Postgres Pro сертифицирована по новым требованиям ФСТЭК

17 ноября 2023 года компания Postgres Professional сообщила о том, что провела оценку сертифицированных версий СУБД Postgres Pro Standard и СУБД Postgres Pro Enterprise согласно требованиям ФСТЭК по безопасности информации к СУБД от 14 апреля 2023 года, утвержденных Минюстом в июле 2023 года.

По информации компании, сертифицированные версии позволяют использовать Postgres Pro в критической инфраструктуре первой категории и государственных информационных системах первого класса защищенности.

«Быстро реагировать на выпуск требований ФСТЭК нам помогают внедренные в Postgres Professional процессы безопасной разработки, система быстрого выпуска релизов и поддержка регулятора. Кроме того мы реагируем на появление CVE (ошибок безопасности) в СУБД c открытым исходным кодом PostgreSQL и в короткие сроки исправляем их в релизах Postgres Pro», — отметил Иван Панченко, заместитель генерального директора, сооснователь Postgres Professional.

Ранее сертифицированные версии Postgres Pro в основном уже соответствовали требованиям и содержали необходимые механизмы защиты. Для полного соответствия новым требованиям в СУБД внесли следующие изменения:

• Обновлена документация.
• Доработана ролевая модель СУБД. Введены роли администратора СУБД (PGPRO_DBMS_ADMIN), администратора БД (PGPRO_DB_ADMIN), ограничены возможности суперпользователя. В данную сертифицированную версию СУБД добавлено исправление для ограничения прав ролей с атрибутом CREATE ROLE. Теперь такая роль может создать роль только с теми привилегиями, которыми обладает сама.
• Доработаны некоторые команды и утилиты – например, CREATE PROFILE для возможности работы без суперпользователя, а также утилита контроля целостности pg_integrity_check, которая теперь сможет проверять целостность процедур в нескольких базах данных.
• Доработан модуль pg_proaudit, позволяющий регистрировать события, связанные с безопасностью.

Обновленная версия Postgres Pro Certified поддерживает три версии ядра СУБД: 11.21.2, 14.9.2 и 15.4.2. Сертификат соответствия № 3637 переоформлен 20 октября 2023 г. Обновленная версия Postgres Pro Enterprise Certified поддерживает четыре версии ядра СУБД: 11.21.2, 13.12.3, 14.9.3 и 15.4.3. Сертификат соответствия № 4063, переоформлен 3 ноября 2023 г. Меры по обеспечению безопасности СУБД Postgres Pro

Postgres Professional ежеквартально выпускает обновления Postgres Pro Standard и Postgres Pro Enterprise, основанные на последних версиях СУБД PostgreSQL. В компании Postgres Professional внедрены процессы безопасной разработки ПО, в том числе статический анализ кода, его динамическое тестирование и анализ уязвимостей в используемом коде и компонентах. Для тестирования применяется открытое ПО, проприетарное ПО Института системного программирования РАН и собственные разработки компании.

Помимо своевременного обновления функциональности СУБД Postgres Pro, компания Postgres Professional регулярно сообщает о найденных в PostgreSQL ошибках и уязвимостях сообществу этой открытой СУБД. Список обнаруженных всеми разработчиками PostgreSQL уязвимостей публикуется ежеквартально одновременно с выпуском очередных минорных релизов. Postgres Professional выпускает собственные продукты с исправлением уязвимостей из этого списка уже через месяц.

Postgres Professional использует информацию из базы данных уязвимостей (БДУ) ФСТЭК и других открытых источников, обмениваясь с БДУ ФСТЭК информацией: команда экспертов компании исследует исходный код на предмет влияния уязвимости на функционирование и предлагает компенсирующие меры. В БДУ ФСТЭК компания Postgres Professional указана как российский вендор СУБД на основе PostgreSQL.

В октябре 2023 года Postgres Professional объявила о выпуске Postgres Pro Standard 16. Ее сертифицированная ФСТЭК версия появится уже после очередного инспекционного контроля.

В декабре 2023 года Postgres Professional планирует мажорный релиз флагманской Postgres Pro Enterprise 16, куда войдет ряд решений и доработок. В 2024 году запланирован выпуск очередной сертифицированной версии Postgres Pro Enterprise Certified.