"Крипто БД" в рамках аналитического обзора Tadviser по импортозамещению
Обзор системы "Крипто БД" от компании "Аладдин Р.Д."
Введение
Средство криптографической защиты информации "Крипто БД" обеспечивает надёжный контроль и защиту данных от несанкционированных действий администратора системы управления базами данных (СУБД) и других нарушителей.
Службы безопасности вынуждены доверять администраторам баз данных, что приводит к возникновению вполне реального риска нарушения конфиденциальности и утечки важной, а зачастую и критичной для организации информации. При этом большинство организаций "обходит" проблему защиты от администратора СУБД введением формальных организационных ограничений и правил, применением комплиметарных средств физической безопасности и внесением в модели угроз специальных исключений. Однако такой подход к решению проблемы малоэффективен, при этом проблема незащищённости СУБД от её администратора имеет свои реальные последствия, выражающиеся как в финансовых, так и репутационных потерях.
Проблема предотвращения утечки конфиденциальной информации и защиты от администратора СУБД успешно решается системой "Крипто БД" с помощью шифрования данных информации в базе данных. Данные всегда находятся в зашифрованном виде и становятся доступны только при успешной авторизации владельца ключа доступа.
"Крипто БД" использует стойкие алгоритмы шифрования, а также алгоритмы обеспечения целостности данных. Для высокой надёжности защиты данных реализована система безопасного распределения и хранения ключей шифрования с использованием, в том числе, аппаратных носителей ключевой информации.
Защита СУБД в цифрах
По данным компании "Аладдин Р.Д.", сегодня наблюдается устойчивый рост зависимости организаций от данных, обрабатываемых в СУБД.

Импортозамещение
Система криптографической защиты информации "Крипто БД" соответствует основным требованиям государства в области импортозамещения:
- кодовая база продукта полностью отечественная;
- собственник продукта — компания "Аладдин Р.Д. " — на 100 % пренадлежит гражданам РФ;
- техническая поддержка осуществляется на русском языке в РФ;
- сертифицирована ФСБ России по требованиям к СКЗИ класса КС1 и класса КС2;
- зарегистрирована в Едином реестре отечественного ПО (№ 509, № 518, № 4292, № 4293).
Применение "Крипто БД" позволяет выполнить требования ряда нормативных документов:
- Приказ ФСБ России № 378 от 10 июля 2014 г. "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости";
- Приказ Минкомсвязи России № 96 от 1 апреля 2015 г. "Об утверждении плана импортозамещения программного обеспечения";
- Приказ Минкомсвязи № 242 от 29 сентября 2011 г. "Об утверждении порядка передачи реестров квалифицированных сертификатов ключей проверки электронной подписи и иной информации в федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи в случае прекращения деятельности аккредитованного удостоверяющего центра";
- Приказ ФСТЭК России № 21 от 18 февраля 2013 г. (ред. от 23 марта 2017 г.) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
- Приказ ФСТЭК России №17 от 11 февраля 2013 г. "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
Система "Крипто БД"
Описание системы
"Крипто БД" — это корпоративная система криптографической защиты информации, хранимой и обрабатываемой в базах данных.
Назначение:
Основным назначением системы является криптографическая защита (далее шифрование) данных, хранящихся в таблицах базы данных от несанкционированного доступа. Данный программный комплекс позволяет обеспечить:
- предотвращение несанкционированного доступа к конфиденциальной информации размещенной в таблицах базах данных;
- защиту информации от злонамеренных действий системного администратора;
- шифрование и защиту информации при использовании трехзвенной архитектуры доступа к базе данных;
- аудит действий пользователей и администратора СУБД при попытках доступа к защищаемой информации.
Сферы применения системы
В силу повсеместного использования СУБД для хранения и обработки конфиденциальной информации, а также широкого распространения угроз компрометации конфиденциальной информации, "Крипто БД" имеет широкую сферу применения, распространяющуюся на все без исключения отрасли рынка РФ. Основными пользователями "Крипто БД" являются:
- органы государственной власти и местного самоуправления, организации различных форм собственности, работающие с конфиденциальной информацией и персональными данными;
- государственные организации, подпадающие под действие ряда требований информационной безопасности, в обязательства которых зачастую включается ответственность за обеспечение конфиденциальности обрабатываемой ими информации;
- коммерческие организации, использующие, либо планирующие внедрение информационных систем, обрабатывающих критически важные для их бизнеса данные.
Противодействие угрозам организации
С точки зрения деятельности организации в целом, основным эффектом от внедрения "Крипто БД" является существенное снижение рисков компрометации критичной информации и всех сопровождающих это последствий. Внедрение "Крипто БД" позволяет в кратчайшие сроки организовать надёжную систему шифрования и защиты конфиденциальной информации в базах данных, исключив тем самым реализацию ряда современных угроз:
|
|
Особенности
- Использование быстрого и простого в реализации способа криптографической защиты информации в СУБД.
- Минимальные затраты времени и ресурсов на организацию централизованной системы шифрования информации в базах данных.
- Простота в эксплуатации и отсутствие необходимости существенного изменения производственных процессов для использования "Крипто БД".
- Ориентация на российский рынок (поддержка алгоритмов ГОСТ).
- Оптимальная стоимость лицензий в рублях, не зависящая от курса доллара.
- Возможность комплексного использования и "бесшовной" интеграции с целым рядом решений безопасности от ведущего российского производителя средств защиты информации — "Аладдин Р.Д.".
- Соответствие требованиям российского законодательства в использовании СКЗИ.
- Воплощение мировых практик в сфере создания продуктов и решений для обеспечения ИБ.
Общие принципы работы системы
Защита информации обеспечивается шифрованием данных "на лету". При запросах информации из базы данных производится их расшифрование, при записи в базу данных — зашифрование. Находящаяся в базе данных информация всегда зашифрована. Алгоритм шифрования выбирается администратором информационной безопасности "Крипто БД" при настройке системы и может быть изменён в любой момент в процессе работы.
С расшифрованными данными в ответе на запрос в базу данных авторизованный пользователь работает в обычном режиме. Для того чтобы осуществить доступ к защищаемой информации, пользователю необходимо обладать ключевым носителем (смарт-картой или USB-токеном), знать его PIN-код и иметь соответствующие полномочия.
Функции и возможности
Состав и совместимость системы "Крипто БД"
Система "Крипто БД" состоит из следующих компонент:
- компоненты сервера "Крипто БД";
- консоль управления администратора безопасности;
- коллекторы аудита (опционально).
Система "Крипто БД" функционирует на различных платформах распространённых СУБД:
- Oracle;
- Microsoft SQL Server;
- PostgreSQL;
- Tibero.
Клиентское ПО системы работает под управлением операционной системы Microsoft Windows XP/Vista/7/8/8.1 (32- и 64-бит).
Шифрование данных
Защищённое хранение данных с применением встроенных в "Крипто БД" стойких алгоритмов шифрования:
- алгоритмы ГОСТ 28147-89 и ГОСТ 28147-2012.
Шифрование таблиц/столбцов базы данных
"Крипто БД" может зашифровывать отдельные столбцы таблиц в СУБД. Уникальность данной функции заключается в том, что в одно и то же время она позволяет авторизованным пользователям видеть расшифрованные данные, а всем остальным — их маскирующие значения. Авторизованным пользователем является тот, кто имеет доступ к ключу шифрования. Такой доступ должен быть назначен администратором безопасности. Этот метод защиты исключает нежелательный доступ к данным со стороны системного администратора, обладающего высочайшим уровнем привилегий в ИТ-системе.
"Прозрачность" для приложений
Приложение, работающее с незашифрованными данными, после зашифрования таблиц с помощью "Крипто БД" не требует какой-либо доработки, как на стороне клиентского ПО, так и на сервере базы данных.
Дополнительная авторизация
Для подтверждения права доступа к защищённой информации производится дополнительная авторизация пользователей, требующая предъявления USB-токена/смарт-карты и ввода PIN-кода.
Необратимое удаление данных
Удаление ключей шифрования из системы приводит к необратимой потере зашифрованных данных. Это исключает возможность их дальнейшего восстановления.
Централизованное управление
Выполнение большинства сервисных операций и действий с настройкой системы "Крипто БД" через консоль управления. Консоль управления позволяет работать с неограниченным количеством СУБД.
Централизованный мониторинг и аудит
Единый центр мониторинга и аудита аккумулирует информацию различных служебных событиях "Крипто БД" и доступа пользователей к зашифрованным данным.
Разграничение доступа на основе ролевой модели
Реализация гибкой ролевой модели с надежным разделением операций по управлению "Крипто БД", изменяемой в полном соответствии с действующей политикой организации.
Архитектура
Схема взаимодействия компонентов

Назначение компонентов
- API "Крипто БД" – ядро "Крипто БД", осуществляющее все криптографические операции, включающие шифрование информации, защиту ключей шифрования, безопасную передачу ключей шифрования, обеспечение целостности данных, служебного ПО, и служебной информации.
- Репозиторий "Крипто БД" – набор информации о зашифрованных таблицах, ключах шифрования, пользователях, настройках аудита, истории изменения указанной информации.
- Сервис вычисления ключей – служба, предназначенная для безопасной передачи ключей шифрования между клиентом и сервером.
- Консоль администрирования "Крипто БД" консоль администратора безопасности, позволяющая выполнять следующие операции:
- обеспечение жизненного цикла ключей шифрования;
- шифрование (перешифрование) данных в таблицах базы данных;
- управление пользователями (ключами шифрования пользователей);
- управление аудитом;
- контроль целостности собственного ПО и объектов пользователей;
- контроль ошибочных ситуаций.
- Компонент клиента (Клиент "Крипто БД") интерфейсное ПО для осуществления взаимодействия с СКЗИ для выполнения на сертифицированном СКЗИ криптографических операций.
Сертификаты программного обеспечения
Система "Крипто БД" сертифицирована ФСБ России. Сертификат соответствия № СФ/124-3249 удостоверяет, что "Крипто БД" соответствует требованиям ГОСТ 28147-89, ГОСТ 34.12-2015 и Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС1 (для исполнения 1) и класса КС2 (для исполнения 2) и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование пользовательских данных, вычисление имитовставки для пользовательских данных) информации, не содержащей сведений, составляющих государственную тайну, хранящейся в таблицах баз данных под управлением СУБД Oracle, Microsoft SQL Server, PostgreSQL и Tibero.