Защита информации в базах данных на примере КУВО «УСЗН Кантемировского района»

ВВЕДЕНИЕ .........................................................................................................3
1 ПОНЯТИЕ И СУЩНОСТЬ ЗАЩИТЫ ИНФОРМАЦИИ В БАЗАХ ДАННЫХ.............................................................................................................7
1.1 Актуальность проблемы защиты информации в базах данных................7
1.2 Классификация угроз информационной безопасности...........................14
2 МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В БАЗАХ ДАННЫХ...........................................................................................................24
2.1 Требования к безопасности баз данных....................................................25
2.2 Понятие и характеристика методов и средств защиты информации в базах данных......................................................................................................32
3 ПРАКТИЧЕСКИЕ АСПЕКТЫ ПО СОЗДАНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В БАЗЕ ДАННЫХ НА ПРИМЕРЕ КУВО «УСЗН КАНТЕМИРОВСКОГО РАЙОНА»................................................................41
3.1 Анализ угроз безопасности и определение задач защиты базы данных учреждения КУВО "УСЗН Кантемировского района"..................................41
3.2 Разработка метода защиты базы данных для учреждения КУВО "УСЗН Кантемировского района".................................................................................44
3.3 Выбор средств реализации задач защиты базы данных для учреждения КУВО "УСЗН Кантемировского района"........................................................47
3.4 Разработка модели защиты базы данных учреждения КУВО "УСЗН Кантемировского района".................................................................................54
ЗАКЛЮЧЕНИЕ ................................................................................................57
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ........................................60
ПРИЛОЖЕНИЯ ...............................................................................................64

ВВЕДЕНИЕ

Актуальность темы исследования. Развитие информационных систем, привело в настоящее время к появлению и последующему развитию концепции открытых систем. Но, при этом стало возникать довольно большое количество проблем несанкционированного получения доступа к информации.
Защита информации, особенно информации конфиденциальной, является самой актуальной задачей, и, учитывая, что более 90% информации ныне находится в электронном виде, физические средства и методы защиты информации утратили свою былую эффективность.
Основной документ Российской Федерации, который нормирует меры и действия, обязательные для проблем разрешения информационной безопасности всех вновь создаваемых либо привлекаемых извне, а также обслуживаемых информационных разработок – это Доктрина информационной безопасности РФ, которая была еще подписана в 2000 году Президентом России В.В. Путиным [1].
...

1.1 Актуальность проблемы защиты информации в базах данных
В последнее время количество случаев хищения персональных данных значительно возросло в связи с утечкой информации из баз данных и различными махинациями с информацией, хранящейся в БД больших организаций. Информация является очень дорогим и важным ресурсом, а следовательно базы данных регулярно подвергаются нападениям злоумышленников.
Большинство случаев кражи информации осуществляются легальными пользователями через бреши в информационной безопасности компании, и уязвимостей СУБД в частности. Все эти случаи стали причиной пересмотра требований не только к усовершенствованию информационной безопасности внутри компаний, так и к пересмотру требований регуляторов к обеспечению защиты данных. Почти все регуляторы (Федеральный закон «О защите персональных данных», PCI DSS, HIPAA, SOX и т.д.
...

1.2 Классификация угроз информационной безопасности баз данных

Под угрозой информационной безопасности понимается случайное или преднамеренное явление или событие, действие или процесс, которые могут привести к искажению, несанкционированному использованию или к уничтожению информационных ресурсов информационной системы, используемых программных и технических средств и соответственно прямому или косвенному моральному или материальному ущербу интересам общества, личности или государства (например, ущерб деловой репутации, необходимость восстановления нарушенных защищаемых информационных ресурсов, невозможность выполнения взятых на себя обязательств перед третьей стороной, снижение эффективности политики государства и т.д.) [21, с. 211-212].
Реализация угроз информационной безопасности заключается в частичном или полном нарушении работоспособности информационной системы, а также утрате ценности или частичном обесценивании информации в случае нарушения[11, с.
...

2.1 Требования к безопасности баз данных

От уровня защиты баз данных зависит не только сохранность информации, но и непрерывность всего бизнеса в целом. Любые перебои в работе или компрометация коммерческих данных могут нарушить устоявшиеся бизнес-процессы и парализовать деятельность компании.
Помимо этого, информация об утечке персональных данных клиентов или другой информации, защищаемой нормативными актами, обычно влечет за собой не только ухудшение репутации, но и отзыв лицензий или штрафы регуляторов.
В качестве системы контроля баз данных многие компании используют штатные возможности СУБД для протоколирования действий пользователей, но, как показывает практика, этого функционала недостаточно для противодействия современным приемам злоумышленников. Кроме того, дополнительная нагрузка на сервер снижает скорость обработки данных и увеличивает время бизнес-процессов [9, с. 114].
...

2.2 Понятие и характеристика методов и средств защиты информации в базах данных

К методам обеспечения информационной безопасности принято относить препятствие; управление доступом, включая идентификацию и аутентификацию объекта или субъекта, проверку полномочий, регистрацию обращений и реагирование; маскировку,
регламентацию, принуждение и побуждение.
Эти методы реализуются с помощью следующих основных средств: законодательные, организационные, аппаратные, программные, криптографические и т.д.
В частности, организационные средства обеспечения информационной безопасности - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий. Оно включает в себя ряд административных, технических и экономических мероприятий.
...

3. ПРАКТИЧЕСКИЕ АСПЕКТЫ ПО СОЗДАНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В БАЗЕ ДАННЫХ НА ПРИМЕРЕ КУВО «УСЗН КАНТЕМИРОВСКОГО РАЙОНА»

Организация казенное учреждение Воронежской области "Управление социальной защиты населения Кантемировского района" (далее КУВО «УСЗН Кантемировского района») зарегистрирована 29 марта 2013 года по адресу 396731, Воронежская обл., Кантемировский р-н, Кантемировка рп, Мира ул., 1.
Основным видом деятельности является предоставление социальных услуг без обеспечения проживания престарелым и инвалидам.
...

3.1 Анализ угроз безопасности и определение задач защиты базы данных учреждения КУВО "УСЗН Кантемировского района"

С целью разработки результативного метода охраны информации в базах данных КУВО "УСЗН Кантемировского района", нами был предварительно разработан проект действий:
1. Осуществить анализ угроз информационной безопасности.
2. Выявить актуальные угрозы безопасности защищаемой БД.
3. Определить проблемы охраны БД в учреждении.
Задача защиты базы данных учреждения КУВО "УСЗН Кантемировского района" решается выделением особой подсистемы информативной безопасности. На физическом уровне база данных находится на сервере отделения автоматизированных систем управления (АСУ). Допуск к базе данных возможен только лишь с сервера АСУ и из локальной сети учреждения, допуск из сети Интернет недоступен. Для установления конкретных вопросов охраны защищаемой базы данных нами были проанализированы возможные опасности хранящейся в ней данных.
...

СПИСОК ЛИТЕРАТУРЫ

Нормативно-правовые акты

1. Конституция Российской Федерации 1993 года. Принята всенародным голосованием 12 декабря 1993 г. с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ //"Собрание законодательства РФ". – 2009. – N 4, ст. 445
2. Федеральный закон от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и о защите информации” (Собрание законодательства Российской Федерации, 2006, № 31 (1 ч.), ст. 3448)
3. Гражданский кодекс Российской Федерации. Часть 1 от 30 ноября 1994. №51-ФЗ // Собрание законодательства Российской Федерации. №32. 1994.
4. Федеральный закон "О персональных данных" от 27 июля 2006 г. № 152-ФЗ, ч. 1 ст. 7 // Собрание законодательства РФ, 2006, №12


Научная, учебная литература, статьи, монографии

6. Агальцов, В.П. Базы данных. В 2-х т.Т. 1. Локальные базы данных: Учебник / В.П. Агальцов. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 352 c.
Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. - М.:ДМК Пресс, 2013. - 474 c. Научный журнал «Дискурс» - 2017 – 4 (6) Социологические науки 89
7. Бузов, Г.А. Защита информации ограниченного доступа от утечки по техническим каналам / Г.А. Бузов. - М.: РиС, 2014. - 586 c.
8. Бузов, Г.А. Защита информации ограниченного доступа от утечки по техническим каналам / Г.А. Бузов. - М.: ГЛТ, 2016. - 586 c.
9. Голицына, О.Л. Базы данных / О.Л. Голицына, Н.В. Максимов, И.И. Попов. - М.: Форум, 2004. - 352 c.
10. Голицына, О.Л. Базы данных: Учебное пособие / О.Л. Голицына, Н.В. Максимов, И.И. Попов. - М.: Форум, 2012. - 400 c.
11. Гвоздева, В.А. Информатика, автоматизированные информационные технологии и системы: Учебник / В.А. Гвоздева. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 544 c.
9. Емельянова, Н.З. Защита информации в персональном компьютере: Учебное пособие / Н.З. Емельянова, Т.Л. Партыка, И.И. Попов. - М.: Форум, 2013. - 368 c.
Ефимова,Л.Л.Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ- ДАНА, 2013. - 239 c.
10. Жук, А.П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - М.: ИЦ РИОР, НИЦ ИНФРА-М, 2013. - 392 c.
11. Емельянов, С.В. Информационные технологии и вычислительные системы: Интернет-технологии. Математическое моделирование. Системы управления. Компьютерная графика / С.В. Емельянов. - М.: Ленанд, 2012. - 96 c.
12. Ищейнов, В.Я. Защита конфиденциальной информации: Учебное пособие / В.Я. Ищейнов, М.В. Мецатунян. - М.: Форум, 2013. - 256 c.
Какадий, И.И. Особенности управления безопасностью современной организации социальной сферы. И.И. Какадий, О.Э. Беспалов, О.О. Белецкая, А.А. Саратова. Интернет-журнал Науковедение. 2016. Т. 8. № 2. С. 40.
13. Карпова, И.П. Базы данных: Учебное пособие / И.П. Карпова. - СПб.: Питер, 2013. - 240 c.
14. Кириллов, В.В. Введение в реляционные базы данных.Введение в реляционные базы данных / В.В. Кириллов, Г.Ю. Громов. - СПб.: БХВ-Петербург, 2012. - 464 c.
15. Кошелев, В.Е. Базы данных в ACCESS 2007: Эффективное использование / В.Е. Кошелев. - М.: Бином-Пресс, 2013. - 592 c.
16. Кузин, А.В. Базы данных: Учебное пособие для студ. высш. учеб. заведений / А.В. Кузин, С.В. Левонисова. - М.: ИЦ Академия, 2012. - 320 c.
17. Малюк, А.А. Защита информации в информационном обществе: Учебное пособие для вузов / А.А. Малюк. - М.: ГЛТ, 2015. - 230 c.
Мельников, Д.А. Информационная безопасность открытых систем: учебник / Д.А. Мельников. - М.: Флинта, 2013.- 448 c.
18. Мезенцев, К.Н. Автоматизированные информационные системы: Учебник для студентов учреждений среднего профессионального образования / К.Н. Мезенцев. - М.: ИЦ Академия, 2013. - 176 c.
19. Олейник, П.П. Корпоративные информационные системы: Учебник для вузов. Стандарт третьего поколения / П.П. Олейник. - СПб.: Питер, 2012. - 176 c.
Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка,И.И.Попов. - М.: Форум, 2012. - 432 c.
Петров, С.В. Информационная безопасность: Учебное пособие / С.В.Петров,И.П. Слинькова, В.В. Гафнер.- М.: АРТА, 2012. - 296 c.
Савченко И.А.,Прокофьев Д.Н. Защита информации в организации // Теория и практика современной науки. 2016.№5 (11). С. 812-814.
20. Сырецкий, Г.А. Информатика. Фундаментальный курс. Том II. Информационные технологии и системы / Г.А. Сырецкий. - СПб.: BHV, 2012. - 848 c.
21. Федорова, Г.Н. Информационные системы: Учебник для студ. учреждений сред. проф. образования / Г.Н. Федорова. - М.: ИЦ Академия, 2013. - 208 c.
22. Федотова, Е.Л. Информационные технологии и системы: Учебное пособие / Е.Л. Федотова. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 352 c.
23. Фуфаев, Э.В. Базы данных: Учебное пособие для студентов учреждений среднего профессионального образования / Э.В. Фуфаев, Д.Э. Фуфаев. - М.: ИЦ Академия, 2012. - 320 c.
24. Хансен Г., Хансен Д. Базы данных. Разработка и управление. – М.: Бином, 2014. – 704
25. Хомоненко А.Д., Цыганков В.М., Мальцев М.Г. Базы данных: Учебник для высших учебных заведений/Под ред. проф. А.Д. Хомоненко. – СПб.: КОРОНА принт, 2012. – 672с.
26. Хорев, П.Б. Программно-аппаратная защита информации: Учебное пособие / П.Б. Хорев. - М.: Форум, 2013. - 352 c.
27. Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях / В.Ф. Шаньгин. - М.: ДМК Пресс, 2012. - 592 c.
28. Шаньгин, В.Ф. Комплексная защита информации в корпоративных системах: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 592 c.
29. Шаньгин, В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. - М.: ДМК, 2014. - 702 c.