ООО «РусБИТех-Астра» является правообладателем, разработчиком и заявителем на сертификацию программного изделия «Операционная система специального назначения «Astra Linux Special Edition», зарегистрированного под указанным полным наименованием в Реестре программ для ЭВМ, а также
...
указанного в сертификатах соответствия требованиям безопасности информации.
Таким образом, изделием – является «Операционная система специального назначения «Astra Linux Special Edition» (далее – ОС
...
),
...
в отношении
...
которого в соответствии с требованиями систем сертификации средств защиты информации Российской Федерации, ООО «РусБИТех-Астра» осуществляет работы по устранению уязвимостей и недекларированных возможностей и выпуску:
очередных обновлений
(новых версий)ОС
СН;
оперативных обновлений ОС
СН.
Порядок работ по устранению уязвимостей и недекларированных возможностей и выпуску очередных обновлений
...
и оперативных обновлений
...
ОС
...
установлен в:
документации ОС
СН(согласована ФСТЭК России и ФСБ России);
«Регламенте организации работ по устранению уязвимостей и выпуску обновлений безопасности...» (согласован и утвержден Министерством обороны Российской Федерации)
;документе «Операционная система специального назначения «Astra Linux Special Edition». Порядок обновления.
РУСБ.10015-16 98 01» (согласован ФСБ России).
Очередные обновления
...
Очередные обновления (
...
«версии»)
...
представляют собой заводские экземпляры ОС
...
, изготовленные в соответствии с конструкторской (программной) и технологической документацией, действующей на момент изготовления, с внесенными в нее
...
порядком, установленным ГОСТ 2.503-2013
...
, плановыми изменениями.
Очередные обновления решают следующий комплекс задач:
- устранение критических и некритических уязвимостей;
- обеспечение усовершенствования (модернизации) конструкции;
- поддержка современного оборудования;
- реализация новых функциональных возможностей;
- обеспечение соответствия актуальным требованиям безопасности информации; - повышение удобства использования, управления компонентами ОС и другие.
Очередные обновления предоставляются пользователям при заключении соответствующего лицензионного договора или дополнения к имеющемуся лицензионному договору, а также в соответствии с положениями «Лицензионного соглашения с конечным пользователем по использованию операционной системы специального назначения «Astra Linux Special Edition».
...
Очередные обновления (новые версии) решают задачи повышения качества программного обеспечения и документации, поддержки современного оборудования, реализации новых функциональных возможностей, повышения уровня защищенности, устранения известных уязвимостей и др.
...
Информация о выпуске очередных обновлений ОС размещаются на официальном сайте
...
, а также доводится до лицензиатов (потребителей) с использованием контактной информации, указанной в заключенных ранее лицензионных договорах (дополнениях к лицензионным договорам).
В целях поддержания информационных (автоматизированных) систем в безопасном состоянии, обеспечения их работоспособности совместно с современным оборудованием и увеличения срока эксплуатации, рекомендуется на постоянной основе планировать и организовывать проведение мероприятий по применению очередного обновления ОС.
Оперативные обновления
Оперативные обновления
...
предназначены для оперативного устранения критических уязвимостей и уязвимостей высокого уровня опасности (в соответствии с ГОСТ Р 56545-2015) в экземплярах очередных обновлений ОС, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
- инструкций и методических указаний по настройке и особенностям эксплуатации операционной системы содержащих сведения о компенсирующих мерах или ограничениях по применению операционной системы при
...
- эксплуатации;
- отдельных программных компонентов из состава операционной системы в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
- обновлений безопасности,
...
- представляющих собой файл с совокупностью программных компонентов из состава операционной системы в которые внесены изменения с целью
...
- устранения
...
- уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов
...
- обновлений безопасности
...
- , указания по установке, настройке и особенностям эксплуатации ОС
...
- с
...
- установленными обновлениями безопасности.
...
Обновления безопасности представляют собой отдельные программные документы, не предусматривающие внесение изменений в комплект документации очередного обновления, характеристики которого подтверждены сертификатом соответствия
...
Обновления безопасности, содержащие программное обеспечение из состава ОС СН, в которое внесены изменения в целях устранения уязвимостей, не являются самостоятельным программным изделием, серийное производство и поставка (в том числе на материальных носителях) обновлений безопасности конструкторской документацией ОС СН не предусмотрены.
Сертификационные испытания обновлений безопасности организуются ООО «РусБИТех-Астра» в соответствии с требованиями систем сертификации средств защиты информации Российской Федерации.
...
На примере операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01, предназначенной для 64-х разрядных платформ на базе процессорной архитектуры x86-64:
...
. Таким образом, сертификат соответствия очередного обновления ОС, поставляемого потребителям в комплектности в соответствии с формуляром, является действующим вне зависимости от выпуска оперативного обновления.
Оперативные обновления также содержат информацию об устраненных уязвимостях и предоставляется пользователям на безвозмездной основе.
Лицензиаты (потребители) оповещаются о выпуске и возможности получения обновления с использованием контактной информации, указанной в лицензионных договорах и дополнениях к ним, путем размещения соответствующей информации на официальном сайте и через личный кабинет.
Оперативные обновления не являются самостоятельным программным изделием. Серийное производство и поставка (в том числе на материальных носителях) оперативных обновлений не предусмотрены
...
.
Оперативные обновления выпускаются и предоставляются пользователям на безвозмездной основе. Обязательные требования о применении всех обновлений безопасности у разработчика ОС СН отсутствуют.
...
Доведение оперативных обновлений до потребителей осуществляется:
- для информационных (автоматизированных) систем, находящихся в компетенции ФСТЭК России, — изготовителем ОС путем распространения по сетям связи. Источником получения оперативного обновления, подписанного усиленной квалифицированной электронной подписью изготовителя, является официальный сайт изготовителя;
- для информационных (автоматизированных) систем, находящихся в компетенции
...
- Министерства обороны Российской Федерации, — уполномоченным органом военного управления Министерства обороны Российской Федерации путем распространения по сетям связи. Источником получения оперативного обновления является ведомственная интерактивная система (витрина данных). В соответствии с Регламентом изготовитель доводит оперативное обновление только до Восьмого управления Генерального штаба Вооруженных Сил Российской Федерации для проведения работ по контролю их эффективности и последующего размещения в интерактивной системе (витрине данных). Контроль выполнения и координация работ, связанных с применением обновления, осуществляются довольствующим органом и/или заказывающим органом военного управления;
- для информационных (автоматизированных) систем, находящихся в компетенции
...
- ФСБ России,
...
- официальный информационный ресурс изготовителя является официальным источником получения оперативных обновлений для использования в работе предприятиями промышленности. Для применения в составе эксплуатируемых автоматизированных систем распространение и доведение обновлений осуществляется уполномоченным структурным подразделением ФСБ России.
Порядок применения оперативных обновлений в составе аттестованных по требованиям безопасности информации информационных (автоматизированных) систем устанавливается в пределах своих полномочий ФСТЭК России, Министерством обороны Российской Федерации и ФСБ России.
...
Учитывая изложенное, сопровождение (техническая поддержка) ОС
...
в части работ по устранению уязвимостей осуществляется на протяжении всего срока эксплуатации ОС
...
и подразумевает применение потребителями оперативных и очередных обновлений.
Поддержание в безопасном состоянии информационных систем, в составе которых применяются экземпляры ОС
...
, в отношении которых выпуск оперативных обновлений не осуществляется, необходимо обеспечивать иными программно-техническими способами и/или компенсирующими мерами.