одному или нескольким идентификаторам "Firefighter" с возможностью открытия сеанса и работы в своем контексте пользователя (например, права доступа "Firefighter"). |
Управление экстренным доступом позволяет временно предоставлять критические полномочия в информационных системах для выполнения особых задач и проверки системных операций, выполняемых привилегированными пользователями. Этот процесс часто подвергается тщательной проверке при системных аудитах, поскольку обычно имеет уязвимые места в следующих областях:
- Категорический подход в структуре прав экстренного доступа приводит к предоставлению намного более широких полномочий, чем то необходимо для разрешения той или иной особой ситуации.
- Владельцы бизнес-процессов практически не участвуют в согласовании и проверке случаев предоставления экстренного доступа.
- Проверка системных операций, выполненных с применением экстренных полномочий доступа, часто не поддается аудиту.
Оформите подписку sappro и получите полный доступ к материалам SAPPRO
Оформить подпискуУ вас уже есть подписка?
Войти
Обсуждения 1
Комментарий от
Михаил Савкин
| 04 апреля 2012, 21:35
Рассматриваемый в рамках данной статьи материал связан с администрированием процесса использования достаточно редкого приложения SAP- SuperUserPrivilegeManagement. Данное приложение обычно используется в исключительных случаях для немедленного устранения инцидентов и сбоев в работе системы. Старое название приложения – Firefighter. В рамках комментария к данной статье мне хотелось бы обратить особое внимание наших читателей на необходимость осуществления контроля списка пользователей имеющих доступ к данному приложению. Особое внимание необходимо уделить наличию в системе пользователей со следующими полномочиями:
Наличие в системе пользователей с описанными выше полномочиями является грубейшим нарушением политик безопасности с точки зрения внешнего аудита.
Анализ данных полномочий удобней всего выполнить в транзакции SUIM.
Для анализа необходимо выполнить следующую последовательность шагов:
Надеюсь, что данная информация окажется полезной для администраторов SAPсистем и позволит более качественно подготовиться к ближайшему аудиту ERPсистем на предприятии.