В сегодняшней заметке хочу начать серию (возможно две) статей по защите ИС на платформе SAP. По данной теме написано немало информации, но я постараюсь добавить что то новое, чтобы вам было интересно.
Изначально мне надо было подобрать комплекс технических решений по защите SAP, потом возникло желание протестировать применение приказов 17, 21 и недавнего проекта методического документа ФСТЭК Р на практике.
Для начала зафиксируем характеристики ИС, на основе которых в дальнейшем будем делать выбор мер защиты. Так как регулятор нам не дал нам необходимого перечня – придется придумывать самому.
Далее начинаем двигаться в сторону выбора мер защиты. Но первым делом нужно определить перечень актуальных угроз.
В предыдущих заметках (тут и тут) я приводил результаты моделирования угроз /экспресс-анализа рисков в виде таблицы.
В этот раз я решил выполнить модель угроз в виде графической схемы . А почему бы и нет, если методические документы ФСТЭК нам не говорят что такое моделирование угроз?
У такого моделирования есть свои плюсы – можно одним взглядом/одним слайдом охватить все угрозы. При этом для всех угроз определен источник, объект и уязвимости, с которыми связана угроза. Например – “атака на сервер приложений из корпоративных сетей, использующие уязвимости или недостатки конфигурации сервера приложений”, “доступа пользователей к файловому серверу из корпоративной сети, использующих легальный доступ и недостатки контроля (бизнес-логики)”
А ниже привожу упрощенный вариант модели - без угроз, связанных с низким уровнем риска.
В следующей статье продолжу непосредственно про выбор мер защиты ИС на платформе SAPи способов их реализации.
