Нет, не установлены требования к обязательному применению сертифицированных операционных систем и систем управления базами данных (далее – СУБД) на значимых объектах критической информационной инфраструктуры (далее – ЗОКИИ).
При этом обязательно необходимо учитывать запрет на использование средств защиты информации, в том числе встроенные функции защиты программного обеспечения, из недружественных стран (пункт 6 указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»). Соответственно, если странами производителей используемых операционных систем и СУБД являются недружественные иностранные государства, то для обеспечения безопасности значимого объекта КИИ запрещается использовать встроенные функции защиты таких операционных систем и СУБД (в рамках проекта подсистемы безопасности).
Стоит отметить, что если используются встроенные функции защиты иностранных (из недружественных стран) операционных систем и СУБД для нейтрализации актуальных угроз безопасности информации значимого объекта КИИ, то необходимо учитывать следующее:
- для замещения отдельных функций защиты таких операционных систем могут быть использованы средства защиты от несанкционированного доступа или иные средства защиты информации, в отношении которых проводится оценка соответствия в виде сертификации, испытаний или приемки;
- для защиты баз данных без использования функций защиты иностранных СУБД может быть осуществлена изоляция информационной системы в целом (локализация угроз на уровне объекта КИИ).
Стоит отметить, что альтернативным способом защиты баз данных является использование механизмов безопасности отечественных СУБД, сертифицированных на соответствие требованиям по защите информации.