Журнал "Information Security/ Информационная безопасность" #3, 2024

• 17 Защита СУБД www.itsec.ru "Крипто БД" является наложенным средством защиты информации и не затрагивает штатные механизмы обра- ботки информации в СУБД. При этом обеспечиваются дополнительный конт- роль доступа к защищенным данным, а также регистрация всех операций с ними, независимо от уровня привилегий пользователей СУБД. Система реализует шифрование таб- лиц и/или столбцов базы данных, двух- факторную аутентификацию, необра- тимое удаление данных, централизо- ванный мониторинг и аудит, разгра- ничение доступа на основе ролевой модели. Сценарий 1. Защита информации в СУБД при взломе При атаках на информационные системы злоумышленники стремятся получить управление над функциями и параметрами информационной систе- мы и СУБД, системными журналами, чтобы похитить или скомпрометировать информацию. Система "Крипто БД" предотвращает эти угрозы, защищая информацию в СУБД с помощью устойчивого к крип- тоанализу шифрования, исключающего компрометацию в разумные сроки (ГОСТ 28147-89, ГОСТ 34.12–2015). Сценарий 2. Защита от действий администратора СУБД Администратор СУБД – это привиле- гированная, но не контролируемая роль, которая часто является слабым звеном в защите данных. "Крипто БД" обес- печивает защиту от действий админи- стратора СУБД: администратор не имеет ключей шифрования, все попытки досту- па фиксируются, реализован принцип разделения полномочий и ответствен- ности. Но при этом администратор может выполнять свои обязанности без ограничений. Сценарий 3. Разграничение доступа к защищаемой информации Разграничение доступа к данным часто реализуется неоптимальным образом: на уровне сервера приложений, через поль- зовательский веб-интерфейс, без усилен- ной аутентификации. Эти методы легко обходятся манипуляцией запросами, остав- ляя данные в СУБД незащищенными. Система "Крипто БД" обеспечивает надежное разграничение доступа: поддер- живаются гибкая ключевая схема для удоб- ного назначения доступа и расширенная ролевая модель для контроля доступа выделенным сотрудником безопасности. Сценарий 4. Защита при размещении СУБД в облаке Перенос информационной системы в облако сопряжен с рисками утечек, например через неконтролируемый и нефиксируемый физический доступ третьих лиц к серверам СУБД. Использование системы "Крипто БД" для защиты информации в облаке сни- жает эти риски, ведь даже при прямом доступе к серверу злоумышленник полу- чит лишь зашифрованные данные. Сценарий 5. Защита резервных копий и архивов Защита информации в архивах резерв- ных копий является непростой задачей. Механизмы безопасности должны быть настроены таким образом, чтобы не нарушать процессы резервного копиро- вания, а в случае кражи архивов обес- печить сохранение конфиденциальности данных. Восстановление информации при этом должно оставаться прозрачным, а хранение архивов – соответствовать нормативным требованиям, таким как 187-ФЗ и приказ № 21 ФСТЭК России. За счет того, что "Крипто БД" защи- щает данные в таблицах СУБД шифро- ванием, данные в архивах по умолчанию защищены, что исключает угрозы потери конфиденциальности при краже их резервных копий. Сценарий 6. Маскирование и деперсонализация информации Для тестирования информационных систем или в целях проведения рассле- дований часто требуется выполнять репликацию баз данных. При этом воз- никает задача защиты информации в реплицированных данных, которые тем не менее должны оставаться акту- альными и соответствовать реальным объемам исходных данных. Система "Крипто БД" решает эту про- блему, реализуя гибкое динамическое маскирование. В результате после репликации реальные конфиденциаль- ные данные не покидают СУБД. Сценарий 7. Надежное уничтожение персональных данных При выводе информационной системы из эксплуатации данные в СУБД должны быть надежно уничтожены без возмож- ности восстановления. Эта же процедура требуется и при модернизации системы, изменении информационной модели и оптимизации структур данных в СУБД. Система "Крипто БД" решает эту про- блему, шифруя всю критичную инфор- мацию стойкими алгоритмами. При неавторизованном восстановлении дан- ных злоумышленник получит лишь зашифрованный массив. Сценарий 8. Независимый аудит доступа к информации Эффективность расследования инци- дентов зависит от актуальности и досто- верности собираемых данных. Система "Крипто БД" позволяет собирать и обра- батывать информацию о доступе поль- зователей и администраторов к защи- щенным данным в СУБД, включая фик- сацию событий доступа к защищаемой информации, передачу данных внешним системам (например, SIEM), защиту логи- рования от возможных злонамеренных действий со стороны администратора. В заключение "Крипто БД" сертифицирована ФСБ России как средство криптографической защиты информации классов КС1 и КС2, что позволяет использовать ее для защи- ты информации, не содержащей сведе- ний, составляющих государственную тайну. Решение включено в единый реестр отечественного ПО. l "Крипто БД" – сертифицированная система предотвращения утечек информации из СУБД ащита конфиденциальности информации в СУБД является одной из основных задач для многих компаний и государственных организаций. Система “Крипто БД” позволяет осуществлять выборочное динамическое шифрование информации, хранящейся в таблицах базы данных. З Денис Суховей, директор по развитию бизнеса компании “Аладдин” Ваше мнение и вопросы присылайте по адресу is@groteck.ru Реклама Фото: Аладдин