Что отвечает за безопасность данных в бд

Способы защиты баз данных

Базовые средства защиты баз данных

Например, сотруднику отдела “А” временно понадобился доступ к клиенту отдела “Б”. С большой вероятностью внесение изменений в матрицу доступа к данным не будет иметь обратного характера, что в конечном итоге приводит к наличию учетных записей с сильно расширенными привилегиями, за использованием которых стоит следить.

Штатный аудит баз данных

Для проведения такого мониторинга многие организации пользуются «штатным аудитом» – средствами защиты баз данных, входящими в состав коммерческих СУБД. Штатный режим защиты включает ведение журнала подключения к СУБД и выполнения запросов теми или иными пользователями. Если коротко, принцип работы штатного аудита – это включение и настройка триггеров и создание специфичных функций – процедур, которые будут срабатывать при доступе к чувствительной информации и вносить данные о подобном доступе (кто, когда, какой запрос делал) в специальную таблицу аудита. Этого бывает достаточно для выполнения ряда отраслевых требований регуляторов, но не принесет практически никакой пользы для решения внутренних задач информационной безопасности, таких как расследование инцидентов.

Ключевые недостатки штатного аудита как защиты баз данных:

Автоматизированные системы защиты баз данных

Более эффективный подход – использование специализированных систем информационной безопасности в области защиты бд – решений классов DAM и DBF.

DAM (Database Activity Monitoring) – это решение независимого мониторинга действий пользователей в СУБД. Под независимостью здесь понимается отсутствие необходимости переконфигурации и донастройки самих СУБД. Системы такого класса могут ставиться пассивно, работая с копией трафика и не оказывая никакого влияния на бизнес-процессы, частью которых являются базы данных.

Преимущество систем такого класса – гибкая система отчетности и интеграции с SIEM-системами большинства вендоров, для более глубокого корреляционного анализа выполняемых запросов.

DBF (Database Firewall) – это смежное по классу решение, которое также обладает возможностью «проактивной» защиты информации. Достигается это блокировкой нежелательных запросов. Для решения этой задачи уже недостаточно работы с копией трафика, а требуется установка компонентов системы защиты «в разрыв».

На российском рынке представлено решение класса DAM «Гарда БД» от компании «Гарда Технологии». Это программно-аппаратный комплекс, который проводит непрерывный мониторинг всех запросов к базам данных и веб-приложениям в реальном времени и хранит их в течение длительного срока. Система проводит сканирование и выявление уязвимостей СУБД, такие как незаблокированные учётные записи, простые пароли, неустановленные патчи. Реагирование на инциденты происходит мгновенно в виде оповещений на e-mail и в SIEM-систему.

Система защиты баз данных устанавливается пассивно, то есть не влияет на производительность сети компании. Интеллектуальная система хранения позволяет формировать архив запросов и ответов к базам данных за любой период времени для дальнейшего ретроспективного анализа и расследования инцидентов. Это первая система класса DAM, вошедшая в реестр отечественного ПО и установленная в ряде крупных российских банков.

В следующей статье мы более подробно рассмотрим задачи, которые часто стоят перед DAM-системами, расскажем, почему для DAM так важно умение работы с http/http’s трафиком и как обеспечить защиту от SQL инъекций.

Источник

ЗАЩИТА И БЕЗОПАСНОСТЬ БАЗ ДАННЫХ

Под «защитой БД» понимается способ предотвратить несанкционированный доступ к информации, хранимой в таблицах. Одним из наиболее слабых мест при обеспечении безопасности данных (защите конфиденциальных данных), как правило, является большое количество лиц, получающих к ним доступ на самых различных уровнях. То есть угрозы хранящейся в базах данных информации возникают не только извне, но и изнутри со стороны легальных пользователей. Наиболее типичным примером является скачивание базы данных системным администратором перед увольнением, или воровство базы сотрудником, имеющим к ней доступ в связи с должностными обязанностями. Таким образом, вне зависимости от уровня защищенности каналов доступа к информации, пока существуют бумага и ручка, нельзя быть уверенными, что безопасность баз данных отвечает корпоративным требованиям.

Существует целый ряд технологий и приёмов атак на базы данных, эффективность которых зависит от конфигурации базы данных и сервера, на котором она функционирует, от того, насколько правильно спроектирована и реализована ИТ-инфраструктура и топология сети в целом, от человеческого фактора и лояльности персонала. Атаки на web-серверы и на серверы баз данных зачастую преследуют одни и те же цели, запускаются одними и теми же лицами, и имеют схожий характер. Поэтому и защита информации в базах данных строится на использовании решений, имеющих похожие принципы работы и архитектуру. Среди множества средств защиты БД можно выделить основные и дополнительные.

К основным средствам защиты информации относят следующие:

защита полей и записей таблиц БД.

установление прав доступа к объектам БД;

шифрование данных и программ;

К дополнительным средствам защиты БД можно отнести такие, которые нельзя прямо отнести к средствам защиты, но которые непосредственно влияют на безопасность данных. Это:

встроенные средства контроля значений данных в соответствии с типами;

повышения достоверности вводимых данных;

обеспечения целостности связей таблиц;

организации совместного использования объектов БД в сети.

По мнению экспертов компании Application Security, существует 10 основных угроз БД, которые наиболее часто игнорируются ИТ-персоналом:

Используемые по умолчанию, пустые или слабые пароли и логины;

Расширенные пользовательские и групповые права;

Активизация неиспользуемых функций БД;

Нарушение в управлении конфигурациями;

Несвоевременное обновление ПО;

Отказ от шифрования данных на стационарных и мобильных устройствах.

Существует множество программных решений для защиты баз данных и обеспечения безопасности конфиденциальной информации:

McAfee Database Security;

Secret Disk Server NG;

Крипто БД: защита баз данных (Oracle);

DataSecure и другие.

Помимо систематического применения арсенала средств защиты БД, необходимо использовать административные и процедурные меры, в частности регулярное изменение паролей пользователей, предотвращение доступа к физическим носителям информации и т.п.

Таким образом, информационные активы составляют основу бизнеса любой организации, а базы данных являются доминирующим инструментом для хранения структурированной информации. Растущие масштабы краж критически важных данных делают все более актуальной необходимость в защите баз данных. Особенно значимым является создание системы защиты от внутренних злоумышленников. Система защиты БД играет важнейшую роль в автоматизации контроля над действиями пользователей, работающими с базами данных, защите от внешних и внутренних угроз и повышении надежности функционирования баз данных.

Список использованных источников

В рамках реализации «Государственной молодежной политики Российской Федерации на период до 2025 года» и направления «Вовлечение молодежи в инновационную деятельность и научно-техническое творчество» коллективами преподавателей различных вузов России в 2009 году было предложено совместное проведение электронной научной конференции «Международный студенческий научный форум».

Источник

Безопасность баз данных

Что такое безопасность баз данных

Понятие «безопасность баз данных» включает в себя целый ряд инструментов, средств контроля и мер, направленных на обеспечение и поддержку конфиденциальности, целостности и доступности баз данных. Основное внимание в данной статье уделяется вопросам конфиденциальности, поскольку большинство инцидентов безопасности связано с утечкой конфиденциальных данных.

Безопасность баз данных должна включать в себя следующие элементы:

Безопасность баз данных — сложная и комплексная инициатива, охватывающая все аспекты технологий и методов в области информационной безопасности. Кроме того, требования к безопасности баз данных и удобству использования часто противоречат друг другу. Чем доступнее и удобнее база данных для конечных пользователей, тем уязвимее она для угроз безопасности; чем защищеннее база данных от угроз, тем сложнее получить доступ к данным (этот парадокс также известен как правило Андерсона (внешняя ссылка)).

Почему это важно?

Под утечкой данных понимают неспособность обеспечить конфиденциальность данных в базе данных. Степень серьезности последствий утечки данных для предприятия зависит от целого ряда событий или факторов:

Распространенные угрозы и проблемы

Существует множество ошибок конфигурации ПО, уязвимостей, примеров халатного отношения или ненадлежащей эксплуатации, которые могут привести к утечке данных. Ниже приводятся наиболее распространенные виды и причины атак на систему безопасности баз данных.

Внутренние угрозы

Внутренняя угроза — это угроза безопасности, исходящая от любого из трех возможных источников, обладающих привилегированным доступом к базе данных:

Внутренние угрозы относятся к основным причинам нарушений в сфере безопасности баз данных и часто являются результатом чрезмерного количества привилегированных учетных записей.

Ошибки, вызванные человеческим фактором

Случайности, ненадежные пароли, предоставление паролей другим лицам и другие непродуманные или недальновидные действия пользователей по-прежнему составляют около половины (49%) всех зарегистрированных случаев утечки данных (внешняя ссылка).

Использование уязвимостей ПО баз данных

Поиск уязвимостей в разнообразных программных продуктах, включая ПО для управления базами данных, и проведение преднамеренных атак с их использованием — источник заработка для злоумышленников. Все крупные производители коммерческого ПО для баз данных и открытые платформы управления базами данных регулярно выпускают исправления безопасности для устранения обнаруженных уязвимостей, однако несвоевременная установка таких исправлений повышает вероятность атак.

Атаки путем внедрения кода SQL/NoSQL

Этот вид угроз, характерных для баз данных, заключается во внедрении произвольных строк SQL или другого кода в запросы к базе данных, обрабатываемые веб-приложениями или заголовками HTTP. Организации, которые не придерживаются рекомендаций по созданию защищенного кода веб-приложений и не выполняют регулярное тестирование на наличие уязвимостей, могут стать жертвами таких атак.

Атаки переполнения буфера

Переполнение буфера происходит, когда процесс пытается записать в блок памяти фиксированной длины данные, размер которых превышает максимально допустимое значение. Для проведения атак злоумышленники могут использовать дополнительные данные, хранящиеся в соседних адресах памяти.

Атаки типа «отказ в обслуживании» (DoS/DDoS)

Во время атаки типа «отказ в обслуживании» (DoS) злоумышленник обрушивает на целевой сервер — в данном случае сервер базы данных — такое количество запросов, что сервер не в состоянии выполнять запросы реальных пользователей. В большинстве случаев это приводит к нестабильной работе или отказу сервера.

При распределенной атаке типа «отказ в обслуживании» (DDoS) поток запросов поступает одновременно с нескольких серверов, из-за чего прервать атаку становится еще труднее. Более подробную информацию вы найдете в нашем видео «Что такое DDoS-атака» (3:51):

Вредоносное ПО

Вредоносное ПО — это программное обеспечение, разработанное с целью использовать уязвимости базы данных или причинить другой ущерб. Вредоносное ПО может проникнуть в систему через любое конечное устройство, подключенное к сети базы данных.

Атаки на резервные копии

Организации, пренебрегающие строгими мерами защиты резервных копий данных, уязвимы для атак на резервные копии.

Следующие факторы повышают уровень серьезности этих атак:

Передовые методы

При постоянном сетевом доступе к базам данных любая угроза безопасности, нацеленная на определенный компонент или часть сетевой инфраструктуры, является угрозой и для самой базы данных. Любая атака, затрагивающая пользовательское устройство или рабочую станцию, может угрожать безопасности базы данных. Таким образом, безопасность баз данных не должна ограничиваться одной лишь базой данных.

При оценке уровня безопасности базы данных с целью определения приоритетных задач следует обратить внимание на следующие вопросы:

Средства контроля и политики

Помимо реализации многоуровневой системы контроля безопасности в масштабе сетевой среды, важно также внедрить правильные средства контроля и политики доступа к самой базе данных. А именно:

Политики в сфере безопасности баз данных должны согласовываться с общими бизнес-целями, включая защиту важных объектов интеллектуальной собственности, политиками обеспечения кибербезопасности и политиками обеспечения безопасности в облачной среде. Внутри организации должны быть определены ответственные лица за обслуживание и аудит мер безопасности. Кроме того, важно, чтобы ваши внутренние правила дополняли политики поставщика облачных услуг в соглашениях о коллективной ответственности. Формальные политики безопасности должны быть подкреплены средствами контроля безопасности, программами обучения и повышения осведомленности в сфере безопасности, стратегиями тестирования на возможность проникновения и оценки уязвимостей.

Инструменты и платформы защиты данных

Сегодня потребителям доступен широкий спектр инструментов и платформ, обеспечивающих защиту данных. Комплексное решение должно предоставлять все из перечисленных ниже функций:

Безопасность баз данных и IBM Cloud

Управляемые IBM облачные базы данных содержат встроенные функции обеспечения безопасности, дополняемые услугами IBM Cloud Security, включая управление идентификацией и доступом, наглядное представление, аналитику и функции защиты данных. Выбирая управляемую IBM облачную базу данных, вы можете быть уверены в надежной защите среды базы данных и сокращении административной нагрузки.

IBM также предлагает IBM Security Guardium — интеллектуальную платформу защиты данных, в состав которой входят функции поиска данных, мониторинга, шифрования, токенизации, оптимизации безопасности и анализа рисков для всех баз данных, хранилищ данных, общих файловых ресурсов и платформ больших данных, независимо от способа размещения — в среде заказчика, в облаке или в гибридных средах.

Кроме того, IBM предоставляет управляемые услуги Data Security Services for Cloud, которые включают услуги по поиску и классификации данных, мониторингу действий с данными, функции шифрования и управления ключами для защиты данных от внутренних и внешних угроз на основе упрощенного подхода к снижению рисков.

Для того чтобы приступить к работе, создайте учетную запись IBM Cloud.

Источник

Основные аспекты безопасности СУБД: что следует знать

Внутренняя операционная информация компании, персональные данные сотрудников, финансовая информация, информация о заказчиках и клиентах, интеллектуальная собственность, исследования рынка, анализ деятельности конкурентов, платежная информации — это сведения, которые чаще всего интересуют киберпреступников, и почти всегда они хранятся в корпоративных базах данных.

Значимость и ценность этой информации приводит к необходимости обеспечения защиты не только элементов инфраструктуры, но и самих баз данных. Попробуем комплексно рассмотреть и систематизировать вопросы безопасности различных систем управления базами данных (СУБД) в свете новых угроз, общих тенденций развития информационной безопасности и их возрастающей роли и разнообразия.

Почти все крупные производители СУБД ограничиваются развитием концепции конфиденциальности, целостности и доступности данных, а их действия направлены, в основном, на преодоление существующих и уже известных уязвимостей, реализацию основных моделей доступа и рассмотрение вопросов, специфичных для конкретной СУБД. Такой подход обеспечивает решение конкретных задач, но не способствует появлению общей концепции безопасности для такого класса ПО, как СУБД. Это значительно усложняет задачу по обеспечению безопасности хранилищ данных на предприятии.

История развития СУБД

Исторически развитие систем безопасности баз данных происходило как реакция на действия злоумышленников. Эти изменения также были обусловлены общим развитием баз данных от решений на мейнфреймах до облачных хранилищ.

Можно выделить следующие архитектурные подходы:

Введение средств защиты как реакции на угрозы не обеспечивает защиту от новых способов атак и формирует разрозненное представление о самой проблеме обеспечения безопасности.

С учетом таких эволюционных особенностей появилось и существует большое количество разнородных средств обеспечения безопасности, что в итоге привело к отсутствию понимание комплексной безопасности данных. Отсутствует общий подход к безопасности хранилищ данных. Усложняется и прогнозирование будущих атак, а также разработка защитных механизмов. Более того, для многих систем сохраняется актуальность уже давно известных атак, усложняется подготовка специалистов по безопасности.

Современные проблемы обеспечения безопасности БД

Список основных уязвимостей СУБД не претерпел существенных изменений за последние годы. Проанализировав средства обеспечения безопасности СУБД, архитектуру БД, известные уязвимости и инциденты безопасности, можно выделить следующие причины возникновения такой ситуации:

Многие уязвимости сохраняют актуальность за счет невнимания или незнания администраторами систем баз данных вопросов безопасности. Например, простые SQL-инъек­ции широко эксплуатируются сегодня в отношении различных web-приложений, в которых не уделяется достаточного внимания входным данным запросов.

Применение различных средств обеспечения информационной безо­пасности является для организации компромиссом в финансовом плане: внедрение более защищенных продуктов и подбор более квалифицированного персонала требуют больших затрат. Компоненты безопасности зачастую могут негативно влиять на производительность СУБД.

Эти проблемы усугубляются с появлением и широким распространением нереляционных СУБД, оперирующих другой моделью данных, однако построенных по тем же принципам, что и реляционные. Многообразие современных NoSQL-решений приводит к разнообразию применяемых моделей данных и размывает границу понятия БД.

Следствием этих проблем и отсутствия единых методик является нынешняя ситуация с безопасностью NoSQL-систем. В большинстве NoSQL-систем отсутствуют не только общепринятые механизмы безопасности вроде шифрования, поддержки целостности и аудита данных, но даже развитые средства аутентификации пользователей.

Особенности защиты БД

Хранилища данных включает в себя два компонента: хранимые данные (собственно БД) и программы управления (СУБД).

Обеспечение безопасности хранимой информации, в частности, невозможно без обеспечения безопасного управления данными. Исходя из этого, все уязвимости и вопросы безопасности СУБД можно разделить на две категории: зависящие от данных и не зависящие от данных.

Уязвимости, независящие от данных, являются характерными и для всех прочих видов ПО. Их причиной, например, может стать несвоевременное обновление ПО, наличие неиспользуемых функций или недостаточная квалификация администраторов ПО.

Большинство аспектов безопасности СУБД является именно зависящими от данных. В то же время многие уязвимости являются косвенно зависимыми от данных. Например, большинство СУБД поддерживают запросы к данным с использованием некоторого языка запросов, содержащего наборы доступных пользователю функций (которые, в свою очередь, тоже можно считать операторами запросного языка) или произвольные функции на языке программирования.

Архитектура применяемых языков, по крайней мере, то, что касается специализированных языков и наборов функций, напрямую связана с моделью данных, применяемой для хранения информации. Таким образом, модель определяет особенности языка, и наличие в нем тех или иных уязвимостей. Причем такие уязвимости, например, как инъекция, выполняются по-разному (sql-инъекция, java-инъек­ция) в зависимости от синтаксиса языка.

Требования к безопасности БД

На основании разделения уязвимостей можно выделить зависящие и независящие от данных меры обеспечения безопасности хранилищ информации.

Не зависящими от данных мож­но назвать следующие требования к безопасной системе БД:

Под доверенной средой следует понимать инфраструктуру предприятия и ее защитные механизмы, обусловленные политиками безопасности. Таким образом, речь идет о функционировании СУБД в соответствии с правилами безопасности, применяемыми и ко всем прочим системам предприятия.

Требования к физической безопасности файлов данных СУБД в целом не отличаются от требований, применяемых к любым другим файлам пользователей и приложений.

Данное требование включает в себя общие задачи обеспечения безопасности, такие как своевременная установка обновлений, отключение неиспользуемых функций или применение эффективной политики паролей.

Следующие требования можно назвать зависящими от данных:

Сюда можно отнести задачи построения безопасных интерфейсов и механизмов доступа к данным.

Вопрос организации данных и управления ими является ключевым в системах хранения информации. В эту область входят задачи организации данных с контролем целостности и другие, специфичные для СУБД проблемы безо­пасности. Фактически эта задача включает в себя основной объем зависящих от данных уязвимостей и защиты от них.

Основные аспекты создания защищенных БД

Для решения обозначенных проблем обеспечения информационной безопасности СУБД необходимо перейти от метода закрытия уязвимостей к комплексному подходу обеспечения безопасности хранилищ информации. Основными этапами этого перехода, должны стать следующие положения.

Создание комплексных методик позволит применять их при разработке и внедрении хранилищ данных и пользовательского ПО. Следование комплексной методике позволит избежать многих ошибок управления СУБД и защититься от наиболее распространенных на сегодняшний день уязвимостей.

Классификация угроз и уязвимостей СУБД позволит упорядочить их для последующего анализа и защиты, даст возможность специалистам по безопасности установить зависимость между уязвимостями и причинами их возникновения. В результате при введении конкретного механизма в СУБД, у администраторов и разработчиков появится возможность установить и спрогнозировать связанные с ним угрозы и заранее подготовить соответствующие средства обеспечения безопасности.

Стандартизация подходов и языков работы с данными позволит создать средства обеспечения безопасности, применимые к разным СУБД. В данный момент они могут быть лишь методическими или теоретическими, так как, к сожалению, появление готовых комплексных программных средств защиты во многом зависит от производителей и разработчиков СУБД и их желания создавать и следовать стандартам.

Об авторе

Максим Советкин окончил механико-математический факультет Белорусского государственного университета, работает в Itransition уже более семи лет. Сегодня он — ведущий системный инженер, отвечает за проектирование, развитие и поддержку корпоративной ИТ-инфраструктуры.

Источник

Информационная безопасность баз данных

Защита баз данных
с помощью системы

И нформационная безопасность баз данных (Database security) – система мер и средств, направленная на защиту сведений, находящихся в базах данных различного типа. Контроль за безопасностью баз данных необходим, содержащаяся в них информация всегда будет интересовать третьих лиц, и чем больше БД, тем более серьезного уровня защиты она требует.

Понятие базы данных

Под базой данных понимается не просто обработанная информация, хранящаяся в файле или группе файлов, а правильно организованная и подготовленная для пользователя. Для работы с базами используются программные средства защиты и управления – системы управления базами данных (СУБД), предполагающие применение языков программирования, обеспечивающих единые принципы описания, хранения и обработки информации. В качестве программной оболочки для баз данных чаще всего используются Oracle Database, MS SQL Server, MySQL (MariaDB) и ACCESS. Для описания содержимого применяются метаданные.

В практике используются следующие типы БД:

Задачи по обеспечению безопасности баз данных

Структурированная и систематизированная информация, размещенная в управляемых базах данных (СУБД), находящихся на выделенных серверах, легче поддается обработке и анализу, используется при выстраивании бизнес-процессов. Интерес у злоумышленников она вызывает больший, чем неструктурированная информация в разрозненных файлах и кратковременной памяти. Поэтому основными задачами по обеспечению безопасности становятся:

Задачи решаются различными способами, выбор средств обеспечения безопасности основывается на понимании угроз, направленных на содержимое БД.

Угрозы

Выстраивание эффективной системы безопасности баз данных потребует оценки угроз с опорой на ценность информации и сложившуюся в сфере ее обращения практику преступного посягательства на данные. Так, одни средства используются для БД НИИ, и другие – для баз данных интернет-провайдеров. Среди основных:

Это наиболее типичные угрозы, с которыми приходится бороться в целях обеспечения информационной безопасности баз данных.

Доступ и привилегии

Первой задачей по обеспечению безопасности базы данных становится разграничение прав доступа и определение привилегий, позволяющих системным администраторам осуществлять управление, а пользователям получать доступ к данным.

Выделяется два типа привилегий:

Системные позволяют администратору выполнять управленческие действия по отношению к базе и содержащимся в ней информационным объектам. Это как, например, указано для СУБД SQL Server, создание:

Объектные привилегии определяют объем прав пользователя при работе с информационными объектами с учетом ограничений, диктуемых безопасностью. В СУБД чаще всего встречаются использование, выбор, вставка нового объекта, обновление и ссылки.

После определения объема привилегий встает вопрос разграничения прав доступа, что позволяет отсечь от информационных массивов пользователей, не имеющих определенного объема прав, например, сотрудников других подразделений компании. Если система управления предприятием сертифицируется по одному из международных стандартов, например, ISO 9001, и в БД содержится информация, используемая для формирования публичной отчетности, обязательной задачей становится разграничение привилегий, при этом третье лицо, не являющееся разработчиком БД, проводит аудит наличия разграничений. Должно быть подтверждение того, что лицу предоставлено наименьшее количество привилегий при работе с базами данных и не предложено избыточных прав на управление программой или изменение информации. Проблема завышенных привилегий отмечается экспертами как одна из основных уязвимостей, характерных для СУБД.

В единых для всей компании базах данных в целях безопасности сведений встает вопрос разграничения прав пользователей на доступ к различным информационным объектам, содержащимся в БД. Этот вопрос безопасности решается с использованием различных программных средств, позволяющих присвоить маркеры пользователям и объектам. Операции становятся возможными только при совпадении маркеров. В современных ПО решена задача разграничения доступа не только к элементам БД – файлам, документам, записям, но и к структурным параметрам, таким как элемент, поле, запись, набор данных.

Методики оценки уязвимости

Ряд требований по сертификации деятельности компании предполагает оценку уязвимости БД по различным методикам и параметрам с целью установления того, насколько обеспечена безопасность информации. Применяется ручное или автоматическое сканирование, направленное на поиск ошибок в программном коде, позволяющих несанкционированно получить доступ к данным, обойти элементы управления безопасностью, взломать защиту или скомпрометировать ее степень. Параллельно со сканированием уязвимостей обязателен непрерывный мониторинг, призванный выявить инциденты информационной безопасности или изменение файлов СУБД. Сканирование и мониторинг – обязательные механизмы оценки рисков для компаний, испытывающих необходимость в сертификации по ISO или размещающих свои ценные бумаги на иностранных фондовых рынках.

Мониторинг

Отсутствие сбоев в работе баз данных и постоянную доступность информации позволит выявить мониторинг активности. Он проводится в режиме реального времени одним из следующих методов:

Дополнением к аудиту активности служит аудит действий, при котором в журнал активности записываются все операции, совершаемые пользователями в отношении элементов баз данных. Требования безопасности, согласно стандартам, предполагают, что администраторы не могут отключать или изменять правила поведения таких учетных регистров, изменять записи в них. Также такие системы мониторинга часто имеют право самостоятельно выявлять или отключать пользователей, чья активность покажется им подозрительной.

Аудит

Внешний или внутренний аудит работоспособности баз данных позволит выявить системные проблемы или внезапные инциденты. Большинство администраторов БД используют внешние программные инструменты для организации аудита уязвимостей и проблем с безопасностью баз данных. Однако многие платформы для размещения баз данных способны предложить собственные инструменты аудита. Такой мониторинг на уровне хоста или провайдера станет контрольным инструментом, позволяющим доказать, что в БД не были внесены изменения.

Процесс и процедуры контроля

Настроенные процедуры контроля помогут решить задачи привлечения к ответственности лиц, нарушивших целостность или конфиденциальность информации. Программа обеспечения безопасности баз данных должна гарантировать регулярный анализ объема привилегий и прав доступа пользователей, выявляя изменения. Также для повышения степени безопасности БД часто используются:

Иные программные решения защиты базы данных могут быть реализованы при внедрении DLP-системы, исключающей намеренные утечки данных.

Общие принципы управления безопасностью баз данных

Выстраивая систему защиты информации и комбинируя различные способы, оптимального эффекта можно добиться, последовательно совершая шаги:

Этот комплекс ограничений снизит риск неправомерного доступа к БД и позволит решить проблему безопасности информации и подтверждения ее достоверности аудиторам в необходимых случаях.

Источник