С 14 октября 2025 г. компания Microsoft Corporation прекратила поддержку и выпуск обновлений для ОС Microsoft Windows 10, серверного ПО Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019.
В отдельных информационных системах государственных органов и коммерческих организаций, в т.ч. субъектов КИИ, продолжают применяться:
- операционная система Microsoft Windows 10 в редакциях "Профессиональная", "Корпоративная";
- серверное программное обеспечение Microsoft Exchange Server 2016 в редакциях "Standard", "Enterprise";
- серверное программное обеспечение Microsoft Exchange Server 2019 в редакциях "Standard", "Enterprise";
Прекращение выпуска обновлений и вероятное обнаружение новых уязвимостей приводит к возможности реализации угроз безопасности информации. Кроме того, прогнозируется повышение интереса к операционной системе Microsoft Windows 10 и серверному программному обеспечению Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019 со стороны хакерских группировок.
Органам государственной власти, субъектам КИИ и организациям, которые используют ОС Microsoft Windows 10 и (или) серверное ПО Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019, рекомендуется:
1. Спланировать мероприятия по переходу на отечественные ОС (или сертифицированные по требованиям безопасности информации их версии) и отечественное ПО почтовых серверов, поддержку которых осуществляют их разработчики.
2. В случае невозможности перехода на вышеуказанные операционные системы и (или) программное обеспечение:
- установить все актуальные обязательные обновления в соответствии с Методикой тестирования обновлений безопасности программных, программно-аппаратных средств, утвержденной ФСТЭК России 28 октября 2022 г., а также Методикой оценки уровня критичности уязвимостей программных, программно-аппаратных средств, утвержденной ФСТЭК России 30 июня 2025 г.;
- ограничить с использованием межсетевых экранов уровня периметра доступ из сети "Интернет" к автоматизированным рабочим местам, работающим под управлением операционной системы Microsoft Windows 10, серверному оборудованию, на котором функционирует программное обеспечение Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019;
- при невозможности ограничения доступа из сети "Интернет" к автоматизированным рабочим местам, применять в обязательном порядке меры по сегментированию информационной инфраструктуры, защите периметра информационной системы и ее сегментов (в том числе с использованием межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP - систем), средств однонаправленной передачи данных);
- осуществлять мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях и их компонентах. Принимать меры, направленные на нейтрализацию выявленных уязвимостей и исключающие возможность использования нарушителями таких уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
- регламентировать порядок работы ответственных структурных подразделений в случае выявления уязвимостей и их компонентах в соответствии с Методикой по организации процесса управления уязвимостями в органе (организации), утвержденной ФСТЭК России 17 мая 2023 г.;
- обеспечить регулярное резервное копирование информации, баз данных, настроек конфигурации, программного обеспечения автоматизированных рабочих мест;
- проводить периодическое сканирование автоматизированных рабочих мест на предмет наличия уязвимостей с использованием средств контроля (анализа) защищенности информации, а также контроль целостности компонентов операционных систем;
- обеспечить применение дополнительных сертифицированных средств защиты информации, реализующих (дублирующих) функции по безопасности информации операционных систем.
В отдельных информационных системах государственных органов и коммерческих организаций, в т.ч. субъектов КИИ, продолжают применяться:
- операционная система Microsoft Windows 10 в редакциях "Профессиональная", "Корпоративная";
- серверное программное обеспечение Microsoft Exchange Server 2016 в редакциях "Standard", "Enterprise";
- серверное программное обеспечение Microsoft Exchange Server 2019 в редакциях "Standard", "Enterprise";
Прекращение выпуска обновлений и вероятное обнаружение новых уязвимостей приводит к возможности реализации угроз безопасности информации. Кроме того, прогнозируется повышение интереса к операционной системе Microsoft Windows 10 и серверному программному обеспечению Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019 со стороны хакерских группировок.
Органам государственной власти, субъектам КИИ и организациям, которые используют ОС Microsoft Windows 10 и (или) серверное ПО Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019, рекомендуется:
1. Спланировать мероприятия по переходу на отечественные ОС (или сертифицированные по требованиям безопасности информации их версии) и отечественное ПО почтовых серверов, поддержку которых осуществляют их разработчики.
2. В случае невозможности перехода на вышеуказанные операционные системы и (или) программное обеспечение:
- установить все актуальные обязательные обновления в соответствии с Методикой тестирования обновлений безопасности программных, программно-аппаратных средств, утвержденной ФСТЭК России 28 октября 2022 г., а также Методикой оценки уровня критичности уязвимостей программных, программно-аппаратных средств, утвержденной ФСТЭК России 30 июня 2025 г.;
- ограничить с использованием межсетевых экранов уровня периметра доступ из сети "Интернет" к автоматизированным рабочим местам, работающим под управлением операционной системы Microsoft Windows 10, серверному оборудованию, на котором функционирует программное обеспечение Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019;
- при невозможности ограничения доступа из сети "Интернет" к автоматизированным рабочим местам, применять в обязательном порядке меры по сегментированию информационной инфраструктуры, защите периметра информационной системы и ее сегментов (в том числе с использованием межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP - систем), средств однонаправленной передачи данных);
- осуществлять мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях и их компонентах. Принимать меры, направленные на нейтрализацию выявленных уязвимостей и исключающие возможность использования нарушителями таких уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
- регламентировать порядок работы ответственных структурных подразделений в случае выявления уязвимостей и их компонентах в соответствии с Методикой по организации процесса управления уязвимостями в органе (организации), утвержденной ФСТЭК России 17 мая 2023 г.;
- обеспечить регулярное резервное копирование информации, баз данных, настроек конфигурации, программного обеспечения автоматизированных рабочих мест;
- проводить периодическое сканирование автоматизированных рабочих мест на предмет наличия уязвимостей с использованием средств контроля (анализа) защищенности информации, а также контроль целостности компонентов операционных систем;
- обеспечить применение дополнительных сертифицированных средств защиты информации, реализующих (дублирующих) функции по безопасности информации операционных систем.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь