Что такое безопасность данных?

Определение безопасности данных

Безопасность данных — это защитные меры, применяемые для защиты данных от несанкционированного доступа и сохранения конфиденциальности, целостности и доступности данных. Лучшие практики по обеспечению безопасности данных включают такие методы защиты данных, как шифрование данных, управление ключами, редактирование данных, разделение данных на подмножества и маскирование данных, а также контроль доступа привилегированных пользователей, аудит и мониторинг.

Лучшие практики по обеспечению безопасности данных

Лучшие практики по обеспечению безопасности данных должны использоваться как в локальной, так и в облачной среде, чтобы снизить риск утечки данных и обеспечить соответствие нормативным требованиям. Отдельные рекомендации могут быть разными, но обычно они включают создание многоуровневой стратегии безопасности данных, разработанной с применением подхода эшелонированной защиты. Разные средства контроля нейтрализуют разные векторы угроз. Отдельные области решений включают в себя возможности оценки, обнаружения и мониторинга активности и угроз для баз данных.

Важность безопасности данных

Данные — это один из самых важных активов для любой организации. Поэтому крайне важно защитить данные от любого несанкционированного доступа. Утечки данных, непройденные аудиты и несоблюдение нормативных требований — все это может привести к репутационному ущербу, уменьшению ценности бренда, компрометации интеллектуальной собственности и штрафам за несоблюдение требований. Согласно Общему регламенту по защите данных (GDPR) Европейского союза, утечка данных может повлечь за собой штрафы в размере до 4 % от глобального годового дохода организации, что часто приводит к значительным финансовым потерям. Конфиденциальные данные включают в себя информацию, идентифицирующую личность, финансовую информацию, информацию о здоровье и интеллектуальную собственность. Чтобы избежать утечки информации и обеспечить соответствие нормативным требованиям, данные должны быть защищены.

Безопасность данных и GDPR

Маскирование данных, разделение данных на подмножества и редактирование данных — это способы уменьшения рисков для конфиденциальных данных, содержащихся в приложениях. Эти технологии играют ключевую роль в удовлетворении требований анонимизации и псевдонимизации, связанных с такими нормативными актами, как регламент GDPR Европейского союза. В основе регламента GDPR лежат устоявшиеся и широко признанные принципы конфиденциальности, такие как ограничение цели, законность, прозрачность, целостность и конфиденциальность. GDPR ужесточает существующие требования к конфиденциальности и безопасности, включая требования к уведомлению и согласию, технические и операционные меры безопасности, а также механизмы трансграничного перемещения данных. Чтобы адаптироваться к новой реальности цифровой, глобальной и управляемой данными экономики, GDPR также формализует новые принципы конфиденциальности, такие как подотчетность и минимизация данных.

Согласно Общему регламенту по защите данных (GDPR) Европейского союза, утечка данных может повлечь за собой штрафы в размере до 4 % от глобального годового дохода организации или до 20 млн евро в зависимости от того, что будет больше. Компании, собирающие и обрабатывающие данные в ЕС, должны продумать свою практику обработки данных и управления ими с учетом следующих требований.

  • Безопасность данных. Компании должны внедрить соответствующий уровень безопасности, включающий как технические, так и организационные средства контроля безопасности, для предотвращения потери данных, утечки информации или других несанкционированных операций по обработке данных. GDPR рекомендует компаниям включить в свою программу безопасности шифрование, управление инцидентами, а также требования к целостности, доступности и устойчивости сетей и систем.
  • Расширенные права физических лиц. Физические лица имеют больший контроль и в конечном счете большее право собственности на свои собственные данные. Им также предоставляется расширенный набор прав по защите данных, включая право на переносимость данных и право на забвение.
  • Уведомление о нарушении безопасности данных. Компании должны без неоправданной задержки информировать затронутые регулирующие органы и (или) физических лиц после того, как им стало известно, что безопасность данных была нарушена.
  • Аудиты безопасности. Компании должны будут документировать и вести записи о своих методах обеспечения безопасности, проводить аудит эффективности своей программы безопасности и принимать корректирующие меры в случае необходимости.

Проблемы обеспечения безопасности баз данных

проблемы обеспечения безопасности баз данных

Базы данных являются ценными хранилищами конфиденциальной информации, что делает их главной целью похитителей данных. Как правило, хакеров данных можно разделить на две группы: аутсайдеры и инсайдеры. К аутсайдерам относятся все: от хакеров-одиночек и киберпреступников, стремящихся дестабилизировать бизнес или получить финансовую выгоду, до преступных групп и организаций, спонсируемых государством, старающихся совершить мошенничество, чтобы привести к сбою в национальном или глобальном масштабе. Инсайдерами могут быть настоящие или бывшие сотрудники, любопытствующие, а также клиенты или партнеры, которые пользуются своим доверенным положением для кражи данных или совершают ошибку, приводящую к непреднамеренному инциденту в области безопасности. Как аутсайдеры, так и инсайдеры создают риск для безопасности персональных данных, финансовых данных, коммерческой тайны и регулируемых данных.

как хакеры используют уязвимости баз данных

Пытаясь похитить данные из баз данных, киберпреступники используют различные подходы.

  • Компрометация или кража учетных данных приложения или администратора с привилегированными правами доступа. Обычно это происходит с помощью фишинга с использованием электронной почты, других форм социальной инженерии или с помощью вредоносного ПО для раскрытия учетных данных и в конечном итоге данных.
  • Использование уязвимостей в приложениях с помощью таких методов, как SQL-инъекции или обход защиты на уровне приложения путем внедрения SQL-кода в, казалось бы, безобидные данные, вводимые конечным пользователем.
  • Повышение привилегий в среде выполнения путем эксплуатации уязвимых приложений.
  • Доступ к файлам базы данных, которые находятся на диске в незашифрованном виде.
  • Использование систем без исправлений или неправильно сконфигурированных баз данных для обхода контроля доступа.
  • Кража архивных лент и носителей, содержащих резервные копии баз данных.
  • Кража данных из непроизводственных сред, таких как DevTest, где данные могут быть защищены не так хорошо, как в производственных средах.
  • Просмотр конфиденциальных данных через приложения, которые непреднамеренно раскрывают больше конфиденциальных данных, чем те, к которым приложение или пользователь может иметь доступ.
  • Ошибки человека, несчастные случаи, совместное использование паролей, ошибки конфигурации и другое безответственное поведение пользователей — факторы, которые по-прежнему являются причиной почти 90 % нарушений безопасности.

Лучшие практики по обеспечению безопасности баз данных

лучшие практики по обеспечению безопасности баз данных

Правильно структурированная стратегия безопасности баз данных должна включать средства управления для нейтрализации различных векторов угроз. Лучше всего использовать встроенную систему контроля безопасности, которую можно легко развернуть для применения соответствующих уровней безопасности. Ниже приведены некоторые, наиболее распространенные средства контроля для обеспечения безопасности баз данных.

  • Средства контроля оценки помогают оценить уровень безопасности базы данных, а также должны обеспечивать возможность выявления изменений конфигурации. Организации могут установить базовое состояние, а затем определить отклонение. Средства контроля оценки также помогают организациям определить конфиденциальные данные в системе, включая тип данных и место их расположения. С помощью средств контроля оценки Вы найдете ответы на следующие вопросы.
    • Правильно ли сконфигурирована система базы данных?
    • Актуальны ли исправления и регулярно ли они применяются?
    • Каким образом осуществляется управление привилегиями пользователей?
    • Какие конфиденциальные данные находятся в системе базы данных? В каком объеме? Где они хранятся?
  • Детективный контроль обеспечивает мониторинг доступа пользователей и приложений к данным, выявление аномального поведения, обнаружение и блокирование угроз, а также аудит деятельности базы данных для составления отчетов о соответствии нормативным требованиям.
  • Превентивный контроль блокирует несанкционированный доступ к данным путем шифрования, компоновки, маскировки данных и разделения их на подмножества в зависимости от предполагаемого сценария использования. Конечной целью превентивного контроля является прекращение несанкционированного доступа к данным.
  • Средства контроля определенных данных применяют политики доступа на уровне приложений в базе данных, обеспечивая согласованную модель авторизации для различных приложений, инструментов отчетности и клиентов базы данных.
  • Средства контроля определенных пользователей обеспечивают надлежащую аутентификацию и авторизацию пользователей, гарантируя, что доступ к данным имеют только пользователи, прошедшие аутентификацию и авторизацию.

Решения по безопасности данных

Снижайте риски утечки данных и упрощайте соблюдение требований с помощью рекомендаций по обеспечению безопасности данных, таких как шифрование, управление ключами, маскирование данных, управление привилегированным доступом пользователей, мониторинг активности и аудит.

  • Защита данных: снижение рисков утечки данных и несоблюдения требований с помощью решений для широкого спектра сценариев использования, включая шифрование, управление ключами, маскирование и разделение на подмножества. Подробнее об Oracle Data Safe.
  • Контроль доступа к данным: фундаментальным шагом в обеспечении безопасности системы баз данных является проверка учетной записи пользователя, который обращается к базе данных (аутентификация), и контроль над тем, какие операции он может выполнять (авторизация). Надежные средства аутентификации и авторизации помогают защитить данные от злоумышленников. Кроме того, внедрение разделения обязанностей позволяет предотвратить злоупотребление привилегированными пользователями своими системными привилегиями с целью доступа к конфиденциальным данным, а также помешать случайным или злонамеренным изменениям в базе данных.
  • Аудит и мониторинг: вся активность базы данных должна записываться для целей аудита: сюда входит как активность, происходящая по сети, так и активность, инициированная внутри базы данных (обычно через прямой вход в систему), которая обходит любой сетевой мониторинг. Аудит должен работать, даже если сеть зашифрована. Базы данных должны обеспечивать надежный и всесторонний аудит, включающий информацию о данных, клиенте, с которого выполняется запрос, деталях операции и самой SQL-команде.
  • Обеспечение безопасности баз данных в облаке: развертывание облачных баз данных может снизить затраты, высвободить персонал для более важных задач и обеспечить более гибкую и оперативную работу ИТ-организации. Но эти преимущества могут быть сопряжены с дополнительными рисками, включая расширенный периметр сети, увеличенную поверхность угроз с неизвестной административной группой и общей инфраструктурой. Однако за счет применения надлежащих рекомендаций по обеспечению безопасности баз данных облако может обеспечивать безопасность лучше, чем большинство организаций на локальном уровне, снижая при этом затраты и повышая оперативность.
Видео о решениях по безопасности данных