«Крипто БД» — первая сертифицированная в России система предотвращения утечек информации из высокопроизводительных СУБД Oracle, Microsoft SQL Server, PostgreSQL или Tibero.
«Крипто БД» сертифицирована ФСБ России как средство криптографической защиты информации класса КС1 и КС2 (сертификат соответствия № СФ/124-3249), что позволяет использовать её для защиты информации, не содержащей сведений, составляющих государственную тайну.
Для предотвращения утечек информации в «Крипто БД» используется композитный метод защиты: шифрование таблиц баз данных с применением российских криптографических алгоритмов ГОСТ 28147-89 или ГОСТ Р 34.12-2015 дополняется использованием строгой двухфакторной аутентификации пользователей с помощью USB-токенов или смарт-карт JaCarta. Для неавторизованных пользователей защищаемые данные маскируются (представлены в виде произвольных символов), а действия всех авторизованных пользователей персонализируются и протоколируются, что позволяет проводить аудиты и расследовать инциденты безопасности.
Продвинутая ролевая модель и надёжное разграничение прав доступа исключают возможность компрометации защищаемой информации администраторами СУБД. В «Крипто БД» также предусмотрен контроль целостности собственных библиотек, а также модулей СУБД и операционной системы, что позволяет гарантировать невозможность подмены исполняемого кода (как в оперативной памяти, так и на запоминающих устройствах) администратором СУБД.
Внедрение «Крипто БД» решает проблему защиты конфиденциальной информации как в коммерческих, так и в государственных структурах, применяющих СУБД для работы высоконагруженных систем (инфраструктуры виртуальных рабочих столов, биллинговых систем, систем электронного документооборота, систем бухгалтерского учёта, систем поддержки пользователей, CRM-, ERP-, HR-систем и т.д.). При этом возможность выборочного шифрования столбцов таблиц данных позволяет отказаться от тотального шифрования, экономя вычислительные ресурсы серверов и снижая издержки.
Развёртывание «Крипто БД» не требует доработки или значительных изменений в существующих информационных системах за счёт применения принципа прозрачного встраивания. Приложения, работавшие с незашифрованными данными, после зашифрования таблиц с помощью «Крипто БД» не требуют какой-либо доработки ни на стороне клиентского программного обеспечения, ни на сервере базы данных.
«Крипто БД» включена в Единый реестр отечественного ПО (№ 509 и 518) и рекомендуется к закупкам государственными предприятиями и органами власти.
Общие характеристики и решаемые задачи
«Крипто БД» — наложенное средство защиты информации, представляющее собой программно-аппаратный комплекс для обеспечения конфиденциальности и целостности информации в СУБД посредством криптографической защиты данных. С помощью системы «Крипто БД» можно осуществлять селективное (выборочное) шифрование информации, хранящейся в логической структуре таблиц СУБД, что существенно снижает нагрузку на аппаратные ресурсы по сравнению, например, с шифрованием всех файлов базы данных.
Являясь наложенным средством защиты информации, система «Крипто БД» не затрагивает штатных механизмов обработки информации СУБД. При этом обеспечивается дополнительный контроль доступа к защищённым данным, а также регистрация всех операций с ними, независимо от уровня привилегий пользователей СУБД.
Состав и совместимость системы «Крипто БД»
«Крипто БД» состоит из следующих компонентов:
- компоненты сервера «Крипто БД»;
- консоль управления администратора безопасности;
- коллекторы аудита (опционально).
Система «Крипто БД» функционирует на различных платформах распространённых СУБД: Oracle, Microsoft SQL Server, PostgreSQL, Tibero.
Клиентское ПО системы работает под управлением операционной системы Microsoft Windows XP/Vista/7/8/8.1 (32- и 64-бит).
Преимущества использования системы «Крипто БД»:
- возможность выборочного шифрования отдельных столбцов в таблицах СУБД, что позволяет не снижать производительность всей базы данных;
- возможность реализации усиленной аутентификации пользователей для доступа к защищённым данным с использованием USB-токенов или смарт-карт;
- возможность ведения аудита и мониторинга событий доступа к зашифрованным данным;
- наличие средств гибкого централизованного управления ключами шифрования, исключающих возможные несанкционированные действия администраторов БД;
- простота внедрения в существующие информационные системы без необходимости внесения изменений в программный код.