Безопасность и соответствие регуляторам

Сертификация и реестры

• Сертификат ФСТЭК России по 4 уровню доверия — выдан на Picodata. Выписка и документы →
• Сертификат ФСТЭК России по 6 уровню доверия — выдан на ядро Picodata.
• Статус Особо значимого проекта Министерства цифрового развития — проект «Реализация распределённых транзакций». Решение Минцифры →
• Единый реестр российского программного обеспечения — запись №2021680169 от 07.12.2021.
• Сертификат ISO 9001:2015 — система менеджмента качества.

Соответствие Приказу ФСТЭК №64

Приказ ФСТЭК России №64 от 14 апреля 2023 года устанавливает требования по безопасности информации к системам управления базами данных. Документ определяет 6 классов защиты; сертификат Picodata по 4 уровню доверия соответствует 4 классу защиты и разрешает использование системы на значимых объектах критической информационной инфраструктуры 1 категории значимости, в государственных информационных системах 1 класса защищённости, на критически важных объектах автоматизированных систем управления производственными и технологическими процессами 1 класса защищённости, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищённости.

Функциональный набор безопасности, предписанный Приказом №64 для 4 класса защиты:

• Ролевая модель доступа: администратор СУБД, администратор БД, пользователь БД; дискреционный и ролевой методы управления доступом с настраиваемыми матрицами.
• Идентификация и аутентификация: пароли не менее 8 символов при алфавите не менее 70 символов, блокировка учётной записи после 4 неуспешных попыток.
• Контроль целостности конфигурации и процедур при запуске и не реже одного раза в сутки при функционировании.
• Регистрация событий безопасности по требованиям ГОСТ Р 59548-2022, не менее 10 обязательных типов событий с регистрацией важности.
• Резервное копирование баз данных, их конфигураций и конфигурации самой СУБД.
• Отказоустойчивый кластер с синхронизацией конфигурации, поочерёдным обновлением узлов без прерывания работы и возвратом к предыдущему состоянию при неуспешном обновлении.
• Очистка памяти путём перезаписи модифицированных участков объектов файловой системы.
• Ограничение программной среды: выявление и блокировка загрузки неразрешённого программного обеспечения в адресное пространство СУБД.

Picodata реализует весь функциональный набор Приказа №64 для 4 класса защиты в базовой поставке платформы.

Полнота функций безопасности для enterprise без отдельной лицензии

Функции безопасности, требуемые Приказом ФСТЭК №64, исторически реализованы западными вендорами только в платных enterprise-редакциях. В открытых community-редакциях этот набор либо отсутствует, либо существенно ограничен:

• MongoDB Community не поддерживает интеграцию с LDAP и журнал аудита; эти функции доступны только в MongoDB Enterprise Advanced.
• Redis Community до версии 6 не имел полноценной ролевой модели (ACL); шифрование данных на диске и расширенный аудит — в Redis Enterprise.
• Apache Cassandra Community не поддерживает шифрование данных на диске в базовой поставке; расширенный журнал аудита — в DataStax Enterprise.

Сертификат Picodata по 4 уровню доверия ФСТЭК подтверждает соответствие всему функциональному набору безопасности без отдельной enterprise-лицензии.

Механизмы защиты информации

• Шифрование всех соединений — внешних (клиентских) и межузловых. В большинстве открытых СУБД межузловой трафик не защищается.
• Полный аудит действий привилегированных пользователей. Детальный аудит ограничен привилегированными учётными записями, что снижает объём событий в SIEM и сосредотачивает внимание на внутренних угрозах.
• Ролевая модель и интеграция с LDAP — единый контур ролей доступа на всём кластере.
• Развёртывание в изолированном контуре (airgap) — официально поддерживается и документировано.

Криптографическая защита сверх требований ФСТЭК

Помимо функционального набора Приказа №64, Picodata реализует современные криптографические механизмы защиты:

• HTTPS для веб-интерфейса управления — обязательное шифрование административного доступа.
• mTLS для PostgreSQL-протокола — взаимная аутентификация клиента и сервера на основе TLS-сертификатов, предотвращающая подмену узлов.
• SCRAM-SHA-256 — современный механизм аутентификации для PostgreSQL-протокола, заменяющий устаревшие MD5-схемы.
• LDAPS для интеграции с LDAP — шифрование канала обмена при аутентификации с каталогом, исключающее перехват учётных данных в промежуточной сети.
• Персональные учётные записи администраторов с аудит-журналом всех действий вместо разделяемых административных аккаунтов.

Цепочка поставки программного обеспечения

• SBOM (Software Bill of Materials) — перечень компонентов поставляется в каждом релизе.
• Воспроизводимая сборка (reproducible builds) — возможность независимой проверки любого артефакта.
• Подписанные релизы — все релизные артефакты снабжены электронной подписью; модификация обнаруживается при проверке.

Поверхность атаки реализована на языке Rust

Компоненты, подверженные внешним атакам (парсеры сетевых протоколов и SQL, реализация Raft-консенсуса, плагины Radix и Sirin), реализованы на языке Rust. Движки хранения MemTX и Vinyl унаследованы из кодовой базы Tarantool с глубокой переработкой, написаны на языке C и прошли многолетнюю промышленную эксплуатацию.

Процесс поддержания безопасности

Соответствие сертификату ФСТЭК — не разовое событие, а постоянный процесс. При разработке и сопровождении Picodata применяются:

• Fuzz-тестирование — автоматизированная проверка устойчивости критических компонентов (парсеры протоколов, SQL, Raft-консенсус, плагины) к некорректным и специально сконструированным входным данным.
• Статический анализ кода с помощью svace — отечественный инструмент обнаружения уязвимостей в исходном коде на этапе сборки.
• Мониторинг известных уязвимостей во всех зависимостях — автоматическое отслеживание CVE в используемых open source библиотеках с реактивным обновлением.
• Пересертификация LTS-релизов по требованиям ФСТЭК не реже двух раз в год; 100% LTS-релизов проходят сертификационную проверку.

Соответствие регуляторам

187-ФЗ «О безопасности критической информационной инфраструктуры»

Обеспечено соответствие требованиям ст. 9 ч. 3 к программному обеспечению значимых объектов критической информационной инфраструктуры: использование программного обеспечения из единого реестра российского ПО (п. 5), соблюдение требований к программно-аппаратным комплексам (п. 6), непрерывное взаимодействие с ГосСОПКА (п. 7).

851-П и 821-П Банка России

Обеспечено соответствие требованиям защиты информации при осуществлении банковской деятельности. Для оценки по ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 с пороговым значением 0,85 балла продукт соответствует всем необходимым техническим требованиям, включая сертификацию прикладного ПО по Приказу ФСТЭК России №131.

Инцидент информационной безопасности и реагирование

Крупные российские ИТ-организации часто откладывают переход на сертифицированные решения до первого инцидента в области информационной безопасности. Типичный пример — критическая уязвимость CVE-2025-49844 в Redis (RediShell, октябрь 2025): ошибка использования памяти после освобождения существовала в коде 13 лет; на момент раскрытия в интернете находилось около 330 000 уязвимых экземпляров Redis, из них 60 000 без аутентификации. Эксплуатация позволяла выполнить произвольный код через Lua-скрипт.

В open source-инсталляциях закрытие критических CVE проводится силами сообщества без соглашений об уровне обслуживания, что создаёт «окна уязвимости» на дни и недели.

При возникновении инцидента ИБ, связанного с уязвимостью CVE в открытой СУБД (Redis, MongoDB, Cassandra), команда Picodata обеспечивает планирование замены в короткие сроки. Доступна поддержка в режиме 24×7 и дежурство разработчиков; подробное описание услуг представлено в разделе «Услуги».