Разработка комплекса защитных мер по обеспечению информационной безопасности баз данных

Актуальность темы. В современных условиях деятельность любой организации сопряжена с оперированием большим объемом информации, доступ к которой имеет широкий круг лиц. Следствием возросшего в последнее время значения информации стали высокие требования к конфиденциальности, целостности и доступности данных. В таких условиях злонамеренные или просто некомпетентные действия всего лишь одного из сотрудников организации способны нанести непоправимый ущерб организации в целом. Речь даже может не идти о хищении ценной информации. Достаточно просто заблокировать какими-либо средствами доступ к важному информационному ресурсу на достаточно продолжительное время.
Системы управления базами данных (СУБД), в особенности реляционные СУБД и экспертные системы (ЭС), стали доминирующим инструментом в области хранения, обработки и представления данных. Любой сбой в работе СУБД (ЭС), сопровождающийся потерей, хоть и временной, доступа к данным, немедленно отражается на конкурентной способности предприятия. Поэтому защита данных от несанкционированного доступа, от несанкционированной модификации или просто от их разрушения является одной из приоритетных задач при проектировании любой информационной системы. Данная проблема (проблема защиты данных) охватывает как физическую защиту данных и системных программ, так и защиту от несанкционированного доступа к данным, передаваемым по линиям связи и находящимся на накопителях, являющегося результатом деятельности как посторонних лиц, так и специальных программ вирусов. Если принять во внимание, что ядром информационной системы является СУБД, то обеспечение информационной безопасности последней приобретает решающее значение при выборе конкретных средств обеспечения необходимого уровня безопасности организации в целом.
Степень разработанности темы. Тема разработки комплекса защитных мер по обеспечению информационной безопасности баз данных в организации последнее время активно обсуждается на уровне Правительства Российской Федерации, также настоящий вопрос исследуется в трудах: Е.К. Баранова., В.В. Бондарев., А.А. Бирюков., В.К. Волк., Н.В. Гришина., А.Л. Еремин., А.К. Жаркова., О.В. Казарин., О.Ю. Нетесова., А.И. Овчинников., В.М. Стасышин., Д.Ю. Федоров, Е.В. Чернова., А.В. Щербак, а также нормативно правовые акты в области информационной безопасности. Существует огромное количество научных работ о целесообразности и необходимости совершенствования механизма защиты мер по обеспечению информационной безопасности баз данных. Изучение данной темы позволяет лучше понять механизмы защиты мер по обеспечению информационной безопасности баз данных, выявить проблемы и перспективы развития данной области. Данная тема позволяет анализировать эффективность действующей системы защиты баз данных, идентифицировать уязвимые места и предлагать улучшения для повышения качества и устойчивости данной системы. Однако выбранная тема все же остается недостаточно разработанной и требует дальнейшего рассмотрения.
Объект исследования – ООО «Диасофт».
Предмет исследования состоит в совокупности параметров, характеризующих состояние безопасности баз данных.
Целью исследования является разработка комплекса защитных мер по обеспечению информационной безопасности баз данных на базе ООО «Диасофт».
Задачи:
1) исследовать основы разработки комплекса защитных мер по обеспечению информационной безопасности баз данных;
2) изучить нормативно-правовое регулирование области защиты баз данных;
3) проанализировать структурные уровни и этапы построения защиты базы данных;
4) рассмотреть угрозы безопасности базы данных;
5) исследовать неформальную модель нарушителя;
6) разработать комплекс защитных мер по обеспечению информационной безопасности баз данных на базе ООО «Диасофт»;
7) описать объект защиты;
8) рассмотреть возможные угрозы информационной безопасности организации;
9) разработать типовую модель нарушителя;
10) разработать комплекс мер по защите базы данных;
11) применить систему контроля событий и действий пользователей.
Методологическую основу исследования. В качестве методов проведения исследования будет использован анализ существующей научной литературы по данной тематике, включающий в себя различные статьи и публикации. Более того, исследования будут изучены данные применения системы комплекса защитных мер по обеспечению информационной безопасности баз данных в проектной деятельности организаций. Кроме того, будет проведено внедрение и применение выбранного метода.
Практическая значимость выпускной квалификационной работы определяется тем, что результаты исследования, могут быть использованы в разработке мер защиты информации, в совершенствовании нормативного регулирования, а также в учебном процессе и в профессиональной подготовке.
ВКР состоит из введения, двух глав, шести параграфов, заключения, глоссария, списка использованных источников и приложений.

Введение…………………………………………………………………………….3
Глава 1. Основы разработки комплекса защитных мер по обеспечению информационной безопасности баз данных ……………………...…………………….6
1.1 Нормативно-правовое регулирование области защиты баз данных …..…...6
1.2 Структурные уровни и этапы построения защиты базы данных ……….…..8
1.3 Угрозы безопасности базы данных ……………………..…………………...11
1.4 Неформальная модель нарушителя ……………………..…………...……...16
Глава 2. Разработка комплекса защитных мер по обеспечению информационной безопасности баз данных на базе ООО «Диасофт» …………..…..21
2.1 Описание объекта защиты ……………………………………………....…...21
2.2 Возможные угрозы информационной безопасности организации…....…...22
2.3 Разработка типовой модели нарушителя …………………………………...24
2.4 Разработка комплекса мер по защите базы данных ……………………......27
2.5 Применение системы контроля событий и действий пользователей ……..29
Заключение…………………………………………………………………….…..49
ГЛОССАРИЙ………………………………………………………………….…..52
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ………………………………...54
ПРИЛОЖЕНИЯ…………………………………………………………………...57

В информационной системе были обнаружены следующие уязвимости безопасности информации, которая хранится в базе данных: хищение информации из базы данных неуполномоченным пользователем; хищение информации из базы данных со стороны легального пользователя; хищение или использование чужой учетной записи; использование известных паролей, установленных по умолчанию; перехват данных, передаваемых по сети, внешняя сетевая атака.
Для того, чтобы предотвратить хищение информации, как со стороны неуполномоченного пользователя, так и со стороны легального была внедрена система контроля событий и действий пользователя «Гарда БД4». В процессе внедрения программно-аппаратного комплекса «Гарда БД4» была произведена настройка LDAP синхронизации и анализаторов, после чего база данных была поставлена на учет и для нее была применена политика тотального контроля, которая позволит контролировать несанкционированный доступ к БД, а также выгрузку конфиденциальной информации.
Для того, чтобы предотвратить перехват данных, которые передаются по сети был использован цифровой SSL-сертификат, а также настроен Cisco SSL VPN. После запуска VPN-клиента и инициирования подключения к VPN-серверу клиент шифрует трафик. После этого никто не может отслеживать данные, которые клиент отправляет на VPN-сервер. Когда сервер получает трафик, он расшифровывает его и перенаправляет все запросы на подключение в интернет.
Для защиты от внешней сетевой атаки был использован межсетевой экран Cisco ASA 5505. Для этого была произведена настройка политики обнаружения вредоносных файлов и вирусов и DNS «ловушка».
Таким образом, разработанная система защиты базы данных имеет комплексный подход и позволяет реализовать защиту от всех обнаруженных угроз безопасности конфиденциальной информации.

1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 № 6-ФКЗ, от 30.12.2008 № 7-ФКЗ, от 05.02.2014 № 2-ФКЗ, от 01.07.2020 № 11-ФКЗ) // Собрание законодательства РФ, 01.07.2020, № 31, ст. 4398.
2. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ (ред. от 24.07.2023) // Собрание законодательства Российской Федерации от 5 декабря 1994 г. № 32 ст. 3301.
3. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ (с изменениями на 12 декабря 2023 года) (редакция, действующая с 1 февраля 2024 года) 27 июля 2006 года N 149-ФЗ // СЗ РФ. – 2006. - №31 (1ч.). – Ст. 3448.
4. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (с изменениями на 6 февраля 2023 года) 27 июля 2006 года N 152-ФЗ// Российская газета от 29.07.2006 г. № 165.
5. Федеральный закон «О коммерческой тайне» от 29.07.2004 N 98-ФЗ (с изменениями на 14 июля 2022 года) 29 июля 2004 года N 98-ФЗ // Собрание законодательства Российской Федерации. 2004. № 32. Ст. 3283.
6. Федеральный закон «Об электронной подписи» от 06.04.2011 N 63-ФЗ (редакция, действующая с 1 сентября 2023 года) 6 апреля 2011 года N 63-ФЗ // Собрание законодательства, 11.04.2011. - № 15. - Ст. 2036.
7. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ (с изменениями на 10 июля 2023 года) 26 июля 2017 года N 187-ФЗ // Собрание законодательства Российской Федерации. — 2017. — № 31 (ч. 1). — Ст. 4736.
8. Адамцевич Л.А., Пиляй А.И. Разработка базы данных отбора и экспертной проверки объектов культурного наследия для обучения искусственного интеллекта // Строительное производство. 2023. № 2. – С. 84.
9. Ананьева, Т. Н. Стандартизация, сертификация и управление качеством программного обеспечения: учебное пособие / Т.Н. Ананьева, Н.Г. Новикова, Г.Н. Исаев. — Москва: ИНФРА-М, 2021. — С. 232.
10. Баранова, Е.К. Информационная безопасность и защита информации: учебное пособие / Е.К. Баранова, А.В. Бабаш. — 4-е изд., перераб. и доп. — Москва: РИОР: ИНФРА-М, 2022. — С. 336.
11. Барков А.В., Киселев А.С. О правовом обеспечении безопасности информационно-телекоммуникационной инфраструктуры банков и государственных структур // Банковское право. 2022. N 4. – С. 20.
12. Балановская А.В. Анализ и тенденции рынка информационной безопасности в России / А.В. Балановская, А.В. Волкодаевая // Экономические науки. 2019. №1. – С. 226.
13. Бондарев В.В. Введение в информационную безопасность автоматизированных систем. М.: МГТУ им. Н.Э. Баумана. 2024. – С. 252.
14. Бабаш, А.В. Информационная безопасность: Лабораторный практикум / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2019. – С. 432.
15. Бирюков А.А. Информационная безопасность: защита и нападение. - 2-е изд., перераб. и доп. - Москва: ДМК Пресс, 2019. – С. 434.
16. Волк В. К. Базы данных. Проектирование, программирование, управление и администрирование: учебник для вузов / В.К. Волк – Санкт-Петербург: Лань, 2022. – С. 449.
17. Галыгина Л.В., Галыгина И.В. Социальные аспекты информационной безопасности. Лабораторный практикум. М.: Лань. 2021. – С. 64.
18. Гришина Н.В. Основы информационной безопасности предприятия. Учебное пособие. М.: Инфра-М. 2021. – С. 216.
19. Еремин А.Л. Информационная и цифровая гигиена. М.: Лань. 2023. – С. 92.
20. Жарова А.К. Защита информации ограниченного доступа, получаемой по цифровым каналам передачи информации о совершаемых коррупционных правонарушениях // Государственная власть и местное самоуправление. 2023. N 9. – С. 41.
21. Зенков А.В. Информационная безопасность и защита информации. М.: Юрайт. 2023. – С. 108.
22. Казарин О.В., Шубинский И.Б. Основы информационной безопасности: надежность и безопасность программного обеспечения. М.: Юрайт. 2023. – С. 343.
23. Нетесова, О.Ю. Информационные системы и технологии в экономике: учебное пособие для вузов / О. Ю. Нетесова. — 4-е изд., испр. и доп. — Москва: Издательство Юрайт, 2023. — С. 178.
24. Нестеров С.А. Базы данных: учебник и практикум для вузов/ С.А. Нестеров – Москва: Издательство Юрайт, 2022. – С. 393.
25. Овчинников, А.И. Основы национальной безопасности: учеб. пособие / А.И. Овчинников, А.Ю. Мамычев, П.П. Баранов. — 2-е изд. — Москва: РИОР: ИНФРА-М, 2019. — С. 224.
26. Стасышин В.М., Стасышина Т.Л. Базы данных. Лекции по курсу. Часть 1. Новосибирск: Изд-во НГТУ, 2021. – С. 393.
27. Федоров, Д.Ю. Программирование на языке высокого уровня Python: учебное пособие для вузов / Д.Ю. Федоров. — 4-е изд., перераб. и доп. — Москва: Издательство Юрайт, 2023. — С. 214.
28. Чернова Е.В. Информационная безопасность человека. М.: Юрайт. 2023. – С. 328.
29. Швечкова О.Г., Бабаев С.И. Информационная безопасность. Часть 2. Стандарты и документы. Учебник. М.: КУРС. 2022. – С. 144.
30. Щербак А.В. Информационная безопасность. М.: Юрайт. 2023. – С. 260.