Контакты
Подписка 2024

"Крипто БД" – сертифицированная система предотвращения утечек информации из СУБД

Денис Суховей, 08/08/24

Защита конфиденциальности информации в СУБД является одной из основных задач для многих компаний и государственных организаций. Система “Крипто БД” позволяет осуществлять выборочное динамическое шифрование информации, хранящейся в таблицах базы данных.

Автор: Денис Суховей, директор по развитию бизнеса компании “Аладдин”

"Крипто БД" является наложенным средством защиты информации и не затрагивает штатные механизмы обработки информации в СУБД. При этом обеспечиваются дополнительный контроль доступа к защищенным данным, а также регистрация всех операций с ними, независимо от уровня привилегий пользователей СУБД.

Система реализует шифрование таблиц и/или столбцов базы данных, двухфакторную аутентификацию, необратимое удаление данных, централизованный мониторинг и аудит, разграничение доступа на основе ролевой модели.

ris1-Aug-08-2024-04-27-39-7983-PM

Сценарий 1. Защита информации в СУБД при взломе

При атаках на информационные системы злоумышленники стремятся получить управление над функциями и параметрами информационной системы и СУБД, системными журналами, чтобы похитить или скомпрометировать информацию.

Система "Крипто БД" предотвращает эти угрозы, защищая информацию в СУБД с помощью устойчивого к криптоанализу шифрования, исключающего компрометацию в разумные сроки (ГОСТ 28147-89, ГОСТ 34.12–2015).

Сценарий 2. Защита от действий администратора СУБД

Администратор СУБД – это привилегированная, но не контролируемая роль, которая часто является слабым звеном в защите данных. "Крипто БД" обеспечивает защиту от действий администратора СУБД: администратор не имеет ключей шифрования, все попытки доступа фиксируются, реализован принцип разделения полномочий и ответственности. Но при этом администратор может выполнять свои обязанности без ограничений.

Сценарий 3. Разграничение доступа к защищаемой информации

Разграничение доступа к данным часто реализуется неоптимальным образом: на уровне сервера приложений, через пользовательский веб-интерфейс, без усиленной аутентификации. Эти методы легко обходятся манипуляцией запросами, оставляя данные в СУБД незащищенными.

Система "Крипто БД" обеспечивает надежное разграничение доступа: поддерживаются гибкая ключевая схема для удобного назначения доступа и расширенная ролевая модель для контроля доступа выделенным сотрудником безопасности.

Сценарий 4. Защита при размещении СУБД в облаке

Перенос информационной системы в облако сопряжен с рисками утечек, например через неконтролируемый и нефиксируемый физический доступ третьих лиц к серверам СУБД.

Использование системы "Крипто БД" для защиты информации в облаке снижает эти риски, ведь даже при прямом доступе к серверу злоумышленник получит лишь зашифрованные данные.

Сценарий 5. Защита резервных копий и архивов

Защита информации в архивах резервных копий является непростой задачей. Механизмы безопасности должны быть настроены таким образом, чтобы не нарушать процессы резервного копирования, а в случае кражи архивов обеспечить сохранение конфиденциальности данных. Восстановление информации при этом должно оставаться прозрачным, а хранение архивов – соответствовать нормативным требованиям, таким как 187-ФЗ и приказ № 21 ФСТЭК России.

За счет того, что "Крипто БД" защищает данные в таблицах СУБД шифрованием, данные в архивах по умолчанию защищены, что исключает угрозы потери конфиденциальности при краже их резервных копий.

Сценарий 6. Маскирование и деперсонализация информации Для тестирования информационных систем или в целях проведения расследований часто требуется выполнять репликацию баз данных. При этом возникает задача защиты информации в реплицированных данных, которые тем не менее должны оставаться актуальными и соответствовать реальным объемам исходных данных.

Система "Крипто БД" решает эту проблему, реализуя гибкое динамическое маскирование. В результате после репликации реальные конфиденциальные данные не покидают СУБД.

Сценарий 7. Надежное уничтожение персональных данных

При выводе информационной системы из эксплуатации данные в СУБД должны быть надежно уничтожены без возможности восстановления. Эта же процедура требуется и при модернизации системы, изменении информационной модели и оптимизации структур данных в СУБД.

Система "Крипто БД" решает эту проблему, шифруя всю критичную информацию стойкими алгоритмами. При неавторизованном восстановлении данных злоумышленник получит лишь зашифрованный массив.

Сценарий 8. Независимый аудит доступа к информации

Эффективность расследования инцидентов зависит от актуальности и достоверности собираемых данных. Система "Крипто БД" позволяет собирать и обрабатывать информацию о доступе пользователей и администраторов к защищенным данным в СУБД, включая фиксацию событий доступа к защищаемой информации, передачу данных внешним системам (например, SIEM), защиту логирования от возможных злонамеренных действий со стороны администратора.

В заключение

"Крипто БД" сертифицирована ФСБ России как средство криптографической защиты информации классов КС1 и КС2, что позволяет использовать ее для защиты информации, не содержащей сведений, составляющих государственную тайну.

Решение включено в единый реестр отечественного ПО.

Темы:КриптографияЖурнал "Информационная безопасность" №3, 2024Защита СУБДКомпания Аладдин

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • Цели "Тантор Лабс" – отказоустойчивость и производительность российской СУБД
    Вадим Яценко, генеральный директор “Тантор Лабс”
    Про появление и развитие российской СУБД Tantor, о подходе к ее производительности и безопасности читателям журнала рассказал Вадим Яценко, генеральный директор “Тантор Лабс”.
  • Гарда DBF: в первую очередь – защита данных
    Дмитрий Горлянский, Руководитель направления технического сопровождения продаж “Гарда Технологии”
    Угрозы для СУБД исходят не только от внешних, но и от внутренних злоумышленников. Ими могут быть как привилегированные пользователи (администраторы СУБД, подрядчики, разработчики), так и обычные сотрудники, которые в силу должностных обязанностей имеют доступ к чувствительным данным в СУБД (менеджеры по работе с клиентами, колл-центр, техподдержка, ИТ и пр.).
  • "Гарда Маскирование" для автоматического обезличивания баз данных
    Артемий Новожилов, архитектор систем информационной безопасности группы компаний “Гарда”
    Несмотря на то, что компании вкладывают значительные средства в защиту персональных данных, контролируя коммуникации, доступ пользователей, шифруя информацию, – утечки продолжают происходить. Причиной часто становятся ошибки при передаче данных в третьи руки для разного рода тестирований, решения маркетинговых задач и др. Российское законодательство, включая 152-ФЗ, обязывает защищать такую информацию, и в этих случаях применяется маскирование, для которого группа компаний “Гарда” предоставляет необходимый инструментарий.
  • Актуальные инструменты защиты персональных данных в СУБД
    Раджабали Гаджиев, Руководитель группы по технической защите чувствительной информации Cross Technologies
    Проблема утечек данных является одной из наиболее острых в современном мире информационных технологий. Все чаще компании и их клиенты оказываются под угрозой в связи с возможными утечками конфиденциальной информации, что влечет за собой серьезные финансовые и репутационные риски.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...