Задача есть, а как решать?Практический подход к обеспечению защиты персональных данных в среде Oracle

Александр Додохов
Руководитель направления
защиты баз данных,
компания "Аладдин Р.Д."

Технические и программные средства защиты информации (СЗИ) должны удовлетворять нормативным требованиям, то есть пройти соответствующую процедуру в системах сертификации ФСТЭК. Если мы имеем дело с высоким классом ИСПДн, то речь уже идет об обязательном применении средств криптографической защиты (СКЗИ), причем на базе ГОСТ. Иного алгоритма регулятор (при использовании СКЗИ сертификацию предстоит пройти по линии ФСБ) не одобрит. Сама же реализация требований по обеспечению безопасности информации в средствах защиты возлагается на их разработчиков.

Не все одинаковые

Твердая позиция государства в отношении обеспечения защиты ПДн граждан за короткое время привела к формированию новообразовавшегося сегмента рынка средств защиты переданных. В основном на нем представлены в срочном порядке перепозиционированные решения, "заточенные" под выполнение требований регуляторов, а также давно знакомые продукты, спешно прошедшие сертификацию в соответствующих центрах. Непростая экономическая ситуация и непредсказуемость ряда бизнес-процессов не способствуют инвестированию в разработку новых программных и аппаратных средств, призванных удовлетворить спрос, разжигаемый приближающимся часом икс. Иной подход демонстрируют немногие компании. Одна из них - "Аладдин Р.Д.", с 2004 г. занимающаяся разработкой решений для защиты данных в среде Oracle.

Как и следовало ожидать, система защиты для БД Oracle базируется на флагманском продукте компании - еТокеп, ключевом носителе в формате USB-устройства. Сертифицированное по линии ФСБ новое СКЗИ получило название "Крипто БД". Система предназначена для работы со всей линейкой Oracle Database Server 9i, 10g и 11g, потенциально оперирующих с ПДн. еТокеп "КриптоБД" предназначена для:

• разграничения доступа - каждый пользователь, включая администратора, может иметь доступ только к необходимой ему информации согласно занимаемой должности;
• защиты доступа - доступ к данным может быть предоставлен пользователю только после успешного прохождения процедур идентификации и аутентификации;
• шифрования данных - для защиты от перехвата шифровать необходимо данные, передаваемые по сети, а также данные, записываемые на носитель; защита самого носителя от кражи и несанкционированного просмотра/модификации хранимых в его памяти данных осуществляется иными средствами вне системы управления БД;
• аудита доступа к данным - действия с критичными данными должны протоколироваться. Доступ к протоколу не должны иметь пользователи, на которых он ведется.

Таким образом, еТокеп "КриптоБД" представляет собой сертифицированное решение, интегрирующее основные компоненты защиты БД. Применение СКЗИ еТокеп "КриптоБД" обеспечивает соблюдение норм законодательства РФ и требований руководящих документов, определяющих состав мер и технических средств для защиты информационных систем обработки ПДн. Построение защиты в СУБД Oracle на базе продукта реализует выполнение требований для ИСПДн К2 до уровня защиты 1Г включительно.