- Сертификация ФСТЭК
- Сертифицированные ОС Windows Embedded/IoT
- Зачем нужна сертификация?
- Особенности поставки сертифицированного ПО
- Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России
- Информационное сообщение ФСТЭК России от 20 января 2020 г. N 240/24/250
- ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
- ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
- О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННЫХ ОПЕРАЦИОННЫХ MICROSOFT WINDOWS 7 И MICROSOFT WINDOWS SERVER 2008 R2 В СВЯЗИ С ПРЕКРАЩЕНИЕМ ИХ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ
- от 20 января 2020 г. N 240/24/250
- ФСТЭК предупредила органы власти об опасности использования Windows 7
Сертификация ФСТЭК
Добрый день. Имеется небольшой офис 3 ПК с windows 7 PRO и сервер HP с Windows Server 2008 R2 Foundation.
По новому закону о защите Персональных данных (у нас класс К3) на ПК с персональными данными мы должны использовать сертифицированное ФСТЭК ПО.
Я так понимаю лицензионность ваших ОС еще не подтверждает для органов, что они сертифицированы — нужно покупать пакеты сертификации.
Отсюда 3 вопроса:
1. Могу ли я самостоятельно у вашего партнера купить «Базовый пакет для сертифицированной версии ОС Windows 7 проф» и провести верификацию или же это может только сертифицированный в ФСТЭК ваш партнер за отдельные деньги?
2. Нигде нет информации о сертификации Windows Server 2008 R2 Foundation в ФСТЭК. Насколько я понимаю это фактически версия Standart с небольшими ограничениями. Возможно ли её в принципе сертифицировать.
3. Увидел в продаже «Лицензия на использование программы контроля сертифицированной версии ОС Windows 7 Профессиональная» для каких случаев используется и нужно ли её покупать на каждый ПК?
Прежде всего, лицензия это право на использование продукта, а сертификаци это подтверждение соответствия конкретного экземпляра требованиям. Поэтому, сертификаты ФСТЭК и ФСБ подтверждают, что именно данный конкретный эеземпляр ПО состветствует требованиям предъявляемым Законодательством Российской Федерации к ПО допущенному для применения в системах со специальными требованиями к защите информации. Подробнее о сертификации ПО, и о том какие продукты Microsoft прошли сертификацию, Вы можете прочесть здесь: http://www.microsoft.com/rus/government/certificate/
1. Сертифицированные экземпляры ПО можно приобрести или непосредственно у компаний занимающихся сертификацие ПО, например у «АЛТЭКС-СОФТ» или «Сертифицированные информационные системы», либо заказать их через ресселеров.
2. Сертификация любого продукта очень длительный и дорогостоящий процесс. Насколько мне известно, редакция Windows Server 2008 R2 Foundation не сертифицирована и ее сертификация не планируется. В этом нет ничего удивительного потому, что спрос на сертифицированную версию этого продукта практически отсуствует, а цена сертифицированной версии получится значительно выше.
3. Лицензия на использование программы контроля сертифицированной версии ПО приобретается по количеству рабочих мест ( серверов), на которых устанавливается сертифицированное ПО.
Сертифицированные ОС Windows Embedded/IoT
Внимание! Сертифицированная ФСТЭК версия Windows 7 Professional более не поставляется, в связи с окончанием ее поддержки Microsoft с 14.01.2020 (Письмо ФСТЭК). Рекомендуется использование Windows 10 IoT Enterprise LTSC (v.1809). Правила перевода существующих систем см. в разделе «Обновления и переходы».
С вопросами о стоимости и правилах поставки сертифицированных версий обращайтесь, пожалуйста к нам по email или чату, мы вышлем всю необходимую информацию.
| Сертифицированная Windows Embedded | Сертификат ФСТЭК |
| Windows 10 IoT Enterprise LTSC 2019 (v.1809)* | ФСТЭК № 4369 Новый! |
| Windows Professional 7 SP1 for Embedded Systems Russian | ФСТЭК № 2180/1 Прекратил действие! |
| Windows Professional 8.1 for Embedded Systems | ФСТЭК № 3263 Снимается с поставки! |
| Windows Server 2012 R2 Standard for Embedded Systems | ФСТЭК № 3366 Снимается с поставки! |
| Windows Server 2012 R2 Datacenter for Embedded Systems | ФСТЭК № 3367 Снимается с поставки! |
| Windows Server 2016 Standard for Embedded Systems | ФСТЭК № 4006 |
| Windows Server 2016 Datacenter for Embedded Systems | ФСТЭК № 4006 |
* Сертификат ФСТЭК выдан на версию «Windows 10 Корпоративная» (Windows 10 Enterprise LTSC 2019 Version 1809 Build 17763.107), которой в канале Windows Embedded/IoT соответствует дистрибутив Windows 10 IoT Enterprise LTSC 2019 (1809).
Дополнительно защитить ваши решения для соответствия требованиям регуляторов можно при помощи дополнительных сертифицированных средств защиты информации (СЗИ), таких как Secret Net Studio. Вы можете приобрести этот продукт у нас.
Зачем нужна сертификация?
Федеральная служба по техническому и экспортному контролю ФСТЭК России защищает информацию телекоммуникационной инфраструктуры, контролирует экспорт и противодействует техническим разведкам на разных уровнях власти: федеральном, региональном, отраслевом и объектовом. ФСТЭК организует и контролирует государственную систему в вопросах защиты информации.
В России действует федеральный закон 149-ФЗ, который говорит:
Особенности поставки сертифицированного ПО
Программный код сертифицированного ПО не отличается от обычной лицензионной копии. Отличия — в поставке:
- к каждому экземпляру прилагается пакет документов государственного образца с указанием, что продукт сертифицирован
- к каждой сертифицированной копии выдается голографический знак соответствия ФСТЭК с уникальным номером
- компания, которая приобрела сертифицированный продукт, получает защищенный персональный доступ к скачиванию сертифицированных обновлений для ПО
Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России
Информационное сообщение ФСТЭК России от 20 января 2020 г. N 240/24/250
| 83 КБ | 6908 | |
| 127 КБ | 1626 |
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННЫХ ОПЕРАЦИОННЫХ MICROSOFT WINDOWS 7 И MICROSOFT WINDOWS SERVER 2008 R2 В СВЯЗИ С ПРЕКРАЩЕНИЕМ ИХ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ
от 20 января 2020 г. N 240/24/250
Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.
В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:
операционная система Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» (сертификат соответствия от 4 октября 2011 г. N 2180/1);
операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter (сертификат соответствия от 13 октября 2011 г. N 2181/1);
программный комплекс «Microsoft Windows Server 2008 Standard Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1928/1);
программный комплекс «Microsoft Windows Server 2008» версии Standard Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1928);
программный комплекс «Microsoft Windows Server 2008 Enterprise Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1929/1);
программный комплекс «Microsoft Windows Server 2008» версии Enterprise Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1929);
программный комплекс «Microsoft Windows Server 2008″ версии Datacenter» в редакции 32-бит/64-бит (сертификат соответствия от 29 октября 2009 г. N 1930).
Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.
В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).
Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.
В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.
Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.
Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:
1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.
2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:
установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенные российскими производителями (заявителями);
установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, функционирующих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP — систем), средств управления потоками информации);
обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, на внешние носители информации;
регламентировать и обеспечить контроль за применением съемных машинных носителей информации, исключив при этом использование незарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;
проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;
применить дополнительные сертифицированные средства защиты информации, реализующие (дублирующие) функции по безопасности информации операционных систем;
проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.
ФСТЭК предупредила органы власти об опасности использования Windows 7
Регулятор рекомендовал органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС.
В связи с прекращением поддержки Windows 7 производителем Федеральная служба по техническому и экспортному контролю России (ФСТЭК) рекомендовала органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС. ФСТЭК также опубликовала рекомендации по дополнительным мерам защиты информации на время, пока Windows 7 не будет заменена на более новые ОС.
Согласно информационному сообщению ФСТЭК от 20 января 2020 года, в настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления и организаций продолжает использоваться Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная». В частности, это обусловлено наличием большого количества разработанного под Windows 7 специфичного прикладного ПО, применяемого для реализации органами государственной власти и организациями своих полномочий.
По той же причине органы власти и госучреждения продолжают пользоваться Windows Server 2008 R2, расширенная поддержка которой прекратилась 14 января 2020 года (основная поддержка была завершена 13 января 2015 года).
«Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей», — говорится в сообщении ФСТЭК.
Регулятор рекомендовал до 1 июня нынешнего года перейти на поддерживаемые ОС, а до тех пор принять дополнительные меры безопасности. В частности, необходимо установить все актуальные обновления, заблокировать автоматическую установку обновлений, отключить устройства, работающие под управлением устаревших ОС, от интернета и ведомственных компьютеров, обеспечить резервное копирование данных и пр.
«В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.
Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930», — сообщила ФСТЭК.
Компания Microsoft прекратила официальную поддержку Windows 7 14 января 2020 года. Поддержка новой версии браузера Microsoft Edge на движке Chromium для Windows 7 будет продолжаться по меньшей мере до июля 2021 года.
