Информационное сообщение Федеральной службы по техническому и экспортному контролю от 12 апреля 2016 г. № 240/24/1649 “Об уязвимостях в сертифицированных средствах защиты информации Secret Net и мерах по их нейтрализации”

При проведении работ по выявлению и анализу уязвимостей программного обеспечения и ведению банка данных угроз безопасности информации ФСТЭК России проведены исследования и подтверждено наличие уязвимости в средствах защиты информации Secret Net, широко применяемых для защиты информации ограниченного доступа в государственных информационных системах и информационных системах коммерческих организаций.

Уязвимости присвоен средний уровень опасности, а ее описание включено в Банк данных угроз безопасности информации, размещенный на сайте bdu.fstec.ru (идентификатор уязвимости 2016-00436).

Указанной уязвимости подвержены следующие сертифицированные ФСТЭК России средства защиты информации:

Secret Net 7.0 (сертификат соответствия от 7 сентября 2012 г. № 2707, срок действия - до 7 сентября 2018 г.);

Secret Net 6.0 (сертификаты соответствия от 3 декабря 2010 г. № 2227 и № 2228, срок действия - до 3 декабря 2016 г.);

Secret Net 5.0 (сертификаты соответствия от 29 июня 2007 г. № 1119/1 и от 29 августа 2006 г. № 1237, сроки действия сертификатов продлены на отдельные экземпляры, эксплуатируемые на объектах информатизации);

Secret Net 5.1 (сертификаты соответствия от 17 сентября 2009 г. № 1912 и № 1913, сроки действия сертификатов продлены на отдельные экземпляры, эксплуатируемые на объектах информатизации).

В отношении средств защиты информации Secret Net версий 6.0 и 7.0 разработчиком средств ООО «Код Безопасности» (Москва, ул. Сущевский вал, д. 47, стр. 2, пом. 1, тел. (495) 980-2345) осуществляется техническая поддержка.

В рамках технической поддержки ООО «Код Безопасности» разработал и опубликовал обновление средства защиты информации Secret Net 7.0, устраняющее указанную уязвимость. Ссылка на загрузку указанного обновления располагается на официальном сайте ООО «Код Безопасности» (www.securitycode.ru/products/secret_net/sns7/).

Разработка и опубликование обновления средства защиты информации Secret Net 6.0, устраняющего уязвимость, планируется к 15 апреля 2016 г.

Информация о выпуске обновления также будет размещена на сайте разработчика.

ООО «Код Безопасности» прекратил техническую поддержку средств защиты информации Secret Net версии 5.0 и 5.1. Выпуск соответствующих обновлений для данных средств защиты информации не предусмотрен.

В связи с этим в целях нейтрализации уязвимости 2016-00436 средств защиты информации Secret Net необходимо:

до 1 января 2017 г. спланировать и провести перевод информационных систем, в которых применяются средства защиты информации Secret Net версии 5.0 и 5.1, на иные сертифицированные средства защиты информации, поддерживаемые их производителями;

в обязательном порядке получить и применить обновления средств защиты информации Secret Net версий 6.0 и 7.0, в том числе получить от разработчика соответствующие изменения в эксплуатационную документацию.

До реализации указанных мероприятий необходимо в информационных системах принять соответствующие меры по ограничению программной среды, направленные на исключение возможности эксплуатации выявленной уязвимости за счет запуска специально сформированного приложения (эксплойта).

Ограничение программной среды обеспечивается механизмами средств защиты информации Secret Net. Инструкция по настройке механизма замкнутой программной среды размещена ООО «Код Безопасности» в сети «Интернет» ftp.securitycode.ru/demo/sn/sn7/604_00/instr_uel.pdf.

Дополнительно обращаем внимание на то, что обновление средств защиты информации не является основанием для повторной аттестации информационных систем. Все работы по обновлению средств защиты информации проводятся в рамках действующих аттестатов соответствия на информационные системы.