+ 1
- 0
Оценить:

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

 

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

ОБ АННУЛИРОВАНИИ ДЕЙСТВИЯ СЕРТИФИКАТОВ СООТВЕТСТВИЯ ОТ 4 АПРЕЛЯ 2012 Г. N 2609 НА ОПЕРАЦИОННУЮ СИСТЕМУ PAN-OS 4.0 ДЛЯ МЭ СЕРИИ РА-4000, ОТ 4 АПРЕЛЯ 2012 Г. N 2610 НА ОПЕРАЦИОННУЮ СИСТЕМУ PAN-OS 4.0 ДЛЯ МЭ СЕРИИ РА-5000, ОТ 28 АПРЕЛЯ 2012 Г. N 2632 НА ОПЕРАЦИОННУЮ СИСТЕМУ PAN-OS 4.0 ДЛЯ МЭ СЕРИИ РА-500 И ОТ 28 АПРЕЛЯ 2012 Г. N 2633 НА ОПЕРАЦИОННУЮ СИСТЕМУ PAN-OS 4.0 ДЛЯ МЭ СЕРИИ РА-2000

 

от 1 февраля 2018 г. N 240/24/554

 

При проведении работ по выявлению и анализу уязвимостей программного обеспечения и ведению Банка данных угроз безопасности информации ФСТЭК России, по информации, поступившей от заявителя на сертификацию АО «РНТ», проведены исследования и подтверждено наличие уязвимостей в операционных системах PAN-OS 4.0 для межсетевых экранов серий РА-4000, РА-5000, РА-500 и РА-2000, применяемых для защиты информации ограниченного доступа в государственных информационных системах и информационных системах организаций.

Выявленные уязвимости включены в базу уязвимостей Банка данных угроз безопасности информации ФСТЭК России, размещенного на сайте www.bdu.fstec.ru, им присвоен критический уровень опасности, идентификаторы уязвимостей BDU:2017-02120 и BDU:2017-02237.

Указанным уязвимостям подвержены следующие сертифицированные в ФСТЭК России средства защиты информации:

операционная система PAN-OS 4.0 для МЭ серии РА-4000 (сертификат соответствия от 4 апреля 2012 г. N 2609);

операционная система PAN-OS 4.0 для МЭ серии РА-5000 (сертификат соответствия от 4 апреля 2012 г. N 2610);

операционная система PAN-OS 4.0 для МЭ серии РА-500 (сертификат соответствия от 28 апреля 2012 г. N 2632);

операционная система PAN-OS 4.0 для МЭ серии РА-2000 (сертификат соответствия от 28 апреля 2012 г. N 2633).

В отношении указанных средств защиты информации разработчиком Palo Alto Networks Inc. не выпущены обновления, устраняющие выявленные уязвимости.

В соответствии с пунктом 10 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608, в связи с изменением нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля,  а также невозможностью принятия незамедлительных мер по восстановлению соответствия указанных средств защиты информации обязательным требованиям, ФСТЭК России принято решение об аннулировании выданных АО «РНТ» сертификатов соответствия от 4 апреля 2012 г. N 2609 на операционную систему PAN-OS 4.0 для МЭ серии РА-4000, от 4 апреля 2012 г. N 2610 на операционную систему PAN-OS 4.0 для МЭ серии РА-5000, от 28 апреля 2012 г. N 2632 на операционную систему PAN-OS 4.0 для МЭ серии РА-500 и от 28 апреля 2012 г. N 2633 на операционную систему PAN-OS 4.0 для МЭ серии РА-2000 в Системе сертификации средств защиты информации по требованиям безопасности информации N РОСС RU.0001.01БИ00 (приказ ФСТЭК России от 23 января 2018 г. N 14).

Дополнительно сообщаем, что потребителям необходимо прекратить применение указанных изделий для защиты информации ограниченного доступа и обеспечить их замену на аналогичные средства защиты информации, сертифицированные на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9.

 

Заместитель директора

В.Лютиков