На сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК) России опубликовано информационное сообщение «Об уязвимостях в сертифицированных средствах защиты информации Secret Net и мерах по их нейтрализации». В нем идет речь о необходимости нейтрализации в СЗИ Secret Net уязвимости 2016-00436.
ФСТЭК сообщает, что для этого требуется принять следующие меры:
- в обязательном порядке получить и применить обновления средств защиты информации Secret Net версий 6 и 7, в том числе - получить от разработчика соответствующие изменения в эксплуатационную документацию;
- до 1 января 2017 г. спланировать и провести перевод информационных систем, в которых применяются средства защиты информации Secret Net версии 5.0 и 5.1, на иные сертифицированные средства защиты информации, поддерживаемые их производителями.
До реализации указанных мероприятий необходимо в информационных системах принять необходимые меры по ограничению программной среды, направленные на исключение возможности эксплуатации выявленной уязвимости за счет запуска специально сформированного приложения (эксплойта).
Дополнительно ФСТЭК обращает внимание на то, что обновление средств защиты информации не является основанием для повторной аттестации информационных систем. Все работы по обновлению средств защиты информации проводятся в рамках действующих аттестатов соответствия на информационные системы.