Журнал "Information Security/ Информационная безопасность" #3, 2024

Артемий Новожилов, группа компаний "Гарда": Штатные методы защиты СУБД вклю- чаются обычно в том случае, когда основная модель угроз данным – невы- полнение требований ФСТЭК России. Встроенные механизмы СУБД не обес- печивают защиту, но они могут инфор- мировать другие СЗИ об операциях с данными, что может в совокупности помочь в детектировании атак. Штатные средства аудита фиксируют лишь часть событий и даже их не могут блокиро- вать – с ростом зрелости системы защи- ты необходимость внедрения наложен- ных средств становится очевидной. Али Гаджиев, Crosstech Solutions Group: Штатных средств для защиты СУБД хватает в случае, когда в базах данных находится информация, компрометация которой не приведет к существенным финансовым или репутационным поте- рям. Но если в этих базах хранятся чув- ствительные данные (персональные дан- ные, коммерческая тайна и пр.), то стоит использовать специализированное ПО, которое обеспечит должный уровень защиты данных. Юрий Осипов, Газинформсервис: Отказ от наложенных средств защиты допустим только в случае использова- ния сертифицированных в установлен- ном порядке СУБД. При этом надо учи- тывать, что уровень доверия, на кото- рый сертифицирована СУБД должен соответствовать категории хранящейся в ней информации. Так, например, СУБД Jatoba имеет сертификат ФСТЭК России на соответствие требованиям по уровню доверия 4. В документации к продукту есть отдельный документ "Реа- лизация функций безопасности", кото- рый содержит всю необходимую инфор- мацию по настройке системы для выполнения требований к безопасности СУБД. Андрей Соколов, Газинформсервис: Кроме выше описанного случая, отка- заться от наложенных средств защиты СУБД можно в тех случаях, когда встроенные инструменты СУБД обес- печивают необходимый уровень защи- ты информации, обрабатываемой в СУБД. Андрей Соколов, Газинформсервис: Минимизировать угрозы подрядных организаций, привлекаемых для управ- ления и мониторинга защиты СУБД, можно с помощью инструментов ролевой модели разделения полномочий в СУБД. Например, в СУБД Jatoba имеется ком- понент Jatoba Data Safe (JDS), который реализует двухкомпонентную ролевую модель: подрядчик (субъект доступа) не знает учетных записей, созданных для него в целевых СУБД, а доступ к данным осуществляется через ассоции- рованную учетную запись в JDS. Такой подход выполняет также меру РСБ.7 приказа ФСТЭК России № 21. Али Гаджиев, Crosstech Solutions Group: Обычно управлением и мониторингом безопасности СУБД в компании зани- маются ее же сотрудники – специалисты информационной безопасности, так как предоставление доступа к внутренним БД подрядных организаций сильно уве- личивает риски утечки конфиденциаль- ных данных. Но если вдруг такая потреб- ность возникает, то минимизировать эти риски помогает, например, технология маскирования, которая позволяет ограничивать доступ к определенной информации путем ее замены на обез- личенную версию. Артемий Новожилов, группа компаний "Гарда": При такой модели взаимодействия подрядчик, как правило, имеет приви- легированные права в СУБД. Необхо- димо отсматривать абсолютно все запросы к базам данных от таких учет- ных записей. Агент "Гарда DBF" справ- ляется с этой задачей, более того, поз- воляет запретить часть действий при- вилегированным пользователям, что минимизирует риск "порчи" и утечки данных. В каких случаях, по вашему, допустимо отка- заться от наложенных средств защиты СУБД и ограничется только встроенными инструмен- тами? Какими инструментами можно минимизировать потенциальные угрозы использования подряд- ных организаций, при- влекаемых для управле- ния и мониторинга без- опасности СУБД? 20 • СПЕЦПРОЕКТ современном мире около 70–80% всех структурированных данных в организациях хранится в системах управления базами данных (СУБД). По просьбе редации журнала эксперты поделились мнением о том, как развиваются встроенные и наложенные средства защиты информации для таких систем, какой из этих подходов эффективнее в зависимости от ситуации. В Али Гаджиев, директор по продукту, Crosstech Solutions Group Артемий Новожилов, архитектор систем ИБ группы компаний “Гарда” Юрий Осипов, менеджер по продукту Jatoba компании “Газинформсервис” Андрей Соколов, ведущий инженер группы защиты прикладного ПО и СУБД компании “Газинформсервис” Защита российских СУБД: встроенные средства или наложенные? Круглый стол экспертов