Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России

Информационное сообщение ФСТЭК России от 19 июня 2015 г. N 240/24/2497

Информационное сообщение ФСТЭК России от 19 июня 2015 г. N 240/24/2497

Информационное сообщение ФСТЭК России от 19 июня 2015 г. N 240/24/2497

	206 КБ	9274
	70 КБ	3945

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННЫХ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ОПЕРАЦИОННЫХ СИСТЕМ WINDOWS SERVER 2003 И WINDOWS SERVER 2003 R2 В УСЛОВИЯХ ПРЕКРАЩЕНИЯ ИХ ПОДДЕРЖКИ РАЗРАБОТЧИКОМ

от 19 июня 2015 г. N 240/24/2497

По информации, полученной от ООО «Майкрософт Рус», компанией Microsoft Corporation (США) с 15 июля 2015 г. прекращается поддержка и выпуск обновлений для операционных систем Windows Server 2003 и Windows Server 2003 R2, в том числе направленных на устранение ошибок и уязвимостей в указанных операционных системах.

В настоящее время в системе сертификации ФСТЭК России сертифицированы по требованиям безопасности информации следующие версии операционных систем Windows Server 2003 и Windows Server 2003 R2:

Windows Server 2003 Standard Edition с пакетом обновлений Service Pack 2 (сертификат соответствия N 1017/4 от 5 августа 2008 г., срок действия – до 5 августа 2017 г.);

Windows Server 2003 Standard Edition Release 2 с пакетом обновлений Service Pack 2 (сертификат соответствия N 1017/5 от 5 августа 2008 г., срок действия – до 5 августа 2017 г.);

Windows Server 2003 Enterprise Edition Release 2 с пакетом обновлений Service Pack 2 (сертификат соответствия N 1017/7 от 5 августа 2008 г., срок действия – до 5 августа 2017 г.).

При этом в соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Windows Server 2003 и Windows Server 2003 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Windows Server 2003 и Windows Server 2003 R2, выпущенных разработчиком (компанией MicrosoftCorporation) и предоставляемых российским производителем операционной системы (заявителем).

В настоящее время значительная часть сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2 продолжает применяться для защиты информации конфиденциального характера (в том числе персональных данных) в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций (далее – органы государственной власти и организации). Это обусловлено, в том числе, наличием большого количества разработанного под Windows Server 2003 и Windows Server 2003 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.

Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Windows Server 2003 и Windows Server 2003 R2 со стороны отдельных категорий нарушителей.

В целях поэтапного перехода органами государственной власти и организациями на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями, ФСТЭК России планируется продление до августа 2017 г. (переходный период) сроков действия выданных ранее сертификатов соответствия на операционные системы Windows Server 2003 и Windows Server 2003 R2 с учетом включения в эксплуатационную документацию ограничений на дальнейшее применение изделий в условиях прекращения выпуска обновлений и возможности реализации угроз безопасности информации.

Аттестация по требованиям защиты информации информационных систем, работающих под управлением операционных систем Windows Server 2003 и Windows Server 2003 R2, должна проводиться с учетом ограничений на дальнейшее применение сертифицированных изделий, а также с учетом дополнительных угроз безопасности информации, связанных с окончанием обновления операционных систем Windows Server 2003 и Windows Server 2003 R2, и реализации дополнительных мер защиты информации, направленных на блокирование данных угроз. Для информационных систем, работающих под управлением операционных систем Windows Server 2003 и Windows Server 2003 R2, аттестованных до 15 июля 2015 г., повторная аттестация не требуется. Оценка реализованных дополнительных мер защиты информации осуществляется путем проведения дополнительных аттестационных испытаний в рамках действующих аттестатов соответствия.

Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Windows Server 2003 и Windows Server 2003 R2, рекомендуется:

1. Спланировать мероприятия по переводу до августа 2017 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.

2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:

установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2, выпущенные российскими производителями (заявителями);

установить запрет на автоматическое обновление сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2;

провести настройку и обеспечивать периодический контроль механизмов защиты сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2;

по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Windows Server 2003 и Windows Server 2003 R2;

при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Windows Server 2003 и Windows Server 2003 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP — систем), средств управления потоками информации);

обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Windows Server 2003 и Windows Server 2003 R2, на внешние носители информации;

регламентировать и обеспечивать контроль за применением съемных машинных носителей информации, исключив при этом использование не зарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;

проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Windows Server 2003 и Windows Server 2003 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;

проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Windows Server 2003 и Windows Server 2003 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);

разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Windows Server 2003 и Windows Server 2003 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.

Сертификат соответствия windows server

Защита информационных систем — одна из важнейших задач не только для отрасли информационных технологий, но и для всей экономики общества в целом. Понимая это, корпорация Microsoft стала пионером создания надежных информационных систем и автором концепции комплексного обеспечения информационной безопасности.

Одним из ключевых факторов, обеспечивающих создание защищенных систем на базе продуктов Microsoft в России, является выполнение национальных требований к сертификации программного обеспечения. Продукты Microsoft регулярно проходят сертификацию на соответствие требованиям по информационной безопасности РФ. Microsoft дает возможность государству убедиться в отсутствии «потайных дверей» в продуктах Microsoft. При этом это не означает, что Microsoft предоставляет доступ к данным пользователей. На сегодня сертифицированы уже более 70 продуктов. Наши клиенты, в числе которых и государственные заказчики, могут быть уверены, что их информационные системы защищены согласно российским требованиям.

Использование сертифицированного программного обеспечения и средств защиты информации во многих случаях является обязательным условием для обработки информации ограниченного доступа. В российском законодательстве определено свыше 60 видов информации ограниченного доступа, в том числе государственная тайна, служебная тайна, коммерческая тайна, банковская тайна, и др. Конкретные законодательные требования по защите, установленные для указанных видов информации и информационных систем, могут предусматривать требование по обязательному использованию сертифицированного программного обеспечения и средств защиты информации.

Продукты Microsoft, сертифицированные ФСТЭК, с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Microsoft, поскольку программная реализация продуктов Microsoft позволяет получать соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов, а именно:

• каждый экземпляр сертифицированного продукта, находящегося у заказчика, должен пройти процедуру проверки соответствия этого экземпляра тому экземпляру, который прошел сертификацию;
• каждый экземпляр сертифицированного продукта, находящегося у заказчика, в случае положительной проверки его соответствия экземпляру, прошедшему сертификацию, получает пакет сертификационных документов государственного образца, включая голографический знак соответствия ФСТЭК с уникальным номером на каждую копию (если у заказчика 1000 компьютеров с сертифицированным продуктом, то ему выдается 1000 голограмм), который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов;
• каждая организация, купившая сертифицированный продукт, получает защищенный доступ к персональной странице для получения сертифицированных обновлений.

Microsoft сертифицирует свои программные продукты со встроенными средствами защиты информации. В России организовано массовое производство всех сертифицированных версий продуктов Microsoft. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация ежемесячно выходящих обновлений к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям регулятора.

Microsoft сертифицирует свои продукты в России с 2003 года. В числе первых продуктов, прошедших сертификацию, были Windows XP, Windows Server 2003, Office 2003 и другие. К весне 2020 года было сертифицировано более 70 продуктов. Microsoft продолжает сертификацию своих продуктов и будет продолжать сертифицировать новые версии своих продуктов и в дальнейшем.

Заказчики, которые хотят использовать сертифицированное программное обеспечение, имеющее действующие сертификаты (*) и продолжающее получать обновления безопасности (**), могут использовать следующие продукты Microsoft:

• серверная операционная система Microsoft Windows Server 2012 R2 в редакциях Standard и Datacenter (**);
• система управления информационной структурой Microsoft System Center 2012 R2 в редакциях Standard и Datacenter (**);
• сервер управления почтовыми сообщениями Microsoft Exchange Server 2013 в редакциях Standard и Enterprise (**);
• сервер документооборота Microsoft SharePoint Server 2013 (с SP1) (**);
• платформа офисных приложений Microsoft Office 2016 Professional Plus (***);
• сервер управления почтовыми сообщениями Microsoft Exchange Server 2016 (***);
• сервер документооборота Microsoft SharePoint Server 2016 (***);
• система управления проектами Microsoft Project Server 2016 в составе SharePoint Server 2016;
• система управления информационной структурой Microsoft System Center 2016;
• система управления базами данных Microsoft SQL Server 2016 в редакциях Enterprise Edition (EE), Standard (Std), Developer, Web, Express, Express with tools (с SP2);
• серверная операционная система Microsoft Windows Server 2016;
• система управления базами данных Microsoft SQL Server 2017 в редакциях Enterprise Edition (EE), Standard (Std), Developer, Web, Express, Express with Advanced Services;
• клиентская операционная система Microsoft Windows 8.1 в редакциях Профессиональная и Корпоративная (**);
• сервер документооборота Microsoft SharePoint Server 2019;
• система управления проектами Microsoft Project Server 2019 в составе SharePoint Server 2019;
• система управления базами данных Microsoft SQL Server 2019;
• система управления базами данных Microsoft SQL Server 2019 on Linux;
• клиентская операционная система Microsoft Windows 10 в редакции Корпоративная.

(*) Перед покупкой сертифицированного продукта проверяйте срок действия сертификата;

(**) Получение некоторых обновлений безопасности может потребовать приобретения пакета расширенной поддержки;

(***) Согласно пункту 15 Приказа ФСТЭК России от 3 апреля 2018 г. № 55, «Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки». Так как заявитель сертифицирует обновления безопасности, выпускаемые в данном случае Microsoft, то технческая поддержка заявителя зависит от срока продолжения выпуска обновлений по безопасности корпорацией Microsoft. Поэтому в данном случае срок эксплуатации сертифицированного продукта зависит от срока окончания выпуска Microsoft обновлений по безопасности.

По всем вопросам, связанным с приобретением сертифицированных продуктов Microsoft через партнеров, обращайтесь к заявителю, ООО «Сертифицированные информационные системы груп», по адресу электронной почты: info@certsys.ru.

Продукты Microsoft, сертифицированные ФСБ, содержат дополнительное программное обеспечение, которое позволяет им удовлетворять требованиям регулятора, — сервисные пакеты, разработанные российскими организациями. Эти сервисные пакеты «Secure Pack Rus» содержат в себе, прежде всего, российскую сертифицированную криптографию, которую Microsoft не производит.

Следующие продукты Microsoft сертифицированы ФСБ:

• клиентская операционная система Microsoft Windows 10 в редакциях Pro, Enterprise и Enterprise LTSC;
• серверная операционная система Microsoft Windows Server 2016 в редакциях Standard и Datacenter;
• программный комплекс Microsoft Skype for Business Server 2015.

Сертификаты удостоверяют, что указанные продукты соответствуют требованиям уполномоченных органов России к

• защите информации, не содержащей сведений, составляющих государственную тайну,
• защите от несанкционированного доступа в автоматизированных информационных системах класса АК2 (некоторые продукты сертифицированы и на уровень АК3).

Как указано в документах, эти продукты могут использоваться для защиты конфиденциальной информации и персональных данных.

Полученные результаты сертификации позволяют создавать системы защищенного документооборота для органов государственной власти и системы «электронного правительства», построенные на платформе Microsoft.