Аппаратно-программные и организационные средства защиты ресурсов информационной системы персональных данных от несанкционированного доступа путем SQL-инъекций
Автор: Газизов Андрей Равильевич
Рубрика: Информатика и вычислительная техника
Статья в выпуске: 3, 2022 года.
Бесплатный доступ
Рассматриваются аппаратно-программные и организационные средства защиты ресурсов информационной системы персональных данных от несанкционированного доступа путем SQL-инъекций. В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» под информационной системой персональных данных (далее - ИСПДн) будем понимать совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Анализ безопасности ресурсов ИСПДн относительно несанкционированного доступа к данным (далее - НСД) путем SQL-инъекций включает пять условных этапов: сбор информации в ИСПДн, сканирование ИСПДн, получение доступа к ИСПДн, закрепление в ИСПДн, формирование отчета; при этом анализ безопасности всегда сопряжен с НСД. Для предотвращения НСД от SQL-инъекций предлагаются следующие программно-аппаратные решения, позволяющие минимизировать последствия несанкционированного воздействия на ИСПДн: брандмауэр web-приложений для фильтрации вредоносных данных; регулярные обновления и исправления; минимизация использования привилегий уровня администратора; минимизация открытой информации об архитектуре баз данных (далее - БД) ИСПДн из сообщений об ошибках; непрерывный мониторинг операторов SQL-инъекций из приложений, подключенных к БД.
Sql-инъекция, анализ безопасности, безопасность ресурсов, закрепление в системе, информационная система, персональные данные, получение доступа, сбор информации, сканирование, средства защиты ресурсов, формирование отчета, этапы анализа
Короткий адрес: https://sciup.org/148325178
IDR: 148325178 | УДК: 004.056.53 | DOI: 10.18137/RNU.V9187.22.03.P.169
Hardware, software and organizational means of protecting information system resources from unauthorized access by SQL injections
The article discusses hardware, software and organizational means of protecting the resources of the personal data information system from unauthorized access by SQL injections. The use of cloud storage as a place to store information implies a number of In accordance with Federal Law No. 152-FZ of July 27, 2006 “On Personal Data”, the personal Data Information System (ISPDn) will be understood as a set of personal data contained in databases and information technologies and technical means that ensure their processing. The analysis of the security of ISPDn resources with respect to NSD by SQL injection includes five conditional stages: collecting information in ISPDn, scanning ISPDn, gaining access to ISPDn, fixing in ISPDn, generating a report; at the same time, security analysis is always associated with unauthorized access to data. To prevent NSD from SQL injections, the following hardware and software solutions are proposed to minimize the consequences of unauthorized exposure to ISPDn: a firewall of web applications for filtering malicious data; regular updates and corrections; minimizing the use of administrator-level privileges; minimizing open information about the architecture of the ISPDn database from error messages; continuous monitoring of SQL statements-injections from applications connected to the database.
Список литературы Аппаратно-программные и организационные средства защиты ресурсов информационной системы персональных данных от несанкционированного доступа путем SQL-инъекций
- Geekkies [Электронный ресурс]. URL: https://geekkies.in.ua/crossplatform/chto-takoevirtualbox-i-kak-ej-polzovatsja.html (дата обращения: 25.06.2022).
- RU -center [Электронный ресурс]. URL: https://www.nic.ru/help/bazy-dannyh-1228/ (дата обращения: 25.06.2022).
- Академик – информационная безопасность [Электронный ресурс]. URL: https://dic.academic.ru/dic.nsf/dic_economic_law/5569/ИНФОРМАЦИОННАЯ (дата обращения: 25.06.2022).
- Академик – официальная терминология [Электронный ресурс]. URL: https://official.academic.ru/7175 (дата обращения: 25.06.2022).
- Академик – словарь чрезвычайных ситуаций [Электронный ресурс]. URL: https://dic.academic.ru/dic.nsf/emergency/777/ (дата обращения: 25.06.2022).
- Kali Linux // Википедия [Электронный ресурс]. URL: https://ru.wikipedia.org/wiki/Kali_Linux (дата обращения: 25.06.2022).
- Инструменты Kali Linux [Электронный ресурс]. URL: https://kali.tools/?p=816 (дата обращения: 25.06.2022).
- Об информации, информационных технологиях и о защите информации: ФЗ от 27.07.2006 № 149-ФЗ / Консультант плюс [Электронный ресурс]. URL: http://www.consultant.ru/document/cons_doc_LAW_61798/ (дата обращения: 25.06.2022).
- Основные проблемы защиты информации в сетях [Электронный ресурс]. URL: https://zen.yandex.com/media/id/5da8242eaad43600b1f1f9ed/osnovnye-problemy-zascity-informacii-v-setiah-5da82678c31e4900ae31ec07 (дата обращения: 25.06.2022).
- Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: Постановление Правительства РФ от 01.11.2012 № 1119 [Электронный ресурс]. URL: http://government.ru/docs/all/84743/ (дата обращения: 25.06.2022).
- Сдам сам: Выбор и обоснование методики расчета экономической эффективности [Электронный ресурс]. URL: http://zdamsam.ru (дата обращения: 25.06.2022).
- Скабцов Н. Аудит безопасности информационных систем. СПб.: Питер, 2018. 272 с.: ил. (Серия «Библиотека программиста»).
- Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных, при их обработке в информационных системах персональных данных: Приказ ФСТЭК России от 18 февраля 2013 г. N 21 [Электронный ресурс]. URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения: 25.06.2022).
- О персональных данных: ФЗ от 27.07.2006 N 152-ФЗ [Электронный ресурс]. URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/107-zakony/365-federalnyj-zakon-ot-27-iyulya-2006-g-n-152-fz?highlight=WyIxNTI tXHU wNDQ0XHU wNDM3Il0= (дата обращения: 25.06.2022).
