Информационное сообщение Федеральной службы по техническому и экспортному контролю от 22 февраля 2018 г. № 240/22/1045 “Об уязвимостях центральных процессоров”

В январе 2018 г. в открытых источниках были опубликованы сведения об уязвимостях центральных процессоров производства Intel, AMD и АRМ, широко распространённых в средствах вычислительной техники, применяемых в государственных информационных системах и информационных системах персональных данных.

Указанные уязвимости позволяют получить доступ к защищаемой информации (в том числе удалённо) в обход механизмов управления доступом средств вычислительной техники.

Сведения об указанных уязвимостях размещены в банке данных угроз безопасности информации (BDU :2018-00001, BDU :2018-00002 и BDU :2018-00003).

В целях устранения указанных уязвимостей необходимо в обязательном порядке загрузить и применить обновления с официальных сайтов компаний разработчиков соответствующих процессоров и операционных систем, нейтрализующие указанные уязвимости.

До применения указанного обновления необходимо принять следующие основные меры, направленные на исключение возможности эксплуатации уязвимостей BDU:2018-00001, BDU:2018-00002 и BDU:2018-00003:

1. Обеспечить защиту от несанкционированного физического доступа к аппаратным компонентам средств вычислительной техники.

2. Обеспечить защиту от угроз безопасности информации применением средств антивирусной защиты, в которых реализованы эвристические методы выявления вредоносного программного обеспечения, систем обнаружения (предупреждения) вторжений (атак), в которых настроены соответствующие решающие правила.

3. Исключить каналы связи, обеспечивающие доступ в обход заданных правил управления доступом к средствам вычислительной техники (их программному обеспечению и настройкам), а также правил контроля и фильтрации информационных потоков.

4. Обеспечить защиту от несанкционированного использования USВ-портов средств вычислительной техники (в том числе при помощи их опечатывания, а также отключения путем применения соответствующих настроек базовой системы ввода-вывода).

5. Обеспечить ограничение установки (инсталляции) и исполнения в операционной системе программ в части установления возможности установки (инсталляции) и исполнения только программного обеспечения и (или) его компонентов в соответствии с разрешительными атрибутами безопасности.

6. Обеспечить межсетевое экранирование периметра информационной системы при помощи межсетевых экранов типа «А» соответствующего класса защиты. При этом необходимо активировать функцию преобразования сетевых адресов, а также настроить контроль и фильтрацию сетевого трафика по разрешительным атрибутам безопасности.

7. Обеспечить автоматизированное обнаружение действий в информационных системах, направленных на преднамеренный несанкционированный доступ к информации и специальные воздействия на неё, путем применения систем обнаружения вторжений уровня сети и уровня узла.