Прочие
ФСТЭК России аннулированы сертификаты соответствия на ОС PAN-OS 4.0 компании Palo Alto Networks
При проведении работ по выявлению и анализу уязвимостей программного обеспечения и ведению Банка данных угроз безопасности информации ФСТЭК России было выявлено наличие уязвимостей в операционных системах PAN-OS 4.0 для межсетевых экранов серий РА-4000, РА-5000, РА-500 и РА-2000, применяемых для защиты информации ограниченного доступа в государственных информационных системах и информационных системах организаций.
Выявленные уязвимости включены в базу уязвимостей Банка данных угроз безопасности информации ФСТЭК России, размещенного на сайте www.bdu.fstec.ru, им присвоен критический уровень опасности, идентификаторы уязвимостей BDU:2017-02120 и BDU:2017-02237.
Указанным уязвимостям подвержены следующие сертифицированные в ФСТЭК России средства защиты информации:
- операционная система PAN-OS 4.0 для МЭ серии РА-4000 (сертификат соответствия от 4 апреля 2012 г. N 2609);
- операционная система PAN-OS 4.0 для МЭ серии РА-5000 (сертификат соответствия от 4 апреля 2012 г. N 2610);
- операционная система PAN-OS 4.0 для МЭ серии РА-500 (сертификат соответствия от 28 апреля 2012 г. N 2632);
- операционная система PAN-OS 4.0 для МЭ серии РА-2000 (сертификат соответствия от 28 апреля 2012 г. N 2633).
В отношении указанных средств защиты информации разработчиком Palo Alto Networks Inc. не выпущены обновления, устраняющие выявленные уязвимости.
В соответствии с пунктом 10 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608, в связи с изменением нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля, а также невозможностью принятия незамедлительных мер по восстановлению соответствия указанных средств защиты информации обязательным требованиям, ФСТЭК России принято решение об аннулировании выданных АО «РНТ» сертификатов соответствия от 4 апреля 2012 г. N 2609 на операционную систему PAN-OS 4.0 для МЭ серии РА-4000, от 4 апреля 2012 г. N 2610 на операционную систему PAN-OS 4.0 для МЭ серии РА-5000, от 28 апреля 2012 г. N 2632 на операционную систему PAN-OS 4.0 для МЭ серии РА-500 и от 28 апреля 2012 г. N 2633 на операционную систему PAN-OS 4.0 для МЭ серии РА-2000 в Системе сертификации средств защиты информации по требованиям безопасности информации N РОСС RU.0001.01БИ00 (приказ ФСТЭК России от 23 января 2018 г. N 14).
В связи с этим потребителям необходимо прекратить применение перечисленных выше операционных систем PAN-OS 4.0 для защиты информации ограниченного доступа и обеспечить их замену на аналогичные средства защиты информации, сертифицированные на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9.