Запрет на использование windows 7 фстэк

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННЫХ ОПЕРАЦИОННЫХ MICROSOFT WINDOWS 7 И MICROSOFT WINDOWS SERVER 2008 R2 В СВЯЗИ С ПРЕКРАЩЕНИЕМ ИХ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ

Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.

В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:

операционная система Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» (сертификат соответствия от 4 октября 2011 г. N 2180/1);

операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter (сертификат соответствия от 13 октября 2011 г. N 2181/1);

программный комплекс «Microsoft Windows Server 2008 Standard Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1928/1);

программный комплекс «Microsoft Windows Server 2008» версии Standard Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1928);

программный комплекс «Microsoft Windows Server 2008 Enterprise Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1929/1);

программный комплекс «Microsoft Windows Server 2008» версии Enterprise Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1929);

программный комплекс «Microsoft Windows Server 2008″ версии Datacenter» в редакции 32-бит/64-бит (сертификат соответствия от 29 октября 2009 г. N 1930).

Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.

В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).

Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.

В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.

Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:

1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.

2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:

установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенные российскими производителями (заявителями);

установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, функционирующих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP — систем), средств управления потоками информации);

обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, на внешние носители информации;

регламентировать и обеспечить контроль за применением съемных машинных носителей информации, исключив при этом использование незарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;

проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;

применить дополнительные сертифицированные средства защиты информации, реализующие (дублирующие) функции по безопасности информации операционных систем;

проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);

разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.

Заместитель директора

ФСТЭК России

В.Лютиков

ФСТЭК предупредила органы власти об опасности использования Windows 7

08:47 / 22 января, 2020
2020-01-22T08:47:47+03:00

Регулятор рекомендовал органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС.

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Ввиду прекращения поддержки  и выпуска обновлений в том числе направленных на исправление ошибок и уязвимостей в информационной безопасности с 14 января для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 компанией Microsoft, ФСТЭК РФ подготовило информационное сообщение согласно которому государственным и муниципальным органам рекомендуется отказаться в срок до 1 июня 2020 года от использования данных ОС ввиду высокой вероятности реализации угроз информационной безопасности.

Соответственно, ФСТЭК также приняло решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.

В связи с чем гос. и муниципальным органам власти рекомендуется:

1. Спланировать и произвести мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.
2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации  установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2
3. Установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
4. Провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2
5. При наличии возможности — исключить подключение к сети Интернет и к ведомственным локальным вычислительным сетям средств вычислительной техники, а при ее отсутствии применять в обязательном порядке меры по сегментированию информационных систем и защите периметра
6. Производить периодический мониторинг уязвимостей.

Во вторник ФСТЭК выпустила информационное сообщение о ситуации с Windows 7 и Windows Server 2008 R2, чья поддержка закончилась 14 января 2020 года. Если тезисно, то письмо ФСТЭК содержит следующее:

• Microsoft прекратила поддержку и выпуск обновлений для Windows 7 и Windows Server 2008 R2.
• В ФОИВ, ОГВ, ОМС и других используется много сертифицированных копий данных ОС.
• ФСТЭК выдала 7 сертификатов соответствия на данные ОС.
• Обязательное условие действие сертификатов — установка сертифицированных обновлений.
• Отсутствие обновления может привести к росту угроз использования новых уязвимостей.
• ФСТЭК прекращает действие двух сертификатов (видимо с 20-го января 2020 года) и исключает все семь сертификатов из реестра сертифицированных средств защиты с 1-го июня.
• ФСТЭК рекомендует перейти до 1-го июня 2020 года на сертифицированные и обновляемые ОС.
• До перехода надо выполнять рекомендации ФСТЭК из информационного письма.

Замена на новую ОС имеет смысл только на ОС, у которой срок окончания сертификата заканчивается не в 2020-м и даже не в 2021-м году. Сколько ОС у нас сертифицировано по новым требованиям ФСТЭК к ОС, удовлетворяющих таким требованиям? Мобильную ОС Sailfisf, дистрибутив ФССП и EMIAS мы отбрасываем и получаем в итоге следующий список:

И вот тут у меня закономерный вопрос; даже два. В условиях цикла бюджетирования в госорганах перейти на новую ОС до 1-го июня невозможно. Но это мелочи. Как пишет ФСТЭК — под Windows 7 и Windows Server 2008 R2 написано много разного прикладного софта. Как его до 1-го июня портировать под упомянутые выше форки Linux? Понятно, что это не проблема ФСТЭК и организациям надо было думать раньше, но все-таки проблема существует и как ее решать, непонятно.

Среди рекомендаций ФСТЭК указано, что надо применять дополнительные сертифицированные средства защиты. Но можно ли использовать их как защиту от угроз, которые могут использовать непатченные уязвимости? Ведь обновление нужно не просто так, а потому, что уязвимости могут быть использованы злоумышленниками. Если мы выстроим вокруг непатченной ОС эшелонированную систему предотвращения угроз и на саму ОС поставим средство защиты, то не снимет ли это проблему? Особенно если следовать требованиям тех же приказов ФСТЭК (например, 17-го). Тогда можно и срок перехода продлить до момента портирования приложений на новую ОС.

Но самое интересное кроется в аннулировании сертификатов. Основание для этого вроде бы следует из нормативных документов ФСТЭК — нет обновления, сертификат прекращает свое действие. Но парадокс в том, что Microsoft не прекращала выпуск обновлений, устраняющих уязвимости в Windows 7 и Windows Server 2008 R2. Да, домашним пользователям стоит подумать о смене ОС. Но вот корпоративным пользователям Microsoft предлагает EUS — Extended Security Updates, то есть расширенную поддержку, которая действует до января 2023-го года, в течение которой пользователи будут получать обновления, устраняющие уязвимости.

И вот тут возникает проблема. Если ФОИВ купил EUS, то он все равно использовать Windows 7  уже не сможет, так как ФСТЭК аннулировала своим приказом сертификаты соответствия. И вроде ОС работает, уязвимости устраняются, бюджетные средства потрачены, а пользоваться ОС нельзя, так как для нее больше нет сертификатов. И ладно бы было только информационное сообщение ФСТЭК — обязательным оно не является. Но вот приказ об аннулировании сертификатов так просто не отменишь. По крайней мере я не помню случаев, когда сертификат аннулировался, а потом возвращался «в строй». И как тут быть, непонятно. Не ждать же от ФСТЭК от выпущенных же ими разъяснений и приказов… Хотя это был бы поступок. Сродни признанию Ираном факта уничтожения украинского Боинга.

В связи с прекращением компанией Microsoft поддержки и выпуска обновлений для операционных систем (ОС) Windows 7 и Windows Server 2008 R2, Федеральная служба по техническому и экспортному контролю сообщила о прекращении действия выданных ранее сертификатов на указанные ОС приказом от 20 января 2020 года и исключении их из Государственного реестра сертифицированных средств защиты информации с 1 июля 2020 года. 

ФСТЭК России предупреждает, что отсутствие обновлений, направленных на устранение ошибок и уязвимостей в указанных ОС, может привести к повышенному интересу киберпреступников и реализации угроз безопасности конфиденциальной информации. 

Сообщение содержит ряд рекомендаций для госорганов и компаний, использующих Windows 7 и Windows Server 2008 R2, в том числе переход до 1 июля 2020 года на другие сертифицированные ОС и организацию дополнительных мер защиты информации для минимизации рисков от возможных кибератак: 

• Установить последние доступные обновления и запретить автоматическое обновление ОС. 

• Провести настройку и повысить контроль механизмов защиты ОС в соответствии с рекомендациями производителя. 

• По возможности отключить от Интернет и корпоративных сетей компьютерную технику под управлением несертифицированных ОС. При невозможности отключения — сегментировать информационные системы (ИС) и принять дополнительные меры по защите периметра и выделенных сегментов средствами обнаружения вторжений, межсетевых экранов, антивирусной защиты,  DLP и др. 

• Регулярно делать резервные копии  и обеспечить контроль за сменными носителями, исключить использование незарегистрированных и не проверенных антивирусами носителей информации.  

• Дублировать функции средств защиты ОС.

• Регулярно проводить анализ уязвимостей сегментов ИС и проверку целостности установленных ОС. 

• Мониторить сообщения о выявленных уязвимостях в ОС и применять меры по их устранению, исключать возможность успешной эксплуатации уязвимостей, разработать и внедрить соответствующие регламенты для должностных лиц. 

Эксперты группы компаний Angara консультируют по вопросам обеспечения дополнительных мер защиты систем под управлением Windows 7 и Windows Server 2008 R2 по телефону (495) 269-26-06 или e-mail info@angaratech.ru.

Понравилась статья?

Подпишитесь на уведомления о новых материалах

Microsoft с 14 января 2020 г. прекратила поддержку операционной системы Windows 7. В связи с этим ФСТЭК России прекращает действие сертификатов соответствия для Windows 7 и Windows Server 2008 R2. Обносить свою систему без нарушения сертификата безопасности вы можете до 1 июня 2020 года.

В качестве замены Windows 7 вы можете установить Windows 8.1 Professional for Embedded Systems и Windows Server 2012 R2 for Embedded Systems (Standard и Datacenter). Данная операционная система имеет необходимые сертификаты Соответствия ФСТЭК и имеет поддержку до 10.01.2023.

Выдержка из сообщения ФСТЭК от 20 января 2020 г. № 240/24/250:

В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. № 55, приказом ФСТЭК России от 20 января 2020 г. № 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. № 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. № 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Государственным и коммерческим компаниям, которые используют сертифицированные ФСТЭК операционные системы, рекомендуется:

• До 1 июня 2020 г осуществить переход на поддерживаемые производителем сертифицированные по требованиям безопасности операционные системы.
• До перехода на поддерживаемые и сертифицированные ОС принять меры по обеспечению безопасности информации.

Ознакомится с сообщением ФСТЭК России и рекомендациями вы можете по этой ссылке.

Если у вас остались вопросы или вы хотите приобрести сертифицированные ФСТЭК Windows, то пишите на нашу почту mse@quarta.ru.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.

Популярные сообщения из этого блога

Российские банки рискуют столкнуться с серьёзными проблемами из-за прекращения поддержки операционных систем Windows 7 и Windows Server 2008. На сегодня не все организации перевели свои компьютеры на Windows 10, а работа на старых операционных системах, оставшихся без поддержки производителя, является нарушением и грозит банкам предписаниями от ЦБ.

Как пишет газета «Коммерсантъ», работа без техподдержки идёт вразрез с требованиями нормативных актов Федеральной службы по техническому и экспортному контролю (ФСТЭК). Положение ФСТЭК №55 гласит, что действие сертификата на ПО прекращается, когда производитель перестаёт обеспечивать поддержку системы, а в соответствии с положением ЦБ №382-П банки имеют право использовать только сертифицированное ПО.

Кроме того, указывает издание со ссылкой на архитектора технологического центра Microsoft в России Ивана Будылина, использование операционной системы без установки обновлений безопасности может привести к потере важных данных. Тем не менее, банки пока не готовы отказаться от Windows 7. Некоторые из них подписали соглашение с Microsoft о дополнительной поддержке «семёрки» на платной основе, однако, как пояснил Иван Будылин, такая форма поддержки не является полноценной альтернативой обновлению операционной системы, это только временная мера.

Кроме того, Microsoft планирует до 10 января 2023 года обеспечивать поддержку Windows 7 для участников программы расширенных обновлений безопасности (Extended Security Updates program, ESU). В программе участвуют предприятия малого и среднего бизнеса, которые приобрели расширенные обновления безопасности и дополнительную техническую поддержку в Microsoft в рамках программ корпоративного лицензирования. Такая поддержка стоит компаниям от $25 до $200 за одну рабочую станцию в год. Эта программа распространяется и на Windows Server 2008 и Windows Server 2008 R2.

Как пишет «Коммерсантъ», по данным управляющего партнера экспертной группы Veta Ильи Жарского, на сегодня в банковской отрасли Windows 7 установлено примерно 1,3 млн компьютеров. Для обновления этого парка с установкой операционной системы Windows 10 могут потребоваться десятки миллиардов рублей.

В 2015 году Microsoft прекратила поддержку Windows Server 2003. Тогда ФСТЭК продлила предприятиям ранее выданные сертификаты до августа 2017 года, что позволило участникам рынка обновить ПО постепенно.

«На сегодняшний день такого письма нет, и остается надеяться, что в ближайшее время оно появится и снимет часть вопросов», — приводит «Коммерсантъ» мнение Алексея Лукацкого, бизнес-консультанта по безопасности Cisco.

Microsoft прекратила поддержку операционной системы Windows 7 с 14 января. После прекращения поддержки этой ОС компьютеры не перестанут работать, но без обновлений устройствам со старой системой угрожают вирусы и вредоносные программы. Чтобы избежать таких рисков, Microsoft предлагает обновить компьютеры до Windows 10, если компьютеру меньше трех лет, либо приобрести новые устройства. Стоимость обновления составит $199. До 29 июля 2016 года обновить систему можно было бесплатно.

Тем временем, во вторник Microsoft выпустила первые в 2020 году плановые обновления безопасности. Всего было исправлено 49 уязвимостей, включая восемь критических. В обновления также был включен патч для серьёзной уязвимости в CryptoAPI, о которой накануне сообщил портал KrebsOnSecurity. Уязвимость CVE-2020-0601 обнаружили специалисты Агентства национальной безопасности США. Как отметили в агентстве, ранее АНБ не сообщало производителям ПО о найденных в их продуктах уязвимостях, предпочитая использовать обнаруженные «дыры» в своих целях. CVE-2020-0601 оказалась первой уязвимостью, о которой агентство сообщило Microsoft. Как подчеркнула руководитель управления кибербезопасности АНБ Анна Нойбергер, отныне агентство будет сообщать о найденных проблемах.

Уязвимость CVE-2020-0601 затрагивала Windows 10, Windows Server 2019 и Windows Server 2016. Ни в Microsoft, ни в АНБ неизвестно о реальных случаях её использования.

14 января 2020 года Microsoft прекратила поддержку операционной системы Windows 7, в связи с этим ФСТЭК России рекомендует органам власти перейти на поддерживаемые системы до 1 июня 2020 года. Так же регулятором опубликованы рекомендации по дополнительным мерам защиты информации на время, пока Windows 7 не будет заменена на более новые ОС.

По опубликованной на сайте ФСТЭК информации, настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2. Это связано с большим количеством специфического программного обеспечения, разработанного для реализации органами государственной власти и организациями своих полномочий.

«Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей», — говорится в сообщении ФСТЭК.

До 1 июня 2020 года рекомендуется выполнить переход на поддерживаемые разработчиком операционные системы, а до тех пор выполнить ряд мер, направленных на повышение безопасности. Необходимо установить все актуальные обновления, заблокировать автоматическую установку обновлений, отключить устройства, работающие под управлением устаревших ОС, от интернета и ведомственных компьютеров, обеспечить резервное копирование данных.

Компания Microsoft прекратила официальную поддержку Windows 7 14 января 2020 года. Поддержка новой версии браузера Microsoft Edge на движке Chromium для Windows 7 будет продолжаться по меньшей мере до июля 2021 года.