Сертификат ФСТЭК России № 2960

Сертифицированные версии операционных систем Microsoft Windows 8 содержат встроенные механизмы защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, и соответствует требованиям ФСТЭК России к обеспечению защиты информации от неправомерного использования.

Сертифицированы следующие редакции ОС Microsoft Windows 8:

  • Microsoft Windows 8 Professional
  • Microsoft Windows 8 Enterprise
  • Microsoft Windows 8

Применимость в ГИС и ИСПДн

Сертифицированные версии ОС Microsoft Windows 8 могут применяться в государственных информационных системах 3 и 4 класса защищенности, а также в информационных системах персональных данных для обеспечения 3 и 4 уровней защищенности, для которых актуальны угрозы 3-го типа.

Механизмы защиты

Защита информации от несанкционированного доступа в сертифицированных версиях ОС Microsoft Windows обеспечивается при помощи следующих механизмов:

  • дискреционный контроль доступа:
  • применимость контроля доступа наименованных субъектов к наименованным объектам к каждому объекту и каждому субъекту;
  • явное и недвусмысленное перечисление допустимых типов доступа для каждой пары (субъект-объект);
  • наличие механизма, обеспечивающего действие дискреционных правил разграничения доступа (ПРД);
  • возможность санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка защищаемых объектов;
  • предоставление права выделенным субъектам изменять ПРД;
  • наличие средств управления, ограничивающих распространение прав на доступ;
  • идентификация и аутентификация:
  • обязательная идентификация при запросах на доступ;
  • проверка подлинности идентификации (процедура аутентификации);
  • запрет на доступ к защищаемым ресурсам неидентифицированных пользователей и пользователей, подлинность идентификации которых не подтвердилась при аутентификации;
  • очистка памяти:
  • предотвращение доступа субъекту к остаточной информации при первоначальном назначении или при перераспределении внешней памяти;
  • регистрация событий:
  • использование механизмов идентификации и аутентификации;
  • запрос на доступ к защищаемому ресурсу;
  • создание и уничтожение объекта;
  • действия по изменению ПРД;
  • запись даты и времени, субъекта, типа события, успешности события для каждого из событий;
  • контроль целостности:
  • наличие средств периодического контроля за целостностью программной и информационной части средств защиты информации.

Особенности эксплуатации

В сертифицированных версиях ОС Microsoft Windows 8 применение штатных функций безопасности AppLocker, BitLocker, Windows Defender, Secure Boot и других в рамках контролируемого периметра запрещено. Помимо ограничения использования штатных механизмов безопасности, в сертифицированной версии ОС Microsoft Windows 8 заблокирован доступ к облачным сервисам,  поскольку облачные инфраструктуры выходят за рамки контролируемого периметра и проверка параметров безопасности в них невозможна.

При эксплуатации сертифицированной ОС Microsoft Windows 8 настройки и контроль механизмов защиты безопасности должны производиться в соответствии с  «Руководством по настройке функций безопасности сертифицированной версии» (содержится  в медиаките).

При эксплуатации Microsoft Windows 8 на объектах информатизации необходимо обеспечить обязательное выполнение следующих условий:

  • регламентация запрета использования Microsoft Windows 8 для обработки информации, содержащей сведения, составляющие государственную тайну;
  • наличие администратора безопасности (сетевого администратора), отвечающего за правильную эксплуатацию Microsoft Windows 8;
  • предотвращение несанкционированного доступа к идентификаторам и паролям привилегированных пользователей (администратора безопасности);
  • обеспечение физической сохранности ПЭВМ с установленной Microsoft Windows 8 и исключение возможности доступа к ней/ним посторонних лиц;
  • периодический контроль целостности файлов Microsoft Windows 8;
  • периодическая проверка программной среды ПЭВМ, использующейся в качестве административной консоли, на наличие вредоносного программного обеспечения;
  • для удаления конфиденциальных данных использовать команду «CIPHER /W», осуществляющую маскирование области указанной памяти путем перезаписи символов 0x00, затем 0xFF и в заключении случайными символами.

Сертифицированные обновления

Обязательным условием эксплуатации сертифицированного ПО является своевременная установка сертифицированных обновлений безопасности,  публикуемых производителем ежемесячно в рамках поддержки продукта. Информация об обновлениях размещается на портале сертифицированных обновлений (ПСО) https://update.certsys.ru, доступ к которому осуществляется при помощи сертифицированного USB-ключ SafeNet eToken.