Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.
В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:
операционная система Microsoft Windows 7 (SP1) в редакциях "Профессиональная", "Корпоративная" и "Максимальная" (сертификат соответствия от 4 октября 2011 г. N 2180/1);
операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter (сертификат соответствия от 13 октября 2011 г. N 2181/1);
программный комплекс "Microsoft Windows Server 2008 Standard Edition Service Pack 2" (сертификат соответствия от 14 мая 2010 г. N 1928/1);
программный комплекс "Microsoft Windows Server 2008" версии Standard Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1928);
программный комплекс "Microsoft Windows Server 2008 Enterprise Edition Service Pack 2" (сертификат соответствия от 14 мая 2010 г. N 1929/1);
программный комплекс "Microsoft Windows Server 2008" версии Enterprise Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1929);
программный комплекс "Microsoft Windows Server 2008" версии Datacenter" в редакции 32-бит/64-бит (сертификат соответствия от 29 октября 2009 г. N 1930).
Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.
В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).
Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.
В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях "Профессиональная", "Корпоративная" и "Максимальная" и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.
Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.
Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:
1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.
2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:
установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенные российскими производителями (заявителями);
установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, функционирующих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP - систем), средств управления потоками информации);
обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, на внешние носители информации;
регламентировать и обеспечить контроль за применением съемных машинных носителей информации, исключив при этом использование незарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;
проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;
применить дополнительные сертифицированные средства защиты информации, реализующие (дублирующие) функции по безопасности информации операционных систем;
проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.