22.01.2020

Долгожданное письмо ФСТЭК про Windows 7

Во вторник ФСТЭК выпустила информационное сообщение о ситуации с Windows 7 и Windows Server 2008 R2, чья поддержка закончилась 14 января 2020 года. Если тезисно, то письмо ФСТЭК содержит следующее:

  • Microsoft прекратила поддержку и выпуск обновлений для Windows 7 и Windows Server 2008 R2.
  • В ФОИВ, ОГВ, ОМС и других используется много сертифицированных копий данных ОС.
  • ФСТЭК выдала 7 сертификатов соответствия на данные ОС.
  • Обязательное условие действие сертификатов - установка сертифицированных обновлений.
  • Отсутствие обновления может привести к росту угроз использования новых уязвимостей.
  • ФСТЭК прекращает действие двух сертификатов (видимо с 20-го января 2020 года) и исключает все семь сертификатов из реестра сертифицированных средств защиты с 1-го июня.
  • ФСТЭК рекомендует перейти до 1-го июня 2020 года на сертифицированные и обновляемые ОС.
  • До перехода надо выполнять рекомендации ФСТЭК из информационного письма.

Замена на новую ОС имеет смысл только на ОС, у которой срок окончания сертификата заканчивается не в 2020-м и даже не в 2021-м году. Сколько ОС у нас сертифицировано по новым требованиям ФСТЭК к ОС, удовлетворяющих таким требованиям? Мобильную ОС Sailfisf, дистрибутив ФССП и EMIAS мы отбрасываем и получаем в итоге следующий список:
  • РЕД ОС
  • РОСА КОБАЛЬТ
  • SUSE Linux Enterprise Server 12 SP3
  • Альт 8 СП.
И вот тут у меня закономерный вопрос; даже два. В условиях цикла бюджетирования в госорганах перейти на новую ОС до 1-го июня невозможно. Но это мелочи. Как пишет ФСТЭК - под Windows 7 и Windows Server 2008 R2 написано много разного прикладного софта. Как его до 1-го июня портировать под упомянутые выше форки Linux? Понятно, что это не проблема ФСТЭК и организациям надо было думать раньше, но все-таки проблема существует и как ее решать, непонятно.
 
Среди рекомендаций ФСТЭК указано, что надо применять дополнительные сертифицированные средства защиты. Но можно ли использовать их как защиту от угроз, которые могут использовать непатченные уязвимости? Ведь обновление нужно не просто так, а потому, что уязвимости могут быть использованы злоумышленниками. Если мы выстроим вокруг непатченной ОС эшелонированную систему предотвращения угроз и на саму ОС поставим средство защиты, то не снимет ли это проблему? Особенно если следовать требованиям тех же приказов ФСТЭК (например, 17-го). Тогда можно и срок перехода продлить до момента портирования приложений на новую ОС.

Но самое интересное кроется в аннулировании сертификатов. Основание для этого вроде бы следует из нормативных документов ФСТЭК - нет обновления, сертификат прекращает свое действие. Но парадокс в том, что Microsoft не прекращала выпуск обновлений, устраняющих уязвимости в Windows 7 и Windows Server 2008 R2. Да, домашним пользователям стоит подумать о смене ОС. Но вот корпоративным пользователям Microsoft предлагает EUS - Extended Security Updates, то есть расширенную поддержку, которая действует до января 2023-го года, в течение которой пользователи будут получать обновления, устраняющие уязвимости.

И вот тут возникает проблема. Если ФОИВ купил EUS, то он все равно использовать Windows 7  уже не сможет, так как ФСТЭК аннулировала своим приказом сертификаты соответствия. И вроде ОС работает, уязвимости устраняются, бюджетные средства потрачены, а пользоваться ОС нельзя, так как для нее больше нет сертификатов. И ладно бы было только информационное сообщение ФСТЭК - обязательным оно не является. Но вот приказ об аннулировании сертификатов так просто не отменишь. По крайней мере я не помню случаев, когда сертификат аннулировался, а потом возвращался "в строй". И как тут быть, непонятно. Не ждать же от ФСТЭК от выпущенных же ими разъяснений и приказов... Хотя это был бы поступок. Сродни признанию Ираном факта уничтожения украинского Боинга.

25 коммент.:

Unknown комментирует...

Astra Linux SE 1.6 имеет сертификат по новым требованиям

Алексей Лукацкий комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Так там сертификат по 21-й год

Unknown комментирует...

Имеет, но класс защищенности явно избыточный. Кроме того, в связи с введением новых ТД и математической верификации модели безопасности увидим очередной цирк. Когда линукс с его дискреционкой + мандаткой (самописной) получит сертификат регулятора или по первому или по второму классу. Я правильно понимаю, что для Астра линукс будет верифицирован как минимум: монитор обращений в ядре (там примерно 40-50 файлов исходного кода, содержащие нужные функции), функции аудита и управления временем в ядре, весь netfilter, и около сотни системных вызовов, релевантных безопасности?

Валерий Коржов комментирует...

Алексей, сравни с https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/823-informationnoe-soobshenie-fstek-rossii5 в частности по срокам сертификатов...

Алексей Лукацкий комментирует...

Модель верификации - это вообще отдельная тема...

Алексей Лукацкий комментирует...

Валерий: Сравнил. И?

Андрей Поцелуев комментирует...

Ну, справедливости ради, о том, что поддержка прекращается было известно давно. О том, что ФСТЭК крайне негативно относится к использованию ПО без поддержки тоже. Рискну предположить, что если поставить дату не 01.06.2020, а 01.06.2020, то 31 мая 2021 будет... плач Ярославны на тему "да у нас бюджеты, да как так можно, да у нас 100500 АРМ, как мы до завтрашнего утра успеем..." и подобное.
Что касается платных обновлений. Тут интересно, на самом деле. Как соотносится платная подписка на обновления и обновление сертифицированной ОС, которая обновляться должна из своего источника. MS будет передавать платные апдейты этому источнику?

Алексей Лукацкий комментирует...

Так поддержка-то есть. Какая разница, платная она или нет? Она почти всегда платная - просто может быть включена в стоимость продукта или продаваться отдельно. А заявитель обычно всегда работает в паре с вендором.

Андрей Поцелуев комментирует...

Я сейчас про то, а готов-ли вендор отдать поддержку заявителю? Как вендор потом проконтролирует, что поддержка досталась только тем, кто купил у него, а не всем сертифицированным? Вообще, можно просто этот вопрос уточнить. :-) Если заявитель не стал заморачиваться и поддержку свернул, то ФСТЭК прав. Наличие поддержки от вендора в этом случае ничего не решает.
P.S. Я вот слабо верю в то, что ГИСы массово закупили платный саппорт от MS до 2023 года. Скорее всего, бюджетов на это тоже не нашлось.

Алексей Лукацкий комментирует...

Поддержку не отдают - отдают обновления.

И крупные госы очень активно покупают поддержку от крупных ИТ-компаний

Валерий Коржов комментирует...

Там сертификат кончался раньше, а его приказом продлили на 2 года. А сейчас, наоборот - сертификат отзывается сразу, а через пол года сведения о них удаляются из реестра. Перестройка и ускорение!

Андрей Поцелуев комментирует...

Я все-таки не понимаю логики. Есть сертифицированный Win 7 (ну или был). Есть заявитель, который обеспечивает получение обновлений для сертифицированных версий. ФСТЭК, когда смотрит, поддерживается/не поддерживается оперирует исключительно теми данными, которые им предоставляет заявитель. Если заявитель не захотел/не договорился с вендором о продлении получения обновлений и не уведомил ФСТЭК о том, что до 23 года будет обновляться, то почему ФСТЭК не должен был аннулировать сертификат? Какое дело ФСТЭК до того, что где-то, кто-то получает обновления за деньги, если источник обновлений для сертифицированных версий сдох? Какие должны были быть их действия? Оставить в силе сертификат "частично", для тех кто купил подписку на обновления и разрешить им обновляться непосредственно с серверов MS? Ну так себе...

Александр Германович комментирует...

Окончание сертификата на Windows не запрещает применять его в качестве ОС. В качестве сертифицированного СЗИ нельзя, а в качестве ОС никто не запрещает да и не может запретить.
К тому же госы крайне редко используют Windows как СЗИ, чаще используются наложенные СЗИ. Так что проблема во многом надумана.

Unknown комментирует...

Алексей, полностью согласен. Написал к тому, что согласно, например, методологии CC Evaluation по ISO 15408/18045 ни одна ОС Linux не получает EAL выше, чем 4+. Ибо и у них дальше начинаются вопросы, связанные с формальной верификацией модели безопасности. Как всем известно, Торвальдс и другие разработчики ядра и системного окружения архитектурой безопасности заморачивались, мягко говоря, не сильно. И там не микроядро. Отсюда у CCRA есть четкая позиция, что линукс не может получить выше, чем EAL 4+. И это методологически обоснованно, по крайней мере. Ну а у нас - гляди-ка, волшебным образом есть линукс и под обработку ГТ. И когда напоминают про сертификат Астра линукс - я возбуждаюсь. Ибо такой вот когнитивный диссонанс у меня лично в голове не умещается. Конечно, я знаю про ИСПРАн и все такое, но для меня это - тем более причина возбуждаться. Жаль, что я никогда не увижу формальную верификацию у Астры, ибо не опубликуют. А то что есть по мандатке - не достаточно, ибо где в таком случае верифицированная дискретка, аудит, метки времени, netfilter и ворох сисколов?

Saches комментирует...

Я бы еще добавил, что есть действующий до 24 года сертификат ФСБ на Windows 7 + SecurePack.
Наверное не на пустом месте принимали решение о выдаче сертификата до 24 года?
В общем, решение ФСТЭК не понятно...

Алексей Лукацкий комментирует...

Ну требования ФСБ к средствам защиты распространяются только на 7 органов высшей государственной власти - большинству они неактуальны

Василий комментирует...

Я надеюсь, это не у ФСТЭКа очепятка: "Sailfisf"

М комментирует...

В данном информационном сообщении идёт речь только о сертифицированных дистрибутивах MICROSOFT WINDOWS 7 и MICROSOFT WINDOWS SERVER 2008/R2 (далее - ПО).

Нужно немного пояснить о них — на территории РФ данное сертифицированное ПО предоставляет не компания Майкрософт, а две российские компании: ООО «Сертифицированные информационные системы груп» ("СИС груп") и Федеральное государственное унитарное предприятие «Предприятие по поставкам продукции Управления делами Президента Российской Федерации» (ФГУП "ППП"). Именно два этих предприятия координируют выпуск обновлений сертифицированного ПО и его техническую поддержку. В 2019 году данные компании уведомили ФСТЭК России о том, что поддержка и выпуск сертифицированных обновлений после 14-го января 2020 года будут прекращены.
В соответствии с этим и с условиями эксплуатационной документации на сертифицированное ПО, действие сертификатов на данное ПО (№№ 2180/1, 2181/1) завершено (приказ ФСТЭК России от 20 января 2020 г. № 9).

Принимая во внимание, что в соответствии с п. 3 «предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации» и п.6 «постоянный контроль за обеспечением уровня защищенности информации» части 4 статьи 16 «Защита информации» Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" соблюдение требований о защите государственной информационной системы (ГИС) и компонентов информационно-телекоммуникационной инфраструктуры (ИТКИ) возложено на её владельца (оператора), Минкомсвязь провело информирование государственных органов о данных фактах.

Алексей Лукацкий комментирует...

Вот это важное дополнение насчет уведомления СИС и ППП. Ее бы в информационное письмо вставить и выпустить его сразу после получения уведомления, чтобы не было таких разночтений.

Павел Митрофанов комментирует...

А почему не перейти на Windows 8.1? Она вроде как и в реестре ФСТЭКа есть, сертификат действительный и техподдержка до 23 года...

М комментирует...

Уведомление от СИС и ППП косвенно следовало из абзаца 6 и 7 листа 2, но согласен это было не в полной мере понятно.
Письмо могло быть частью рабочей переписки и/или иметь грифы "для служебного пользования".

Да, Минкомсвязь отмечаем необходимость соблюдения требований о защите информации государственных информационных систем и компонентов информационно-телекоммуникационной инфраструктуры. С ОС имеющими сертификацию можно ознакомиться на сайте ФСТЭК :
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00 .
И с система имеющими действующий сертификат : №3263 "Windows 8.1" и №3366 "операционная система Microsoft Windows Server Standard 2012 R2" и т.д.

Алексей Лукацкий комментирует...

Павел: у нее сертификат скоро заканчивается

М: ну вы же написали про завершение поддержки сертифицированных обновлений :-) Поэтому врядли это ДСП и что про этот факт нельзя было написать в письме. Я просто сравниваю ответ "австралийской ФСТЭК" - https://www.cyber.gov.au/publications/end-of-support-for-microsoft-windows-7 - и ответ нашего регулятора сильно проигрывает :-(

Unknown комментирует...

Как эту инструкцию применить? На сегодня по факту для совместимости с ГИСами только переход с Windows 7 на Windows 8.1 может состояться в обозначенные сроки - до июня 2020-го. Поддержка Windows 8.1 есть до января 2023-го, а сертификат ФСТЭК действует до ноября 2020-го. ФСТЭК вероятно в своём информационном письме "забыл" сообщить, будет ли продлён сертификат ФСТЭК на Windows 8.1. Это было бы очень важной информацией на данный момент.

Алексей Лукацкий комментирует...

Согласно последним правилам ФСТЭК, сертификат для заказчика действует бессрочно, если заявитель устраняет уязвимости в сертифицированном ПО. Так что, в принципе все не так страшно по идее