Информационное сообщение ФСТЭК России от 22.02.2018 N240/22/1045 "Об уязвимостях центральных процессоров".
В январе 2018 г. в открытых источниках были опубликованы сведения об уязвимостях центральных процессоров производства Intel, AMD и АRМ, широко распространённых в средствах вычислительной техники, применяемых в государственных информационных системах и информационных системах персональных данных.
Указанные уязвимости позволяют получить доступ к защищаемой информации (в том числе удалённо) в обход механизмов управления доступом средств вычислительной техники.
Сведения об указанных уязвимостях размещены в банке данных угроз безопасности информации (BDU:2018-00001, BDU:2018-00002 и BDU:2018-00003).
В целях устранения указанных уязвимостей необходимо в обязательном порядке загрузить и применить обновления с официальных сайтов компаний разработчиков соответствующих процессоров и операционных систем, нейтрализующие указанные уязвимости.
До применения указанного обновления необходимо принять следующие основные меры, направленные на исключение возможности эксплуатации уязвимостей BDU:2018-00001, BDU:2018-00002 и BDU:2018-00003:
- Обеспечить защиту от несанкционированного физического доступа к аппаратным компонентам средств вычислительной техники.
- Обеспечить защиту от угроз безопасности информации применением средств антивирусной защиты, в которых реализованы эвристические методы выявления вредоносного программного обеспечения, систем обнаружения (предупреждения) вторжений (атак), в которых настроены соответствующие решающие правила.
- Исключить каналы связи, обеспечивающие доступ в обход заданных правил управления доступом к средствам вычислительной техники (их программному обеспечению и настройкам), а также правил контроля и фильтрации информационных потоков.
- Обеспечить защиту от несанкционированного использования USВ-портов средств вычислительной техники (в том числе при помощи их опечатывания, а также отключения путем применения соответствующих настроек базовой системы ввода-вывода).
- Обеспечить ограничение установки (инсталляции) и исполнения в операционной системе программ в части установления возможности установки (инсталляции) и исполнения только программного обеспечения и (или) его компонентов в соответствии с разрешительными атрибутами безопасности.
- Обеспечить межсетевое экранирование периметра информационной системы при помощи межсетевых экранов типа «А» соответствующего класса защиты. При этом необходимо активировать функцию преобразования сетевых адресов, а также настроить контроль и фильтрацию сетевого трафика по разрешительным атрибутам безопасности.
- Обеспечить автоматизированное обнаружение действий в информационных системах, направленных на преднамеренный несанкционированный доступ к информации и специальные воздействия на неё, путем применения систем обнаружения вторжений уровня сети и уровня узла.
Начальник 2 управления
Д.Шевцов