Сертифицированные СУБД: надёжность, безопасность и соответствие стандартам

Современные предприятия и государственные учреждения всё чаще используют сертифицированные системы управления базами данных (СУБД), особенно когда речь идет о защите конфиденциальной информации, соблюдении нормативных требований и обеспечении высокого уровня безопасности. В этой статье мы разберем, что такое сертифицированные субд, в чем их особенности и кому они необходимы.

Что такое сертифицированная СУБД?

Сертифицированная СУБД — это система управления базами данных, которая прошла официальную проверку и получила документальное подтверждение соответствия определенным требованиям. В России сертификацией занимается, в частности, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и ФСБ РФ — в части защиты информации и криптографических механизмов.

Сертификация подтверждает, что СУБД:

• обеспечивает заданный уровень информационной безопасности;

• соответствует требованиям по контролю доступа, аудиту действий пользователей и устойчивости к несанкционированному доступу;

• может применяться в системах, работающих с персональными данными, государственной тайной или критической информационной инфраструктурой.

Классы защиты и уровни доверия

В российской практике для сертификации СУБД применяются классы защищённости (1–4) и уровни доверия (от 1 до 4), которые определяют, насколько глубоко проверена система и какую информацию она может обрабатывать.

Например:

• СУБД с 1 уровнем доверия может использоваться в автоматизированных системах, обрабатывающих гостайну;

• СУБД с 4 уровнем доверия применимы в менее критичных задачах, например — при работе с персональными данными.

Популярные сертифицированные СУБД

Некоторые отечественные и зарубежные СУБД, получившие сертификаты ФСТЭК или ФСБ:

• PostgreSQL Pro (российская версия PostgreSQL);

• IBM Db2;

• Oracle Database (отдельные версии и конфигурации);

• MS SQL Server (ограниченно, в рамках сертифицированных решений);

• Astra Linux с встроенной СУБД — для интегрированных решений.

При выборе сертифицированной СУБД важно учитывать, что не каждая версия продукта может быть сертифицирована: как правило, проверке подвергается конкретная сборка, конфигурация и окружение.

Когда нужна сертификация?

Сертифицированные СУБД необходимы в следующих случаях:

• при создании государственных информационных систем;

• в проектах, связанных с персональными данными (согласно 152-ФЗ);

• при работе с государственной тайной (в соответствии с требованиями ФСБ);

• в инфраструктуре объектов КИИ (критически важной информационной инфраструктуры);

• для компаний, работающих по стандартам ISO/IEC 27001, ГОСТ Р 57580.1, PCI DSS и др.

Преимущества сертифицированных СУБД

• Юридическая значимость — соответствие законодательству и нормативам.

• Устойчивость к киберугрозам — подтвержденная проверками.

• Поддержка аудитом — возможность пройти внешнюю проверку или регуляторный аудит.

• Доверие клиентов и партнёров — особенно в сегменте B2G и B2B.