Журнал "Information Security/ Информационная безопасность" #3, 2024

Крупные компании большую часть данных хранят в структурированном виде в базах данных (БД). Сотрудникам ИБ довольно проблематично обезличи- вать такие объемы данных вручную, кроме того увеличивается риск ошибок со стороны оператора, ведь обезличен- ные данные должны иметь ту же струк- туру и логику построения, что и исход- ные. При этом эти данные никому не принадлежат, так как являются синтети- чески созданными. Часто такая задача стоит именно при разработке, когда необходимо протестировать работу ПО с базой данных из продуктивной среды. В таких случаях задача по обезличива- нию должна выполняться специализи- рованным программным обеспечением, таким как "Гарда Маскирование", поз- воляющим автоматизировать данный процесс. Рассмотрим функциональность реше- ния подробнее. Определение мест хранения чувствительной информации Первая важная задача – определить места хранения информации, подлежа- щей маскированию. Эта задача легко решается с помощью предустановленных шаблонов. При этом в системе "Гарда Маскирование" есть возможность тонкой настройки поиска по словарям, ключе- вым словам, наименованиям таблиц и регулярным выражениям, предусмотрена возможность для задания исключений. Важно отметить, что от качества сло- варей напрямую зависит и качество самого маскирования: чем точнее выявлен тип данных, тем больше веро- ятность, что будет использован коррект- ный шаблон маскирования. После обнаружения всех данных для обезличивания можно перейти к сле- дующему этапу. Выбор алгоритмов максирования Вторая задача – определение алгорит- мов, которые будут применяться для обез- личивания чувствительной информации. Гипотетически правила маскирования можно писать вручную с учетом особен- ностей бизнеса и данных, которые необхо- димо передать в третьи руки, но это тре- бует колоссальных временных ресурсов и не исключает ошибок при работе с боль- шими объемами информации. Например, когда для проведения маркетингового исследования необходимо передать ана- литическому агентству большой объем персональных данных пользователей, таких как пол, возраст, адрес и другие сведения, система, обнаруживая данные в определенных колонках, предлагает в качестве алгоритмов маскирования соответствующие генераторы. Создание обезличенной копии базы данных Третий шаг – пересоздание всей струк- туры базы данных, включая индексы, служебные таблицы с целью получения полной копии рабочей БД. Причем, сами данные в новую базу переносятся после обработки согласно выбранным на пре- дыдущем шаге алгоритмам. В отчетах "Гарда Маскирование" есть возможность визуально контролировать, что происходит в каждый момент вре- мени, какие таблицы переносятся и обез- личиваются, возникли ли какие-либо ошибки и на каком этапе. В процессе создания копии базы ведутся подробные логи, что делает процесс более управляемым. Для максимальной производительно- сти, можно управлять временем выпол- нения процесса – для этого определяется количество выделяемых под маскиро- вание потоков процессорного ядра, коли- чество строк для чтения и переноса за одну операцию. Регулярность задачи "Гарда Маскирование" позволяет регу- лярно повторять процесс. Если проект создания обезличенной копии базы дан- ных однажды настроен, то в следующий раз, когда понадобится сделать еще одну копию, не придется все настройки производить с нуля, – будет достаточно нажать кнопку "сделать еще одну копию". Система допускает возможность использования внешнего API, что суще- ственно экономит время на выполнение рутинных задач. Нереляционные базы данных Помимо обычных реляционных суще- ствуют еще нереляционные базы данных, для которых задача маскирования не менее актуальна. В таких случаях "Гарда Маскирование" работает с типами дан- ных JSON/XML. Скорость обезличивания Важный момент – это скорость, с кото- рой происходит обезличивание. На всех проведенных проектах скорость работы "Гарда Маскирование" ограничивается только производительностью используе- мых дисковых систем. Дополнительные возможности "Гарда Маскирование" предоставляет ряд незаменимых для обезличивания данных опций. 1. Усечение базы данных. В обезли- ченную копию можно будет переносить не все данные из таблиц, а только опре- деленную часть, например 30%. 2. Возможность маскирования внутри исходной базы. Допустим, у подрядчиков развернута база, но после подключения и анализа выяснилось, что там лежат персональные данные. В таком случае с помощью "Гарда Маскирование" можно такие записи обезличить. 3. Возможность интеграции со сторон- ними сервисами для автоматизации про- цессов обезличивания с помощью API. 4. Интеграция с базами данных 1С. При настройке обезличивания "Гарда Маскирование" позволяет оперировать названиями таблиц, соответствующими реальным объектам, а не плохочитае- мыми техническими, используемыми в системе 1С. l 18 • СПЕЦПРОЕКТ "Гарда Маскирование" для автоматического обезличивания баз данных есмотря на то, что компании вкладывают значительные средства в защиту персональ- ных данных, контролируя коммуникации, доступ пользователей, шифруя информацию, – утечки продолжают происходить. Причиной часто становятся ошибки при передаче данных в третьи руки для разного рода тестирований, решения маркетинговых задач и др. Российское законодательство, включая 152-ФЗ, обязывает защищать такую информацию, и в этих случаях применяется маскирование, для которого группа компаний “Гарда” предоставляет необходимый инструментарий. Н Артемий Новожилов, архитектор систем информационной безопасности группы компаний “Гарда” АДРЕСА И ТЕЛЕФОНЫ ГРУППА КОМПАНИЙ "ГАРДА" см. стр. 70 NM Реклама