совместимость с сертифицированной фстэк операционной системой что это
Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России
Информационное сообщение ФСТЭК России от 20 января 2020 г. N 240/24/250
| 83 КБ | 7663 | |
| 127 КБ | 1910 |
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННЫХ ОПЕРАЦИОННЫХ MICROSOFT WINDOWS 7 И MICROSOFT WINDOWS SERVER 2008 R2 В СВЯЗИ С ПРЕКРАЩЕНИЕМ ИХ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ
от 20 января 2020 г. N 240/24/250
Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.
В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:
операционная система Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» (сертификат соответствия от 4 октября 2011 г. N 2180/1);
операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter (сертификат соответствия от 13 октября 2011 г. N 2181/1);
программный комплекс «Microsoft Windows Server 2008 Standard Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1928/1);
программный комплекс «Microsoft Windows Server 2008» версии Standard Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1928);
программный комплекс «Microsoft Windows Server 2008 Enterprise Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1929/1);
программный комплекс «Microsoft Windows Server 2008» версии Enterprise Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1929);
программный комплекс «Microsoft Windows Server 2008″ версии Datacenter» в редакции 32-бит/64-бит (сертификат соответствия от 29 октября 2009 г. N 1930).
Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.
В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).
Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.
В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.
Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.
Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:
1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.
2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:
установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенные российскими производителями (заявителями);
установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, на внешние носители информации;
регламентировать и обеспечить контроль за применением съемных машинных носителей информации, исключив при этом использование незарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;
проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;
применить дополнительные сертифицированные средства защиты информации, реализующие (дублирующие) функции по безопасности информации операционных систем;
проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.
Сертификация ФСТЭК для чайников
Что такое сертификация ФСТЭК?
Сертификация ФСТЭК – процедура получения документа, подтверждающего, что средство защиты информации соответствует требованиям нормативных и методических документов ФСТЭК России.
Сертификация ФСТЭК для средств защиты информации создана для того, чтобы обеспечить:
Зачем нужна сертификация ФСТЭК?
Сертификация ФСТЭК необходима для строго определенных сфер деятельности и ее необходимость зависит от того, какая именно информация будет обрабатываться в той или иной информационной системе.
Сферы деятельности с обязательной сертификацией средств защиты информации:
Несертифицированный продукт невозможно использовать в тех сферах деятельности, где обязательно использование сертифицированных продуктов.
Использование компанией несертифицированной продукции в сфере деятельности, требующей обязательной сертификации средств защиты информации, может повлечь за собой серьезные последствия: от больших штрафов до уголовной ответственности для руководителей.
Отличия сертифицированных версий от версий общего пользования
Сертифицированные версии решений поставляются с соответствующим сертификатом, формуляром, инструкциями и прочими документами, подтверждающими класс, уровень защищенности информационной системы.
У сертифицированных версий продуктов есть свои особенности:
Когда можно покупать решения общего пользования, а когда нужны сертифицированные?
В пределах одной компании может быть несколько информационных систем. Некоторые из них нуждаются в сертифицированных средствах защиты, а некоторые – нет. Все зависит от характера информации, которая обрабатывается в этих системах. В случае, если данные касаются вышеперечисленных сфер деятельности, сертификация обязательна.
Можно ли устанавливать на сертифицированную операционную систему несертифицированные продукты?
При необходимости можно использовать пакеты, которые не входят в состав дистрибутива, поставляемого вместе с операционной системой. Для этого несертифицированные продукты должны соответствовать следующим требованиям:
Для удобства контроля и обновления сторонние пакеты помещаются в служебный репозиторий.
В том случае, если продукт относится к средствам защиты информации, он должен быть обеспечен соответствующим сертификатом.
Что делать, если изменился характер деятельности компании, а продукты не сертифицированы?
Есть два варианта дальнейшего развития событий:
Требования ФСТЭК могут измениться, насколько это может затронуть компанию-пользователя?
Требования ФСТЭК меняются не единовременно. О любых изменениях предупреждают заранее. Кроме того, после принятия нового документа с требованиями дается около года на то, чтобы подготовить все системы компании к новым реалиям.
Чем может помочь компания Softline?
Автор статьи: руководитель органа по аттестации объектов информатизации Softline Антон Казаков
Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ
Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов. В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.
Сертификат и аттестат ФСТЭК
Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.
Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.
Сертификат ФСТЭК: что это такое и для чего нужен
Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.
В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.
Зачем нужна сертификация ФСТЭК
Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.
Так выглядит сертификат ФСТЭК
Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.
На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».
Кому и зачем нужна аттестация ФСТЭК
Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы. Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.
Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:
Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.
Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.
Так выглядит аттестат ФСТЭК
Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.
У облака VK Cloud Solutions (бывш. MCS) есть аттестат безопасности ФСТЭК. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Совместимость с сертифицированной фстэк операционной системой что это
Защита информационных систем — одна из важнейших задач не только для отрасли информационных технологий, но и для всей экономики общества в целом. Понимая это, корпорация Microsoft стала пионером создания надежных информационных систем и автором концепции комплексного обеспечения информационной безопасности.
Одним из ключевых факторов, обеспечивающих создание защищенных систем на базе продуктов Microsoft в России, является выполнение национальных требований к сертификации программного обеспечения. Продукты Microsoft регулярно проходят сертификацию на соответствие требованиям по информационной безопасности РФ. Microsoft дает возможность государству убедиться в отсутствии «потайных дверей» в продуктах Microsoft. При этом это не означает, что Microsoft предоставляет доступ к данным пользователей. На сегодня сертифицированы уже более 70 продуктов. Наши клиенты, в числе которых и государственные заказчики, могут быть уверены, что их информационные системы защищены согласно российским требованиям.
Использование сертифицированного программного обеспечения и средств защиты информации во многих случаях является обязательным условием для обработки информации ограниченного доступа. В российском законодательстве определено свыше 60 видов информации ограниченного доступа, в том числе государственная тайна, служебная тайна, коммерческая тайна, банковская тайна, и др. Конкретные законодательные требования по защите, установленные для указанных видов информации и информационных систем, могут предусматривать требование по обязательному использованию сертифицированного программного обеспечения и средств защиты информации.
Продукты Microsoft, сертифицированные ФСТЭК, с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Microsoft, поскольку программная реализация продуктов Microsoft позволяет получать соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов, а именно:
Microsoft сертифицирует свои программные продукты со встроенными средствами защиты информации. В России организовано массовое производство всех сертифицированных версий продуктов Microsoft. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация ежемесячно выходящих обновлений к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям регулятора.
Microsoft сертифицирует свои продукты в России с 2003 года. В числе первых продуктов, прошедших сертификацию, были Windows XP, Windows Server 2003, Office 2003 и другие. К весне 2020 года было сертифицировано более 70 продуктов. Microsoft продолжает сертификацию своих продуктов и будет продолжать сертифицировать новые версии своих продуктов и в дальнейшем.
Заказчики, которые хотят использовать сертифицированное программное обеспечение, имеющее действующие сертификаты (*) и продолжающее получать обновления безопасности (**), могут использовать следующие продукты Microsoft:
(*) Перед покупкой сертифицированного продукта проверяйте срок действия сертификата;
(**) Получение некоторых обновлений безопасности может потребовать приобретения пакета расширенной поддержки;
(***) Согласно пункту 15 Приказа ФСТЭК России от 3 апреля 2018 г. № 55, «Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки». Так как заявитель сертифицирует обновления безопасности, выпускаемые в данном случае Microsoft, то технческая поддержка заявителя зависит от срока продолжения выпуска обновлений по безопасности корпорацией Microsoft. Поэтому в данном случае срок эксплуатации сертифицированного продукта зависит от срока окончания выпуска Microsoft обновлений по безопасности.
По всем вопросам, связанным с приобретением сертифицированных продуктов Microsoft через партнеров, обращайтесь к заявителю, ООО «Сертифицированные информационные системы груп», по адресу электронной почты: info@certsys.ru.
Продукты Microsoft, сертифицированные ФСБ, содержат дополнительное программное обеспечение, которое позволяет им удовлетворять требованиям регулятора, — сервисные пакеты, разработанные российскими организациями. Эти сервисные пакеты «Secure Pack Rus» содержат в себе, прежде всего, российскую сертифицированную криптографию, которую Microsoft не производит.
Следующие продукты Microsoft сертифицированы ФСБ:
Сертификаты удостоверяют, что указанные продукты соответствуют требованиям уполномоченных органов России к
Как указано в документах, эти продукты могут использоваться для защиты конфиденциальной информации и персональных данных.
Полученные результаты сертификации позволяют создавать системы защищенного документооборота для органов государственной власти и системы «электронного правительства», построенные на платформе Microsoft.
РЕД ОС. Бессрочная лицензия. Сертифицированная редакция.
*цена указана за лицензию РЕД ОС сертифицированную редакцию для образовательных учреждений. Конфигурация: «Рабочая станция».
Наши специалисты ответят на любой интересующий вопрос
Сертификат ФСТЭК России подтверждает, что РЕД ОС соответствует требованиям информационной безопасности по профилю защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ, утвержденному приказом ФСТЭК России от 19 августа 2016 г. № 119, что допускает применение продукта в государственных информационных системах до первого класса защищенности включительно и информационных системах персональных данных до первого уровня защищенности персональных данных включительно.
Возможные лицензии РЕД ОС сертифицированной редакции:
| Артикул | Наименование | Уровень | Цена |
|---|---|---|---|
| REDOS-DSP-CER | Бессрочная лицензия на неисключительное право использования операционной системы РЕД ОС. Сертифицированная редакция. Конфигурация: «Рабочая станция» | Стандартный, 1 год | от 12 600 ₽ |
| REDOS-SRV-CER | Бессрочная лицензия на неисключительное право использования операционной системы РЕД ОС. Сертифицированная редакция. Конфигурация: «Сервер» | Стандартный, 1 год | от 24 800 ₽ |
| Артикул | Наименование | Уровень | Цена |
|---|---|---|---|
| REDOS-OEM-DSP-CER | Бессрочная лицензия на неисключительное право использования операционной системы РЕД ОС. Сертифицированная редакция. Конфигурация: «Рабочая станция» | Стандартный, 1 год | от 12 700 ₽ |
| REDOS-OEM-SRV-CER | Бессрочная лицензия на неисключительное право использования операционной системы РЕД ОС. Сертифицированная редакция. Конфигурация: «Сервер» | Стандартный, 1 год | от 24 900 ₽ |
| Артикул | Наименование | Уровень | Цена |
|---|---|---|---|
| REDOS-EDU-DSP-CER | Бессрочная лицензия на неисключительное право использования операционной системы РЕД ОС. Сертифицированная редакция. Конфигурация: «Рабочая станция» | Стандартный, 1 год | от 6000 ₽ |
| REDOS-EDU-SRV-CER | Бессрочная лицензия на неисключительное право использования операционной системы РЕД ОС. Сертифицированная редакция. Конфигурация: «Сервер» | Стандартный, 1 год | от 7000 ₽ |
Пользователь РЕД ОС должен иметь минимальные навыки работы с ОС семейства Linux (вне зависимости от архитектуры), опыт работы со стандартными элементами графического интерфейса приложений.
Более подробная информация о использовании РЕД ОС Сертифицированной редакции во вкладке «документы», файл «Руководство пользователя».