По данным федеральной службы, Microsoft Windows XP продолжает применяться для защиты информации конфиденциального характера в государственных системах. «Это обусловлено, в том числе, наличием большого количества разработанного под Windows XP специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий», – поясняет Анатолий Куц.
В России выданы сертификаты на четыре версии Microsoft Windows XP. Они действуют до конца 2014 года, а на версию Professional SP2 – до декабря 2016 года. При этом обязательным условием применения операционных систем является установка также сертифицированных обновлений, выпущенных разработчиком. Однако корпорация Microsoft заявила о прекращении поддержки выпущенного почти тринадцать лет назад продукта с 18 апреля 2014 года. В ФСТЭК признают, что отказ от обновлений «в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционной системе Windows XP со стороны отдельных категорий нарушителей».
Несмотря на такие угрозы, федеральная служба планирует продлить все сертификаты до конца 2016 года. В то же время в течение переходного периода органы государственной власти и организации должны принять дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности. Для начала пользователям указано установить все актуальные обязательные сертифицированные обновления, после чего обеспечить регулярное резервное копирование информации и программного обеспечения с компьютеров на внешние носители.
Также ФСТЭК рекомендует исключить подключение работающих под управлением Windows XP компьютеров к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям. При невозможности отключиться от «всемирной паутины» и локальных сетей технические специалисты государственных органов обязаны проводить сегментирование и защиту периметра информационной системы (в том числе с применением сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений и иных способов).