CC BY
9гм о гм
<
m О ■=! ш
с; и и
и
О с; О s =г о и
и
о
X
о
m л X
с;
LQ
U <
Ш
L0 Ш С£
—I <
и и
О —i
О
и
о
LO
О
Z <
и
о и
УДК: 65.011.56
КОРОТАЕВ Егор Геннадьевич,
студент магистратуры 2-го года обучения, факультет управления, кафедра автоматизированных систем управления, Московский автомобильно-дорожный государственный технический университет (МАДИ), [email protected] МАЛИНОВСКИЙ Антон Игоревич,
студент магистратуры 2-го года обучения, факультет управления,
кафедра автоматизированных систем управления,
Московский автомобильно-дорожный
государственный технический университет (МАДИ),
ФЕДОТОВ Михаил Владимирович,
старший преподаватель, факультет управления,
кафедра социологии и управления,
Московский автомобильно-дорожный
государственный технический университет (МАДИ),
KOROTAEV Egor Gennad'evich,
2nd year Master's Student, Faculty of Management,
Department of Automated Control Systems,
Moscow Automobile and Road Construction
State Technical University (MADI),
MALINOVSKIJ Anton Igorevich,
2nd year Master's Student, Faculty of Management,
Department of Automated Control Systems,
Moscow Automobile and Road Construction
State Technical University (MADI),
FEDOTOV Mihail Vladimirovich,
Senior Lecturer, Faculty of Management,
Department of Social Studies and Management,
Moscow State Automobile and Road Construction
State Technical University (MADI),
СТАРТАПЫ И БАЗЫ ДАННЫХ: основные стратегии для запуска безопасной информационной системы
STARTUPS AND DATABASES: basic strategies for launching a secure information system
=3 m
Аннотация
В современном цифровом мире безопасность данных становится ключевым элементом успешных предприятий.
Abstract
In today's digital world, data security is becoming a key element of successful businesses.
В этой статье рассматриваются основные стратегии защиты ИТ-систем, основанные на опыте успешных компаний и научных исследованиях. Авторы затрагивают вопросы выбора правильной технологии баз данных, рассказывают о важности шифрования данных как неотъемлемой части стратегии безопасности, а также обсуждают вопросы резервного копирования и восстановления информации. Кроме того, в статье подробно говорится о важности постоянного мониторинга и анализа безопасности, а также о необходимости постоянного совершенствования методологий защиты данных. Подчёркивается важность реализации описанных стратегий для обеспечения защиты ценной информации стартапов в современном цифровом мире. Кратко описаны перспективы дальнейших исследований в области кибербезопасности и подчёркивают важность этой темы в контексте постоянно меняющегося ландшафта угроз.
Ключевые слова: безопасность данных, стартапы, информационные системы, технология баз данных, шифрование данных, резервное копирование, восстановление данных, мониторинг безопасности.
This article discusses key strategies for protecting IT systems based on the experience of successful companies and research. The authors touch on choosing the right database technology, discuss the importance of data encryption as an integral part of a security strategy, and discuss information backup and recovery. In addition, the article details the importance of continuous security monitoring and analysis, and the need for continuous improvement in data protection methodologies. The final summarises the results and emphasises the importance of implementing the described strategies to ensure the protection of startups' valuable information in today's digital world. The authors also summarise the prospects for further research in cybersecuri-ty and emphasise the importance of this topic in the context of an ever-changing threat landscape.
Keywords: data security, startups, information systems, database technology, data encryption, backup, data recovery, security monitoring, security analytics, methodology improvement.
Введение
В современном цифровом мире, где данные имеют решающее значение для организаций, стартапы часто сталкиваются с необходимостью создания и поддержки безопасных информационных систем. Базы данных играют важную роль в качестве системы хранения и обработки ценной информации. Однако по мере роста объёма данных и учащения кибератак обеспечивать безопасность становится всё сложнее. Чтобы успешно внедрить информационную систему, стартапы должны не только учесть технические аспекты, но и разработать стратегии защиты данных, эффективные в условиях современных угроз. В этой статье мы представляем обзор наиболее важных стратегий для внедрения безопасной информационной системы. Опираясь на примеры успешных стар-тапов и научные данные, мы выделим ключевые принципы и методы, необходимые для надёжной защиты ценной информации в современной бизнес-среде.
Исторический контекст
Защита данных и безопасность имеют долгую историю эволюции методов и средств защиты. Этот исторический контекст крайне важен для понимания современных проблем безопасности.
С момента развития информационных технологий в середине XX века возникла необходимость в защите данных от несанкционированного доступа. Первые системы безопасности были направлены в основном на физическую защиту компьютеров и периферийных устройств.
С развитием сетевых технологий в конце XX - начале XXI века возникла новая проблема: защита данных в интернет-среде. По мере того как кибератаки становились все более распространёнными, возникла необходимость в разработке комплексных стратегий информационной безопасности.
Одним из важнейших моментов в истории информационной безопасности стало развитие шифрования. С древних времён
гм о гм
<
m О ■=1 ш
с; и и
и
О с; О S
=г о и
и
о
X
о
m л х
с;
LQ
U <
Ш
1/1 ш
С£ <
U (Д
О _|
О и о
in
О
Z <
и
о и
=3 ш
люди использовали методы шифрования для обеспечения конфиденциальности сообщений, а с развитием информационных технологий эта область стала особенно активной.
Исторический контекст показывает, что защита данных всегда волновала человечество и что современные стратегии безопасности разрабатываются на основе накопленного опыта и знаний.
Выбор правильной технологии
Первый шаг к созданию безопасной информационной системы - выбор правильной технологии баз данных. Существует множество различных типов баз данных, каждый из которых имеет свои преимущества и недостатки с точки зрения безопасности. Например, реляционные базы данных, такие как MySQL или PostgreSQL, имеют надёжные механизмы аутентификации и авторизации, что делает их привлекательным выбором для стартапов, которым нужен высокий уровень безопасности [2].
Хорошим примером правильного выбора технологии является MongoDB, основанная в 2007 году, - масштабируемая и гибкая база данных NoSQL, которая стала популярным выбором для многих стартапов. В ней активно развиваются средства защиты данных, такие как шифрование и механизмы контроля доступа.
Шифрование данных
Шифрование данных - это обязательная составляющая стратегии безопасности стартапа. При использовании базы данных данные должны быть зашифрованы как при передаче, так и хранении, чтобы предотвратить несанкционированный доступ к информации. Современные базы данных оснащены механизмами шифрования на уровне столбцов и даже ячеек, что обеспечивает дополнительный уровень защиты [4, 6].
Эффективным методом шифрования данных оказалось сквозное шифрование (E2EE), при котором информация шифруется на уровне отправителя и расшифровывается на уровне получателя, минуя промежуточные узлы. Такой подход гарантирует, что ни поставщики услуг, ни другие третьи стороны не име-
ют доступа к содержимому сообщений или данных в незашифрованном виде. Анализ E2EE включает в себя оценку схемы шифрования, используемой в приложении или сервисе, и выявление потенциальных уязвимостей или рисков, которые могут повлиять на безопасность данных. Это может включать анализ протоколов шифрования, длины ключей, методов обмена ключами и оценку потенциальных атак, направленных на компрометацию зашифрованной информации. При проведении анализа E2EE также важно учитывать соответствие стандартам безопасности, таким как криптографические алгоритмы, протоколы обмена ключами, управление ключами и сертификатами. Результаты анализа позволяют разработчикам и администраторам систем принимать меры по повышению безопасности и защите конфиденциальности данных, а также реагировать на выявленные уязвимости [11].
Пример: Signal - это мобильное приложение для обмена сообщениями и проведения интернет-звонков с открытым исходным кодом. При его разработке основное внимание создатели уделяли обеспечению конфиденциальности и безопасности информации своих пользователей. Signal использует сквозное (end-to-end) шифрование для всех переписок, благодаря чему доступ к ним имеют только участники чата. Даже владельцы мессенджера, Интернет-провайдер или оператор сотовой связи не смогут перехватить данные и прочитать диалог.
Резервное копирование и восстановление данных
Стартапы должны разработать стратегию резервного копирования и восстановления данных, чтобы обеспечить сохранность информации в случае аварийных ситуаций или кибератак [1]. Регулярное создание резервных копий и их хранение в надёжном месте может предотвратить потерю ценных данных и обеспечить быстрое восстановление в случае необходимости [10].
End-to-end шифрование - это метод защиты данных, который обеспечивает конфиденциальность информации, передаваемой между двумя или несколькими устройствами, путём шифрования данных на отправителе и
дешифрования их только на получателе. Этот подход гарантирует, что ни промежуточные серверы, ни сам провайдер услуг не могут прочитать содержимое сообщений. Анализ end-to-end шифрования обычно включает в себя оценку методов шифрования, использованных в системе, а также их криптографической стойкости. Это также включает в себя анализ возможных уязвимостей в реализации шифрования, таких как ошибки в программном обеспечении или недостатки в алгоритмах шифрования. Кроме того, анализируются механизмы аутентификации и управления ключами, поскольку они являются важной частью процесса шифрования. Одной из основных целей анализа end-to-end шифрования является выявление потенциальных слабых мест в системе и разработка соответствующих мер безопасности для их устранения. Это позволяет создать более надёжные и безопасные информационные системы, защищая данные пользователей от несанкционированного доступа и утечек [11].
Пример: CrashPlan, стартап, предлагающий решения для резервного копирования и восстановления данных, использует передовые технологии сжатия и шифрования для обеспечения безопасности данных своих клиентов.
Мониторинг и аналитика безопасности
Постоянный мониторинг и анализ безопасности - важные аспекты стратегии защиты данных для стартапа [5]. Регулярное сканирование уязвимостей, мониторинг несанкционированного доступа и анализ необычного поведения помогут обнаружить и предотвратить угрозы безопасности до того, как они нанесут ущерб [3].
Сквозное шифрование - это метод шифрования данных, который защищает информацию на всех этапах передачи, от отправителя до получателя, без возможности расшифровки данных на промежуточных узлах или серверах [7, 9]. Этот метод гарантирует, что данные остаются зашифрованными и нечитаемыми для любых неавторизованных лиц, включая интернет-провайдеров и даже сервис, используемый для отправки сообщений. При сквозном анализе шифрования необхо-
димо рассмотреть его эффективность, устойчивость к атакам и потенциальные слабые места. Основное внимание уделяется алгоритмам шифрования, используемым ключам, методам обмена ключами и протоколам аутентификации. Аналитическая оценка также должна включать обзор потенциальных уязвимо-стей в реализации криптографической системы, включая такие потенциальные угрозы, как атаки перехвата данных, атаки внедрения и атаки на структуру ключа. Анализ сквозного шифрования должен использоваться для разработки мер безопасности и усовершенствований, которые могут быть внесены для обеспечения еще более надёжной защиты данных. Это может включать в себя обновление алгоритмов шифрования, улучшение систем обмена ключами, повышение стойкости к атакам или внедрение дополнительных слоёв аутентификации [2].
Пример: Splunk, стартап, специализирующийся на решениях мониторинга и аналитики безопасности, предоставляет инструменты для обнаружения и реагирования на угрозы в реальном времени.
Постоянное совершенствование методологии безопасности данных
В современном динамичном цифровом мире, где угрозы кибербезопасности постоянно эволюционируют, стартапам необходимо постоянно совершенствовать свою методологию безопасности данных. Это включает в себя постоянное обновление систем безопасности, анализ новых угроз и технологий, а также обучение персонала посредством проведения регулярных тренингов и обучающих курсов.
Только такие стартапы смогут побеждать в борьбе с киберугрозами и защищать ценные данные своих клиентов [8].
Google, одна из ведущих технологических компаний в мире, славится своими высокими стандартами безопасности данных и постоянным совершенствованием методологии безопасности. Компания регулярно обновляет свои алгоритмы шифрования, улучшает системы мониторинга и аналитики безопасности, а также активно исследует новые методы борьбы с угрозами кибербезопасности.
см о гм
<
ш О ■=1 ш
с; и и
и
О с; О S
=г о и
и
о
X
о
m л х
с;
LQ
Одним из ярких примеров постоянного совершенствования безопасности данных в Google является их работа над проектом BeyondCorp. Этот проект представляет собой переход от традиционной сетевой безопасности, основанной на внутренних и внешних сетях, к модели безопасности, ориентированной на данные и основанной на принципах «нулевого доверия» к сети. BeyondCorp учитывает растущую мобильность и удалённую работу сотрудников, предоставляя им доступ к корпоративным ресурсам из любого места и с любого устройства, при этом обеспечивая высокий уровень безопасности и защиты данных.
Пример Google демонстрирует, что даже технологические гиганты постоянно совершенствуют свои методы безопасности данных, чтобы соответствовать всё более сложным угрозам кибербезопасности и обеспечивать безопасность своих пользователей и клиентов.
Заключение
Создание безопасной ИТ-системы -важная составляющая успешного старта бизнеса в современном цифровом мире. Наиболее важными стратегиями обеспечения информационной безопасности являются выбор подходящей технологии баз данных, использование шифрования данных, разработ-
ка стратегии резервного копирования и восстановления, а также установка системы мониторинга и анализа безопасности.
Выбор подходящей технологии баз данных играет важную роль в обеспечении информационной безопасности. При выборе базы данных начинающим компаниям следует учитывать требования к масштабируемости, производительности и защите данных.
Шифрование данных - неотъемлемая часть безопасности информационной системы. Применение современных методов шифрования позволяет защитить данные во время хранения и передачи между компонентами системы.
Разработка стратегии резервного копирования и восстановления данных помогает стартапам минимизировать потери информации в случае сбоя системы или кибератаки. Применение регулярного резервного копирования и тестирование процедур восстановления данных позволяют быстро восстановить работоспособность системы после инцидента.
Установка системы мониторинга и аналитики безопасности позволяет стартапам оперативно выявлять и реагировать на потенциальные угрозы безопасности. Системы мониторинга позволяют отслеживать активность пользователей, анализировать события в реальном времени и выявлять аномальное поведение.
и
сс <
ш
1/1 ш
С£ <
U (Д
О _|
О и о 1/1
о
Z <
и
о и
=3 ш
ЛИТЕРАТУРА
1. Баринова А. Как НЯ-у самостоятельно провести обучение по информационной безопасности: готовый конспект лекций по главным угрозам // Директор по персоналу. 2022. № 5. С. 40-45.
2. Белов А.С., ДобрышинМ.М., ШугуровД.Е. Модернизация системы информационной безопасности: подход к определению периодичности // Защита информации. Инсайд. 2022. № 4. С. 76-80. ЕРЫ: 20УШ1.
3. Васильев В.И., Вульфин А.М., Кучкарова Н.В. Оценка актуальных угроз безопасности информации с помощью технологии трансформеров // Вопросы кибербезопасности. 2022. № 2. С. 27-38. Р01: 10.21681/ 2311 -3456-2022-2-27-38. ЕРЫ: CGWNQM.
4. ГладкихА.В. Методы защиты от ООоЭ-атак в интеллектуальных сетях / Цифровая трансформация общества и информационная безопасность: материалы Всеросс. науч.-практ. конф. (Екатеринбург, 18 мая 2022 г.). Екатеринбург, 2022. С. 3-5. ЕРЫ: ВМйХУЫ.
5. ГладковА.Н., Горячев С.Н., Кобяков Н.С. Визуализация киберугроз как аспект формирования компетенций в области информационной безопасности // Защита информации. Инсайд. 2023. № 1. С. 32-37. ЕРЫ: СР1РВХ.
6. Голубев Г.Д. Обзор безопасности маломощных глобальных сетей: угрозы, проблемы и потенциальные решения / Цифровая трансформация общества и информационная безопасность: материалы Всеросс. науч.-практ. конф. (Екатеринбург, 18 мая 2022 г.). Екатеринбург, 2022. С. 5-11. ЕРЫ: ОРАйЫи.
7. ГорбуновД.Д. Криптовалюта и блокчейн: перспективы развития с точки зрения информационной безопасности / Цифровая трансформация общества и информационная безопасность: материалы Всеросс. науч.-практ. конф. (Екатеринбург, 18 мая 2022 г.). Екатеринбург, 2022. С. 11-17. ЕРЫ: ЫРРМУЯ.
8. Догучаева С.М. Анализ современных проблем информационной безопасности в российских компаниях // Риск: ресурсы, информация, снабжение, конкуренция. 2022. № 2. С. 65-68. EDN: JXIBRK.
9. Долганов К.А. Технология блокчейн с точки зрения информационной безопасности / Цифровая трансформация общества и информационная безопасность: материалы Всеросс. науч.-практ. конф. (Екатеринбург, 18 мая 2022 г.). Екатеринбург, 2022. С. 14-17. EDN: FQDEJE.
10. ЕфремовН.А., Мужжавлева Т.В. Процессы информатизации экономики и информационная безопасность // Экономика и предпринимательство. 2023. № 3. С. 287-294. DOI: 10.34925/EIP.2023.152.3.057. EDN: AAAYCT.
11. Пучков А.Ю., СоколовА.М., Широков С.С., ПрокимновН.Н. Алгоритм выявления угроз информационной безопасности в распределённых мультисервисных сетях органов государственного управления // Прикладная информатика. 2023. Т. 18. № 2. С. 85-102. DOI: 10.37791/2687-0649-2023-18-2-85-102. EDN: FUXPSC.
REFERENCES
1. Barinova A. Kak HR-u samostojatel'no provesti obuchenie po informacionnoj bezopasnosti: gotovyj konspekt lekcij po glavnym ugrozam. Direktor po personal, 2022, no. 5, рp. 40-45.
2. Belov A.S., Dobryshin M.M., Shugurov D.E. Modernizacija sistemy informacionnoj bezopasnosti: podhod k opredeleniju periodichnosti. Zashhita informacii. Insajd, 2022, no. 4, рp. 76-80. EDN: ZQVLOI.
3. Vasil'ev V.I., Vul'fin A.M., Kuchkarova N.V. Ocenka aktual'nyh ugroz bezopasnosti informacii s pomoshh'ju tehnologii transformerov. Voprosykiberbezopasnosti, 2022, no. 2, рp. 27-38. DOI: 10.21681/2311 -3456-20222-27-38. EDN: CGWNQM.
4. Gladkih A.V. Metody zashhity ot DDoS-atak v intellektual'nyh setjah. Cifrovaja transformacija obshhestva i informacionnaja bezopasnost': materialy Vseross. nauch.-prakt. konf. (Ekaterinburg, 18 maja 2022 g.). Ekaterinburg, 2022. Рp. 3-5. EDN: BMDXYU.
5. GladkovA.N., GorjachevS.N., KobjakovN.S. Vizualizacija kiberugroz kak aspekt formirovanija kompetencij v oblasti informacionnoj bezopasnosti. Zashhita informacii. Insajd, 2023, no. 1, рp. 32-37. EDN: CDIPBX.
6. GolubevG.D. Obzor bezopasnosti malomoshhnyh global'nyh setej: ugrozy, problemy i potencial'nye reshenija. Cifrovaja transformacija obshhestva i informacionnaja bezopasnost': materialy Vseross. nauch.-prakt. konf. (Ekaterinburg, 18 maja 2022 g.). Ekaterinburg, 2022. Рp. 5-11. EDN: OFADNU.
7. Gorbunov D.D. Kriptovaljuta i blokchejn: perspektivy razvitija s tochki zrenija informacionnoj bezopasnosti. Cifrovaja transformacija obshhestva i informacionnaja bezopasnost': materialy Vseross. nauch.-prakt. konf. (Ekaterinburg, 18 maja 2022 g.). Ekaterinburg, 2022. Рp. 11-17. EDN: NFFMYR.
8. Doguchaeva S.M. Analiz sovremennyh problem informacionnoj bezopasnosti v rossijskih kompanijah. Risk: resursy, informacija, snabzhenie, konkurencija, 2022, no. 2, рp. 65-68. EDN: JXIBRK.
9. Dolganov K.A. Tehnologija blokchejn s tochki zrenija informacionnoj bezopasnosti. Cifrovaja transformacija obshhestva i informacionnaja bezopasnost': materialy Vseross. nauch.-prakt. konf. (Ekaterinburg, 18 maja 2022 g.). Ekaterinburg, 2022. Рp. 14-17. EDN: FQDEJE.
10. Efremov N.A., Muzhzhavleva T.V. Processy informatizacii jekonomiki i informacionnaja bezopasnost'. Jekonomika i predprinimatel'stvo, 2023, no. 3, рp. 287-294. DOI: 10.34925/EIP.2023.152.3.057. EDN: AAAYCT.
11. Puchkov A. Ju., Sokolov A.M., Shirokov S.S., Prokimnov N.N. Algoritm vyjavlenija ugroz informacionnoj bezopasnosti v raspredeljonnyh mul'tiservisnyh setjah organov gosudarstvennogo upravlenija. Prikladnaja informatika, 2023, vol. 18, no. 2, рp. 85-102. DOI: 10.37791/2687-0649-2023-18-2-85-102. EDN: FUXPSC.
^атья поступила в редакцию 21.02.24; Принята к публикации 15.03.24. Авторы прочитали и одобрили окончательный вариант рукописи.
The article was submitted 21.02.24; accepted for publication 15.03.24. The authors read and approved the final version of the manuscript.
