Базы данных: как защититься от инсайдеров?
Корпоративные базы данных нередко оказываются незащищенными от действий инсайдеров, поскольку злоумышленникам, работающим в компании, нетрудно замаскировать воровство конфиденциальных данных под обычный рабочий процесс. Как же организовать эффективную защиту? Необходим целый комплекс мер, включающий, помимо ведения журнала аудита, анализ потенциальных каналов утечки и их "сужение", выстраивание формализованных процедур контроля.Широкое обсуждение разнообразных мер по защите данных от инсайдеров, ведущееся многими специалистами, все же не проясняет до конца сути вопроса. Под эту тему попадает все, включая контент-анализ информационных сообщений, выходящих за пределы организации, контроль подключаемых накопителей, контроль действий сотрудников на их рабочих местах и многое другое. Однако защите от инсайдеров корпоративных баз данных, хранящих стратегические нематериальные активы компаний, несомненно, должно придаваться первостепенное значение.
В рамках данной статьи мы рассмотрим доступ к корпоративным базам данных со стороны собственных сотрудников компании, которые имеют все необходимые права и работают с этими базами, выполняя свои прямые производственные обязанности. За пределами нашего внимания останется защита резервных копий и данных в мобильных устройствах, а также ряд других аспектов защиты баз, отличающихся тем, что в отношении них более или менее понятно, что и от кого защищать, и можно провести определенную аналогию с защитой периметра.
Особенность ситуации с доступом к БД состоит в том, что вредоносная деятельность сотрудника легко может быть замаскирована под обычную служебную активность. Таким образом, задача, которую мы пытаемся разрешить, является еще одним воплощением старой, как мир, проблемы – как выявить скрытых "врагов" в кругу "друзей".
Но давайте снимем эту излишнюю эмоциональную окраску – в компании нет ни друзей, ни врагов - только сотрудники. И некоторые из них могут сознательно действовать в ущерб компании (так называемые "обиженные", либо "лазутчики", засланные кем-то с криминальными намерениями, либо сотрудники, завербованные с этой же целью), другие могут находиться в некотором "пограничном" состоянии, борясь с соблазном "продаться". Есть еще одна категория – люди рассеянные или недисциплинированные, которые могут нанести ущерб ненамеренно.
На чем можно построить противодействие активным вредоносным элементам и как приучить к дисциплине "пассивных" потенциально опасных сотрудников?
Контроль и аудит
Первое, что приходит в голову, - это слово "контроль". Еще не определив это понятие и не наполнив его содержанием, можно согласиться с тем, что контроль - это хорошо: по меньшей мере, его наличие позволит поднять психологическую планку, которую необходимо преодолеть потенциальным "кротам" для начала своей вредоносной деятельности. Находясь в поле действия "контроля", такой субъект уже не просто берет то, что "плохо лежит", а должен спланировать свои действия, сознательно пойти на риск, что осложнит выполнение его намерений и во многих случаях заставит от них отказаться. Угроза наказания поможет приучить к дисциплине рассеянных.
Но каким конкретным содержанием может быть наполнено слово "контроль"?
Руководствуясь здравым смыслом, можно заключить, что это прослеживание событий, связанных с контролируемой сферой активности, с последующим анализом и выделением противоправных, сомнительных и потенциально опасных действий.
Прослеживание событий (или более терминологически точно – аудит, т.е. регистрация тех действий пользователей, которые имеют отношение к безопасности, с автоматической записью информации о них в специальные журналы) – находится в сфере внимания многих современных стандартов безопасности и целого ряда регулирующих актов, -- таких, как стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", международный стандарт безопасности информационных систем ISO 17799:2005, его предшественник от 2000 года и соответствующий Российский ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология - Практические правила управления информационной безопасностью", Payment Card Industry Data Security Standard (PCI DSS), знаменитый закон Sarbanes- Oxley и др.
5 пунктов о журналах аудита
Эксперт Кимбер Спрэдлин (Kimber Spradlin) из Embarcadero Technologies сформулировал 5 пунктов о журналах аудита, которые стоит принять во внимание всем, кто имеет отношение к безопасности БД. Журналы аудита – важная область, связанная с безопасностью баз данных, и в частности, с обеспечением выполнения требований стандартов по ИБ.