E-mail:
Пароль:
Забыли пароль?

«Обзор СУБД для российского рынка ИБ, или с чего начинается защита данных»

«Information Security», № 04, 2012 г.

Виталий Максимов, Роман Силецкий и Константин Селезнёв

В настоящее время системы управления базами данных (СУБД) являются ключевыми составляющими для любой информационной системы (ИС). Практически каждый сегмент рынка ИКТ или уже тесно связан с базами данных, или к этому неизбежно стремится. СУБД в составе ИС используются для решения различных задач, которые в первую очередь соотносятся с целями и областями применения самих ИС.

Выделяют следующие СУБД: корпоративные (для использования на уровне предприятия, например в составе ERP-систем), специализированные (для использования в конкретных системах, например в АСУ ТП), встраиваемые (применяются в мобильных устройствах), защищенные (входят в состав решений, обеспечивающих информационную безопасность).

Прогнозы мирового рынка СУБД

По прогнозам Forrester Research, мировой рынок СУБД к 2013 г. вырастет до $32 млрд. Сейчас около 88% поставок приходится на трех крупнейших вендоров, исторически занимающих лидирующие позиции на рынке СУБД, – Oracle, Microsoft и IBM. При этом за прошедшие годы этими компаниями было поглощено множество мелких разработчиков СУБД, в результате чего мировой рынок СУБД, по сути, стал олигополией.

Доля российского сектора СУБД оценивается агентством Gartner примерно в 1,4–1,5% от мирового. В 2009 г. его объем составлял $264 млн и $280 млн –в 2010 г. На данный момент российский рынок СУБД, впрочем, как и мировой, «оккупировали» все те же Oracle, Microsoft и IBM (вместе около 90% рынка).

Растущий спрос на защищенные решения

Вступление в силу Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 г. заставило многие организации всерьез задуматься над защитой хранимой и обрабатываемой информации, что заметно увеличило расходы на ИБ. Появление новых требований к обеспечению ИБ компьютерных систем от несанкционированного доступа (НСД), недекларированных возможностей (НДВ) и от других потенциальных угроз способствовало формированию требований, предъявляемых к ИБ, подходов и процедур к ее обеспечению и, как следствие, формированию структуры спроса со стороны потребителей.

В свою очередь, интеграторы, ощущая растущий спрос со стороны пользователей в поиске защищенных решений, сертифицированных как комплексно (вся программно-аппаратная платформа), так и по отдельности (например, СУБД, ОС, прикладное ПО), развили этот спрос до ажиотажа и предопределили окончательное формирование рынка ИБ в России к 2009 г.

Изменение рынка ИБ

По данным информационного агентства "Финмаркет", входящего в группу "Интерфакс": в 2011 г. объем российского рынка ИБ, включая продажу ПО, оборудования и услуг, составил более $800 млн, с ростом приблизительно в 25% относительно 2010 г.

С развитием рынка постепенно менялась и структура потребителей: увеличивалась доля государственных органов на фоне снижения доли крупного бизнеса, заметно выросло количество потребителей сегмента SMB и частных потребителей, всерьез задумавшихся о защите хранимой и обрабатываемой информации.

В свою очередь, крупнейшие мировые вендоры ПО столкнулись с определенными барьерами для входа именно на рынок ИБ, например, с необходимостью сертифицировать свои готовые решения во ФСТЭК России и МО РФ. И если безопасность персональных данных гарантировалась большинством проверенных сертификационными лабораториями систем, то уровни «для служебного пользования», «секретно» или «совершенно секретно» остались непокоренными вершинами для абсолютного большинства вендоров СУБД. Таким образом, достаточно большая группа российских потребителей сертифицированных защищенных решений не получила адекватного предложения на рынке ИБ (см.таблицу)

СУБД, зенесенные в Государственный реестр сертиицированных средств защиты информации (по состоянию на 25.07.2012)*
Окончание действия сертификата Предназначение средства (область применения), краткая характеристика параметров/оценка возможности использования в информационных системах персональных данных(ИСПДн) Схема сертификации
23.05.2015 Встроенные средства защиты СУБД Oracle 7 Server версии 7.3.4.0.0 и Oracle 7 Workgroup Server версии 7.3.4.0.0 на соответствие «Требованиям по защите от несанкционированного доступа к информации в автоматизириованных системах учета и контроля ядерных материалов» по 3-му крассу Серия
13.04.2015 Встроенные средства защиты СУБД Microsoft SQL Server 6.5 (English) с пакетом обновления Service Pack 5a (English)- СЗИ НСД по 3-му классу для СУИК Серия
14.04.2015 Комплекс средст защиты, реализованный в СУБД Oracle 8i Database Server Enterprise Edition Release 3 (8.1.7.0.0) под управлением ОС Windows NT 4.0 - по з-му классу для СУИК Серия
07.08.2012 СУБД «Альтернатива» версия 1.5 - на соответствие ТУ, 5-му классу классу СВТ и 4-му уровню НДВ, может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в ИСПДн до 2-го класса включительно Серия
22.03.2015 СУБд «Линтер версия 6.0»(БАСТИОН) - на соответствие РД НДВ по 2-му уровню контроля и РД СВТ по 2-му классу защищенности Серия
*В таблицу занесены только те программные продукты, которые имеют действующий сертификат ФСТЭК России на серийное производство. Порядок расположения программных продуктов по номеру сертификата и формулировка каждого из пунктов полностью соответствует данным таблицы, опубликованной для открутого доступа на официальном сайте ФСТЭК России(по состоянию на 25.07.2012).

Прогнозы российского рынка СУБД

Согласно информации, опубликованной на официальном сайте ФСТЭК России, всего 4 СУБД в мире (Oracle версий 7 и 8i, Microsoft SQL Server версии 6.5, СУБД «Альтернатива» версии 1.5 и СУБД «ЛИНТЕР БАСТИОН» версии 6.0) имеют действующие сертификаты на серийное производство. Важно и то, что все эти СУБД, за исключением, пожалуй, «ЛИНТЕР БАСТИОН» 6.0, сертифицированы либо под конкретную область применения, например системы управлении и контроля (СУиК), информационные системы персональных данных (ИСПДн), либо под конкретное решение – автоматизированные системы учета и контроля ядерных материалов.

Что касается сертификации в МО РФ, то подобного реестра в открытом доступе нет, поэтому информацию о наличии сертификатов можно получить только на сайтах разработчиков систем. Среди СУБД, сертифицированных МО РФ и ориентированных на государственный сегмент рынка ИБ, можно выделить вышеупомянутую «ЛИНТЕР БАСТИОН» и PostgreSQL, имеющую множество клонов, в том числе специализированную СУБД «Линтер-ВС». Но, как видно из таблицы, «Линтер-ВС» не имеет действующего сертификата ФСТЭК России.

С большой вероятностью можно прогнозировать, что в дальнейшем, при отсутствии протекционистской национальной политики в российском сегменте технологий баз данных, практически монопольно будут распространяться продукты компаний уже упомянутой «большой тройки», а также свободно распространяемый PostgreSQL. При этом вся инфраструктура ПО, например, государственных органов или стратегически важных отраслей российской экономики становится зависимой от иностранных вендоров. С каждым годом этот процесс будет приобретать все более необратимый характер. Если учитывать экономические и политические аспекты данной ситуации, очевидна необходимость разработки и грамотной реализации национальной программы по созданию специализированных решений в области технологий баз данных на основе отечественных лицензионно чистых и сертифицированных программноаппаратных средств.

СУБД ЛИНТЕР Бастион защита данных


Возврат к списку

ѕрокрутить вверх