Все говорят: «импортозамещение», а ты купи слона! Postgres PRO Certified, Postgres PRO, 1C PostgreSQL – какого слона купить?
Наверное, каждый человек из ИТ знает или хотя бы слышал, что с недавних пор в России появились обязательства и рекомендации об использовании исключительно сертифицированных ФСТЭК программных продуктов. В первую очередь это, конечно же, касается госструктур, но и бизнес вынужден активно смотреть в сторону этих рекомендаций. Ведь купить или продлить лицензию на MSSQL и Oracle привычным законным способом сейчас не получится.
В связи с этим был создан реестр отечественного ПО, и в него бурным потоком полились наши (и не очень) разработчики. Карнавал импортозамещения затронул и сферу СУБД. Российские разработчики смело выкатили для широкой публики СУБД под названием Postgres PRO во всевозможных модификациях. Название похоже на одну популярную СУБД, но это не она. Точнее, это отдельный коммерческий продукт, который был построен на СУБД с открытым исходным кодом: PostgreSQL.
Так уж вышло, что все эти импортозамещающие СУБД названы почти одинаково. И когда требуется выбрать, на какую версию мигрировать ИС, возникает очень много вопросов, так как есть нюансы версионности, которые очень многое меняют.
Попробуем пролить свет на всю эту путаницу с сертификацией и лицензированием СУБД. За что нужно платить, за что нет, что сертифицировано Минкомсвязи, что нет. Итак:
Перечень доступных для импортозамещения СУБД, построенных на основе PostgreSQL
Как видно из таблицы, есть несколько версий доступных СУБД. Беглым взглядом очень тяжело понять, что конкретно нам нужно для старта и нужно ли стартовать в принципе. Поэтому давайте разберём несколько кейсов, чтоб понять, когда и какой вариант нам бы подошёл больше всего.
Заранее оговоримся, мы не будем обсуждать цены и технические преимущества каждого решения. Для нас важно понять, какой продукт мог бы заменить собой уже действующую СУБД в нашей инфраструктуре. Также обойдём стороной технический вопрос миграции в новую СУБД, что обычно сопровождается необходимостью переписывать все макросы, скрипты и sql‑запросы под новую версию СУБД.
Первый кейс, самый распространённый
Ваша компания работает в частном бизнесе, никак не связанном с государством. Соответственно, не подпадает под требования ФСТЭК о внедрении сертифицированного ПО. Так как согласно пункта 2.3 СТР‑К и пункта 1.5 положения по аттестации, переход на сертифицированное ПО носит рекомендательный характер. У вас есть рабочий вариант СУБД от любого вендора (MS, Oracle), который больше не принимает оплату от юридических лиц, зарегистрированных в России, но вы хотели бы оставаться в правовом поле, использовать только лицензионный софт, не нарушать законодательство и по возможности соблюдать рекомендации ФСТЭК относительно безопасности информационных систем. Ежегодный бюджет вашей компании уже отреагировал на современные реалии и был свёрстан на текущий год с учетом потребности замены СУБД на любую доступную.
При таких вводных для вас подходит вариант Postgres Pro в любом из вариантов (Standard или Enterprise) в зависимости от технических требований вашей ИС. Вам не нужна сертифицированная версия СУБД, поскольку для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, составляющей коммерческую, банковскую тайну и т. д., далее — коммерческая тайна), данное требование носит рекомендательный характер. Но и бесплатный вариант тоже не подходит, так как риск потерять производительность на новой СУБД или в случае каких-либо проблем остаться без поддержки вендора недопустим для бизнеса в любом случае.
Второй кейс. Самый обязательный
Ваша организация государственная, вы являетесь оператором АИС, ГИС, а сфера вашей компании относится к критической информационной инфраструктуре (Перечень объектов критической инфраструктуры установлен ФЗ-187). В таком случае вся её деятельность напрямую зависит от федеральных законов, которые регулируют, в том числе и ИТ сферу. В частности, информационная деятельность вашей компании регламентирована пунктами нормативной документации ФСТЭК России: пункт 3 приказа ФСТЭК № 17; пункт 2.1 и 2.17 СТР‑К. Согласно этим документам, вы обязаны использовать аттестованные (имеющие сертификат аттестации ФСТЭК) ИС, куда и попадает СУБД.
По заявлению самого вендора, Сертифицированная Система Управления Базами Данных (СУБД) Postgres Pro Enterprise является надёжным инструментом для обеспечения безопасности информации в важных объектах, включая объекты критической информационной инфраструктуры 1-й категории, государственные информационные системы 1-го класса защищенности, а также системы автоматизированного управления производственными и технологическими процессами 1-го класса защищенности. Она также может быть успешно применена в информационных системах персональных данных, где требуется обеспечение 1-го уровня защищенности персональных данных, а также в информационных системах общего пользования II класса.
Законодательно вы ограничены в приобретении лицензии от компании, которая не находится в реестре ФСТЭК, даже если бы эти компании продавали свои продукты на территории РФ. Таким образом наиболее подходящий вариант для миграции в этом случае будет Postgres Pro Enterprise Certified или Postgres Pro Certified. Выбор между этими двумя вариантами осуществляется на основе технических требований эксплуатации СУБД.
Хотелось бы еще напомнить, что, если миграцию СУБД государственная организация решит провести параллельно с миграцией в облако, нужно не забыть про ФЗ-152 и необходимость размещать всю инфраструктуру в защищённом сертифицированном контуре.
Третий кейс. Самый лёгкий
У вас небольшой бизнес, не высоконагруженная БД, которая завязана на 1С, количество пользователей и транзакций минимально. У вас нет бюджета на покупку лицензий и, тем более, на проект миграции, но кое‑что вы готовы потратить. Инфраструктура состоит из 1–2 серверов в облаке или земле и вы работаете только с физлицами.
В таком случае идеальным вариантом для вас может быть версия 1C Postgres SQL. Здесь не нужно никому платить за лицензию СУБД. Эта версия была выпущена специально для тех, кому не нужна репликация, отказоустойчивость, построение кластеров. В ней есть ряд технических ограничений, но всё можно простить за возможность сохранить бюджет. Тем более никто не запрещал самим настраивать и оптимизировать СУБД, расширяя её возможности.
Итог
Что можно сказать в итоге? Безусловно, информации, регламентов, законов, рекомендаций очень много. Неподготовленному человеку сложно их все прочитать, чтобы принять верное решение. Есть также масса других вариантов или рабочих кейсов, которые трудно описать в одной статье, но общее направление по миграции в нужную СУБД вырисовывается. В схеме ниже Cloud4Y предлагает упрощенный вариант рекомендаций, который поможет сориентироваться при выборе нужной СУБД.
Спасибо за внимание!