Для пользователей систем Alga HR, Profit-Web, Profit-W – Защита данных

Март 3, 2021

Информация и информационные системы стали стратегической ценностью, которую, как и любое другое важное для деятельности предприятия или учреждения, нужно защищать. Edrana Baltic, реагируя на ситуацию по поводу распространившегося в обществе скандала о безопасности баз данных, ещё раз обращает Ваше внимание, насколько важна защита имеющихся систем и накопленных в них данных от несанкционированного доступа или потери.

При разработке Системы управления информационной безопасностью предприятия, при создании и поддержке программных продуктов мы руководствуемся требованиями Стандарта информационной безопасности IEC 27002, который предоставляет рекомендации наиболее успешной практики для управления информационной безопасностью, Литовским стандартом LST EN ISO/IEC 17799, спецификацией OWASP и практикой наших специалистов.

Как мы не раз информировали, в системе реализованы возможности, снижающие ущерб вероятного несчастного случая и потери данных, которые параметризованы и приспособлены по потребностям каждой организации.

Рекомендуем незамедлительно:

1. Закодировать системный пароль Profit-Web;

2. При создании пользователей системы Alga HR, а также во время их подключения к системе рекомендуется пользоваться функциональностью „Хранить на сервере закодированный пароль“;

3. Провести аудит по безопасности инфраструктуры и принять другие меры безопасности;

4. Установить SSL-сертификат для кодирования передачи данных.

Но, как показывает практика, необходимо защитить и сам диск или его копию, так как их можно украсть физически. Существует целый ряд мероприятий, которые помогут защитить доступы к указанным дискам или их копиям. Чтобы предложить наилучшие решения, рекомендуем и предлагаем провести аудит Вашей IT-инфраструктуры. Свяжитесь с нами по поводу помощи, предлагаемой специалистом по информационным технологиям. Наши IT-специалисты обладают многолетним опытом работы и соответствующими компетенциями, чтобы выполнить эту работу качественно.

Также предлагаем рассмотреть возможность пользоваться услугами Облака “Edrana Baltic“, что, помимо обеспечения безопасности данных, в ещё большей степени снизит затраты на обслуживание IT-хозяйства.

Если Вы решите дальше хранить базы данных на своих серверах, помимо защиты IT-инфраструктуры, рекомендуем ещё пользоваться алгоритмами шифрования данных, которые в случае несанкционированного доступа к данным не позволят увидеть или распространить имеющиеся данные.

  1. Если Вы используете базу данных FireBird, чтобы сервер или компьютер, на котором размещается база данных, не был доступен извне, рекомендуем использовать DMZ-зону либо разделить поток при помощи файрвола или VLAN, оставляя возможность для аппликации с базой данных общаться только по определённым портам. При наличии возможности рекомендуем мигрировать в базы данных высшего уровня, такие как Oracle или MS SQL
  • Если Вы используете Microsoft SQL, производитель программного обеспечения создал возможность текущие версии SQL обновить до версии MS SQL ENTERPRISE или MS SQL 2019 Standard, которые имеют функциональность TDE (Transparent Data Encryption), позволяющую шифровать данные базы данных в реальном времени, поэтому украденная база данных не будет считана.
  • Если Вы используете Oracle, предлагаем приобрести дополнительный компонент Oracle security pack, который имеет функциональность TDE и позволяет шифровать данные, содержащиеся в базе данных.
  • Если Вы используете Sybase DBVS, рекомендуем активировать функцию, позволяющую зашифровать базу данных и передачу данных между программой Клиента и базой данных.

Примечание. Необходимо обращать внимание, что шифрование базы данных требует дополнительных ресурсов компьютерного оборудования и, если у предприятия на сегодняшний день отсутствует достаточное количество современных серверов, после включения шифрования, может произойти замедление всей системы. По тестам может быть до 25 или более процентов.

 Руководитель IT-отдела                                                         

 Геркус Разгайтис