Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России
Информационное сообщение ФСТЭК России от 20 января 2020 г. N 240/24/250
| 83 КБ | 5885 | |
| 127 КБ | 1278 |
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННЫХ ОПЕРАЦИОННЫХ MICROSOFT WINDOWS 7 И MICROSOFT WINDOWS SERVER 2008 R2 В СВЯЗИ С ПРЕКРАЩЕНИЕМ ИХ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ
от 20 января 2020 г. N 240/24/250
Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.
В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:
операционная система Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» (сертификат соответствия от 4 октября 2011 г. N 2180/1);
операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter (сертификат соответствия от 13 октября 2011 г. N 2181/1);
программный комплекс «Microsoft Windows Server 2008 Standard Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1928/1);
программный комплекс «Microsoft Windows Server 2008» версии Standard Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1928);
программный комплекс «Microsoft Windows Server 2008 Enterprise Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1929/1);
программный комплекс «Microsoft Windows Server 2008» версии Enterprise Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1929);
программный комплекс «Microsoft Windows Server 2008″ версии Datacenter» в редакции 32-бит/64-бит (сертификат соответствия от 29 октября 2009 г. N 1930).
Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.
В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).
Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.
В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.
Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.
Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:
1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.
2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:
установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенные российскими производителями (заявителями);
установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, функционирующих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP — систем), средств управления потоками информации);
обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, на внешние носители информации;
регламентировать и обеспечить контроль за применением съемных машинных носителей информации, исключив при этом использование незарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;
проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;
применить дополнительные сертифицированные средства защиты информации, реализующие (дублирующие) функции по безопасности информации операционных систем;
проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.
Microsoft Windows 7 Профессиональная (сертифицированная ФСТЭК версия)
Microsoft Windows 7 Профессиональная — представляет собой версию Windows 7, направленную непосредственно на бизнес-пользователей и IT-специалистов. Благодаря короткому времени отклика и постоянной готовности ПК к работе повышается производительность и обеспечивается лучшая защита от угроз безопасности. Может быть использована для защиты конфиденциальной информации и персональных данных на серверах в составе сети.
Операционная система Windows 7 создана на основе принципов безопасности Windows Vista, отвечает пожеланиям пользователей о создании более удобной и управляемой системы и содержит усовершенствования безопасности, необходимые для защиты данных в условиях быстро меняющейся структуры угроз.
Ключевые особенности семейства операционных систем Windows 7
Безопасная платформа.
Операционная система Windows 7 основана на функциях безопасности Windows Vista и содержит все процессы и технологии развертывания, которые сделали Windows Vista самой безопасной версией Windows на сегодняшний день. Фундаментальные возможности безопасности — защита от исправления ядра, ограниченный режим работы служб, предотвращение выполнения данных, случайное распределение адресного пространства и уровни целостности — по-прежнему обеспечивают улучшенную защиту от вредоносных программ и атак. При проектировании Windows 7 использовалась методика разработки безопасности. Опираясь на надежную платформу безопасности Windows Vista, Windows 7 вносит значительные улучшения в основные технологии защиты аудита событий и управления учетными записями пользователей.
Усовершенствованный аудит.
Windows 7 предоставляет усовершенствованные возможности аудита, упрощающие соблюдение нормативных и производственных требований: в том числе реализован упрощенный подход к управлению конфигурациями аудита, а выполняемые в организации задачи описаны с большей наглядностью. Например, Windows 7 помогает получить четкое представление о том, кто может получить доступ к конкретной информации, почему пользователю было отказано в доступе к определенным данным, а также узнать обо всех изменениях, внесенных пользователем или группой.
Упрощенный контроль учетных записей пользователей.
Контроль учетных записей пользователей (UAC) был представлен в Windows Vista для усиления безопасности и снижения совокупной стоимости владения за счет развертывания операционной системы без привилегий администратора. Windows 7 продолжает вносить в функцию контроля учетных записей определенные изменения для более эффективной работы пользователей — от сокращения числа приложений и задач для ОС, требующих прав администратора, до гибкой работы с запросами для пользователей, продолжающих пользоваться этими правами. В результате, обычные пользователи теперь могут выполнить больше задач с меньшим числом выводимых запросов.
Поддержка устройств безопасности
Windows 7 упрощает процесс подключения устройств безопасности к ПК и управления ими, а также предоставляет легкий доступ к общим задачам, связанным с использованием устройств. Еще никогда использование устройств безопасности не было настолько простым: при первоначальной установке и при ежедневной работе.
Улучшенная поддержка смарт-карт
Проверка подлинности на основе паролей имеет определенные ограничения безопасности, но развертывание надежных технологий проверки подлинности остается проблемой для многих организаций. Опираясь на улучшения инфраструктуры смарт-карт, введенные в Windows Vista, Windows 7 упрощает развертывание смарт-карт благодаря поддержке технологии Plug and Play. Драйверы, необходимые для поддержки смарт-карт и устройства считывания смарт-карт, устанавливаются автоматически без использования прав администратора и без вмешательства пользователя, что облегчает развертывание в организации эффективной, двухуровневой проверки подлинности. Кром того, Windows 7 расширяет платформенную поддержку PKINIT (RFC 5349) для включения смарт-карт на основе ECC и допускает использование сертификатов с поддержкой эллиптических кривых на смарт-картах для входа в систему Windows.
Обеспечение безопасности универсального доступа.
Windows 7 предоставляет соответствующие элементы управления безопасностью, поэтому пользователи в любое время из любого места могут обращаться к данным, необходимым для работы. Наряду с полной поддержкой существующих технологий (например, защиты сетевого доступа) Windows 7 предоставляет более гибкий брандмауэр, поддержку безопасности DNS и совершенно новую концепцию удаленного доступа.
Поддержка DNSSec
DNS — это основной протокол, поддерживающий большинство ежедневных выполняемых в Интернете задач, включая доставку электронной почты, просмотр веб-страниц и обмен сообщениями. Однако следует отметить, что система DNS была разработана более трех десятков лет назад без учета современных угроз безопасности. Расширения безопасности DNS (DNSSEC) — это набор расширений DNS, предоставляющих службы безопасности, необходимые для работы в Интернете. В соответствии с требованиями документов RFC 4033, 4034 и 4035 система Windows 7 поддерживает DNSSEC, обеспечивая уверенность организаций в подлинности записей имен доменов и предоставляя защиту от вредоносных манипуляций.
DirectAccess
Благодаря Windows 7 работать вне офиса становится все проще. С помощью DirectAccess удаленные пользователи могут обращаться к корпоративной сети в любое время при наличии интернет-соединения, без необходимости выполнения дополнительных действий по установке VPN-подключения. Это увеличивает производительность сотрудников. DirectAccess предоставляет ИТ-специалистам более защищенную и гибкую инфраструктуру корпоративной сети для удаленного обновления пользовательских ПК и управления ими. DirectAccess упрощает управление ИТ-ресурсами за счет ввода постоянно управляемой инфраструктуры, в которой компьютеры, находящиеся в сети и вне ее, поддерживаются в работоспособном и обновленном состоянии.
С помощью DirectAccess ИТ-специалисты могут более точно контролировать сетевые ресурсы, к которым обращаются пользователи. Например, для управления доступом удаленных пользователей к приложениям предприятия можно использовать параметры групповой политики. DirectAccess отделяет интернет-трафик от доступа к ресурсам внутренней сети, поэтому пользователи могут обращаться на общедоступные веб-сайты, не создавая дополнительный трафик в сети предприятия.
Кроме того, компонент DirectAccess поддерживает отраслевые стандарты (например, протоколы IPv6 и IPsec), обеспечивая защиту и безопасность корпоративного обмена данными.
Защита пользователей и инфраструктуры
Windows 7 обеспечивает гибкую защиту от вредоносных программ и вторжений, поэтому пользователи могут получить нужное соотношение безопасности, контроля и продуктивности. Основными усовершенствованиями системы безопасности являются компонент AppLocker™ и браузер Internet Explorer® 8, которые обеспечивают новый стандарт защиты операционной системы от вторжения вредоносных программ в Windows 7.
AppLocker
Политики управления приложениями в системе Windows 7 используются совместно со средством AppLocker — гибким и простым в управлении механизмом, позволяющим ИТ-специалистам указывать программы и компоненты, которые могут выполняться на настольных системах. Кроме того, пользователи получают возможность работать с приложениями, установочными программами и сценариями, повышающими их производительность. В итоге ИТ-специалисты могут провести в организации стандартизацию приложений, что обеспечивает безопасность и совместимость, а также улучшает производительность.
AppLocker предоставляет простые и эффективные структуры правил и вводит правила издателя: правила на основе цифровых подписей приложений. Правила издателя позволяют создавать правила, которые сохраняются после обновления приложений за счет возможности указания версии приложения в качестве атрибута. Например, в организации можно создать правило, разрешающее выполнение программы Acrobat Reader всех версий позднее 9.0, если они подписаны издателем ПО Adobe. Когда компания Adobe выпустит обновление программы Acrobat, его можно будет безопасно развернуть, не создавая еще одно правило для новой версии приложения.
Internet Explorer 8
Internet Explorer 8 обеспечивает улучшенную защиту от угроз безопасности и конфиденциальности, включая возможность определения ненадежных веб-сайтов и блокировку загрузки вредоносных программ. Защита усилена благодаря возможности просматривать веб-страницы без сохранения данных на общедоступном компьютере, а также за счет расширенной настройки параметров и контроля того, каким образом веб-сайты могут отслеживать действия пользователя. В Internet Explorer 8 улучшена систему ограничений для элементов управления ActiveX ® и усовершенствовано управление надстройками. Веб-браузер обладает повышенной надежностью, которая обеспечивается функцией автоматизированного восстановления после сбоя и восстановления вкладок, а также расширенной поддержкой специальных возможностей.
Операционная система Windows 7 Профессиональная, является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, соответствуют требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.
Сертифицированная версия Microsoft Windows 7 Профессиональная поставляется в составе базового пакета. Cертификат соответствия ФСТЭК России № 2180 от 30.09.2010г.
Актуальные цены на пакеты сертификации уточняйте у менеджеров или в нашем прайс-листе.
*В стоимость пакетов не включена стоимость ключа для получения сертифицированных обновлений, сертифицированного клиентского/терминального доступа к серверам, дистрибутивов, лицензий на ПО , доставки. Стоимость лицензионного ПО и объем скидок необходимо уточнять у менеджеров отдела продаж.