ITIL/Cobit-ISO 27001 - GRC - IDM 2

8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2

http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 1/23



FIT Consulting

FIT Consulting

FIT Hakknda

© SAP 2008 /

1999 Ylnda Türkiye¶de kurulan ilk SAP Teknoloji Danmanlk irketidir.

10 yldr sadece Teknolojiye (Basis, ABAP, Mobil, Entegrasyon ve Netweaver) odaklanmtr. Türkiye¶de birçok LK¶e imza atmtr.

SAP ile Entegre lk E-Ticaret Sitesi (Arena Bilgisayar PENCER-E)LK UNIX > LINUX Platform Göçü (Sabah Gazetesi)SAP Netweaver Portal ile LK Tedarikçi ve Bayi Portali (TEMSA)SAP Netweaver Portal ile LK Bilet Sat Sistemi (DO)LK SAP & Elektronik mza Entegrasyonu (SFALT)SAP Veri Eriimi Güvenliinin Parmak zi ile korunmas (ÜLKER)SOA Yaklam ile LK Mobil Uygulamalar (ÜLKER)SAP CRM Sistemi Veri Arivlemesi (AKBANK)Çalan LK Duet Sistemi kurulumu (FIT)

FIT Türkiye, FIT Hollanda ve FIT Kbrs faal olan ülke irketleridir. FIT¶nin baz Partnerleri: SAP, Microsoft, Turkcell, Deloitte , Casio Avrupa. FIT¶nin baz Müterileri: Nestlé, Ülker, DO, SFALT, Tüpra, OPET, Koçta, BriSA, Temsa Global, Avea,Vodafone, Hava,...

Ürünlerimiz, hizmetlerimiz ve çözümlerimizhakknda detayl bilgi içinhttp://www.fitcons.com



FIT Consulting

FIT Consulting

© SAP 2007 /

1. Amaç

2. SAP Güvenlik Yaklam

2.1 Sk Karlalan Güvenlik Açklar2.2 SAP Güvenlii Nasl Salanr

3. Standart SAP Güvenlik Araçlar3.1 Güvenlie yönelik SAP Çözümleri3.2 SAP GRC3.3 SAP IDM2.3 F.A.S.T

2.3.1 F.A.S.T Yaklam2.3.2 F.A.S.T Fonksiyonlar2.3.3 F.A.S.T Kurulum

4. Sonuç

Agenda



FIT Consulting

FIT Consulting

© SAP 2007 /

Amaç

Sistemde sk karlalan güvenlik açklarnn kapatlmasnayönelim çözümler

Açk Noktalarn tespit edilmesi

SAP sistemleri Güvenliinin salanmas

Bu ilemlerin daha az zaman ve kaynak kullanlarakyaplabilmesi



FIT Consulting

FIT Consulting

© SAP 2007 /

1. Amaç



3. Standart SAP Güvenlik Araçlar3.1 Güvenlie yönelik SAP Çözümleri3.2 SAP GRC3.3 SAP IDM2.3 F.A.S.T


4. Sonuç

Agenda



FIT Consulting

FIT Consulting

© SAP 2007 /

Sk Karlalan Güvenlik açklar

Deloitte 2008 - Top 10 Denetim bulgular

3

4

5

2

� Fazla verilmi yetkiler

1

� Görevler Ayrl

� Eriim kontrolün uygulamasnnprosedürlerle uyumsuzluu

� Kontrollerin dökümante edilmemesi

� Log kaytlarnn olmamas

8

9

10

7

� Uygulama gelitirme personelinin canlortama ve dataya eriimi

6

� Loglarn gözden geçirilmemesi

� ten ayrlma veya transfer durumundaeriim haklarnn kaldrlmamas

� DRC/BCP Testleri

� Canl ortam verisinin test ortamndakullanlmas



FIT ConsultingFIT Consulting

© SAP 2007 /

SAP Sistemleri Güvenlik Nasl salanr - 1

Kullanc Güvenlii ifre Güvenlii

Yetkilendirme

Görevlerin Ayrm (SoD)

Sistem Güvenlii Sistemlerin korunmas

Standart Kullanclar

RFC Balantlar

Kullanc aktivitelerinin izlenmesi

SAP güncelletirmeleri




© SAP 2007 /

SAP Sistemleri Güvenlik Nasl salanr - 2

Veritaban Güvenlii Veritaban kulanc/ifre güvenlii

Veritaban kullanc yetkileri

Veritabanna uzaktan eriim

Veritaban Audit Trace

Yedekleme Stratejisi

Disaster Recovery plan

Veritaban Büyüme Plan

letim Sistemi Güvenlii letim Sistemi Kullanc/ifre

Yetkili kullanclar

Dizin haklar

Paylamlar

Antivirüs

Tehlikeli Startup programlar

Sistemlere Uzaktan Eriim




© SAP 2007 /

1. Amaç



3. SAP Güvenlik Araçlar3.1 Güvenlie yönelik SAP Çözümleri3.2 SAP GRC3.3 SAP IDM2.3 F.A.S.T


4. Sonuç

Agenda




© SAP 2007 /

Güvenlie yönelik SAP Çözümleri

Sk karlalan Denetim Bulgular ÇözümFazla verilmi yetkiler SAP GRC AC, FASTGörevler Ayrl SAP GRC AC, FASTEriim kontrolün uygulamasnn prosedürlerleuyumsuzluu

SAP GRC AC, SAPIDM

Uygulama gelitirme personelinin canl ortama vedataya eriimi SAP GRC AC, FASTten ayrlma veya transfer durumunda eriimhaklarnn kaldrlmamas SAP IDM, FASTLog kaytlarnn olmamas FAST

SAP GRC ve SAP IDM, SAP BO ürün ailesinde bulunan çözümlerdir FAST, Fit consulting tarafnda gelitirilmi, güvenlie yönelik bir çözümdür.




© SAP 2007 /

Güvenlie yönelik SAP Çözümleri ² SAP BO

GRC Access Control

SAP BO GRC Nedir? Kurum içinde entegre bir ekilde çalan uygulamalar bütünüdür.

Bu uygulamalar, risklerin ve kontrollerin dokümantasyon veyönetimini gerçek zamanl olarak salamaya yardmc olur.

Kontrollerin otomasyonu ve risklerin etki ve olabilirliini de minimize

ederler.




Güvenlie yönelik SAP Çözümleri ² SAP BO

GRC AC Araçlar

© SAP 2007 /

SAP BO GRC Access Control Risk analysis and remediation

Görevlerin ayrm icin kurallarn tanmlanmas ve temizlikilemlerini yapar.

Enterprise role management

PFCG üzerinden yaplan yetkilendirme yaplr. Yetklilendirmesrasnda SoD kontrolleri yapar. Rollerin download ve uploadugereklidir.

Compliant user provisioning

Tanmlanms SoD kurallarnn korunmasn salar.

Superuser privilege management Super yetkili kullanclarn sisteme girilerini kontrol eder




Güvenlie yönelik SAP Çözümleri ² SAP IDM

SAP NetWeaver Identity ManagementEriimin rollerle salanmasAçk Entegrasyon

Senkronizasyon

Raporlama ve Audit

Kolay Yönetim

Kullanclar için Self ServisSOA Uyumluluu

ifre Yönetimi Raporlama

Sanal DizinVeri

Senkronizasyonu

Roller ve Atamalar

Provisioning




F.A.S.T (FIT Automatic Security Tool)

Yaklam

SAP Güvenlik

Kullanc Güvenlii ± F.A.S.T

SAP Sistem Güvenlii - F.A.S.T

Veritaban Güvenlii

letim Sistemi Güvenlii

F.A.S.T Kullanc Güvenlii ve SAP SistemGüvenlii açklarn bulup, önlemede kullanlan

bir hazr araçtr




F.A.S.T ² FIT Automatic Security Tool

F.A.S.T Kullanc Güvenlii ve SAP SistemGüvenlii açklarn bulup, önlemede kullanlan

bir hazr araçtr

FAST

Tekrar Çaltrlabilir.

Sistemdeki açklar toplu halde görülebilir.

Excel formatnda rapor sunabilir

Güvenlik açklar üzerinde kontrol sahibi olunmasn salar

Risklerin önemine göre snflandrma yapabilir Otomatik düzeltme yapmaz. Öneri sunar




F.A.S.T Fonksiyonlar - 1

Kullanc Güvenlii ifre Güvenlii kontrolleri

Kritik Yetkilerin kontrolü

Kritik transactionlarn kullanm

Kritik yetki nesnelerinin kullanm

Yetkilendirme Matrisi oluturulmas

Görevlerin Ayrm (SoD) Kontrolü




F.A.S.T Fonksiyonlar - 2

Sistem Güvenlii Sistemlerin korunmas

Client Korumas

Gelitirme korunmas

Standart Kullanclarn korunmas

RFC Balantlar Kullanc aktivitelerinin izlenmesi

Security Audit Log

Table logging

SAP güncelletirmeleri

Veritaban / letim sistemi kontrolü

Kernel Kontrolü

Support package kontrolü

Güvenlik Notlar kontrolü




F.A.S.T Raporlama - 1




Kurulum / Günceleme

F.A.S.T

ABAP

± SAP çerisindeki kontroller ABAP ile yazlmtr

.NET

± Bulunan açklarn yorumlanmas .NET ile yazlmtr.

F.A.S.T KurulumuZFIT ABAP Güvenlik Paketinin sistemlere tanmas

Standalone .NET F.A.S.T uygulamasnn Windowstabanl sisteme kurulumu

F.A.S.T GüncellemeZFIT ABAP Güvenlik Paketi deiikliklerinin sistemlere

tanmas

Standalone .NET F.A.S.T uygulamasnn updateWindows tabanl sisteme kurulumu




Sonuç

SAP¶de karlalan güvenlik problemleri çözülemez deildir

SAP¶nin güvenlie yönelik araçlar GRC ve IDMdir

F.A.S.T SAP güveliine yönelik hazrlanm bir araçtr




© SAP 2007 /

Copyright 2007 SAP AG

All rights reserved

No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP AG. The information contained herein may be changedwithout prior notice.

Some software products marketed by SAP AG and its distributors contain proprietary software components of other software vendors.

SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP AG in Germany and in several other countries all over the world. All other product and service names mentioned andassociated logos displayed are the trademarks of their respective companies. Data contained in this document serves informational purposes only. National product specifications mayvary.

The information in this document is proprietary to SAP. This document is a preliminary version and not subject to your license agreement or any other agreement with SAP. This documentcontains only intended strategies, developments, and functionalities of the SAP® product and is not intended to be binding upon SAP to any particular course of business, productstrategy, and/or development. SAP assumes no responsibility for errors or omissions in this document. SAP does not warrant the accuracy or completeness of the information, text,graphics, links, or other items contained within this material. This document is provided without a warranty of any kind, either express or implied, including but not limited to the impliedwarranties of merchantability, fitness for a particular purpose, or non-infringement.

SAP shall have no liability for damages of any kind including without limitation direct, special, indirect, or consequential damages that may result from the use of these materials. This limitationshall not apply in cases of intent or gross negligence.

The statutory liability for personal injury and defective products is not affected. SAP has no control over the information that you may access through the use of hot links contained in thesematerials and does not endorse your use of third-party W eb pages nor provide any warranty whatsoever relating to third-party Web pages

Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schrif tliche Genehmigung durchSAP AG nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden.

Einige von der SAP AG und deren Vertriebspartnern vertriebene Softwareprodukte können Softwarekomponenten umfassen, die Eigentum anderer Softwarehersteller sind.

SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge und andere in diesem Dokument erwähnte SAP-Produkte und Servicessowie die dazugehörigen Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und in mehreren anderen Ländern weltweit. Alle anderen in diesem Dokumenterwähnten Namen von Produkten und Services sowie die damit verbundenen Firmenlogos sind Marken der jeweiligen Unternehmen. Die Angaben im Text sind unverbindlich unddienen lediglich zu Informationszwecken. Produkte können länderspezifische Unterschiede aufweisen.

Die in diesem Dokument enthaltenen Informationen sind Eigentum von SAP. Dieses Dokument ist eine Vorabversion und unterliegt nicht Ihrer Lizenzvereinbarung oder einer anderenVereinbarung mit SAP. Dieses Dokument enthält nur vorgesehene Strategien, Entwicklungen und Funktionen des SAP®-Produkts und ist für SAP nicht bindend, einen bestimmtenGeschäftsweg, eine Produktstrategie bzw. -entwicklung einzuschlagen. SAP übernimmt keine Verantwortung für Fehler oder Auslassungen in diesen Materialien. SAP garantiert nichtdie Richtigkeit oder Vollständigkeit der Informationen, Texte, Grafiken, Links oder anderer in diesen Materialien enthaltenen Elemente. Diese Publikation wird ohne jegliche Gewähr,weder ausdrücklich noch stillschweigend, bereitgestellt. Dies gilt u. a., aber nicht ausschließlich, hinsichtlich der Gewährleistung der Marktgängigkeit und der Eignung für einenbestimmten Zweck sowie für die Gewährleistung der Nichtverletzung geltenden Rechts.

SAP übernimmt keine Haftung für Schäden jeglicher Art, einschließlich und ohne Einschränkung für direkte, spezielle, indirekte oder Folgeschäden im Zusammenhang mit der Verwendungdieser Unterlagen. Diese Einschränkung gilt nicht bei Vorsatz oder grober Fahrlässigkeit.

Die gesetzliche Haftung bei Personenschäden oder die Produkthaftung bleibt unberührt. Die Informationen, auf die Sie möglicherweise über die in diesem Material enthaltenen Hotlinkszugreifen, unterliegen nicht dem Einfluss von SAP, und SAP unterstützt nicht die Nutzung von Internetseiten Dr itter durch Sie und gibt keinerlei Gewährleistungen oder Zusagen über Internetseiten Dritter ab.

Alle Rechte vorbehalten.




© SAP 2007 /

Copyright 2007 SAP AG

All rights reserved

Açklk Yönetimi -Altyap ve Operasyon Güvenlii -

Güvenlik Yönetimi -

Süreklilii Yönetimi

Kimlik ve Eriim Yönetimi

Uygulama Bütünlüü

Veri Mahremiyetinin ve Kritik Verinin Korunmas

ITIL/Cobit-ISO 27001 - GRC - IDM 2

Documents

Transcript of ITIL/Cobit-ISO 27001 - GRC - IDM 2