Postgres Pro сертифицирована по новым требованиям ФСТЭК

  

17 Ноябрь 2023 (17:46)

Postgres Pro сертифицирована по новым требованиям ФСТЭК

Компания Postgres Professional провела оценку сертифицированных версий СУБД Postgres Pro Standard и СУБД Postgres Pro Enterprise согласно новым требованиям ФСТЭК по безопасности информации к СУБД от 14 апреля 2023 года, утвержденных Минюстом в июле 2023 года, сообщает компания.

Как говорится в сообщении, Postgres Professional сделала это первой среди разработчиков СУБД.

Сертифицированные версии позволяют использовать Postgres Pro в критической инфраструктуре первой категории и государственных информационных системах первого класса защищенности.

«Быстро реагировать на выпуск новых требований ФСТЭК нам помогают внедренные в Postgres Professional процессы безопасной разработки, система быстрого выпуска релизов и поддержка регулятора, — отмечает Иван Панченко, заместитель генерального директора, сооснователь Postgres Professional. — Кроме того мы оперативно реагируем на появление CVE (ошибок безопасности) в СУБД c открытым исходным кодом PostgreSQL и в короткие сроки исправляем их в релизах Postgres Pro, что обеспечивает российским пользователям Postgres Pro максимальную защиту при условии регулярных обновлений».

Ранее сертифицированные версии Postgres Pro в основном уже соответствовали новым требованиям и содержали необходимые механизмы защиты. Для полного соответствия новым требованиям в СУБД внесли следующие изменения:

  • Обновлена документация.
  • Доработана ролевая модель СУБД. Введены новые роли администратора СУБД (PGPRO_DBMS_ADMIN), администратора БД (PGPRO_DB_ADMIN), ограничены возможности суперпользователя. В текущую сертифицированную версию СУБД добавлено разработанное Postgres Professional исправление для ограничения прав ролей с атрибутом CREATE ROLE. Теперь такая роль может создать новую роль только с теми привилегиями, которыми обладает сама.
  • Доработаны некоторые команды и утилиты – например, CREATE PROFILE для возможности работы без суперпользователя, а также утилита контроля целостности pg_integrity_check, которая теперь сможет проверять целостность процедур в нескольких базах данных.
  • Доработан модуль pg_proaudit, позволяющий регистрировать события, связанные с безопасностью.

Обновленная версия Postgres Pro Certified поддерживает три версии ядра СУБД: 11.21.2, 14.9.2 и 15.4.2. Сертификат соответствия № 3637 переоформлен 20 октября 2023 г. Обновленная версия Postgres Pro Enterprise Certified поддерживает четыре версии ядра СУБД: 11.21.2, 13.12.3, 14.9.3 и 15.4.3. Сертификат соответствия № 4063, переоформлен 3 ноября 2023 г.

Меры по обеспечению безопасности СУБД Postgres Pro

Ежеквартальные обновления

Postgres Professional ежеквартально выпускает обновления Postgres Pro Standard и Postgres Pro Enterprise, основанные на последних версиях СУБД PostgreSQL. Этот уникальный по скорости для российского рынка СУБД цикл обеспечивает российским пользователям Postgres Pro максимальную защиту. Кроме того, в компании Postgres Professional внедрены процессы безопасной разработки ПО, в том числе статический анализ кода, его динамическое тестирование и анализ уязвимостей в используемом коде и компонентах. Для тестирования применяется открытое ПО, проприетарное ПО Института системного программирования РАН и собственные разработки компании.

Исправление ошибок и уязвимостей

Помимо своевременного обновления функциональности СУБД Postgres Pro, компания Postgres Professional регулярно сообщает о найденных в PostgreSQL ошибках и уязвимостях сообществу этой открытой СУБД. Список обнаруженных всеми разработчиками PostgreSQL уязвимостей публикуется ежеквартально одновременно с выпуском очередных минорных релизов. Postgres Professional выпускает собственные продукты с исправлением уязвимостей из этого списка уже через месяц. Таким образом, обновляя версию СУБД Postgres Pro, пользователь может быть уверен в том, что получил все последние изменения открытой СУБД PostgreSQL и исправления от команды Postgres Professional.

Взаимодействие с БДУ ФСТЭК

Postgres Professional использует информацию из базы данных уязвимостей (БДУ) ФСТЭК и других открытых источников, обмениваясь с БДУ ФСТЭК информацией: команда экспертов компании исследует исходный код на предмет влияния уязвимости на функционирование и предлагает компенсирующие меры. В БДУ ФСТЭК компания Postgres Professional указана как единственный российский вендор СУБД на основе PostgreSQL.

Планы

В октябре 2023 года Postgres Professional объявила о выпуске Postgres Pro Standard 16. Ее сертифицированная ФСТЭК версия появится уже после очередного инспекционного контроля.

В декабре Postgres Professional планирует мажорный релиз новой флагманской Postgres Pro Enterprise 16, куда войдет ряд новых крупных решений и доработок. В 2024 году запланирован выпуск очередной сертифицированной версии Postgres Pro Enterprise Certified.