Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России

Информационное сообщение ФСТЭК России от 20 января 2020 г. N 240/24/250

Информационное сообщение ФСТЭК России от 20 января 2020 г. N 240/24/25

Информационное сообщение ФСТЭК России от 20 января 2020 г. N 240/24/25

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННЫХ ОПЕРАЦИОННЫХ MICROSOFT WINDOWS 7 И MICROSOFT WINDOWS SERVER 2008 R2 В СВЯЗИ С ПРЕКРАЩЕНИЕМ ИХ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ

от 20 января 2020 г. N 240/24/250

Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.

В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:

операционная система Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» (сертификат соответствия от 4 октября 2011 г. N 2180/1);

операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter (сертификат соответствия от 13 октября 2011 г. N 2181/1);

программный комплекс «Microsoft Windows Server 2008 Standard Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1928/1);

программный комплекс «Microsoft Windows Server 2008» версии Standard Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1928);

программный комплекс «Microsoft Windows Server 2008 Enterprise Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1929/1);

программный комплекс «Microsoft Windows Server 2008» версии Enterprise Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1929);

программный комплекс «Microsoft Windows Server 2008″ версии Datacenter» в редакции 32-бит/64-бит (сертификат соответствия от 29 октября 2009 г. N 1930).

Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.

В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).

Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.

В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.

Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:

1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.

2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:

установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенные российскими производителями (заявителями);

установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, функционирующих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP — систем), средств управления потоками информации);

обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, на внешние носители информации;

регламентировать и обеспечить контроль за применением съемных машинных носителей информации, исключив при этом использование незарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;

проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;

применить дополнительные сертифицированные средства защиты информации, реализующие (дублирующие) функции по безопасности информации операционных систем;

проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);

разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.

Сертифицированная ОС и ИСПДн — Форум по вопросам информационной безопасности

Сертифицированная ОС и ИСПДн — Форум по вопросам информационной безопасности

nick,
с понятием «сертифицированный» можно очень легко попасть впросак. Дело в том, что требования по защите ИСПД и требования, по которым проводится сертификация, — это РАЗНЫЕ требования.

Есть дистрибутивы Windows, сертифицированные по ГОСТ 15408 (на соответствие заданию по безопасности). Сами задания по безопасности вы можете найти на сайте Microsoft. При сравнении (если не сломаете мозг об формулировки из ГОСТ 15408), увидите, что требования из ЗБ покрывают очень небольшую часть требований из методических документов ФСТЭК по ПД.

Вы имеете полное право подтверждать выполнение части требований сертифицированной ОС (при условии, что купите именно сертифицированный дистрибутив у авторизованного поставка — см. реестр сертифицированных средств), но оставшиеся требования методических документов все равно придется закрывать наложенными средствами защиты.

Упоминание «и может применяться для . » — исключительно маркетинговый ход, в принципе, на эту приписку можно и не обращать внимания.

То же самое касается сертификации по ТУ и по РД Гостехкомиссии.

Использование сертифицированных СЗИ необходимо как вода. Например Страж NT или Secret Net, если кто в «Страшилке не разобрался». Сертифицированныая ОС — Звучит смешно, но по бумажкам. Для того, чтобы обеспечить безопасность ИСПДн встроенных средств явно не хватит, не говоря уж о том, что в лимардах строчек Мелкосовтовского кода Windows где то да присутствуют дырочки. Например закрытая отправка данных. Тут проблема в другом. Какую СЗИ выбрать =) Для конфи пойдет Секретнет, а для ГТ по моему все же Страж NT.

Интересно, есть ли какая нибудь сертифицированная *nix ОС?

В тексте описания написано:
«В зависимости от конкретных условий обработки информации, класс защищенности такой информационной системы может быть различный – К4, К3, К2, К1»
Данный текст можно понимать двояко. Я его понимаю так: часть требований закрывается с помощью указанных СЗИ, но не все.

ФСТЭК предупредила органы власти об опасности использования Windows 7

Регулятор рекомендовал органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС.

В связи с прекращением поддержки Windows 7 производителем Федеральная служба по техническому и экспортному контролю России (ФСТЭК) рекомендовала органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС. ФСТЭК также опубликовала рекомендации по дополнительным мерам защиты информации на время, пока Windows 7 не будет заменена на более новые ОС.

Согласно информационному сообщению ФСТЭК от 20 января 2020 года, в настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления и организаций продолжает использоваться Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная». В частности, это обусловлено наличием большого количества разработанного под Windows 7 специфичного прикладного ПО, применяемого для реализации органами государственной власти и организациями своих полномочий.

По той же причине органы власти и госучреждения продолжают пользоваться Windows Server 2008 R2, расширенная поддержка которой прекратилась 14 января 2020 года (основная поддержка была завершена 13 января 2015 года).

«Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей», — говорится в сообщении ФСТЭК.

Регулятор рекомендовал до 1 июня нынешнего года перейти на поддерживаемые ОС, а до тех пор принять дополнительные меры безопасности. В частности, необходимо установить все актуальные обновления, заблокировать автоматическую установку обновлений, отключить устройства, работающие под управлением устаревших ОС, от интернета и ведомственных компьютеров, обеспечить резервное копирование данных и пр.

«В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930», — сообщила ФСТЭК.

Компания Microsoft прекратила официальную поддержку Windows 7 14 января 2020 года. Поддержка новой версии браузера Microsoft Edge на движке Chromium для Windows 7 будет продолжаться по меньшей мере до июля 2021 года.

Вам также может понравиться

Windows или Linux: Что лучше выбрать?

Есть много причин выбирать между Windows и Linux, но

Файл владелец изменить linux

Команда Chown в Linux Chown Command in Linux (File

Установка шлюза по умолчанию linux

Настройка сети вручную Содержание Краткое описание

Чем разбить диск для linux

ИТ База знаний Курс по Asterisk Полезно — Узнать IP —