В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Причем у сотрудников безопасности и собственников бизнеса заблуждения по этому вопросу могут быть разные, например:
Причины подобного отношения скрываются в сложности и неочевидности вопроса. Базы данных, их структура, синтаксис запросов к ним – вещи совсем не тривиальные, и, как правило, они находятся не в компетенции отдела безопасности. С типовыми же политиками безопасности, такими как запрет использования USB-носителей или ограничение доступа на различные сайты в рабочее время, дела обстоят куда проще, и настройка подобных запретов по силам любому офицеру безопасности. Специализированные продукты лишь помогают сделать эти задачи удобнее и автоматизировать их выполнение.
Защита баз данных же без специализированных средств – задача практически невозможная, слишком высоким уровнем знаний должен обладать офицер безопасности. Кроме того, даже при этом условии большую часть работы придется перекладывать на ИT-отдел, что тоже доставляет неудобства.
Давайте попробуем рассмотреть типовую задачу по защите баз данных, характерную для компании практически в любой отрасли.
Этап 1. Найти все базы данных, которые нужно защищать
Как правило, начинается все с того, что нужно выделить несколько баз данных, которые действительно нужно контролировать (т.е. определить, где содержится по-настоящему ценная для компании информация). Правда, зачастую и здесь возникают вопросы, а именно: "Зачем выделять какие-то избранные базы данных, почему бы не контролировать все?". Ответ прост: практика внедрений решений по защите баз данных показывает, что лишь 20–30% от их количества в компаниях содержат критически важную информацию, на обеспечение конфиденциальности которой действительно стоит тратить ресурсы. Остальные базы данных несут лишь вспомогательные функции, в одних хранится какая-то внутренняя информация, другие используются для тестовых целей, отладки и т.п.
Этап 2. Определить ценную информацию
После того, как был выделен перечень контролируемых баз данных, необходимо определить, какие данные являются наиболее ценными. Если перенести эту задачу на язык работы с базами данных, нужно выделять ряд таблиц, полей, вызываемых процедур, синонимов и представлений. В случае, когда у компании нет практики ведения полноценной документации на все базы данных, то задача для офицера безопасности становится практически нереализуемой. Перебирать вручную тысячи таблиц и анализировать, что в них находится, – это очень долго. К тому же, структура базы данных может меняться: например, могут быть созданы новые таблицы или удалены старые. При этом администраторы баз данных вполне способны создавать временные единицы – синонимы, представления.
Этап 3. Распределить роли пользователей баз данных
Даже если сотрудник отдела безопасности справился с первыми двумя задачами, следующая сложность возникнет на этапе определения ролей, а именно – кто из сотрудников компании какими привилегиями должен обладать. Как правило, такую задачу чтением должностных инструкций не решить, они не распространяются на содержимое таблиц баз данных. На оптимальную ролевую модель, созданную администратором баз данных, надеяться также не получится: нередки случаи, когда рядовые сотрудники банков обладали практически безграничными привилегиями в базе данных, содержащей в себе всю персональную информацию о клиентах, просто потому что так было удобнее администраторам. А это несет прямые риски для защиты конфиденциальности информации, охраняемой законодательно.
В результате вышеперечисленных действий:
Но и этого оказывается недостаточно. Теперь нужно составить грамотные политики безопасности, нацеленные на защиту данных, которые позволят решать две основные задачи:
Как правило, составление политик безопасности включает в себя и список баз данных, и перечень чувствительных таблиц, и ролевую модель работы с этими данными.
Многие компании подходят к безопасности баз данных именно так. Доступными способами получают все необходимое для составления политик безопасности и считают задачу выполненной. В действительности задача решается лишь "для галочки". Построенная система абсолютно не приспособлена к внешним изменениям. Если база данных мигрировала на новый сервер, изменился IP-адрес или поменялся перечень критичных таблиц, необходимо снова делать ряд ручных операций, про которые часто забывают, поскольку сотрудники безопасности часто не знают об изменениях, внесенных в ИT-инфраструктуру.
Но технологии идут вперед, в нашу жизнь приходит все больше программ, облегчающих все аспекты жизни. Внедрение специализированных систем информационной безопасности позволяет большую часть проблем, ранее решаемых сотрудниками безопасности и представителями ИT-отделов вручную, автоматизировать и значительно упростить.
Использование качественных системных решений класса DAM позволяет серьезно повысить эффективность защиты баз данных. При этом защита будет осуществляться максимально автономно и круглосуточно, что просто невозможно при решении подобных задач в ручном режиме. Кроме того, на порядок увеличивается оперативность принятия решений при предотвращении инцидентов нарушения политик информационной безопасности. А специалисты по информационной
безопасности получают расширенные аналитические возможности обработки данных аудита, что повышает прозрачность процессов использования баз данных, а также эффективность и безопасность всех бизнес-процессов в целом.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2015