ФСТЭК подготовила приказ №9 от 20 января 2020 г., которым прекращается действие сертификатов «от 4 октября 2011 г. № 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. № 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter» (цитата по информационному письму ФСТЭК [1]). Это означает, что использование Windows 7 и Windows Server 2008 R2 в информационных системах, где требуется применение сертифицированных продуктов, не допускается. А это и государственные информационные системы, и системы обработки персональных данных, и промышленные системы, у которых выбрана оценка соответствия в виде сертификатов.
Информационное сообщение ФСТЭК [1], которое содержит рекомендации владельцам соответствующих информационных систем, предписывает переходить на сертифицированные ОС. В то же время сертифицированных операционных систем не так много. В частности, Алексей Лукаций в [2] называет только четыре варианта для перехода: РЕД ОС, РОСА КОБАЛЬТ, SUSE Linux Enterprise Server 12 SP3 и Альт 8 СП. И перенос критических информационных систем нужно совершить за полгода – до 1 июня 2020 г. Конечно, об отказе в поддержке со стороны Microsoft для указанных операционных систем было объявлено значительно заранее, и владельцы информационных систем, где использование сертифицированных продуктов строго обязательно, уже давно должны были перейти на «правильные» операционные системы. Однако реальное положение дел оказывается не таким простым, поскольку ФСТЭК отреагировала слишком быстро – уже через неделю сертификаты были отозваны.
Впрочем, и это решение было предсказуемо – ситуация полностью повторяет вывод из эксплуатации операционной системы Windows XP [3]. Тогда (8 апреля 2014 г. – до санкций и международного «похолодания») аналогичное информационное письмо было опубликовано даже раньше снятия с поддержки, хотя приказа об отзыве сертификата не было принято. Наоборот, некоторые сертификаты заканчивались в конце 2014 г., но были продлены до декабря 2016 г., что было «обусловлено, в том числе, наличием большого количества разработанного под Windows XP специфичного прикладного программного обеспечения информационных систем, применяемого для реализации органами государственной власти, государственного регулирования и организациями своих полномочий». В новом информационном письме фраза про «…большое количество разработанного…» сохранена с заменой названий операционных систем, но сроки существенно урезаны – с двух лет до полугода.
Следует отметить, что даже организационные компенсирующие меры в обоих информационных письмах полностью дублированы: ограничить подключение устаревших ОС к Интернет, сегментировать сеть с помощью сертифицированных межсетевых экранов и выделить компьютеры со старыми ОС в отдельный недоверенный сегмент, проводить сканирование на уязвимости, все подключаемые носители предварительно проверять на вирусы и проверять целостность ОС. Правда, сейчас это реализовать проще с помощью виртуализации – все рекомендации можно реализовать на сервере, в том числе и под Linux, с параллельным использованием VDI. Однако в любом случае государственным пользователям придется переходить с Windows на другие операционные системы – в основном это различные варианты Linux. Казалось бы, можно констатировать конец эпохи программных продуктов Windows, лицензий, программ, систем Microsoft как минимум для государственного использования в сферах информационной безопасности, защиты информации, защиты данных, системного обеспечения.