Информационное сообщение ФСТЭК России от 07.04.2014 № 240/24/1208 "О применении сертифицированной по требованиям безопасности информации операционной системы Windows XP в условиях прекращения ее поддержки разработчиком"

По информации, полученной от ООО «Майкрософт Рус», компанией Microsoft (США) с 8 апреля 2014 г. прекращается поддержка и выпуск обновлений операционной системы Windows XP, в том числе направленных на устранение ошибок и уязвимостей в указанной операционной системе.

В настоящее время в системе сертификации ФСТЭК России сертифицированы по требованиям безопасности информации следующие версии операционной системы Windows XP:
Microsoft Windows XP Professional (SP2) (сертификат соответствия № 844/2 от 3 декабря 2004 г., срок действия - до 3 декабря 2016 г.);
Microsoft Windows XP Professional Service Pack 3 (сертификат соответствия № 844/3 от 3 декабря 2008 г., срок действия - до 3 декабря 2014 г.);
Microsoft Windows XP Service Pack 2 (OEM CD Kraftway) (сертификат соответствия № 1019/2 от 5 августа 2008 г., срок действия - до 5 августа 2014 г.);
Microsoft Windows XP Professional OEM ver. (SP2) (сертификат соответствия № 1636 от 4 июля 2008 г., срок действия - до 4 июля 2014 г.).

При этом в соответствии с эксплуатационной документацией на указанные сертифицированные версии операционной системы Windows XP обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Windows XP, выпущенных разработчиком (компанией Microsoft) и предоставляемых российскими производителями операционной системы (заявителями).

В настоящее время значительная часть сертифицированных версий операционной системы Windows XP продолжает применяться для защиты информации конфиденциального характера (в том числе персональных данных) в информационных системах федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций (далее - органы государственной власти и организации). Это обусловлено, в том числе, наличием большого количества разработанного под Windows XP специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.

Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционной системы Windows XP в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционной системе Windows XP со стороны отдельных категорий нарушителей.

В целях поэтапного перехода органами государственной власти и организациями на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями, ФСТЭК России планируется продление до декабря 2016 г. (переходный период) сроков действия выданных ранее сертификатов соответствия на операционную систему Windows XP с учетом включения в эксплуатационную документацию ограничений на дальнейшее применение изделий в условиях прекращения выпуска обновлений и возможности реализации угроз безопасности информации.

Аттестация по требованиям защиты информации информационных систем, работающих под управлением операционной системы Windows XP, должна проводиться с учетом ограничений на дальнейшее применение сертифицированных изделий, а также с учетом дополнительных угроз безопасности информации, связанных с окончанием обновления операционной системы Windows XP, и реализации дополнительных мер защиты информации, направленных на блокирование данных угроз. Для информационных систем, работающих под управлением операционной системы Windows XP, аттестованных до 8 апреля 2014 г., повторная аттестация не требуется. Оценка реализованных дополнительных мер защиты информации осуществляется путем проведения дополнительных аттестационных испытаний в рамках действующих аттестатов соответствия.

Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционной системы Windows XP, рекомендуется:

1. Спланировать мероприятия по переводу до декабря 2016 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.

2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:
установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционной системы Windows XP, выпущенные российскими производителями (заявителями);
установить запрет на автоматическое обновление сертифицированных версий операционной системы Windows XP;
провести настройку и обеспечивать периодический контроль механизмов защиты сертифицированных версий операционной системы Windows XP в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционной системы Windows XP;
по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционной системы Windows XP;
при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, работающих под управлением операционной системы Windows XP, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP - систем), средств управления потоками информации);
обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционной системы Windows XP, на внешние носители информации;
регламентировать и обеспечивать контроль за применением съемных машинных носителей информации, исключив при этом использование не зарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;
проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционной системы Windows XP, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;
проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционной системе Windows XP и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционной системе Windows XP или возникновения инцидентов информационной безопасности, связанных с ее применением.

Заместитель директора
ФСТЭК России
А.Куц