Информационное сообщение ФСТЭК России от 23 октября 2025 г. № 240/91/3526

Федеральная служба по техническому и экспортному контролю
Информационное сообщение от 23 октября 2025 г. № 240/91/3526
О применении операционной системы Microsoft Windows 10 и серверного программного обеспечения Microsoft Exchange Server 2016, Microsoft Exchange Server 2019 в связи с прекращением их технической поддержки

Компанией Microsoft Corporation (США) с 14 октября 2025 г. прекращена поддержка и выпуск обновлений для операционной системы Microsoft Windows 10 и серверного программного обеспечения Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах и программном обеспечении.

В настоящее время в отдельных информационных системах государственных органов и организаций, в том числе субъектов критической информационной инфраструктуры, продолжают применяться следующие версии операционной системы Microsoft Windows 10 и серверного программного обеспечения Microsoft Exchange Server:

• операционная система Microsoft Windows 10 в редакциях "Профессиональная", "Корпоративная";
• серверное программное обеспечение Microsoft Exchange Server 2016 в редакциях "Standard", "Enterprise";
• серверное программное обеспечение Microsoft Exchange Server 2019 в редакциях "Standard", "Enterprise";

Необходимо отметить, что прекращение выпуска обновлений для операционной системы Microsoft Windows 10 и серверного программного обеспечения Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019 в сочетании с вероятным обнаружением в них новых уязвимостей приводит к возможности реализации угроз безопасности информации, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционной системе Microsoft Windows 10 и серверному программному обеспечению Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019 со стороны хакерских группировок.

Учитывая изложенное, органам государственной власти, субъектам критической информационной инфраструктуры и организациям, использующим в своих информационных системах операционную систему Microsoft Windows 10 и (или) серверное программное обеспечение Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019, рекомендуется:

1. В короткие сроки спланировать мероприятия по переходу на отечественные операционные системы (или сертифицированные по требованиям безопасности информации их версии) и отечественное программное обеспечение почтовых серверов, поддержку которых осуществляют их разработчики.

2. В случае невозможности перехода на вышеуказанные операционные системы и (или) программное обеспечение рекомендуется принять следующие компенсирующие меры, направленные на нейтрализацию угроз безопасности информации:

• установить все актуальные обязательные обновления для операционной системы Microsoft Windows 10 и серверного программного обеспечения Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019 в соответствии с Методикой тестирования обновлений безопасности программных, программно-аппаратных средств, утвержденной ФСТЭК России 28 октября 2022 г., а также Методикой оценки уровня критичности уязвимостей программных, программно-аппаратных средств, утвержденной ФСТЭК России 30 июня 2025 г.;
• по возможности ограничить с использованием межсетевых экранов уровня периметра доступ из сети "Интернет" к автоматизированным рабочим местам, работающим под управлением операционной системы Microsoft Windows 10, серверному оборудованию, на котором функционирует программное обеспечение Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019;
• при невозможности ограничения доступа из сети "Интернет" к автоматизированным рабочим местам, функционирующим под управлением операционной системы Microsoft Windows 10, а также серверному оборудованию, на котором функционирует программное обеспечение Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019, применять в обязательном порядке меры по сегментированию информационной инфраструктуры, защите периметра информационной системы и ее сегментов (в том числе с использованием межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP - систем), средств однонаправленной передачи данных);
• осуществлять мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционной системе Microsoft Windows 10, серверном программном обеспечении Microsoft Exchange Server 2016, Microsoft Exchange Server 2019 и их компонентах и принимать меры, направленные на нейтрализацию выявленных уязвимостей и исключающие возможность использования нарушителями таких уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
• регламентировать порядок работы ответственных структурных подразделений в случае выявления уязвимостей в операционной системе Microsoft Windows 10, серверном программном обеспечении Microsoft Exchange Server 2016, Microsoft Exchange Server 2019 и их компонентах в соответствии с Методикой по организации процесса управления уязвимостями в органе (организации), утвержденной ФСТЭК России 17 мая 2023 г.
• обеспечить регулярное резервное копирование информации, баз данных, настроек конфигурации, программного обеспечения автоматизированных рабочих мест, работающих под управлением операционной системы Microsoft Windows 10, а также серверного оборудования, на котором функционирует программное обеспечение Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019;
• проводить периодическое сканирование автоматизированных рабочих мест, работающих под управлением операционных систем Microsoft Windows 10 и серверного оборудования, на котором функционирует программное обеспечение Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019, на предмет наличия уязвимостей с использованием средств контроля (анализа) защищенности информации, а также контроль целостности компонентов операционных систем;
• обеспечить применение дополнительных сертифицированных средств защиты информации, реализующих (дублирующих) функции по безопасности информации операционных систем.