Бизнес-кейс: Защита от злонамеренных действий администратора СУБД.

Описание заказчика:

Компания, осуществляющая свою деятельность в сфере ТЭК.

Объект защиты:

             Информационная система (ИС) учета, обработки и контроля информации о достижении ключевых показателей (KPI) организации. Система имеет трехзвенную архитектуру, построенную на базе СУБД MsSQL и обеспечивает сбор информации по текущему состоянию целевых показателей организационных единиц и отдельных сотрудников организации.

            Информация, обрабатываемая в ИС, содержит строго конфиденциальную информацию, утечка и компрометация которой может привести к значительным последствиям (репутационные и коммерческие риски).

Поставленная задача:

          Служба безопасности организации реализовала ряд мероприятий, нацеленных на защиту от возможных действий внешних злоумышленников. Однако, вероятность злонамеренных действий внутренних сотрудников организации нельзя считать нулевой. Особенно, это относится к сотрудникам с максимальными привилегиями в ИС. С точки зрения доступа к ценным и чувствительным данным в СУБД, таким сотрудником является Администратор базы данных.

                 В силу перечисленных обстоятельств Администратор СУБД становится важной, не контролируемой и привилегированной ролью в ИС. При этом Администраторы СУБД зачастую являются слабым звеном в организации защиты СУБД. Так возникает высокая и значимая вероятность инцидентов с негативными последствиями:

• Утечка значимых или катастрофически больших объемов критичной, важной или секретной информации.
• Отсутствие возможности проведения расследования и признаков реализации инцидента утечки.

Система «Крипто БД» обеспечивает защиту информации от возможных преступных действий Администратора СУБД:

• Админ СУБД не имеет ключей шифрования.
• Все попытки доступа Администратора СУБД к защищаемой информации фиксируются.
• Реализован фундаментальный принцип разделение полномочий и ответственности.
• При этом Администратор СУБД может выполнять свои обязанности без ограничений.

Таким образом:

«Крипто БД» является тем средством, который позволит Заказчику обеспечить надежную защиту от привилегированных пользователей без ограничения возможностей администрирования базы данных.

Эффект от внедрения:

                 Применение Крипто БД для защиты информации от злонамеренных действий администратора базы данных, наиболее простой и эффективный способ решения сложной технической задачи.

                  Администратор СУБД не наделен полномочиями и соответствующим ключом шифрования данных в ИС, а следовательно, доступа к защищаемой информации у такого администратора нет. При этом, все необходимые действия по настройке и техническому сопровождению базы данных администратору, по-прежнему доступны без ограничений.