Требования по безопасности информации к системам управления базами данных (СУБД) были утверждены ФСТЭК России приказом №64 от 14 апреля 2023 года и определили 6 классов защиты (самый низкий класс – шестой, самый высокий – первый).
Функции безопасности, которые должны быть реализованы в системе управления базами данных, разбиты на 11 групп, конкретные требования в которых традиционно публично доступны только для СУБД с 6 по 4 класс защиты. Основные требования справочно приведены в этом посте в таблице ближе к концу.
По состоянию на сегодня в реестре ФСТЭК России представлено 13 сертифицированных СУБД от 10 производителей. Только у одного средства 1 класс защиты, у двух - 2 класс защиты, у остальных - 4 класс защиты, которого вполне достаточно для применения:
- в значимых объектах критической информационной инфраструктуры (ЗО КИИ) 1 категории значимости (и, соответственно, ниже),
- в государственных информационных системах (ГИС) 1 класса защищенности (и, соответственно, ниже),
- в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) 1 класса защищенности (и, соответственно, ниже),
- в информационных системах персональных данных (ИСПДн) при необходимости обеспечения 1 уровня защищенности персональных данных (и, соответственно, ниже),
- в информационных системах общего пользования II класса.
Таблица со всеми сертифицированными системами управления базами данных выглядит так:
Важно!
Информация в приведённой таблице актуальна на дату публикации. Текущие действующие сертификаты можно посмотреть в соответствующем Реестре ФСТЭК России. Также по возможности актуализируется информация в Хабе Злонова.
Другие выборки:
[таблица] Сертифицированные средства виртуализации 2024
[таблица] Сертифицированные операционные системы 2024
| Средство защиты | Полный перечень соответствий из сертификата | Разработчик/Заявитель |
|---|---|---|
| Astra Linux Special Edition | • Требования к средствам виртуализации(1) • Требования доверия(1) • Требования доверия(2) • ИТ.ОС.А1.ПЗ • ИТ.ОС.А2.ПЗ • Требования к средствам контейнеризации(1) • Требования к СУБД(1) |
ООО «РусБИТех-Астра» |
| ЛИНТЕР 6.0 (БАСТИОН) | • Требования доверия(2) • Требования доверия(4) • РД СВТ(2) • Требования к СУБД(2) • Требования к СУБД(4) |
АО НПП «РЕЛЭКС» |
| Ред База Данных | • Требования доверия(4) • ТУ • Требования к СУБД(4) |
ООО «РЕД СОФТ» |
| Postgres Pro | • Требования доверия(4) • ТУ • Требования к СУБД(4) |
ООО «ППГ» |
| Postgres Pro Enterprise | • Требования доверия(4) • ТУ • Требования к СУБД(4) |
ООО «ППГ» |
| Jatoba | • Требования доверия(4) • Требования к СУБД(4) |
ООО «Газинформсервис» |
| Синергия-БД | • Требования доверия(2) • Требования к СУБД(2) |
ФГУП «РФЯЦ-ВНИИЭФ» |
| Platform V Pangolin SE | • Требования доверия(4) • Требования к СУБД(4) |
АО «СБЕРБАНК-ТЕХНОЛОГИИ» |
| Tarantool Plus | • Требования доверия(4) • Требования к СУБД(4) |
ООО «ВК Цифровые Технологии» |
| Postgres Pro Shardman | • Требования доверия(4) • Требования к СУБД(4) |
ООО «ППГ» |
| Arenadata QuickMarts T4 | • Требования доверия(4) • Требования к СУБД(4) |
ООО «Аренадата Софтвер» |
| Arenadata Analytical DB T4 | • Требования доверия(4) • Требования к СУБД(4) |
ООО «Аренадата Софтвер» |
| Q.DataBase | • Требования доверия(4) • Требования к СУБД(4) |
ООО «Диасофт Экосистема» |
Подробнее почитать про сами СУБД можно на сайтах вендоров (ссылки выше ведут на страницы решений/производителей в Хабе Злонова, где все нужные ссылки есть), а общую информацию о рынке российских СУБД можно почерпнуть, например, из этих публичных материалов:
- 28.05.2024 2024 Рынок систем управления и обработки данных в России текущее состояние и перспективы развития, обзор ЦСР
- 22.11.2023 Есть ли в России замена Oracle и MySQL?
- 15.06.2023 Альтернатива есть! Обзор 6 российских СУБД для миграции
Основные требования к СУБД в зависимости от класса защиты
Сами требования (выдержка) таблично выглядят так:
| Требование | 6 класс защиты | 5 класс защиты | 4 класс защиты |
|---|---|---|---|
| Уровень доверия | должны соответствовать 6 уровню доверия | должны соответствовать 5 уровню доверия | должны соответствовать 4 уровню доверия |
| ОС, в среде которой функционирует СУБД | должна быть сертифицирована не ниже класса защиты СУБД | должна быть сертифицирована не ниже класса защиты СУБД | должна быть сертифицирована не ниже класса защиты СУБД |
| Управление доступом | должны быть реализованы дискреционный и ролевой методы управления доступом для администратора СУБД, администратора БД(ИС), пользователя БД(ИС) | аналогично 6 классу защиты | аналогично 6 классу защиты |
| Идентификация и аутентификация пользователей | Первичная идентификация администраторов СУБД и администраторов БД(ИС) должна осуществляться администратором СУБД. Первичная идентификация пользователей БД должна осуществляться администратором БД(ИС). Идентификация и аутентификация пользователей в СУБД осуществляется с учетом требований разделов 4-7 ГОСТ Р 58833-2020 “Защита информации. Идентификация и аутентификация. Общие положения”. СУБД должна осуществлять аутентификацию пользователей СУБД при предъявлении пароля пользователя. Пароль пользователя для администраторов СУБД и администраторов БД(ИС) должен устанавливаться администратором СУБД. Пароль для пользователей БД устанавливается администратором БД(ИС). СУБД должна обеспечивать возможность смены установленных паролей пользователей СУБД после их первичной аутентификации. При попытке ввода неправильного значения идентификатора или пароля пользователя СУБД должно быть отказано в доступе. При исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя БД(ИС)) должна быть заблокирована СУБД с возможностью разблокировки администратором СУБД или администратором БД(ИС) или с возможностью автоматической разблокировки по истечении временного интервала. При исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись администратора СУБД или администратора БД(ИС) должна быть заблокирована СУБД с возможностью разблокировки администратором СУБД или с возможностью автоматической разблокировки по истечении временного интервала. Защита пароля пользователя СУБД должна обеспечиваться при его вводе за счет исключения отображения символов вводимого пароля или отображения вводимых символов условными знаками. Пароль пользователя СУБД должен содержать не менее 6 символов при алфавите пароля не менее 60 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки – 10. СУБД должна обеспечивать хранение аутентификационной информации пользователя СУБД в защищенном формате или в защищенном хранилище. |
дополнительно: Пароль пользователя СУБД должен содержать не менее 6 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки – 8. | дополнительно: Пароль пользователя СУБД должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки – 4. |
| Контроль целостности | СУБД должна контролировать целостность конфигурации СУБД, конфигураций баз данных, процедур (программного кода) СУБД, процедур (программного кода), хранимых в базах данных, в процессе запуска СУБД самостоятельно или с применением сертифицированной ОС; информировать администратора СУБД о нарушении целостности объектов контроля; информировать администратора БД(ИС) о нарушении целостности конфигураций БД, процедур (программного кода), хранимых в БД; блокировать доступ пользователей СУБД (за исключением администратора СУБД) к СУБД и БД при выявлении нарушения целостности объектов контроля; блокировать доступ пользователей БД(ИС) к БД при выявлении нарушения целостности конфигураций БД, процедур (программного кода), хранимых в БД. | аналогично 6 классу защиты | дополнительно: СУБД должна контролировать целостность процедур (программного кода) СУБД, процедур (программного кода), хранимых в БД, в процессе функционирования СУБД не реже одного раза в сутки. |
| Регистрация событий безопасности | СУБД должна обеспечивать регистрацию событий безопасности, связанных с функционированием СУБД и действиями пользователей системы управления базами данных; оповещать администратора СУБД, администратора БД(ИС) о событиях безопасности; осуществлять сбор и хранение записей в журнале событий безопасности, которые позволяют определить, когда и какие события происходили. Регистрация событий безопасности в СУБД должна осуществляться с учетом требований разделов 5-6 ГОСТ Р 59548-2022 “Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации”. Для каждой функции безопасности в СУБД должен быть определен перечень событий, необходимых для регистрации и учета. Для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности. Записи журнала событий безопасности должны представляться в структурированном виде и содержать дату и время события безопасности, взятое из аппаратной платформы или операционной системы. Журнал событий безопасности СУБД должен быть доступен для чтения администратору СУБД и администратору БД. Для пользователя БД(ИС) журнал событий безопасности СУБД должен быть недоступен. При исчерпании области памяти, отведенной под журнал событий безопасности СУБД, СУБД должна осуществлять самостоятельно или с применением механизмов сертифицированной ОС архивирование журнала с последующей очисткой высвобождаемой области памяти. Регистрации подлежат как минимум следующие события безопасности: создание учетных записей пользователей СУБД; изменение атрибутов учетных записей пользователей СУБД; успешные и неуспешные попытки аутентификации пользователей СУБД; запуск и остановка СУБД с указанием причины остановки; изменение конфигурации СУБД; создание и удаление БД, таблицы за исключением временных таблиц, создаваемых СУБД в служебных целях; подключение, восстановление БД; изменение правил разграничения доступа в СУБД; факты нарушения целостности объектов контроля; создание и изменение процедур (программного кода), хранимых в БД, и представлений. |
аналогично 6 классу защиты | дополнительно: для регистрируемых событий безопасности в каждой записи журнала событий безопасности дополнительно должны регистрироваться сведения о важности события |
| Резервное копирование и восстановление | В СУБД должно обеспечиваться резервное копирование и восстановление БД и их конфигураций, в том числе атрибутов безопасности, самостоятельно или с применением сертифицированных ОС или средства резервного копирования. | аналогично 6 классу защиты | дополнительно: должно обеспечиваться резервное копирование конфигурации СУБД самостоятельно или с применением сертифицированных ОС или средства резервного копирования. |
| Обеспечение доступности | - | - | СУБД должна функционировать в отказоустойчивом кластере, обеспечивающем её доступность, за счет одновременного функционирования нескольких экземпляров СУБД; СУБД должна обеспечивать возможность синхронизации параметров конфигурации СУБД в кластере; в формуляре СУБД должны быть приведены параметры конфигурации кластера СУБД, позволяющие обеспечить обработку отказов заданного количества узлов кластера; должна обеспечиваться возможность поочередного обновления, связанного с устранением уязвимостей, каждой СУБД или компонентов в кластере при сохранении доступности СУБД; при неуспешном обновлении СУБД в кластере должна обеспечиваться возможность возврата к её предыдущему состоянию, данное действие не должно приводить к прерыванию работы кластера СУБД. |
| Очистка памяти | СУБД самостоятельно или с применением сертифицированной ОС должна обеспечивать удаление БД и журналов, используемых СУБД, путем многократной перезаписи уничтожаемых (стираемых) объектов файловой системы специальными битовыми последовательностями. | аналогично 6 классу защиты | дополнительно: СУБД должна удалять объекты доступа БД, используемые СУБД, путем перезаписи модифицированных участков объектов файловой системы при выполнении операции удаления или в отложенном режиме через промежуток времени, устанавливаемый администратором СУБД или администратором БД. |
| Производительность | СУБД должна обеспечивать производительность со следующими параметрами: количество пользовательских сессий, поддерживаемых параллельно; количество обрабатываемых стандартных запросов в единицу времени; количество транзакций в единицу времени; задержка в выполнении стандартного запроса, определенного в документации СУБД; количество экземпляров СУБД, которые могут совместно работать в режиме балансировки нагрузки. Сведения о значениях данных параметров производительности в зависимости от параметров настройки СУБД и условий функционирования СУБД должны быть приведены в формуляре СУБД. |
аналогично 6 классу защиты | аналогично 6 классу защиты |
| Ограничение программной среды | СУБД самостоятельно или с привлечением сертифицированной ОС должна выявлять и блокировать загрузку в адресное пространство СУБД программного обеспечения, не включенного в перечень (список) программного обеспечения, разрешенного для выполнения. | аналогично 6 классу защиты | дополнительно: СУБД должна запрещать создание процедур (программного кода), хранимых в БД, пользователям БД(ИС); размещать код СУБД в области памяти, не доступной одновременно для записи и исполнения; выявлять и блокировать загрузку в адресное пространство СУБД программного обеспечения, целостность которого нарушена. |
Для долиставших до этого места - привычный бонус =)
Опрос про системы управления базами данных (СУБД) из реестра ФСТЭК России
--- === @zlonov === ---
Комментарии из Telegram
Комментарии ВКонтакте