windows 10 и ПД — Форум по вопросам информационной безопасности

windows 10 и ПД — Форум по вопросам информационной безопасности

Автор: 9-streb | 87299	15.02.2018 09:56

Ничем не грозит. Используйте на здоровье.

В модели угроз только укажите, что для вас угрозы связанные с ОС не актуальны. так как встроенные средства ОС закрывают все угрозы.

Автор: Константин | 87301	15.02.2018 10:33

Автор: oko | 87308	15.02.2018 12:38

Это не грубая насмешка, это правда жизни)

Для среднестатистической организации, обеспечение 4 уровня защищенности согласно 1119 ПП РФ с моими рекомендациями за глаза.

Не вижу смысла трат на СЗИ и СКЗИ

Автор: Константин | 87310	15.02.2018 13:08

to Константин
Но уж явно не средствами ОС, в которой функционал создания каналов утечки информации перевешивает непосредственно основной функционал. А встроенные механизмы защиты компрометируются чуть ли не каждый день с грохотом и шумом общественного порицания.

*в сторону*
Понаберут в дозор слепых, глухих, читать не умеющих. (с)

Автор: oko | 87313	15.02.2018 13:44

Автор: Кирк | 87337	15.02.2018 14:52

Автор: Константин | 87341	15.02.2018 14:59

Автор: 9-streb | 87458	16.02.2018 11:49

Тут всё от вашего желания и возможностей зависит! Как нарисуете модель угроз, так и будет.

Автор: Константин | 87460	16.02.2018 12:27

to Константин
А вы точно знаете, что пишите? Уровень защищенности ИСПДн, конечно, сильно зависит от угроз НДВ (1, 2 и 3 тип), но это вовсе не значит, что, обосновав в ЧМУ угрозы НДВ 3 типа (при Win10 — еще раз повторюсь — это бред), вы автоматически получите 4 уровень защищенности. Потому что 4 уровень защищенности возможен только при следующих условиях:
1. Для ИС актуальны угрозы 3-го типа и ИС обрабатывает общедоступные ПДн субъектов, не являющихся сотрудниками оператора (количество БД не важно!)
2. Для ИС актуальны угрозы 3-го типа и ИС обрабатывает общедоступные ПДн субъектов — сотрудников оператора (количество БД не важно!)
3. Для ИС актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн субъектов — сотрудников оператора (количество БД не важно!)
4. Для ИС актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн МЕНЕЕ чем 100000 субъектов ПДн, не являющихся сотрудниками оператора

И еще нюанс. НМД не делают разницы между 1, 2, 3 и 4 уровнями защищенности в части применения сертифицированных СЗИ. Вопросы НДВ в этих СЗИ — да, рассматриваются только для 1 и 2 уровней. Но само по себе применение. Короче, если объявляете УБИ актуальной и закрываете ее каким-либо СЗИ — будьте добры, используйте сертифицированное средство. А делать ЧМУ аля АСЗИ (когда все УБИ неактуальны априори) стоит лишь в том случае, когда вы четко понимаете, что делаете и что пишите.

Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России

Информационное сообщение ФСТЭК России от 20 января 2020 г. N 240/24/250

Автор: oko | 87461	16.02.2018 12:42

Информационное сообщение ФСТЭК России от 20 января 2020 г. N 240/24/25

Информационное сообщение ФСТЭК России от 20 января 2020 г. N 240/24/25

	83 КБ	6908
	127 КБ	1626

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННЫХ ОПЕРАЦИОННЫХ MICROSOFT WINDOWS 7 И MICROSOFT WINDOWS SERVER 2008 R2 В СВЯЗИ С ПРЕКРАЩЕНИЕМ ИХ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ

от 20 января 2020 г. N 240/24/250

Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.

В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:

операционная система Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» (сертификат соответствия от 4 октября 2011 г. N 2180/1);

операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter (сертификат соответствия от 13 октября 2011 г. N 2181/1);

программный комплекс «Microsoft Windows Server 2008 Standard Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1928/1);

программный комплекс «Microsoft Windows Server 2008» версии Standard Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1928);

программный комплекс «Microsoft Windows Server 2008 Enterprise Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1929/1);

программный комплекс «Microsoft Windows Server 2008» версии Enterprise Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1929);

программный комплекс «Microsoft Windows Server 2008″ версии Datacenter» в редакции 32-бит/64-бит (сертификат соответствия от 29 октября 2009 г. N 1930).

Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.

В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).

Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.

В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.

Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:

1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.

2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:

установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенные российскими производителями (заявителями);

установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, функционирующих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP — систем), средств управления потоками информации);

обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, на внешние носители информации;

регламентировать и обеспечить контроль за применением съемных машинных носителей информации, исключив при этом использование незарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;

проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;

применить дополнительные сертифицированные средства защиты информации, реализующие (дублирующие) функции по безопасности информации операционных систем;

проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);

разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.

Как обеспечить соответствие требованиям регуляторов при поставке устройств с операционной системой, не имеющей сертификата ФСТЭК?

Как вы знаете, самая современная ОС Windows 10 пока не имеет сертификата защищенности ФСТЭК. Но что делать, когда по ТЗ нужна сертифицированная ФСТЭК операционная система?

Есть 2 варианта решения вопроса:

В настоящее время, из клиентских ОС Microsoft, только Windows 8.1 имеет действующий сертификат ФСТЭК, поскольку Microsoft будет поддерживать эту ОС до 10.01.2023. Кварта Технологии поставляет Windows 8.1 Professional for Embedded Systems до 2028 года.

1. Для обеспечения высокого уровня безопасности устройств на базе Windows 10 IoT Enterprise можно применить средства защиты информации от несанкционированного доступа (СЗИ от НСД), такие как SecretNetStudio от компании Код Безопасности.

Secret Net Studio обладает всеми необходимыми сертификатами ФСТЭК, чтобы устройство могло считаться защищенным. Важно понимать, что при установке Secret Net Studio, сама операционная система не будет сертифицирована ФСТЭК . В данном случае устройство будет защищено как единое целое, вместе со всеми установленными программами и операционной системой. Это достигается путём независимого от операционной системы контроля внутренних механизмов средств защиты информации и драйверов.

С помощью Secret Net Studio можно достигнуть высокого уровня безопасности, при этом сохраняя выгодную модель ценообразования Windows 10 IoT Enterprise (более подробно с лицензированием вы можете ознакомиться на нашем сайте).

• 4-й уровень контроля отсутствия НДВ
• 5-й класс защищенности СВТ
• 4-й класс защиты СКН
• 4-й класс защиты САВЗ
• 4-й класс защиты СОВ уровня хоста
• 4-й класс защиты МЭ типа «В»

Самое последнее обновление (8.6) обладает большими возможностями, в отличие от предыдущих версий, среди которых:

• Блокировка отправки телеметрии Windows 10
• Ограничение возможности удаления со стороны локального администратора
• Возможность централизованного развертывания через Microsoft System Center
• Защита распределенной среды в рамках независимых доменов Active Directory

Подробнее о Secret Net Studio вы можете узнать на странице продукта.