20.03.2013

Задача есть, а как решать? Практический подход к обеспечению защиты персональных данных в среде Oracle

Information Security, № 1, март, 2013<br>
Статья Александра Додохова, руководителя направления защиты баз данных компании "Аладдин Р.Д."

Нетривиальная задача глобальных масштабов – так, в свете реализации требований законодательства по защите персональных данных (ПДн), была обозначена ситуация, в которой оказались предприятия, использующие системы управления базами данных зарубежного производства. Согласно отчёту IDC (IDC "Worldwide Embedded Database Management Systems 2008 Vendor Shares") в настоящее время на рынке реляционных СУБД лидирует корпорация Oracle, контролирующая 44,3% соответствующего сегмента. По некоторым оценкам масштаб использования ПО Oracle в отечественном госсекторе приближается к 80%. Обеспечение защиты информации, хранящейся в таких базах данных, сегодня является едва ли не самой приоритетной задачей для подавляющего большинства государственных структур и организаций крупного корпоративного сегмента. К настоящему времени все информационные системы, оперирующие персональными данными, должны быть приведены в соответствие требованиям законодательства, прикладное решение этой задачи грозит обернуться серьёзной головной болью для большинства крупных операторов ПДн.

Технические и программные средства защиты информации (СЗИ) должны удовлетворять нормативным требованиям, т.е. пройти соответствующую процедуру в системах сертификации ФСТЭК. Если мы имеем дело с высоким классом ИСПДн, то речь уже идет об обязательном применении средств криптографический защиты (СКЗИ), причем на базе ГОСТ. Иного алгоритма регулятор в лице ФСБ (при использовании СКЗИ сертификацию предстоит пройти именно по линии ФСБ) не одобрит. Сама же реализация требований по обеспечению безопасности информации в средствах защиты возлагается на их разработчиков.

Что остаётся операторам персональных данных? Желающих заменить исправно функционирующую "буржуйскую" СУБД аналогичной системой отечественной разработки найдётся немного. Тому есть немало веских причин, начиная от отсутствия прямого "товара-заменителя" и заканчивая нерентабельностью такого проекта. Между тем все СУБД зарубежных разработчиков созданы с учётом международных стандартов и, там, где это требуется, используют западную криптографию (DES, 3DES, AES). Это создаёт весьма туманные перспективы для их аттестации, согласно требованиям Федерального Закона "О персональных данных" и нормативной базы за авторством ФСТЭК и ФСБ.

Не все одинаковые

Твёрдая позиция государства в отношении обеспечения защиты персональных данных граждан за короткое время привела к формированию новообразовавшегося сегмента рынка средств защиты персданных. В основном на нём представлены в срочном порядке перепозиционированные решения, "заточенные" под выполнение требований регуляторов, а также давно знакомые продукты, спешно прошедшие сертификацию в соответствующих центрах. Непростая экономическая ситуация и непредсказуемость ряда бизнес-процессов не способствуют инвестированию в разработку новых программных и аппаратных средств, призванных удовлетворить спрос, разжигаемый приближающимся часом икс. Иной подход демонстрируют немногие. Одна из них - компания "Аладдин Р.Д.", с 2004 года занимающаяся разработкой решений для защиты данных в среде Oracle.

Как и следовало ожидать, система защиты для БД Oracle базируется на флагманском продукте компании - eToken, ключевом носителе в формате USB-устройства. Сертифицированное по линии ФСБ новое СКЗИ получило название "Крипто БД". Система предназначена для работы со всей линейкой Oracle Database Server 9i, 10g и 11g, потенциально оперирующих с персональными данными. eToken "Крипто БД" предназначена для:

  • разграничения доступа — каждый пользователь, включая администратора, может иметь доступ только к необходимой ему информации согласно занимаемой должности;
  • защиты доступа – доступ к данным может быть предоставлен пользователю только после успешного прохождения процедур идентификации и аутентификации;
  • шифрования данных — для защиты от перехвата шифровать необходимо данные, передаваемые по сети, а также данные, записываемые на носитель; защита самого носителя от кражи и несанкционированного просмотра/модификации, хранимых в его памяти данных, осуществляется иными средствами вне системы управления БД;
  • аудита доступа к данным — действия с критичными данными должны протоколироваться. Доступ к протоколу не должны иметь пользователи, на которых он ведётся.

Таким образом, eToken "Крипто БД" представляет собой сертифицированное решение, интегрирующее основные компоненты защиты БД. Применение СКЗИ eToken "Крипто БД" обеспечивает соблюдение норм законодательства РФ и требований руководящих документов, определяющих состав мер и технических средств, для защиты информационных систем обработки персональных данных. Построение защиты в СУБД Oracle на базе продукта реализует выполнение требований для ИСПДн К2 до уровня защиты 1Г включительно.