"Крипто БД"

Предотвращение утечек информации из систем управления базами данных

"Крипто БД" — сертифицированная система предотвращения утечек информации из высокопроизводительных систем управления базами данных (СУБД) Oracle, Microsoft SQL Server, Tibero и PostgreSQL.

  • Рекомендуется для защиты персональных данных, хранящихся в СУБД, в соответствии с 152-ФЗ "О персональных данных"
  • Обеспечивает надёжное ограничение доступа Администраторов СУБД к хранящейся в базе информации
  • Позволяет выполнить наиболее критичные требования стандарта PCI DSS для систем, использующих банковские карты
  • Не имеет аналогов на российском рынке и дополняет штатные средства безопасности СУБД
  • Может быть использована для защиты персональных данных в облачных средах
  • Сертифицирована ФСБ России по требованиям к СКЗИ классов КС1/КС2 и класса КС3


Назначение решения "Крипто БД"

"Крипто БД" — первая сертифицированная в России система предотвращения утечек информации из высокопроизводительных СУБД Oracle, Microsoft SQL Server, PostgreSQL или Tibero.

"Крипто БД" сертифицирована ФСБ России как средство криптографической защиты информации класса КС1/КС2 (сертификат соответствия № СФ/124-3249) и КС3 (сертификат соответствия № СФ/124-3472), что позволяет использовать её для защиты информации, не содержащей сведений, составляющих государственную тайну.

Для предотвращения утечек информации в "Крипто БД" используется композитный метод защиты: шифрование таблиц баз данных с применением российских криптографических алгоритмов ГОСТ 28147-89 или ГОСТ Р 34.12-2015 дополняется использованием строгой двухфакторной аутентификации пользователей с помощью USB-токенов или смарт-карт JaCarta. Для неавторизованных пользователей защищаемые данные маскируются (представлены в виде произвольных символов), а действия всех авторизованных пользователей персонализируются и протоколируются, что позволяет проводить аудиты и расследовать инциденты безопасности.

Продвинутая ролевая модель и надёжное разграничение прав доступа исключают возможность компрометации защищаемой информации администраторами СУБД. В "Крипто БД" также предусмотрен контроль целостности собственных библиотек, а также модулей СУБД и операционной системы, что позволяет гарантировать невозможность подмены исполняемого кода (как в оперативной памяти, так и на запоминающих устройствах) администратором СУБД.

Внедрение "Крипто БД" решает проблему защиты конфиденциальной информации как в коммерческих, так и в государственных структурах, применяющих СУБД для работы высоконагруженных систем (инфраструктуры виртуальных рабочих столов, биллинговых систем, систем электронного документооборота, систем бухгалтерского учёта, систем поддержки пользователей, CRM-, ERP-, HR-систем и т.д.). При этом возможность выборочного шифрования столбцов таблиц данных позволяет отказаться от тотального шифрования, экономя вычислительные ресурсы серверов и снижая издержки.

Развёртывание "Крипто БД" не требует доработки или значительных изменений в существующих информационных системах за счёт применения принципа прозрачного встраивания. Приложения, работавшие с незашифрованными данными, после зашифрования таблиц с помощью "Крипто БД" не требуют какой-либо доработки ни на стороне клиентского программного обеспечения, ни на сервере базы данных.

"Крипто БД" включена в Единый реестр отечественного ПО (№ 509 и 518) и рекомендуется к закупкам государственными предприятиями и органами власти.

Общие характеристики и решаемые задачи

"Крипто БД" — наложенное средство защиты информации, представляющее собой программно-аппаратный комплекс для обеспечения конфиденциальности и целостности информации в СУБД посредством криптографической защиты данных. С помощью системы "Крипто БД" можно осуществлять селективное (выборочное) шифрование информации, хранящейся в логической структуре таблиц СУБД, что существенно снижает нагрузку на аппаратные ресурсы по сравнению, например, с шифрованием всех файлов базы данных.

Являясь наложенным средством защиты информации, система "Крипто БД" не затрагивает штатных механизмов обработки информации СУБД. При этом обеспечивается дополнительный контроль доступа к защищённым данным, а также регистрация всех операций с ними, независимо от уровня привилегий пользователей СУБД.

Состав и совместимость системы "Крипто БД"

Система "Крипто БД" состоит из следующих компонент:

  • компоненты сервера "Крипто БД";
  • консоль управления администратора безопасности;
  • коллекторы аудита (опционально).

Система "Крипто БД" функционирует на различных платформах распространённых СУБД:

  • Oracle;
  • Microsoft SQL Server;
  • PostgreSQL;
  • Tibero.

Клиентское ПО системы работает под управлением операционной системы Microsoft Windows XP/Vista/7/8/8.1 (32- и 64-бит).

Преимущества использования системы "Крипто БД"

По сравнению со средствами защиты информации, встроенными в СУБД, система "Крипто БД" имеет следующие преимущества:

  • возможность выборочного шифрования отдельных столбцов в таблицах СУБД, что позволяет не снижать производительность всей базы данных;
  • возможность реализации усиленной аутентификации пользователей для доступа к защищённым данным с использованием USB-токенов или смарт-карт;
  • возможность ведения аудита и мониторинга событий доступа к зашифрованным данным;
  • наличие средств гибкого централизованного управления ключами шифрования, исключающих возможные несанкционированные действия администраторов БД;
  • простота внедрения в существующие информационные системы без необходимости внесения изменений в программный код.

Использование "Крипто БД" в облачных средах

Для защиты персональных данных в системах, предоставляющих "облачные" сервисы, использование функциональности системы "Крипто БД" также возможно. Для облачной инфраструктуры (IaaS), такой как хостинг СУБД, применение "Крипто БД" не отличается от традиционного. Для сервисов SaaS требуется применение дополнительного компонента — шифрующего прокси.

Подробнее: "Крипто БД" в облачных средах

Значение решения "Крипто БД" для российских информационных технологий

На сегодняшний день платформы СУБД Oracle, Microsoft SQL Server, PostgreSQL и Tibero являются признанными лидерами на российском рынке. Обеспечение конфиденциальности информации, хранящейся в этих СУБД, становится одной из приоритетных задач большинства российских компаний. Это в полной мере относится и к государственным организациям, которым необходимо выполнять требования законодательства по защите персональных данных и конфиденциальной информации.

Компания "Аладдин Р.Д." более семи лет занимается разработкой решений для защиты баз данных. Результатом накопленной экспертизы стало предложение рынку уникального продукта — "Крипто БД". Внедряя данное решение, российские заказчики имеют возможность обеспечить надёжное предотвращение утечек информации из СУБД, легко интегрировать решение в свою инфраструктуру и при этом выполнять нормы законодательства РФ.

Порядок лицензирования и стоимость решения

Порядок лицензирования и стоимость решения зависят от особенностей построения информационной системы заказчика. Возможны два основных варианта: лицензирование в клиент-серверных и терминальных приложениях и лицензирование в многозвенных приложениях (в качестве тонкого клиента — браузер).

За подробной информацией и предварительным расчётом стоимости обращайтесь к специалистам "Аладдин Р.Д." по телефону +7 (495) 223-0001 или электронной почте dealer@aladdin-rd.ru.

Сертификация

Сертификат соответствия № СФ/124-3249

Сертификат соответствия № СФ/124-3249 удостоверяет, что "Крипто БД" соответствует требованиям ГОСТ 28147-89, ГОСТ 34.12-2015 и Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС1 (для исполнения 1) и класса КС2 (для исполнения 2) и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование пользовательских данных, вычисление имитовставки для пользовательских данных) информации, не содержащей сведений, составляющих государственную тайну, хранящейся в таблицах баз данных под управлением СУБД Oracle, Microsoft SQL Server, PostgreSQL, Tibero.

Скачать сертификат соответствия ФСБ России № СФ/124-3249

Сертификат соответствия № СФ/124-3472

Сертификат соответствия № СФ/124-3472 удостоверяет, что СКЗИ "Крипто БД 2.0" (исполнение 3) соответствует требованиям ГОСТ 28147-89, ГОСТ 34.12-2015 и Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС3 и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование пользовательских данных, вычисление имитовставки для пользовательских данных) информации, не содержащей сведений, составляющих государственную тайну, хранящейся в таблицах баз данных под управлением СУБД Oracle, Microsoft SQL Server, PostgreSQL, Tibero.

Скачать сертификат соответствия ФСБ России № СФ/124-3472

Часто задаваемые вопросы

Работу с какими СУБД поддерживает "Крипто БД"?

"Крипто БД" поддерживает работу с наиболее распространёнными высокопроизводительными СУБД: Oracle, Microsoft SQL Server, PostgreSQL, Tibero.

Возможно ли применение сертифицированных СКЗИ российских разработчиков (ГОСТовые сертификаты) для аутентификации по протоколу SSL в приложениях трёхзвенной архитектуры?

Да.

В чём отличие системы "Крипто БД" от зарубежных аналогов?

Система "Крипто БД" является отечественной разработкой и использует российские стандарты криптографической защиты данных, что недоступно иностранным разработкам.

Какие алгоритмы используются в "Крипто БД" для шифрования данных?

"Крипто БД" реализует алгоритм шифрования ГОСТ 28147-89 в следующих режимах:

  • режим простой замены (ECB);
  • режим гаммирования (OFM);
  • режим гаммирования с обратной связью (CFB);
  • режим сцепления блоков (CBC);
  • режим простой замены c диверсификацией ключа шифрования (ECB-UKM);
  • режим гаммирования c диверсификацией ключа шифрования (OFB-UKM);
  • режим гаммирования с обратной связью c диверсификацией ключа шифрования (CFBUKM);
  • режим сцепления блоков c диверсификацией ключа шифрования (CBC-UKM);
  • режим простой замены с выработкой имитовставки (ECB-MAC);
  • режим гаммирования с выработкой имитовставки (Counter mode-MAC);
  • режим гаммирования с обратной связью и выработкой имитовставки (CFB-MAC);
  • режим сцепления блоков с выработкой имитовставки (CBC-MAC);
  • режим простой замены с диверсификацией ключа шифрования и выработкой имитовставки (ECB-MAC-UKM);
  • режим гаммирования с диверсификацией ключа шифрования и выработкой имитовставки (OFB-MAC-UKM);
  • режим гаммирования с обратной связью, с диверсификацией ключа шифрования и выработкой имитовставки (CFB-MAC-UKM);
  • режим сцепления блоков с диверсификацией ключа шифрования и выработкой имитовставки (CBC-MAC-UKM).

Для каких типов приложений предназначено ПО "Крипто БД"?

Система "Крипто БД" может быть использована для защиты информации:

  • в клиент-серверных приложениях;
  • в многозвенных приложениях;
  • в системах, использующих терминальный доступ;
  • в системах, использующих автоматические процессы для доступа к данным.

Можно ли использовать "Крипто БД" для защиты информации в системах, построенных по трёхзвенной архитектуре?

Можно. В ряде случаев следует учитывать, что данный вариант может потребовать доработки ПО приложения.

Какие типы данных могут быть защищены при помощи "Крипто БД"?

"Крипто БД" позволяет шифровать колонки таблиц, содержащие следующие типы данных:

  • символьные — CHAR, VARCHAR2, NVARCHAR2;
  • числовые — NUMBER;
  • время/дата — DATE;
  • бинарные — RAW;
  • большие символьные и бинарные — CLOB, BLOB.