Рынок отечественных СУБД переживает период, которого не было никогда раньше. Уход Oracle, ограничения на использование Microsoft SQL Server в государственном секторе и масштабный курс на импортозамещение создали спрос, о котором российские разработчики баз данных могли только мечтать ещё пять лет назад. Но вместе со спросом пришли и требования. С 1 января 2027 года СУБД без отметки доверенного программного обеспечения потеряют приоритет в закупках при наличии конкурента с этой отметкой. Для разработчиков, которые сделали ставку на государственный сегмент, это не абстрактная регуляторная норма — это прямое влияние на выручку.
Какие СУБД подпадают под требования постановления № 1937
Под требования доверенного статуса с дедлайном 1 января 2027 года подпадают все системы управления базами данных, включённые или претендующие на включение в реестр российского ПО. Тип архитектуры при этом значения не имеет.
🗄️ Реляционные СУБД
Системы на основе SQL с табличной моделью данных. Основной сегмент замещения Oracle Database, Microsoft SQL Server, IBM Db2 в государственных структурах.
📄 Документоориентированные СУБД
Системы для хранения и обработки неструктурированных данных в формате документов. Используются в современных микросервисных архитектурах госсистем.
📊 Аналитические и колоночные СУБД
Системы для обработки больших объёмов данных, аналитических запросов и хранилищ данных. Актуальны для BI-систем и платформ государственной аналитики.
🔑 Ключ-значение и in-memory СУБД
Высокопроизводительные системы для кэширования, сессионного хранения и обработки потоков данных в реальном времени.
🕸️ Графовые СУБД
Системы для хранения и анализа связанных данных. Применяются в задачах выявления взаимосвязей, анализа сетей и управления знаниями.
⏱️ Временные ряды и специализированные СУБД
Системы для хранения телеметрии, метрик, данных мониторинга промышленного оборудования и IoT-устройств.
Что проверяет центр тестирования в СУБД
Экспертиза СУБД — одна из наиболее детальных среди всех категорий ПО. Это объясняется тем, что база данных является хранилищем критически важных сведений государственных структур. Проверка охватывает несколько принципиально разных блоков.
🔐
Защита данных и разграничение доступа
Механизмы аутентификации, ролевая модель доступа, защита данных в покое и при передаче. Проверяется поддержка российских алгоритмов криптографии по ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012. Для СУБД с хранением персональных данных — соответствие требованиям 152-ФЗ.
🔍
Аудит и журналирование
Полнота и защищённость журналов операций с данными. Возможность восстановления хронологии действий пользователей. Защита журналов от несанкционированного изменения. Это требование особенно жёстко для СУБД в составе государственных информационных систем.
⚡
Целостность и транзакционность
Корректность реализации ACID-свойств транзакций. Поведение системы при сбоях и нештатных ситуациях. Механизмы резервного копирования и восстановления данных. Для СУБД, заменяющих Oracle в критических системах, это ключевой блок проверки.
🖥️
Работа на доверенных ОС
Полноценное функционирование на двух доверенных операционных системах из перечня Минцифры. Для СУБД это означает не только запуск, но и кластерную конфигурацию, репликацию, работу с большими объёмами данных в реальных нагрузочных условиях.
Российские СУБД и доверенный статус: картина рынка
Среди отечественных разработчиков реляционных СУБД наиболее активно в государственном сегменте работают Postgres Pro — коммерческая версия PostgreSQL от российской компании Postgres Professional, Ред База Данных на базе Firebird от компании «Ред Софт», а также Jatoba от «Газинформсервис». Все они уже представлены в реестре российского ПО и ведут работу по получению доверенного статуса в преддверии дедлайна января 2027 года.
В сегменте аналитических СУБД и хранилищ данных работают Arenadata DB и ряд других решений. Рынок активно формируется: компании, получившие доверенный статус раньше конкурентов, займут выгодное положение в тендерах на создание и модернизацию государственных информационных систем, объём которых в 2027–2028 годах будет значительным.
Postgres-based СУБД: есть нюанс с правами
Многие российские СУБД построены на ядре PostgreSQL под лицензией PostgreSQL License, которая разрешает коммерческое использование и распространение без ограничений. Это хорошая база. Но при проверке прав для доверенного статуса оцениваются именно права на коммерческую надстройку и дополнительные модули, созданные российской командой. Права на само ядро PostgreSQL к заявителю не относятся — но права на всё, что добавлено сверху, должны быть оформлены безупречно.
Особенности получения доверенного статуса для СУБД с open source ядром
Значительная часть российских СУБД построена на открытом ядре — PostgreSQL, Firebird, MariaDB или других open source проектах. Это создаёт специфические вопросы при юридической проверке и при экспертизе, которые важно проработать заранее.
Аспект Ситуация для СУБД с open source ядром Что нужно проверить Права на продукт Права на коммерческую надстройку и патчи принадлежат российской компании Договоры с разработчиками, служебные задания, акты передачи прав Лицензионная чистота Лицензия ядра разрешает коммерческое использование и закрытую надстройку Анализ лицензий всех компонентов, включая зависимости Соответствие ИБ Открытый код проверяется глубже — известны типовые уязвимости Актуальность патчей безопасности, наличие собственного процесса управления уязвимостями Идентификация продукта Продукт должен быть чётко отделён от upstream-версии Документированные отличия и дополнения относительно ядра
Как мы сопровождаем получение доверенного статуса для СУБД
1
Технический аудит под специфику СУБД
Анализируем архитектуру безопасности, механизмы шифрования, реализацию аудита и разграничения доступа. Проверяем совместимость с серверными доверенными ОС в кластерной конфигурации. Для СУБД с open source ядром — отдельный анализ лицензионной чистоты компонентов. Срок: 10–15 рабочих дней.
2
Юридическая проверка прав
Анализируем права на коммерческую часть продукта: договоры с разработчиками, служебные задания, история передачи прав. Для СУБД с иностранными инвесторами — отдельная проверка корпоративной структуры на соответствие требованию российского контроля по ч. 37 ст. 2 Федерального закона № 58-ФЗ.
3
Подготовка документации
Формируем полный пакет для подачи заявления и для работы с центром тестирования: архитектурная документация, модель угроз, описание механизмов безопасности, тестовые сценарии. Для СУБД этот пакет существенно объёмнее, чем для большинства других категорий ПО.
4
Выбор центра тестирования и сопровождение экспертизы
Подбираем центр с опытом тестирования СУБД — это важно, поскольку специфика проверки баз данных требует соответствующей экспертизы у самого центра. Координируем взаимодействие, оперативно закрываем запросы экспертов в ходе проверки.
5
Получение отметки доверенной СУБД
После положительного заключения сопровождаем направление материалов в правительственную комиссию по цифровому развитию. Результат — отметка о доверенном ПО в реестровой записи ФГИС «Реестр программного обеспечения».
Стоимость и сроки для СУБД
СУБД — один из наиболее трудоёмких типов продуктов при экспертизе. Стоимость тестирования выше среднего по рынку, а сроки подготовки длиннее из-за специфики архитектуры и требований безопасности.
Статья расходов Стоимость Срок Технический и юридический аудит от 60 000 ₽ 10–15 рабочих дней Сопровождение под ключ от 190 000 ₽ весь проект Экспертиза центра тестирования от 600 000 до 900 000 ₽ до 30 рабочих дней Полный бюджет без доработки от 790 000 до 1 100 000 ₽ 5–7 месяцев
Если в ходе аудита выявляются несовместимости с доверенными ОС или замечания по безопасности — к этому бюджету добавляются расходы на доработку продукта. Для СУБД с глубокой привязкой к Windows-платформе эти расходы могут быть значительными. Именно поэтому аудит на старте — не формальность, а реальный инструмент планирования бюджета.
Вопросы разработчиков СУБД
Нужен ли доверенный статус, если СУБД продаётся в составе комплексного решения, а не как самостоятельный продукт?
Если СУБД поставляется как отдельный программный продукт с собственной реестровой записью — доверенный статус нужен именно на неё. Если СУБД является неотъемлемой частью ПАК и не поставляется отдельно — возможно применение исключения по составу ПАК. Но это исключение нужно обосновать документально, и его применимость в каждом случае нужно оценивать отдельно.
Наша СУБД прошла сертификацию ФСТЭК. Это учитывается при экспертизе?
Наличие сертификата ФСТЭК — существенный плюс и хорошая база для подготовки к экспертизе доверенного статуса. Требования пересекаются в части информационной безопасности. Однако сертификат ФСТЭК и статус доверенного ПО — разные процедуры с разными регламентами, и одна не заменяет другую автоматически. Наличие действующего сертификата значительно снижает риски отрицательного заключения по блоку ИБ.
Как подтверждается совместимость СУБД с доверенными ОС — достаточно запуска или нужна полная нагрузочная проверка?
Для СУБД проверяется полноценная функциональность в серверной конфигурации на доверенной ОС: создание и управление базами данных, транзакции, репликация, резервное копирование. Простого запуска и выполнения базовых SELECT-запросов недостаточно. Нагрузочное тестирование по регламенту не является обязательным, но центр может его запросить для подтверждения заявленных характеристик производительности.
Если мы получим доверенный статус, нужно ли переподтверждать его при выходе новой версии СУБД?
Статус присваивается на 3 года. Вопрос о переподтверждении при промежуточных обновлениях зависит от характера изменений: патчи безопасности и минорные обновления, как правило, не требуют новой процедуры. Существенные изменения архитектуры или функциональности — предмет отдельного разбора. Рекомендуем согласовывать этот вопрос с нами при каждом значимом обновлении продукта.
Можно ли начать экспертизу до того, как устранены все замечания аудита?
Технически — да, заявление можно подать в любой момент после регистрации в реестре российского ПО. Но если в продукте есть известные уязвимости или несовместимости с доверенными ОС, экспертиза завершится отрицательным заключением. Центр тестирования выставит новый счёт за повторную проверку. Экономия на предварительном аудите оборачивается расходами на повторную экспертизу, которые существенно выше.
С подготовкой vs без подготовки: разница для СУБД
Подготовленная СУБД
- Аудит выявил риски до экспертизы
- Замечания по безопасности устранены заранее
- Совместимость с серверными ОС подтверждена
- Экспертиза — один раз, 30 рабочих дней
- Итог: статус к дедлайну января 2027
Без предварительной подготовки
- Замечания выявлены центром тестирования
- Отрицательное заключение, доработка продукта
- Повторная экспертиза от 600 000 ₽
- Потеря 3–5 месяцев дополнительно
- Риск не успеть к дедлайну
1 янв. 2027 — дедлайн для СУБД 5–7 мес. реальный срок с аудитом и экспертизой от 600 000 ₽ стоимость экспертизы СУБД в центре 95% успешных включений с первого раза
Обсудить получение доверенного статуса для вашей СУБД
Расскажите об архитектуре продукта, используемом ядре и текущем статусе в реестре — проведём предварительный аудит и составим реалистичный план под дедлайн января 2027 года.
Телефон / WhatsApp / Telegram: +7 920-898-17-18
Email: reestrgarant@mail.ru
Первичная консультация бесплатная в рабочее время.
Оригинальная статья
Полная версия статьи на нашем сайте: https://vnesenie-v-reestr.ru/news/doverennaya-subd-poluchenie-statusa-doverennogo-po-dlya-baz-dannyh
Мы занимаемся включением в реестр Минпромторга
📞 Телефон: +7 920-898-17-18
✉️ Email: reestrgarant@mail.ru