ФСТЭК не планирует сертифицировать Windows Server 2003 после 2017 года
Федеральная служба по техническому и экспортному контролю (ФСТЭК) после августа 2017 года не намерена продлевать сроки действия сертификатов соответствия на операционные системы Windows Server 2003 и Windows Server 2003 R2.
Это связано с тем, что Microsoft с 15 июля 2015 года прекратит поддержку и выпуск обновлений для данных ОС, в том числе направленных на устранение ошибок и уязвимостей.
Как отмечает ФСТЭК, в настоящее время значительная часть сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2 продолжает применяться для защиты информации конфиденциального характера (в том числе персональных данных) в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций. Это обусловлено, в том числе, наличием большого количества разработанного под данные ОС специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.
Прекращение выпуска обновлений ОС в сочетании с вероятным обнаружением в них новых уязвимостей чревато угрозами безопасности конфиденциальной информации. Кроме того, ФСТЭК прогнозирует повышение интереса к незащищенным операционным системам со стороны хакеров.
На сегодняшний день в системе сертификации ФСТЭК России сертифицированы по требованиям безопасности информации три версии операционных систем Windows Server 2003 и Windows Server 2003 R2, лицензии выданы до 5 августа 2017.
ФСТЭК рекомендует организациям, работающим на этих системах, учитывать дополнительные угрозы безопасности информации, связанные с окончанием обновления ОС, а также спланировать мероприятия по переводу до августа 2017 информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.
Также ФСТЭК советует установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2, выпущенные российскими производителями, после чего установить запрет на автоматическое обновление ОС, и по возможности исключить подключение к Интернету и к ведомственным (корпоративным) сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Windows Server 2003 и Windows Server 2003 R2.