СУБД Oracle под защитой российского ГОСТа
Средство криптографической защиты информации (СКЗИ), предназначенное для обеспечения конфиденциальности и целостности информации в СУБД Oracle - eToken КриптоБД компании «Аладдин Р.Д.» - получило сертификат ФСБ.
С момента вступления в силу ФЗ-152 прошло почти четыре года, но ни для кого не секрет, что CD с записанными базами персональных данных открыто продаются в торговых точках Москвы, они время от времени всплывают в интернете – и утечки ПДн из БД различных организаций происходят по целому ряду причин, предвидеть которые можно, но бороться с которыми очень трудно. Так, по данным "2010 Data Breach Investigations Report", 98% утечек происходит с серверов. При этом 48% - по инсайдерским каналам из-за неправомерного использования привилегий, 40% - в результате действий хакеров, 38% - из-за вредоносного ПО, 28% - выманивается "социальными методами" (за "шоколадку") и 15% - в результате физических атак. СКЗИ eToken КриптоБД позволяет эти риски свести к минимуму в СУБД Oracle – а в России, по данным аналитиков, они занимают почти половину рынка реляционных систем управления базами данных, причем в госсекторе чуть ли не 80% организаций - пользователи СУБД Oracle. При этом "Крипто БД" представляет собой "горизонтальное" решение для защиты информации различного характера в любой отрасли - оно встраивается в 95% информационных систем с приложениями "клиент-сервер" (для многозвенных приложений информационных систем требуется дополнительный анализ ИС в зависимости от потребностей заказчика).
СКЗИ eToken КриптоБД – это программно-аппаратный комплекс для обеспечения конфиденциальности и целостности информации в СУБД Oracle, использующий электронные ключи и смарт-карты eToken для хранения ключевой информации. В решении реализован российский алгоритм шифрования данных по ГОСТ 28147-89, что позволяет заказчикам при применении "Крипто БД" выполнить нормы законодательства РФ и требования руководящих документов, определяющих состав мер и технических средств для защиты информационных систем. Построение защиты данных в СУБД Oracle с использованием этого решения позволяет обеспечить выполнение требований для информационных систем, обрабатывающих персональные данные, до первого класса включительно, и для создания автоматизированных систем до класса защищенности 1Г включительно.
Представляя решение на специально организованном для заказчиков, партнеров и представителей прессы семинаре, Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.", отметил, что совместная работа с Oracle по защите информации в компании ведется с 2003 г. За это время создана линейка продуктов для построения защищенных от несанкционированного доступа информационных систем. Разработке eToken КриптоБД предшествовало реализованное в 2005 г. решение SafeData с использованием зарубежных алгоритмов криптографии, встроенных в СУБД Oracle. СКЗИ eToken КриптоБД, использующее для защиты данных и ключей в среде Oracle агоритмы, построенные в соответствии с российскими стандартами криптографии, было разработано в 2007 г. и в течение двух лет проходило сертификацию в ФСБ России. "Эта разработка не новая, но она обрела новое качество после получения подтверждения органов сертификации, - заметил Александр Додохов, руководитель направления защиты баз данных компании «Аладдин Р.Д.» - Это действительно первое СКЗИ, которое компания "Аладдин" разработала собственными силами, и первое СКЗИ, которое было сертифицировано в России для работы в среде СУБД Oracle."
По словам Александра Додохова, в вопросах защиты информации в базах данных можно выделить две основные задачи – защиту "бумажную", подразумевающую получение соответствующих сертификатов, и защиту реальную. Разработчики постарались прозрачно решить обе эти задачи. Первую – получением сертификата ФСБ (в настоящее время идет сертификация также во ФСТЭК). Вторую – функциональными возможностями СКЗИ: реализация алгоритма по ГОСТ 28147-89 в различных режимах для шифрования колонок таблиц на сервере БД, управление ключами шифрования данных, дискретная и мандатная модель разделения доступа, контроль целостности собственного программного обеспечения и служебной информации; контроль доступа (аудит) к зашифрованным данным.
Доступ к данным может получить пользователь, прошедший процедуру идентификации, аутентификации и авторизации ключа шифрования. При этом каждый пользователь, независимо от уровня привилегий, имеет право на доступ только к необходимой ему информации согласно занимаемой должности. Так, для получения доступа к конфиденциальным данным каждому пользователю информационной системы назначается персональный ключевой носитель eToken. В защищенной области памяти носителя надежно сохраняется ключевая информация пользователя, в том числе неизвлекаемый закрытый ключ и цифровые сертификаты. Хранение ключевой информации в отдельном адресном пространстве обеспечивает дополнительную защиту объектов СКЗИ от любой активности недоверенной среды рабочего места пользователя (пользовательских приложений, вредоносных программ и т.п.). Кроме того, СКЗИ позволяет анализировать и фиксировать все действия в сети независимо от уровня привилегий. Статистические «срезы» активности администраторов и пользователей в дальнейшем могут применяться при служебных расследованиях инцидентов в области информационной безопасности, предоставляя доказательную базу при назначении штрафных санкций.
Как сообщил Александр Додохов, в настоящее время eToken Крипто БД уже работает в Федеральном агентстве по рыболовству, а также реализуется пилотный проект его внедрения в Федеральном агентстве по контролю за оборотом наркотиков. В планах "Аладдин Р.Д." - сертификация решения по уровню защиты КС3, использование eToken GOST на рабочих станциях клиентов, интеграция со встроенными средствами разделения доступа Oracle (сертифицированные версии).
При этом, как отметил Алексей Кузьмин, заместитель начальника Центра безопасности связи ФСБ России, Международная организация по стандартизации ИСО летом этого года опубликовала новый международный стандарт ISO/IEC 14888-3:2006/Amd 1:2010, в который впервые включен российский криптографический алгоритм, определенный в стандарте ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». В настоящее время российская сторона ведет активную работу по включению алгоритма по ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» в международный стандарт ISO 18033-3:2005. По словам Алексея Кузьмина, признание этого российского алгоритма шифрования данных в качестве международного стандарта может состояться в ближайшие два года.