Главная » Linux

Информационное письмо фстэк windows

Содержание
  1. ФСТЭК регламентировала дальнейшее использование сертифицированных версий Windows 7
  2. ФСТЭК предупредила органы власти об опасности использования Windows 7
  3. Бизнес без опасности
  4. Страницы
  5. Архив блога
  6. Категории
  7. 22.1.20
  8. Долгожданное письмо ФСТЭК про Windows 7
  9. 25 коммент.:

ФСТЭК регламентировала дальнейшее использование сертифицированных версий Windows 7

Федеральная служба по техническому и экспортному контролю разместила информационное сообщение о применении сертифицированных операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в госорганах в связи с прекращением их технической поддержки.

Текст сообщения

Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.

В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:

  • операционная система Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» (сертификат соответствия от 4 октября 2011 г. N 2180/1);
  • операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter (сертификат соответствия от 13 октября 2011 г. N 2181/1);
  • программный комплекс «Microsoft Windows Server 2008 Standard Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1928/1);
  • программный комплекс «Microsoft Windows Server 2008» версии Standard Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1928);
  • программный комплекс «Microsoft Windows Server 2008 Enterprise Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1929/1);
  • программный комплекс «Microsoft Windows Server 2008» версии Enterprise Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1929);
  • программный комплекс «Microsoft Windows Server 2008» версии Datacenter в редакции 32-бит/64-бит (сертификат соответствия от 29 октября 2009 г. N 1930).

Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.

В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).

Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.

В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.

Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:

1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.

2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:

  • установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенные российскими производителями (заявителями);
  • установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
  • провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
  • по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
  • при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, функционирующих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP – систем), средств управления потоками информации);
  • обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, на внешние носители информации;
  • регламентировать и обеспечить контроль за применением съемных машинных носителей информации, исключив при этом использование незарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;
  • проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;
  • применить дополнительные сертифицированные средства защиты информации, реализующие (дублирующие) функции по безопасности информации операционных систем;
  • проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
  • разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.
Читайте также:  Linux команда завершения сеанса пользователя

ФСТЭК предупредила органы власти об опасности использования Windows 7

Регулятор рекомендовал органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС.

В связи с прекращением поддержки Windows 7 производителем Федеральная служба по техническому и экспортному контролю России (ФСТЭК) рекомендовала органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС. ФСТЭК также опубликовала рекомендации по дополнительным мерам защиты информации на время, пока Windows 7 не будет заменена на более новые ОС.

Согласно информационному сообщению ФСТЭК от 20 января 2020 года, в настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления и организаций продолжает использоваться Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная». В частности, это обусловлено наличием большого количества разработанного под Windows 7 специфичного прикладного ПО, применяемого для реализации органами государственной власти и организациями своих полномочий.

По той же причине органы власти и госучреждения продолжают пользоваться Windows Server 2008 R2, расширенная поддержка которой прекратилась 14 января 2020 года (основная поддержка была завершена 13 января 2015 года).

«Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей», — говорится в сообщении ФСТЭК.

Регулятор рекомендовал до 1 июня нынешнего года перейти на поддерживаемые ОС, а до тех пор принять дополнительные меры безопасности. В частности, необходимо установить все актуальные обновления, заблокировать автоматическую установку обновлений, отключить устройства, работающие под управлением устаревших ОС, от интернета и ведомственных компьютеров, обеспечить резервное копирование данных и пр.

«В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930», — сообщила ФСТЭК.

Компания Microsoft прекратила официальную поддержку Windows 7 14 января 2020 года. Поддержка новой версии браузера Microsoft Edge на движке Chromium для Windows 7 будет продолжаться по меньшей мере до июля 2021 года.

Бизнес без опасности

Бизнес безопасности или безопасность бизнеса? О том и о другом в одном блоге. Имеющий мозг да применит его (6+)

Страницы

Архив блога

  • ►2021 (17)
    • ►апреля (2)
    • ►марта (4)
    • ►февраля (5)
    • ►января (6)
  • ▼2020 (89)
    • ►декабря (7)
    • ►ноября (10)
    • ►октября (8)
    • ►сентября (7)
    • ►июля (2)
    • ►июня (3)
    • ►мая (8)
    • ►апреля (11)
    • ►марта (6)
    • ►февраля (15)
    • ▼января (12)
      • Что я жду от конференции ФСТЭК и от РусКрипто?
      • 7 уроков из сотен расследованных инцидентов
      • Как перестать тратить время на ерунду
      • Как перейти от эфемерных угроз к реальным техникам.
      • Долгожданное письмо ФСТЭК про Windows 7
      • 10 способов убить свою карьеру в ИБ
      • 7 сценариев, когда в организации используются 2 ра.
      • Метод «пяти почему» в ИБ
      • Не бывает одинаковых SOCов
      • Является ли ГОСТ по ИБ обязательным к применению?
      • Как стать SOC-аналитиком?
      • Новости ИБ за новогодние праздники
  • ►2019 (113)
    • ►декабря (15)
    • ►ноября (6)
    • ►октября (6)
    • ►сентября (5)
    • ►августа (8)
    • ►июля (13)
    • ►июня (7)
    • ►мая (12)
    • ►апреля (9)
    • ►марта (7)
    • ►февраля (13)
    • ►января (12)
  • ►2018 (150)
    • ►декабря (6)
    • ►ноября (10)
    • ►октября (9)
    • ►сентября (17)
    • ►августа (4)
    • ►июля (11)
    • ►июня (18)
    • ►мая (14)
    • ►апреля (7)
    • ►марта (15)
    • ►февраля (23)
    • ►января (16)
  • ►2017 (162)
    • ►декабря (20)
    • ►ноября (15)
    • ►октября (11)
    • ►сентября (16)
    • ►августа (10)
    • ►июля (12)
    • ►июня (12)
    • ►мая (13)
    • ►апреля (11)
    • ►марта (15)
    • ►февраля (13)
    • ►января (14)
  • ►2016 (220)
    • ►декабря (15)
    • ►ноября (22)
    • ►октября (17)
    • ►сентября (13)
    • ►августа (12)
    • ►июля (15)
    • ►июня (29)
    • ►мая (21)
    • ►апреля (14)
    • ►марта (27)
    • ►февраля (22)
    • ►января (13)
  • ►2015 (228)
    • ►декабря (18)
    • ►ноября (25)
    • ►октября (27)
    • ►сентября (16)
    • ►августа (6)
    • ►июля (20)
    • ►июня (19)
    • ►мая (18)
    • ►апреля (20)
    • ►марта (25)
    • ►февраля (20)
    • ►января (14)
  • ►2014 (197)
    • ►декабря (15)
    • ►ноября (16)
    • ►октября (14)
    • ►сентября (15)
    • ►августа (7)
    • ►июля (17)
    • ►июня (19)
    • ►мая (16)
    • ►апреля (17)
    • ►марта (21)
    • ►февраля (21)
    • ►января (19)
  • ►2013 (211)
    • ►декабря (19)
    • ►ноября (6)
    • ►октября (16)
    • ►сентября (19)
    • ►августа (14)
    • ►июля (16)
    • ►июня (23)
    • ►мая (17)
    • ►апреля (23)
    • ►марта (20)
    • ►февраля (17)
    • ►января (21)
  • ►2012 (255)
    • ►декабря (18)
    • ►ноября (19)
    • ►октября (27)
    • ►сентября (18)
    • ►августа (12)
    • ►июля (22)
    • ►июня (18)
    • ►мая (20)
    • ►апреля (29)
    • ►марта (27)
    • ►февраля (22)
    • ►января (23)
  • ►2011 (340)
    • ►декабря (33)
    • ►ноября (29)
    • ►октября (35)
    • ►сентября (27)
    • ►августа (34)
    • ►июля (42)
    • ►июня (33)
    • ►мая (20)
    • ►апреля (23)
    • ►марта (22)
    • ►февраля (19)
    • ►января (23)
  • ►2010 (267)
    • ►декабря (25)
    • ►ноября (21)
    • ►октября (22)
    • ►сентября (20)
    • ►августа (19)
    • ►июля (21)
    • ►июня (24)
    • ►мая (22)
    • ►апреля (24)
    • ►марта (26)
    • ►февраля (21)
    • ►января (22)
  • ►2009 (300)
    • ►декабря (24)
    • ►ноября (26)
    • ►октября (35)
    • ►сентября (24)
    • ►августа (27)
    • ►июля (22)
    • ►июня (23)
    • ►мая (21)
    • ►апреля (28)
    • ►марта (26)
    • ►февраля (29)
    • ►января (15)
  • ►2008 (106)
    • ►декабря (8)
    • ►ноября (13)
    • ►октября (20)
    • ►сентября (9)
    • ►августа (2)
    • ►июля (11)
    • ►июня (6)
    • ►мая (3)
    • ►апреля (13)
    • ►марта (10)
    • ►февраля (9)
    • ►января (2)
  • ►2007 (56)
    • ►декабря (14)
    • ►ноября (2)
    • ►октября (10)
    • ►сентября (12)
    • ►августа (17)
    • ►мая (1)
Читайте также:  Расшифровка хендшейка под windows

Категории

  • законодательство (630)
  • персональные данные (435)
  • ФСТЭК (333)
  • тенденции (318)
  • консолидация (250)
  • поглощения (247)
  • ФСБ (232)
  • выставки (212)
  • угрозы (190)
  • Банк России (148)
  • SCADA (145)
  • Россия (140)
  • стандарты (137)
  • обучение (128)
  • SOC (123)
  • криптография (121)
  • оценка соответствия (109)
  • управление инцидентами (103)
  • метрики (96)
  • цена безопасности (82)
  • стратегия (80)
  • НПС (77)
  • Роскомнадзор (77)
  • Разное (75)
  • Интернет-ресурсы (74)
  • Юмор (61)
  • безопасность бизнеса (60)
  • проблемы ИБ-компаний (60)
  • психология (60)
  • экономика (59)
  • Threat Intelligence (58)
  • философия (55)
  • заблуждения (51)
  • Минкомсвязь (48)
  • геймификация (47)
  • наука (47)
  • облачная безопасность (47)
  • cloud (42)
  • повышение осведомленности (41)
  • SIEM (39)
  • аутентификация (38)
  • CISO (37)
  • риски (35)
  • лицензирование (34)
  • антивирус (32)
  • SDLC (31)
  • DLP (30)
  • архитектура (29)
  • PCI DSS (28)
  • аутсорсинг (27)
  • кибервойна (25)
  • международная ИБ (25)
  • хакеры (25)
  • мобильный офис (24)
  • APT (23)
  • BYOD (22)
  • кибербезопасность (22)
  • IPS (21)
  • ISO 27001 (19)
  • электронные платежи (19)
  • США (18)
  • киберпреступность (18)
  • NIST (17)
  • Web (17)
  • маркетинг (17)
  • видео (16)
  • кризис (16)
  • CERT (15)
  • ДБО (15)
  • дашборд (15)
  • история (14)
  • классификация (14)
  • аудит (13)
  • виртуализация (13)
  • госорганы (13)
  • атрибуция (12)
  • биометрия (12)
  • внутренние угрозы (12)
  • стартап (12)
  • Интернет (11)
  • ЭЦП (11)
  • книги (11)
  • IoT (10)
  • NBAD (10)
  • Social Media (10)
  • open source (10)
  • кредитные карты (10)
  • культура ИБ (10)
  • терминология (10)
  • троян (10)
  • МинОбороны (9)
  • спам (9)
  • статьи (9)
  • уязвимости (9)
  • AI (8)
  • Usability (8)
  • ВТО (8)
  • аналогии (8)
  • опыт (8)
  • foresight (7)
  • Совет Безопасности (7)
  • блокчейн (7)
  • кадры (7)
  • поибешечки (7)
  • ООН (6)
  • СУБД (6)
  • непрерывность бизнеса (6)
  • ОДКБ (5)
  • ФАИТ (5)
  • страхование (5)
  • таможенный союз (5)
  • этика (5)
  • M2M (4)
  • МВД (4)
  • Олимпиада (4)
  • СНГ (4)
  • СОРМ (4)
  • мошенничество (4)
  • перлюстрация (4)
  • политика ИБ (4)
  • прорывные технологии (4)
  • русский язык (4)
  • сканеры безопасности (4)
  • DNS (3)
  • NGFW (3)
  • UTM (3)
  • VoIP (3)
  • Wi-Fi (3)
  • ГосСОПКА (3)
  • Интернет-маньяки (3)
  • женщины (3)
  • кибертерроризм (3)
  • коронавирус (3)
  • мобильные платежи (3)
  • служебная тайна (3)
  • тендер (3)
  • фишинг (3)
  • CIP (2)
  • GDPR (2)
  • ISACA (2)
  • RFID (2)
  • SECaaS (2)
  • UEBA (2)
  • resilience (2)
  • БРИКС (2)
  • ЕАЭС (2)
  • УЭК (2)
  • ЦОД (2)
  • безопасность (2)
  • визуализация (2)
  • NIAC (1)
  • RPA (1)
  • SDN (1)
  • zero trust (1)
  • Время (1)
  • ШОС (1)
  • искусственный интеллект (1)
  • карьера (1)
  • киберустойчивость (1)
  • терминальный доступ (1)
  • транспорт (1)
  • управление потоками (1)
  • электронное правительство (1)

22.1.20

Долгожданное письмо ФСТЭК про Windows 7

  • РЕД ОС
  • РОСА КОБАЛЬТ
  • SUSE Linux Enterprise Server 12 SP3
  • Альт 8 СП.

25 коммент.:

Astra Linux SE 1.6 имеет сертификат по новым требованиям

Так там сертификат по 21-й год

Имеет, но класс защищенности явно избыточный. Кроме того, в связи с введением новых ТД и математической верификации модели безопасности увидим очередной цирк. Когда линукс с его дискреционкой + мандаткой (самописной) получит сертификат регулятора или по первому или по второму классу. Я правильно понимаю, что для Астра линукс будет верифицирован как минимум: монитор обращений в ядре (там примерно 40-50 файлов исходного кода, содержащие нужные функции), функции аудита и управления временем в ядре, весь netfilter, и около сотни системных вызовов, релевантных безопасности?

Алексей, сравни с https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/823-informationnoe-soobshenie-fstek-rossii5 в частности по срокам сертификатов.

Модель верификации — это вообще отдельная тема.

Валерий: Сравнил. И?

Ну, справедливости ради, о том, что поддержка прекращается было известно давно. О том, что ФСТЭК крайне негативно относится к использованию ПО без поддержки тоже. Рискну предположить, что если поставить дату не 01.06.2020, а 01.06.2020, то 31 мая 2021 будет. плач Ярославны на тему «да у нас бюджеты, да как так можно, да у нас 100500 АРМ, как мы до завтрашнего утра успеем. » и подобное.
Что касается платных обновлений. Тут интересно, на самом деле. Как соотносится платная подписка на обновления и обновление сертифицированной ОС, которая обновляться должна из своего источника. MS будет передавать платные апдейты этому источнику?

Так поддержка-то есть. Какая разница, платная она или нет? Она почти всегда платная — просто может быть включена в стоимость продукта или продаваться отдельно. А заявитель обычно всегда работает в паре с вендором.

Я сейчас про то, а готов-ли вендор отдать поддержку заявителю? Как вендор потом проконтролирует, что поддержка досталась только тем, кто купил у него, а не всем сертифицированным? Вообще, можно просто этот вопрос уточнить. 🙂 Если заявитель не стал заморачиваться и поддержку свернул, то ФСТЭК прав. Наличие поддержки от вендора в этом случае ничего не решает.
P.S. Я вот слабо верю в то, что ГИСы массово закупили платный саппорт от MS до 2023 года. Скорее всего, бюджетов на это тоже не нашлось.

Поддержку не отдают — отдают обновления.

И крупные госы очень активно покупают поддержку от крупных ИТ-компаний

Там сертификат кончался раньше, а его приказом продлили на 2 года. А сейчас, наоборот — сертификат отзывается сразу, а через пол года сведения о них удаляются из реестра. Перестройка и ускорение!

Читайте также:  Windows server log connections

Я все-таки не понимаю логики. Есть сертифицированный Win 7 (ну или был). Есть заявитель, который обеспечивает получение обновлений для сертифицированных версий. ФСТЭК, когда смотрит, поддерживается/не поддерживается оперирует исключительно теми данными, которые им предоставляет заявитель. Если заявитель не захотел/не договорился с вендором о продлении получения обновлений и не уведомил ФСТЭК о том, что до 23 года будет обновляться, то почему ФСТЭК не должен был аннулировать сертификат? Какое дело ФСТЭК до того, что где-то, кто-то получает обновления за деньги, если источник обновлений для сертифицированных версий сдох? Какие должны были быть их действия? Оставить в силе сертификат «частично», для тех кто купил подписку на обновления и разрешить им обновляться непосредственно с серверов MS? Ну так себе.

Окончание сертификата на Windows не запрещает применять его в качестве ОС. В качестве сертифицированного СЗИ нельзя, а в качестве ОС никто не запрещает да и не может запретить.
К тому же госы крайне редко используют Windows как СЗИ, чаще используются наложенные СЗИ. Так что проблема во многом надумана.

Алексей, полностью согласен. Написал к тому, что согласно, например, методологии CC Evaluation по ISO 15408/18045 ни одна ОС Linux не получает EAL выше, чем 4+. Ибо и у них дальше начинаются вопросы, связанные с формальной верификацией модели безопасности. Как всем известно, Торвальдс и другие разработчики ядра и системного окружения архитектурой безопасности заморачивались, мягко говоря, не сильно. И там не микроядро. Отсюда у CCRA есть четкая позиция, что линукс не может получить выше, чем EAL 4+. И это методологически обоснованно, по крайней мере. Ну а у нас — гляди-ка, волшебным образом есть линукс и под обработку ГТ. И когда напоминают про сертификат Астра линукс — я возбуждаюсь. Ибо такой вот когнитивный диссонанс у меня лично в голове не умещается. Конечно, я знаю про ИСПРАн и все такое, но для меня это — тем более причина возбуждаться. Жаль, что я никогда не увижу формальную верификацию у Астры, ибо не опубликуют. А то что есть по мандатке — не достаточно, ибо где в таком случае верифицированная дискретка, аудит, метки времени, netfilter и ворох сисколов?

Я бы еще добавил, что есть действующий до 24 года сертификат ФСБ на Windows 7 + SecurePack.
Наверное не на пустом месте принимали решение о выдаче сертификата до 24 года?
В общем, решение ФСТЭК не понятно.

Ну требования ФСБ к средствам защиты распространяются только на 7 органов высшей государственной власти — большинству они неактуальны

Я надеюсь, это не у ФСТЭКа очепятка: «Sailfisf»

В данном информационном сообщении идёт речь только о сертифицированных дистрибутивах MICROSOFT WINDOWS 7 и MICROSOFT WINDOWS SERVER 2008/R2 (далее — ПО).

Нужно немного пояснить о них — на территории РФ данное сертифицированное ПО предоставляет не компания Майкрософт, а две российские компании: ООО «Сертифицированные информационные системы груп» («СИС груп») и Федеральное государственное унитарное предприятие «Предприятие по поставкам продукции Управления делами Президента Российской Федерации» (ФГУП «ППП»). Именно два этих предприятия координируют выпуск обновлений сертифицированного ПО и его техническую поддержку. В 2019 году данные компании уведомили ФСТЭК России о том, что поддержка и выпуск сертифицированных обновлений после 14-го января 2020 года будут прекращены.
В соответствии с этим и с условиями эксплуатационной документации на сертифицированное ПО, действие сертификатов на данное ПО (№№ 2180/1, 2181/1) завершено (приказ ФСТЭК России от 20 января 2020 г. № 9).

Принимая во внимание, что в соответствии с п. 3 «предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации» и п.6 «постоянный контроль за обеспечением уровня защищенности информации» части 4 статьи 16 «Защита информации» Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» соблюдение требований о защите государственной информационной системы (ГИС) и компонентов информационно-телекоммуникационной инфраструктуры (ИТКИ) возложено на её владельца (оператора), Минкомсвязь провело информирование государственных органов о данных фактах.

Вот это важное дополнение насчет уведомления СИС и ППП. Ее бы в информационное письмо вставить и выпустить его сразу после получения уведомления, чтобы не было таких разночтений.

А почему не перейти на Windows 8.1? Она вроде как и в реестре ФСТЭКа есть, сертификат действительный и техподдержка до 23 года.

Уведомление от СИС и ППП косвенно следовало из абзаца 6 и 7 листа 2, но согласен это было не в полной мере понятно.
Письмо могло быть частью рабочей переписки и/или иметь грифы «для служебного пользования».

Да, Минкомсвязь отмечаем необходимость соблюдения требований о защите информации государственных информационных систем и компонентов информационно-телекоммуникационной инфраструктуры. С ОС имеющими сертификацию можно ознакомиться на сайте ФСТЭК :
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00 .
И с система имеющими действующий сертификат : №3263 «Windows 8.1» и №3366 «операционная система Microsoft Windows Server Standard 2012 R2» и т.д.

Павел: у нее сертификат скоро заканчивается

М: ну вы же написали про завершение поддержки сертифицированных обновлений 🙂 Поэтому врядли это ДСП и что про этот факт нельзя было написать в письме. Я просто сравниваю ответ «австралийской ФСТЭК» — https://www.cyber.gov.au/publications/end-of-support-for-microsoft-windows-7 — и ответ нашего регулятора сильно проигрывает 🙁

Как эту инструкцию применить? На сегодня по факту для совместимости с ГИСами только переход с Windows 7 на Windows 8.1 может состояться в обозначенные сроки — до июня 2020-го. Поддержка Windows 8.1 есть до января 2023-го, а сертификат ФСТЭК действует до ноября 2020-го. ФСТЭК вероятно в своём информационном письме «забыл» сообщить, будет ли продлён сертификат ФСТЭК на Windows 8.1. Это было бы очень важной информацией на данный момент.

Согласно последним правилам ФСТЭК, сертификат для заказчика действует бессрочно, если заявитель устраняет уязвимости в сертифицированном ПО. Так что, в принципе все не так страшно по идее

Оцените статью
© 2024 Советы по настройке компьютера