Сертификат фстэк microsoft windows 7 professional

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННЫХ ОПЕРАЦИОННЫХ MICROSOFT WINDOWS 7 И MICROSOFT WINDOWS SERVER 2008 R2 В СВЯЗИ С ПРЕКРАЩЕНИЕМ ИХ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ

Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.

В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:

операционная система Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» (сертификат соответствия от 4 октября 2011 г. N 2180/1);

операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter (сертификат соответствия от 13 октября 2011 г. N 2181/1);

программный комплекс «Microsoft Windows Server 2008 Standard Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1928/1);

программный комплекс «Microsoft Windows Server 2008» версии Standard Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1928);

программный комплекс «Microsoft Windows Server 2008 Enterprise Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1929/1);

программный комплекс «Microsoft Windows Server 2008» версии Enterprise Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1929);

программный комплекс «Microsoft Windows Server 2008″ версии Datacenter» в редакции 32-бит/64-бит (сертификат соответствия от 29 октября 2009 г. N 1930).

Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.

В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).

Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.

В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.

Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:

1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.

2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:

установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенные российскими производителями (заявителями);

установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, функционирующих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP — систем), средств управления потоками информации);

обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, на внешние носители информации;

регламентировать и обеспечить контроль за применением съемных машинных носителей информации, исключив при этом использование незарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;

проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;

применить дополнительные сертифицированные средства защиты информации, реализующие (дублирующие) функции по безопасности информации операционных систем;

проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);

разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.

Заместитель директора

ФСТЭК России

В.Лютиков

Сертифицированные ОС Windows Embedded/IoT

Внимание! 8 апреля ФСТЭК принял решение приостановить действие сертификатов на программное обеспечение Microsoft (как и многих других иностранных вендоров). В настоящее время, для обеспечения требований регуляторов вы можете воспользоваться дополнительными средствами защиты информации (СЗИ), такими как Secret Net Studio.

Информация ниже предоставлена в качестве справочной.

Внимание! Сертифицированная ФСТЭК версия Windows 7 Professional более не поставляется, в связи с окончанием ее поддержки Microsoft с 14.01.2020 (Письмо ФСТЭК). Рекомендуется использование Windows 10 IoT Enterprise LTSC (v.1809). Правила перевода существующих систем см. в разделе «Обновления и переходы».

Важно! Только в канале IoT, для производителей специализированного оборудования, мы предлагаем полную версию Windows 10 Корпоративная (Enterprise). В остальных каналах продаж эта версия существует только в варианте Обновление (Upgrade). Кроме того, только для производителей мы предлагаем специальные цены и условия лицензирования сертифицированных версий.

С вопросами о стоимости и правилах поставки сертифицированных версий обращайтесь, пожалуйста, к нам по email или чату, мы вышлем всю необходимую информацию.

* Сертификат ФСТЭК выдан на версию «Windows 10 Корпоративная» (Windows 10 Enterprise LTSC 2019 Version 1809 Build 17763.107), которой в канале Windows Embedded/IoT соответствует дистрибутив Windows 10 IoT Enterprise LTSC 2019 (1809).

Сертификаты ФСТЭК подтверждают, что эти ОС имеют встроенные средства защиты от несанкционированного доступа к информации, не содержат сведения государственной тайны и соответствуют 5/6 классу защищенности. 

Комплект поставки

1. Верифицированный дистрибутив на оптическом диске

2. Формуляр изделия с названием организации, количеством лицензий и защитным знаком ФСТЭК РФ

3. Копия сертификата ФСТЭК с синей печатью производителя

4. Медиа-кит на оптическом диске

5. Абонемент сертификационной поддержки и USB-ключ доступа на портал сертифицированных обновлений (приобретается дополнительно).

Пример поставки

ФСТЭК России сертифицировала Windows 7 и Windows Server 2008 R2

Федеральная служба по техническому и экспортному контролю (ФСТЭК) сертифицировала операционные системы Windows 7 в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и Windows Server 2008 R2 в редакциях Standard, Enterprise и Datacenter.

Как указано в сертификатах на Windows 7 (№2180 от 30.09.2010) и Windows Server 2008 R2 (№2181 от 30.09.2010) эти разработанные корпорацией Microsoft продукты являются программными средствами общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, соответствуют требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 5 классу защищенности, и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Объектом сертификации стали не только сами Windows 7 и Windows Server 2008 R2, но также система учета и распространения сертифицированных обновлений, организованная для данных продуктов ФГУП «Предприятие по поставкам продукции Управления делами Президента РФ» и ООО «Сертифицированные информационные системы». Это означает, что заказчики смогут получать любое количество необходимых им сертифицированных продуктов в течение всего срока действия сертификата. Кроме того, сертифицированные обновления продуктов позволяют потребителю постоянно соответствовать требованиям российского законодательства.

«Сертификация наших флагманских продуктов Windows 7 и Windows Server 2008 R2 очень важна для нас, так как на их базе строится большинство информационных систем. Теперь наши заказчики могут не только использовать новые возможности этих ОС, но и быть уверенными, что они удовлетворяют российским требованиям по обеспечению безопасности», – сказал Владимир Мамыкин, директор по информационной безопасности ООО «Майкрософт Рус».

Источник

ФСТЭК предупредила органы власти об опасности использования Windows 7

Регулятор рекомендовал органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС.

В связи с прекращением поддержки Windows 7 производителем Федеральная служба по техническому и экспортному контролю России (ФСТЭК) рекомендовала органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС. ФСТЭК также опубликовала рекомендации по дополнительным мерам защиты информации на время, пока Windows 7 не будет заменена на более новые ОС.

Согласно информационному сообщению ФСТЭК от 20 января 2020 года, в настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления и организаций продолжает использоваться Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная». В частности, это обусловлено наличием большого количества разработанного под Windows 7 специфичного прикладного ПО, применяемого для реализации органами государственной власти и организациями своих полномочий.

По той же причине органы власти и госучреждения продолжают пользоваться Windows Server 2008 R2, расширенная поддержка которой прекратилась 14 января 2020 года (основная поддержка была завершена 13 января 2015 года).

Регулятор рекомендовал до 1 июня нынешнего года перейти на поддерживаемые ОС, а до тех пор принять дополнительные меры безопасности. В частности, необходимо установить все актуальные обновления, заблокировать автоматическую установку обновлений, отключить устройства, работающие под управлением устаревших ОС, от интернета и ведомственных компьютеров, обеспечить резервное копирование данных и пр.

«В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Компания Microsoft прекратила официальную поддержку Windows 7 14 января 2020 года. Поддержка новой версии браузера Microsoft Edge на движке Chromium для Windows 7 будет продолжаться по меньшей мере до июля 2022 года.

Источник

ФСТЭК регламентировала дальнейшее использование сертифицированных версий Windows 7

Федеральная служба по техническому и экспортному контролю разместила информационное сообщение о применении сертифицированных операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в госорганах в связи с прекращением их технической поддержки.

Текст сообщения

Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.

В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:

Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.

В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).

Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.

В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.

Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:

1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.

2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:

Источник

Бизнес без опасности

Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента. Имеющий мозг да применит его (6+)

Страницы

Архив блога

Категории

22.1.20

Долгожданное письмо ФСТЭК про Windows 7

25 коммент.:

Astra Linux SE 1.6 имеет сертификат по новым требованиям

Так там сертификат по 21-й год

Имеет, но класс защищенности явно избыточный. Кроме того, в связи с введением новых ТД и математической верификации модели безопасности увидим очередной цирк. Когда линукс с его дискреционкой + мандаткой (самописной) получит сертификат регулятора или по первому или по второму классу. Я правильно понимаю, что для Астра линукс будет верифицирован как минимум: монитор обращений в ядре (там примерно 40-50 файлов исходного кода, содержащие нужные функции), функции аудита и управления временем в ядре, весь netfilter, и около сотни системных вызовов, релевантных безопасности?

Алексей, сравни с https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/823-informationnoe-soobshenie-fstek-rossii5 в частности по срокам сертификатов.

Ну, справедливости ради, о том, что поддержка прекращается было известно давно. О том, что ФСТЭК крайне негативно относится к использованию ПО без поддержки тоже. Рискну предположить, что если поставить дату не 01.06.2020, а 01.06.2020, то 31 мая 2022 будет. плач Ярославны на тему «да у нас бюджеты, да как так можно, да у нас 100500 АРМ, как мы до завтрашнего утра успеем. » и подобное.
Что касается платных обновлений. Тут интересно, на самом деле. Как соотносится платная подписка на обновления и обновление сертифицированной ОС, которая обновляться должна из своего источника. MS будет передавать платные апдейты этому источнику?

Я сейчас про то, а готов-ли вендор отдать поддержку заявителю? Как вендор потом проконтролирует, что поддержка досталась только тем, кто купил у него, а не всем сертифицированным? Вообще, можно просто этот вопрос уточнить. 🙂 Если заявитель не стал заморачиваться и поддержку свернул, то ФСТЭК прав. Наличие поддержки от вендора в этом случае ничего не решает.
P.S. Я вот слабо верю в то, что ГИСы массово закупили платный саппорт от MS до 2023 года. Скорее всего, бюджетов на это тоже не нашлось.

И крупные госы очень активно покупают поддержку от крупных ИТ-компаний

Я все-таки не понимаю логики. Есть сертифицированный Win 7 (ну или был). Есть заявитель, который обеспечивает получение обновлений для сертифицированных версий. ФСТЭК, когда смотрит, поддерживается/не поддерживается оперирует исключительно теми данными, которые им предоставляет заявитель. Если заявитель не захотел/не договорился с вендором о продлении получения обновлений и не уведомил ФСТЭК о том, что до 23 года будет обновляться, то почему ФСТЭК не должен был аннулировать сертификат? Какое дело ФСТЭК до того, что где-то, кто-то получает обновления за деньги, если источник обновлений для сертифицированных версий сдох? Какие должны были быть их действия? Оставить в силе сертификат «частично», для тех кто купил подписку на обновления и разрешить им обновляться непосредственно с серверов MS? Ну так себе.

Окончание сертификата на Windows не запрещает применять его в качестве ОС. В качестве сертифицированного СЗИ нельзя, а в качестве ОС никто не запрещает да и не может запретить.
К тому же госы крайне редко используют Windows как СЗИ, чаще используются наложенные СЗИ. Так что проблема во многом надумана.

Я надеюсь, это не у ФСТЭКа очепятка: «Sailfisf»

Нужно немного пояснить о них — на территории РФ данное сертифицированное ПО предоставляет не компания Майкрософт, а две российские компании: ООО «Сертифицированные информационные системы груп» («СИС груп») и Федеральное государственное унитарное предприятие «Предприятие по поставкам продукции Управления делами Президента Российской Федерации» (ФГУП «ППП»). Именно два этих предприятия координируют выпуск обновлений сертифицированного ПО и его техническую поддержку. В 2019 году данные компании уведомили ФСТЭК России о том, что поддержка и выпуск сертифицированных обновлений после 14-го января 2020 года будут прекращены.
В соответствии с этим и с условиями эксплуатационной документации на сертифицированное ПО, действие сертификатов на данное ПО (№№ 2180/1, 2181/1) завершено (приказ ФСТЭК России от 20 января 2020 г. № 9).

Принимая во внимание, что в соответствии с п. 3 «предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации» и п.6 «постоянный контроль за обеспечением уровня защищенности информации» части 4 статьи 16 «Защита информации» Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» соблюдение требований о защите государственной информационной системы (ГИС) и компонентов информационно-телекоммуникационной инфраструктуры (ИТКИ) возложено на её владельца (оператора), Минкомсвязь провело информирование государственных органов о данных фактах.

Вот это важное дополнение насчет уведомления СИС и ППП. Ее бы в информационное письмо вставить и выпустить его сразу после получения уведомления, чтобы не было таких разночтений.

А почему не перейти на Windows 8.1? Она вроде как и в реестре ФСТЭКа есть, сертификат действительный и техподдержка до 23 года.

Уведомление от СИС и ППП косвенно следовало из абзаца 6 и 7 листа 2, но согласен это было не в полной мере понятно.
Письмо могло быть частью рабочей переписки и/или иметь грифы «для служебного пользования».

Павел: у нее сертификат скоро заканчивается

Согласно последним правилам ФСТЭК, сертификат для заказчика действует бессрочно, если заявитель устраняет уязвимости в сертифицированном ПО. Так что, в принципе все не так страшно по идее

Источник

Microsoft получила сертификаты ФСТЭК на новые ОС

На основании экспертизы, проведенной Федеральной службой по техническому и экспортному контролю Российской Федерации (ФСТЭК), корпорация Microsoft получила сертификаты на операционные системы Windows 7 (№2180 от 30.09.2010) и Windows Server 2008 R2 (№2181 от 30.09.2010). Согласно полученным документам, версии Windows 7 «Профессиональная» (Professional), «Корпоративная» (Corporate), «Максимальная» (Ultimate) и версии Windows Server 2008 R2 Standard, Enterprise Datacenter, разработанные корпорацией Microsoft, являются программными средствами общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну.

ФСТЭК подтверждает, что данные продукты Microsoft соответствуют стандартам безопасности, установленными Гостехкомиссией РФ, а также требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также информационных систем персональных данных до 2 класса включительно.

Сертификаты №2180 и №2181 подписаны первым заместителем директора ФСТЭК Российской Федерации Владимиром Селиным на основании испытаний, которые проводились испытательной лабораторией «Документальные системы» (аттестат аккредитации № СЗИ RU.304.В07.022 от 24.05.2006) и экспертного заключения от органа по сертификации ФГУ «ГНИИИ ПТЗИ ФСТЭК России» (аттестат аккредитации № СЗИ RU.840.А92.007 от 26.04.2005).

Необходимо отметить, что объектами сертификации стали не только операционные системы Windows 7 и Windows Server 2008 R2, но программы учета и распространения сертифицированных обновлений. Поэтому в приложении к обоим сертификатам сказано, что настройки и контроль механизмов защиты безопасности должны производиться в соответствии с «Руководством по настройке системы»; программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону; на программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности. Данные примечания означают, что заказчики смогут получать любое количество необходимых им сертифицированных продуктов в течение всего срока действия сертификата. Кроме того, сертифицированные обновления продуктов позволяют заказчикам постоянно соответствовать требованиям российского законодательства.

«Сертификация наших флагманских продуктов Windows 7 и Windows Server 2008 R2 очень важна для нас, так как на их базе строится большинство информационных систем. Теперь наши заказчики могут не только использовать новые возможности этих ОС, но и быть уверенными, что они удовлетворяют российским требованиям по обеспечению безопасности», – сказал Владимир Мамыкин, директор по информационной безопасности «Майкрософт Рус». Необходимо отметить, что до недавнего времени последними сертифицированными продуктами ФСТЭК были клиентская операционная система Windows XP Professional русская версия и серверная операционная система Windows Server 2003 Enterprise Edition русская версия.

Источник

ФСТЭК предупредила органы власти об опасности использования Windows 7

08:47 / 22 января, 2020
2020-01-22T08:47:47+03:00

Регулятор рекомендовал органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС.

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!

Microsoft Windows 7 Профессиональная — представляет собой версию Windows 7, направленную непосредственно на бизнес-пользователей и IT-специалистов. Благодаря короткому времени отклика и постоянной готовности ПК к работе повышается производительность и обеспечивается лучшая защита от угроз безопасности. Может быть использована для защиты конфиденциальной информации и персональных данных на серверах в составе сети.

Операционная система Windows 7 создана на основе принципов безопасности Windows Vista, отвечает пожеланиям пользователей о создании более удобной и управляемой системы и содержит усовершенствования безопасности, необходимые для защиты данных в условиях быстро меняющейся структуры угроз.

Ключевые особенности семейства операционных систем Windows 7

Безопасная платформа.
Операционная система Windows 7 основана на функциях безопасности Windows Vista и содержит все процессы и технологии развертывания, которые сделали Windows Vista самой безопасной версией Windows на сегодняшний день. Фундаментальные возможности безопасности — защита от исправления ядра, ограниченный режим работы служб, предотвращение выполнения данных, случайное распределение адресного пространства и уровни целостности — по-прежнему обеспечивают улучшенную защиту от вредоносных программ и атак. При проектировании Windows 7 использовалась методика разработки безопасности. Опираясь на надежную платформу безопасности Windows Vista, Windows 7 вносит значительные улучшения в основные технологии защиты аудита событий и управления учетными записями пользователей.

Усовершенствованный аудит.
Windows 7 предоставляет усовершенствованные возможности аудита, упрощающие соблюдение нормативных и производственных требований: в том числе реализован упрощенный подход к управлению конфигурациями аудита, а выполняемые в организации задачи описаны с большей наглядностью. Например, Windows 7 помогает получить четкое представление о том, кто может получить доступ к конкретной информации, почему пользователю было отказано в доступе к определенным данным, а также узнать обо всех изменениях, внесенных пользователем или группой.

Упрощенный контроль учетных записей пользователей.
Контроль учетных записей пользователей (UAC) был представлен в Windows Vista для усиления безопасности и снижения совокупной стоимости владения за счет развертывания операционной системы без привилегий администратора. Windows 7 продолжает вносить в функцию контроля учетных записей определенные изменения для более эффективной работы пользователей — от сокращения числа приложений и задач для ОС, требующих прав администратора, до гибкой работы с запросами для пользователей, продолжающих пользоваться этими правами. В результате, обычные пользователи теперь могут выполнить больше задач с меньшим числом выводимых запросов.

Поддержка устройств безопасности
Windows 7 упрощает процесс подключения устройств безопасности к ПК и управления ими, а также предоставляет легкий доступ к общим задачам, связанным с использованием устройств. Еще никогда использование устройств безопасности не было настолько простым: при первоначальной установке и при ежедневной работе.

Улучшенная поддержка смарт-карт
Проверка подлинности на основе паролей имеет определенные ограничения безопасности, но развертывание надежных технологий проверки подлинности остается проблемой для многих организаций. Опираясь на улучшения инфраструктуры смарт-карт, введенные в Windows Vista, Windows 7 упрощает развертывание смарт-карт благодаря поддержке технологии Plug and Play. Драйверы, необходимые для поддержки смарт-карт и устройства считывания смарт-карт, устанавливаются автоматически без использования прав администратора и без вмешательства пользователя, что облегчает развертывание в организации эффективной, двухуровневой проверки подлинности. Кром того, Windows 7 расширяет платформенную поддержку PKINIT (RFC 5349) для включения смарт-карт на основе ECC и допускает использование сертификатов с поддержкой эллиптических кривых на смарт-картах для входа в систему Windows.

Обеспечение безопасности универсального доступа.
Windows 7 предоставляет соответствующие элементы управления безопасностью, поэтому пользователи в любое время из любого места могут обращаться к данным, необходимым для работы. Наряду с полной поддержкой существующих технологий (например, защиты сетевого доступа) Windows 7 предоставляет более гибкий брандмауэр, поддержку безопасности DNS и совершенно новую концепцию удаленного доступа.

Поддержка DNSSec
DNS — это основной протокол, поддерживающий большинство ежедневных выполняемых в Интернете задач, включая доставку электронной почты, просмотр веб-страниц и обмен сообщениями. Однако следует отметить, что система DNS была разработана более трех десятков лет назад без учета современных угроз безопасности. Расширения безопасности DNS (DNSSEC) — это набор расширений DNS, предоставляющих службы безопасности, необходимые для работы в Интернете. В соответствии с требованиями документов RFC 4033, 4034 и 4035 система Windows 7 поддерживает DNSSEC, обеспечивая уверенность организаций в подлинности записей имен доменов и предоставляя защиту от вредоносных манипуляций.

DirectAccess
Благодаря Windows 7 работать вне офиса становится все проще. С помощью DirectAccess удаленные пользователи могут обращаться к корпоративной сети в любое время при наличии интернет-соединения, без необходимости выполнения дополнительных действий по установке VPN-подключения. Это увеличивает производительность сотрудников. DirectAccess предоставляет ИТ-специалистам более защищенную и гибкую инфраструктуру корпоративной сети для удаленного обновления пользовательских ПК и управления ими. DirectAccess упрощает управление ИТ-ресурсами за счет ввода постоянно управляемой инфраструктуры, в которой компьютеры, находящиеся в сети и вне ее, поддерживаются в работоспособном и обновленном состоянии.
С помощью DirectAccess ИТ-специалисты могут более точно контролировать сетевые ресурсы, к которым обращаются пользователи. Например, для управления доступом удаленных пользователей к приложениям предприятия можно использовать параметры групповой политики. DirectAccess отделяет интернет-трафик от доступа к ресурсам внутренней сети, поэтому пользователи могут обращаться на общедоступные веб-сайты, не создавая дополнительный трафик в сети предприятия.
Кроме того, компонент DirectAccess поддерживает отраслевые стандарты (например, протоколы IPv6 и IPsec), обеспечивая защиту и безопасность корпоративного обмена данными.

Защита пользователей и инфраструктуры
Windows 7 обеспечивает гибкую защиту от вредоносных программ и вторжений, поэтому пользователи могут получить нужное соотношение безопасности, контроля и продуктивности. Основными усовершенствованиями системы безопасности являются компонент AppLocker™ и браузер Internet Explorer® 8, которые обеспечивают новый стандарт защиты операционной системы от вторжения вредоносных программ в Windows 7.

AppLocker
Политики управления приложениями в системе Windows 7 используются совместно со средством AppLocker — гибким и простым в управлении механизмом, позволяющим ИТ-специалистам указывать программы и компоненты, которые могут выполняться на настольных системах. Кроме того, пользователи получают возможность работать с приложениями, установочными программами и сценариями, повышающими их производительность. В итоге ИТ-специалисты могут провести в организации стандартизацию приложений, что обеспечивает безопасность и совместимость, а также улучшает производительность.
AppLocker предоставляет простые и эффективные структуры правил и вводит правила издателя: правила на основе цифровых подписей приложений. Правила издателя позволяют создавать правила, которые сохраняются после обновления приложений за счет возможности указания версии приложения в качестве атрибута. Например, в организации можно создать правило, разрешающее выполнение программы Acrobat Reader всех версий позднее 9.0, если они подписаны издателем ПО Adobe. Когда компания Adobe выпустит обновление программы Acrobat, его можно будет безопасно развернуть, не создавая еще одно правило для новой версии приложения.

Internet Explorer 8
Internet Explorer 8 обеспечивает улучшенную защиту от угроз безопасности и конфиденциальности, включая возможность определения ненадежных веб-сайтов и блокировку загрузки вредоносных программ. Защита усилена благодаря возможности просматривать веб-страницы без сохранения данных на общедоступном компьютере, а также за счет расширенной настройки параметров и контроля того, каким образом веб-сайты могут отслеживать действия пользователя. В Internet Explorer 8 улучшена систему ограничений для элементов управления ActiveX ® и усовершенствовано управление надстройками. Веб-браузер обладает повышенной надежностью, которая обеспечивается функцией автоматизированного восстановления после сбоя и восстановления вкладок, а также расширенной поддержкой специальных возможностей.

Операционная система Windows 7 Профессиональная, является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, соответствуют требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Федеральная служба по техническому и экспортному контролю разместила информационное сообщение о применении сертифицированных операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в госорганах в связи с прекращением их технической поддержки.

Текст сообщения

Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.

В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:

• операционная система Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» (сертификат соответствия от 4 октября 2011 г. N 2180/1);
• операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter (сертификат соответствия от 13 октября 2011 г. N 2181/1);
• программный комплекс «Microsoft Windows Server 2008 Standard Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1928/1);
• программный комплекс «Microsoft Windows Server 2008» версии Standard Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1928);
• программный комплекс «Microsoft Windows Server 2008 Enterprise Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1929/1);
• программный комплекс «Microsoft Windows Server 2008» версии Enterprise Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1929);
• программный комплекс «Microsoft Windows Server 2008» версии Datacenter в редакции 32-бит/64-бит (сертификат соответствия от 29 октября 2009 г. N 1930).

Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.

В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).

Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.

В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.

Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:

1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.

2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:

• установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенные российскими производителями (заявителями);
• установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
• провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
• по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
• при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, функционирующих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP — систем), средств управления потоками информации);
• обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, на внешние носители информации;
• регламентировать и обеспечить контроль за применением съемных машинных носителей информации, исключив при этом использование незарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;
• проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;
• применить дополнительные сертифицированные средства защиты информации, реализующие (дублирующие) функции по безопасности информации операционных систем;
• проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
• разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.

Windows сертификат фстэк россии

Защита информационных систем — одна из важнейших задач не только для отрасли информационных технологий, но и для всей экономики общества в целом. Понимая это, корпорация Microsoft стала пионером создания надежных информационных систем и автором концепции комплексного обеспечения информационной безопасности.

Одним из ключевых факторов, обеспечивающих создание защищенных систем на базе продуктов Microsoft в России, является выполнение национальных требований к сертификации программного обеспечения. Продукты Microsoft регулярно проходят сертификацию на соответствие требованиям по информационной безопасности РФ. Microsoft дает возможность государству убедиться в отсутствии «потайных дверей» в продуктах Microsoft. При этом это не означает, что Microsoft предоставляет доступ к данным пользователей. На сегодня сертифицированы уже более 70 продуктов. Наши клиенты, в числе которых и государственные заказчики, могут быть уверены, что их информационные системы защищены согласно российским требованиям.

Использование сертифицированного программного обеспечения и средств защиты информации во многих случаях является обязательным условием для обработки информации ограниченного доступа. В российском законодательстве определено свыше 60 видов информации ограниченного доступа, в том числе государственная тайна, служебная тайна, коммерческая тайна, банковская тайна, и др. Конкретные законодательные требования по защите, установленные для указанных видов информации и информационных систем, могут предусматривать требование по обязательному использованию сертифицированного программного обеспечения и средств защиты информации.

Продукты Microsoft, сертифицированные ФСТЭК, с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Microsoft, поскольку программная реализация продуктов Microsoft позволяет получать соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов, а именно:

• каждый экземпляр сертифицированного продукта, находящегося у заказчика, должен пройти процедуру проверки соответствия этого экземпляра тому экземпляру, который прошел сертификацию;
• каждый экземпляр сертифицированного продукта, находящегося у заказчика, в случае положительной проверки его соответствия экземпляру, прошедшему сертификацию, получает пакет сертификационных документов государственного образца, включая голографический знак соответствия ФСТЭК с уникальным номером на каждую копию (если у заказчика 1000 компьютеров с сертифицированным продуктом, то ему выдается 1000 голограмм), который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов;
• каждая организация, купившая сертифицированный продукт, получает защищенный доступ к персональной странице для получения сертифицированных обновлений.

Microsoft сертифицирует свои программные продукты со встроенными средствами защиты информации. В России организовано массовое производство всех сертифицированных версий продуктов Microsoft. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация ежемесячно выходящих обновлений к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям регулятора.

Microsoft сертифицирует свои продукты в России с 2003 года. В числе первых продуктов, прошедших сертификацию, были Windows XP, Windows Server 2003, Office 2003 и другие. К весне 2020 года было сертифицировано более 70 продуктов. Microsoft продолжает сертификацию своих продуктов и будет продолжать сертифицировать новые версии своих продуктов и в дальнейшем.

Заказчики, которые хотят использовать сертифицированное программное обеспечение, имеющее действующие сертификаты (*) и продолжающее получать обновления безопасности (**), могут использовать следующие продукты Microsoft:

• серверная операционная система Microsoft Windows Server 2012 R2 в редакциях Standard и Datacenter (**);
• система управления информационной структурой Microsoft System Center 2012 R2 в редакциях Standard и Datacenter (**);
• сервер управления почтовыми сообщениями Microsoft Exchange Server 2013 в редакциях Standard и Enterprise (**);
• сервер документооборота Microsoft SharePoint Server 2013 (с SP1) (**);
• платформа офисных приложений Microsoft Office 2016 Professional Plus (***);
• сервер управления почтовыми сообщениями Microsoft Exchange Server 2016 (***);
• сервер документооборота Microsoft SharePoint Server 2016 (***);
• система управления проектами Microsoft Project Server 2016 в составе SharePoint Server 2016;
• система управления информационной структурой Microsoft System Center 2016;
• система управления базами данных Microsoft SQL Server 2016 в редакциях Enterprise Edition (EE), Standard (Std), Developer, Web, Express, Express with tools (с SP2);
• серверная операционная система Microsoft Windows Server 2016;
• система управления базами данных Microsoft SQL Server 2017 в редакциях Enterprise Edition (EE), Standard (Std), Developer, Web, Express, Express with Advanced Services;
• клиентская операционная система Microsoft Windows 8.1 в редакциях Профессиональная и Корпоративная (**);
• сервер документооборота Microsoft SharePoint Server 2019;
• система управления проектами Microsoft Project Server 2019 в составе SharePoint Server 2019;
• система управления базами данных Microsoft SQL Server 2019;
• система управления базами данных Microsoft SQL Server 2019 on Linux;
• клиентская операционная система Microsoft Windows 10 в редакции Корпоративная.

(*) Перед покупкой сертифицированного продукта проверяйте срок действия сертификата;

(**) Получение некоторых обновлений безопасности может потребовать приобретения пакета расширенной поддержки;

(***) Согласно пункту 15 Приказа ФСТЭК России от 3 апреля 2018 г. № 55, «Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки». Так как заявитель сертифицирует обновления безопасности, выпускаемые в данном случае Microsoft, то технческая поддержка заявителя зависит от срока продолжения выпуска обновлений по безопасности корпорацией Microsoft. Поэтому в данном случае срок эксплуатации сертифицированного продукта зависит от срока окончания выпуска Microsoft обновлений по безопасности.

По всем вопросам, связанным с приобретением сертифицированных продуктов Microsoft через партнеров, обращайтесь к заявителю, ООО «Сертифицированные информационные системы груп», по адресу электронной почты: info@certsys.ru.

Продукты Microsoft, сертифицированные ФСБ, содержат дополнительное программное обеспечение, которое позволяет им удовлетворять требованиям регулятора, — сервисные пакеты, разработанные российскими организациями. Эти сервисные пакеты «Secure Pack Rus» содержат в себе, прежде всего, российскую сертифицированную криптографию, которую Microsoft не производит.

Следующие продукты Microsoft сертифицированы ФСБ:

• клиентская операционная система Microsoft Windows 10 в редакциях Pro, Enterprise и Enterprise LTSC;
• серверная операционная система Microsoft Windows Server 2016 в редакциях Standard и Datacenter;
• программный комплекс Microsoft Skype for Business Server 2015.

Сертификаты удостоверяют, что указанные продукты соответствуют требованиям уполномоченных органов России к

• защите информации, не содержащей сведений, составляющих государственную тайну,
• защите от несанкционированного доступа в автоматизированных информационных системах класса АК2 (некоторые продукты сертифицированы и на уровень АК3).

Как указано в документах, эти продукты могут использоваться для защиты конфиденциальной информации и персональных данных.

Полученные результаты сертификации позволяют создавать системы защищенного документооборота для органов государственной власти и системы «электронного правительства», построенные на платформе Microsoft.

Сертификаты ФСТЭК

Клиентские операционные системы

Операционные системы «Microsoft Windows 8.1», «Microsoft Windows 8.1 Профессиональная», «Microsoft Windows 8.1 Корпоративная»

Соответствуют требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) — по 5 классу защищенности при условии установки всех актуальных обязательных сертифицированных обновлений безопасности и выполнения указаний по эксплуатации, приведенных в формулярах 501110-001-82487552-2014 03 ФО и 501110-001-82487552-2014 02 ФО.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с «Руководство по настройке системы».
2. Программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

Серверные операционные системы

Программный комплекс «Microsoft Windows Server Standrard 2012 R2»

Соответствуют требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с «Руководство по настройке программного комплекса».
2. Программный комплекс «Microsoft Windows Server 2012 Essentials» должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

Операционная система Microsoft Windows Server 2012 R2 Datacenter

Соответствуют требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с «Руководство по настройке системы».
2. Программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

ФСТЭК предупредила органы власти об опасности использования Windows 7

Регулятор рекомендовал органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС.

В связи с прекращением поддержки Windows 7 производителем Федеральная служба по техническому и экспортному контролю России (ФСТЭК) рекомендовала органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС. ФСТЭК также опубликовала рекомендации по дополнительным мерам защиты информации на время, пока Windows 7 не будет заменена на более новые ОС.

Согласно информационному сообщению ФСТЭК от 20 января 2020 года, в настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления и организаций продолжает использоваться Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная». В частности, это обусловлено наличием большого количества разработанного под Windows 7 специфичного прикладного ПО, применяемого для реализации органами государственной власти и организациями своих полномочий.

По той же причине органы власти и госучреждения продолжают пользоваться Windows Server 2008 R2, расширенная поддержка которой прекратилась 14 января 2020 года (основная поддержка была завершена 13 января 2015 года).

«Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей», — говорится в сообщении ФСТЭК.

Регулятор рекомендовал до 1 июня нынешнего года перейти на поддерживаемые ОС, а до тех пор принять дополнительные меры безопасности. В частности, необходимо установить все актуальные обновления, заблокировать автоматическую установку обновлений, отключить устройства, работающие под управлением устаревших ОС, от интернета и ведомственных компьютеров, обеспечить резервное копирование данных и пр.

«В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930», — сообщила ФСТЭК.

Компания Microsoft прекратила официальную поддержку Windows 7 14 января 2020 года. Поддержка новой версии браузера Microsoft Edge на движке Chromium для Windows 7 будет продолжаться по меньшей мере до июля 2021 года.