Информационное сообщение фстэк россии

Обновлено: 02.07.2024

Пунктом 2 Порядка разработки дополнительных профессиональных программ установлено, что данный Порядок является обязательным для организаций дополнительного профессионального образования, образовательных организаций высшего образования, профессиональных образовательных организаций, организаций, осуществляющих обучение (научные организации или иные юридические лица).

Принятие решения о направлении в ФСТЭК России на рассмотрение и согласование проектов программ повышения квалификации специалистов, работающих в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия иностранным техническим разведкам и технической защиты информации (далее - ОБИ в КСИИ, ПД ИТР и ТЗИ), остается за образовательной организацией.

При этом необходимо учитывать, что ФСТЭК России принимает к рассмотрению и согласованию только проекты программ профессиональной переподготовки и повышения квалификации (далее - проекты программ), относящиеся к области ОБИ в КСИИ, ПД ИТР и ТЗИ.

Проект программы направляется образовательной организацией с сопроводительным письмом в соответствующее Управление ФСТЭК России по федеральному округу (далее - Управление).

Управление в течение 10 дней со дня поступления документов осуществляет подготовку заключения на предмет соответствия проекта программы структуре программы, установленной пунктом 8 Порядка разработки дополнительных профессиональных программ.

Рассмотрение содержательной части проекта программы осуществляет подведомственное ФСТЭК России ФАУ "ГНИИИ ПТЗИ ФСТЭК России", г. Воронеж (далее - Институт) в течение 15 дней со дня поступления в Институт от Управления проекта программы и заключения.

Рассмотрение Институтом проекта программы осуществляется с учетом профессиональных стандартов в области информационной безопасности, квалификационных требований к специалистам, работающим в области ОБИ в КСИИ, ПД ИТР и ТЗИ, требований соответствующих федеральных государственных образовательных стандартов среднего профессионального и высшего образования к результатам освоения образовательных программ, а также с учетом примерных программ дополнительного профессионального образования, разработанных и утвержденных ФСТЭК России.

ФСТЭК России согласовывает проект программы в случае его положительного рассмотрения Институтом.

Направление в образовательные организации согласованных ФСТЭК России проектов программ осуществляется соответствующим Управлением, после получения документов от ФСТЭК России.

При наличии в проекте программы замечаний Институт организует взаимодействие с образовательной организацией - разработчиком проекта программы с целью устранения имеющихся замечаний в течение 30 дней.

В случае неустранения образовательной организацией - разработчиком проекта программы замечаний в указанные сроки проект программы Институтом возвращается образовательной организации без согласования с приложением заключения Института на проект программы.

Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.

В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:

операционная система Microsoft Windows 7 (SP1) в редакциях "Профессиональная", "Корпоративная" и "Максимальная" (сертификат соответствия от 4 октября 2011 г. N 2180/1);

операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter (сертификат соответствия от 13 октября 2011 г. N 2181/1);

программный комплекс "Microsoft Windows Server 2008 Standard Edition Service Pack 2" (сертификат соответствия от 14 мая 2010 г. N 1928/1);

программный комплекс "Microsoft Windows Server 2008" версии Standard Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1928);

программный комплекс "Microsoft Windows Server 2008 Enterprise Edition Service Pack 2" (сертификат соответствия от 14 мая 2010 г. N 1929/1);

программный комплекс "Microsoft Windows Server 2008" версии Enterprise Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1929);

программный комплекс "Microsoft Windows Server 2008" версии Datacenter" в редакции 32-бит/64-бит (сертификат соответствия от 29 октября 2009 г. N 1930).

Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.

В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).

Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.

В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях "Профессиональная", "Корпоративная" и "Максимальная" и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.

Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:

1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.

2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:

установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенные российскими производителями (заявителями);

установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;

при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, функционирующих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP - систем), средств управления потоками информации);

обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, на внешние носители информации;

проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;

применить дополнительные сертифицированные средства защиты информации, реализующие (дублирующие) функции по безопасности информации операционных систем;

проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);

разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.

О выявлении и устранении уязвимостей компонента JNDI (Java Naming and Directory Interface) библиотеки Apache Log4j

О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. N 55

Ежегодный план инспекционного контроля на 2022 год

Аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий

Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну

Приказ ФСТЭК России от 5 августа 2021 г. N 121

О порядке маркирования сертифицированных средств защиты информации в системе сертификации ФСТЭК России

Об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах

Об утверждении порядка аттестации объектов информатизации и особенностях его реализации

Об утверждении Методики оценки угроз безопасности информации

Об утверждении Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении

Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий

Ежегодный план инспекционного контроля на 2021 год

Аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий

По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий

О разработке методического документа ФСТЭК России "Методика определения угроз безопасности информации в информационных системах"

О переносе сроков проведения инспекционного контроля испытательных лабораторий и органов по сертификации и продлении сроков действия аттестатов аккредитации органов по аттестации

Письмо ФСТЭК России от 20 марта 2020 г. N 240/84/389

Рекомендации по обеспечению безопасности объектов критической информационной инфраструктуры при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры

О применении сертифицированных операционных Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в связи с прекращением их технической поддержки

О подготовке и проведении XXV Международного Форума "Технологии безопасности"

О проведении конференции V SOC-Форум "Практика противодействия компьютерным атакам и построения центров мониторинга информационной безопасности"

О порядке предоставления Перечня средств измерений, испытательного оборудования, программных (программно-аппаратных) средств и Перечня нормативных правовых актов, методических документов и национальных стандартов, необходимых для выполнения работ по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну

О Требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий

Об утверждении Перечня нормативных правовых актов, методических документов и национальных стандартов, необходимых для выполнения работ по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну

Ежегодный план инспекционного контроля на 2019 год

Аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий

Конференция, посвященная вопросам создания и эксплуатации центров мониторинга и реагирования на компьютерные инциденты - IV SOC-Форум "Практика противодействия компьютерным атакам и построения центров мониторинга информационной безопасности"

О прекращении действия Положения о сертификации средств защиты информации по требованиям безопасности информации с 1 августа 2018 г.

О методических документах по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации

План по реализации Концепции открытости федеральных органов исполнительной власти на 2018 год

Об уязвимостях центральных процессоров

Об аннулировании действия сертификатов соответствия от 4 апреля 2012 г. N 2609 на операционную систему PAN-OS 4.0 для МЭ серии РА-4000, от 4 апреля 2012 г. N 2610 на операционную систему PAN-OS 4.0 для МЭ серии РА-5000, от 28 апреля 2012 г. N 2632 на операционную систему PAN-OS 4.0 для МЭ серии РА-500 и от 28 апреля 2012 г. N 2633 на операционную систему PAN-OS 4.0 для МЭ серии РА-2000

Об уязвимости микропрограммного обеспечения Intel Management Engine

По вопросу продления сроков действия сертификатов соответствия на средства защиты информации от утечки по техническим каналам, эксплуатируемые на объектах информатизации

Ежегодный план инспекционного контроля аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий на 2018 год

О порядке рассмотрения и согласования моделей угроз безопасности информации и технических заданий на создание государственных информационных систем

По вопросу продления сроков действия сертификатов соответствия на средства активной защиты информации от утечки за счет побочных электромагнитных излучений и наводок, и средства активной акустической и вибрационной защиты акустической речевой информации, эксплуатируемые на объектах информатизации

Об утверждении методических документов, содержащих профили защиты операционных систем

По вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации

План по реализации Концепции открытости федеральных органов исполнительной власти на 2017 год

По вопросу продления сроков действия сертификатов соответствия на средства защиты информации от утечки по техническим каналам

О порядке предоставления Перечня нормативных правовых актов, методических документов и национальных стандартов, необходимых для выполнения работ по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну

По вопросу продления сроков действия сертификатов соответствия на средства защиты информации Secret Net 6 и Secret Net 6 (вариант К)

Об утверждении Требований безопасности информации к операционным системам

о подготовке и проведении XIII Международной выставки InfoSecurity Russia/ITsec by Groteck

Об утверждении методических документов, содержащих профили защиты межсетевых экранов

о подготовке и проведении XXII Международного Форума "Технологии безопасности"

О применении сертифицированных по требованиям безопасности информации средств антивирусной защиты "Антивирус Касперского 6.0 для WindowsServers" и "Антивирус Касперского 6.0 для WindowsWorkstation" в условиях прекращения их поддержки разработчиком

Об уязвимостях в сертифицированных средствах защиты информации Dallas Lock 8.0

Об утверждении Требований к межсетевым экранам

Об уязвимостях в сертифицированных средствах защиты информации Secret Net и мерах по их нейтрализации

О порядке предоставления выписок из Перечня правовых, нормативных и методических документов, необходимых для выполнения работ в соответствующей области аккредитации и Примерного перечня измерительных приборов, испытательного оборудования, программных (программно-аппаратных) средств, необходимых для выполнения работ в соответствующей области аккредитации

По вопросу продления сроков действия сертификатов соответствия на средства активной защиты информации от утечки за счет побочных электромагнитных излучений и наводок и средства активной акустической и вибрационной защиты акустической речевой информации, эксплуатируемые на объектах информатизации

О применении сертифицированных по требованиям безопасности информации операционных систем Windows Server 2003 и Windows Server 2003 R2 в условиях прекращения их поддержки разработчиком

Об утверждении Требований к средствам контроля съемных машинных носителей информации

По вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры в связи с изданием приказа ФСТЭК России от 14 марта 2014 г. N 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды"

О некоторых вопросах переоформления лицензий на право проведения работ, связанных с созданием средств защиты информации, осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия иностранным техническим разведкам и (или) технической защиты информации)

О некоторых вопросах предоставления лицензий на проведение работ, связанных с созданием средств защиты информации, осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации и (или) противодействия иностранным техническим разведкам)

О типичных ошибках, допускаемых соискателями лицензий при подготовке и представлении документов для получения лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации

О применении сертифицированной по требованиям безопасности информации операционной системы Windows XP в условиях прекращения ее поддержки разработчиком

Информационное письмо ФСТЭК России от 6 февраля 2014 г. N 240/24/405

Об утверждении Требований к средствам доверенной загрузки

По вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" и приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

В соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, 11 мая 2017 г. ФСТЭК России утверждены методические документы, содержащие профили защиты операционных систем.

Указанные документы содержат детализацию требований, предъявляемых к функциям безопасности операционных систем, а также взаимосвязи этих требований и предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации при проведении ими работ по сертификации операционных систем на соответствие Требованиям безопасности информации к операционным системам, утвержденным приказом ФСТЭК России от 19 августа 2016 г. N 119.

Спецификация профилей защиты операционных систем для каждого типа операционной системы и класса защиты операционной системы приведена в таблице.

Тип операционной системы

Операционная система типа "А"

Операционная система типа "Б"

Операционная система типа "В"

Идентификаторы профилей защиты приводятся в формате ИТ.ОС."тип"класс".ПЗ, где обозначение "тип" может принимать значение "А", которое определяет, что операционная система относится к операционной системе типа "А", значение "Б", которое определяет, что операционная система относится к операционной системе типа "Б", значение "В", которое определяет, что операционная система относится к операционной системе типа "В", а обозначение "класс" может принимать значения от 1 до 6, соответствующие классу защиты операционной системы.

Читайте также: