Журнал "Information Security/ Информационная безопасность" #3, 2024

Можно распространять стандартные средства защи- ты информации на копии баз данных, но куда более эффективно будет заменить всю чувствительную инфор- мацию, которая в них хра- нится, на обезличенную. Процесс замены чувстви- тельной информации на "ненастоящую" или обезли- ченную называется маски- рованием данных и позво- ляет уменьшить поверхность потенциальных атак зло- умышленников. интеграционное тестирование, тестирование производительно- сти, чтобы удостовериться, что разработанная система отвеча- ет всем требованиям. Для того чтобы данные тесты были максимально эффективны, занимали мало времени, а раз- работанная система после ее вывода в "прод" работала без ошибок, необходимо проводить тестирование на данных, макси- мально приближенных к реаль- ным, а в идеале – на продуктив- ных БД. Однако подготавливать качественные данные вручную – крайне непростая задача, а тестирование на продуктив- ных базах сильно увеличивает риск утечки конфиденциальной информации. Вдобавок ко всему актуальной является проблема поиска информации в БД, так как пользователям приходится вручную анализировать все таб- лицы и выявлять, содержит ли та или иная таблица критичные данные. Встает вопрос: как защитить непроизводственные среды? Можно распространять стан- дартные средства защиты информации на копии баз дан- ных, но куда более эффективно будет заменить всю чувстви- тельную информацию, которая в них хранится, на обезличен- ную, ведь разработчикам, тести- ровщикам или аналитикам нет необходимости иметь доступ к реальным данным для целей, описанных выше, достаточно будет иметь в наличии копию БД, которая по своей структуре ничем не отличается от продук- тивной базы и наполнена дан- ными, похожими на настоящие. Процесс замены чувствитель- ной информации на "ненастоя- щую" или обезличенную назы- вается маскированием данных и позволяет уменьшить поверх- ность потенциальных атак зло- умышленников, ведь в случае компрометации обезличенных копий БД практически отсут- ствуют финансовые или репу- тационные риски: оригинальных данных в этих базах нет. Для автоматизации этого процесса существуют системы класса Data Masking, которые стано- вятся неотъемлемой частью работы компаний и позволяют эффективно контролировать доступ к конфиденциальной информации. Одной из таких систем являет- ся Jay Data – российская плат- форма, специализирующаяся на поиске, классификации и мас- кировании конфиденциальной информации в базах данных. Это решение помогает компа- ниям обеспечить безопасность персональных данных, соблю- дать требования законодатель- ства (включая PCI DSS, GDPR, 152-ФЗ, ISO/IEC 27001:2022) и оптимизировать процессы под- готовки тестовых данных. Процесс маскирования в Jay Data устроен следующим обра- зом. 1. Подключение БД. Первым делом к системе подключаются копии БД, которые необходимо обезличить. 2. Профилирование. Далее необходимо определить, нахо- дится ли в данных БД чувстви- тельная информация и в каких таблицах она располагается. Для этого в Jay Data реализован функ- ционал автоматического поиска и классификации чувствительной информации, который называет- ся профилированием. 3. Маскирование. На следую- щем шаге чувствительные дан- ные заменяются на обезличен- ные, а прочие данные остаются в оригинальном виде. В ходе маскирования система также позволяет работать со служеб- ными объектами и генерировать данные в соответствии с ограничениями уникальности, триггерами и пр. 4. Проверка результатов. Последним этапом система про- веряет результаты маскирова- ния и выдает пользователю базу данных, которую можно в безопасном виде передавать третьим лицам. В Jay Data предусмотрено множество методов маскирова- ния "из коробки" для реализации разных задач. Например, если необходимо просто "удалить" конфиденциальную информа- цию перед отправкой на сторо- ну, то можно применить такие простые методы, как замена на константу, замена на null или замена N-символов на звездоч- ку. А в случае наличия потреб- ности в качественных данных, которые будут использоваться при тестировании разрабаты- ваемых приложений, отлично подойдут такие методы, как замена по словарю (для маски- рования имен, улиц, городов и пр.), посимвольная случайная замена (цифры заменяются на цифры, буквы на буквы), а также замена номеров карт, ИНН, СНИЛС и других документов, которые должны генерироваться с учетом различных алгоритмов (например, алгоритм Лу' на). То есть данные можно заменить таким образом, что конечный получатель даже не узнает, что они не оригинальные. В результате внедрения Jay Data компании получают значи- тельные преимущества, такие как сокращение времени выхо- да разрабатываемых продуктов на рынок (Time2Market), сниже- ние рисков утечек данных, без- опасное использование конфи- денциальных данных в различ- ных сценариях и оптимизация тестирования. Учитывая посто- янный рост объема хранимых данных (в том числе персональ- ных данных клиентов), компа- ниям стоит ответственно подой- ти к вопросам обеспечения их безопасности и выбора реше- ния, наиболее подходящего для данной цели. l • 15 Защита СУБД www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ Crosstech Solutions Group см. стр. 70 NM Реклама Примеры методов маскирования Jay Data Фото: Crosstech Solutions Group