ООО «РусБИТех-Астра» является правообладателем, разработчиком и заявителем на сертификацию программного изделия «Операционная система специального назначения «Astra Linux Special Edition».
Внимание!
Таким образом, изделием, в отношении которого осуществляются работы по развитию, сопровождению и устранению уязвимостей и недекларированных возможностей, является — «Операционная система специального назначения «Astra Linux Special Edition» (далее – ОС Astra Linux).
В целях усовершенствования функциональных возможностей и возможностей безопасности ОС Astra Linux жизненным циклом предусмотрены работы по ее непрерывному развитию, предполагающие постоянный анализ актуальных требований, предъявляемых к операционным системам и средствам защиты информации и работы по обеспечению соответствия ОС Astra Linux указанным требованиям.
В рамках жизненного цикла ООО «РусБИТех-Астра» осуществляет выпуск очередных и оперативных обновлений ОС Astra Linux.
Порядок работ по устранению уязвимостей и недекларированных возможностей и выпуску очередных обновлений и оперативных обновлений ОС Astra Linux установлен в:
- документации ОС Astra Linux (согласована ФСТЭК России и ФСБ России);
- «Регламенте организации работ по устранению уязвимостей и выпуску обновлений безопасности...» (согласован и утвержден Министерством обороны Российской Федерации).
Очередные обновления
Очередные обновления представляют собой экземпляры ОС Astra Linux, находящиеся в серийном производстве в соответствии с действующей конструкторской (программной) и технологической документацией, с внесенными плановыми изменениями.
Очередные обновления решают следующий комплекс задач:
- устранение критических и некритических уязвимостей;
- обеспечение усовершенствования (модернизации) конструкции;
- поддержка современного оборудования;
- реализация новых функциональных возможностей;
- обеспечение соответствия актуальным требованиям безопасности информации;
- повышение удобства использования, управления компонентами ОС Astra Linux и другие.
Информация о выпуске очередных обновлений ОС Astra Linux размещаются на официальном сайте https://astralinux.ru, а также доводится до лицензиатов (потребителей) с использованием контактной информации, указанной в заключенных ранее лицензионных договорах (дополнениях к лицензионным договорам).
Выпуск очередных обновлений сопровождается внесением изменений в единый комплект конструкторской (программной) документации порядком, предусмотренным ГОСТ 2.503.
После внесения изменений в документацию и проведения сертификационных испытаний нового очередного обновления, серийное производство предыдущего очередного обновления прекращается, а все ранее изготовленные экземпляры ОС Astra Linux переводятся в статус заводской партии и находятся на складе готовой продукции до востребования.
Очередные обновления предоставляются пользователям при заключении соответствующего лицензионного договора или дополнения к имеющемуся лицензионному договору, а также в соответствии с положениями «Лицензионного соглашения с конечным пользователем по использованию операционной системы специального назначения «Astra Linux Special Edition» (https://astralinux.ru/information/licenses/). В соответствии с Положением о технической поддержке (https://astralinux.ru/support/technical-support-statement)
право доступа к очередным обновлениям на безвозмездной основе имеют пользователи, получающие услуги технической поддержки уровней «Стандартный» и «Привилегированный».
В целях поддержания информационных (автоматизированных) систем в безопасном состоянии, обеспечения их работоспособности совместно с современным оборудованием и увеличения срока эксплуатации, рекомендуется на постоянной основе планировать и организовывать проведение мероприятий по применению очередного обновления ОС Astra Linux.
Оперативные обновления
Оперативные обновления предназначены для оперативного устранения критических уязвимостей и уязвимостей высокого уровня опасности (в соответствии с ГОСТ Р 56545-2015) в экземплярах ОС Astra Linux, и представляют собой бюллетень безопасности, который доступен в виде:
- инструкций и методических указаний по настройке и особенностям эксплуатации операционной системы содержащих сведения о компенсирующих мерах или ограничениях по применению операционной системы при эксплуатации;
- отдельных программных компонентов из состава операционной системы в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
- обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава операционной системы в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС Astra Linux с установленными обновлениями безопасности.
Обновления безопасности представляют собой отдельные программные документы, не предусматривающие внесение изменений в комплект документации очередного обновления, характеристики которого подтверждены сертификатом соответствия. Таким образом, сертификат соответствия очередного обновления ОС Astra Linux, поставляемого потребителям в комплектности в соответствии с формуляром, является действующим вне зависимости от выпуска оперативного обновления.
Оперативные обновления предоставляется пользователям на безвозмездной основе.
Лицензиаты (потребители) оповещаются о выпуске и возможности получения обновления с использованием контактной информации, указанной в лицензионных договорах и дополнениях к ним, путем размещения соответствующей информации на официальном сайте и через личный кабинет.
Оперативные обновления не являются самостоятельным программным изделием. Серийное производство и поставка (в том числе на материальных носителях) оперативных обновлений не предусмотрены.
Внимание!
Выпуск оперативных обновлений осуществляется для экземпляров ОС Astra Linux актуального очередного обновления, находящегося в серийном производстве. В целях поддержания информационных систем в безопасном состоянии на переходный период между применениями в их составе актуального очередного обновления, могут выпускаться оперативные обновления для экземпляров заводской партии, изготовленной по документации предыдущего очередного обновления.
Обязательные требования о применении всех обновлений безопасности у разработчика Astra Linux Special Edition отсутствуют.
Доведение оперативных обновлений до потребителей осуществляется:
- для информационных (автоматизированных) систем, находящихся в компетенции ФСТЭК России, — изготовителем ОС Astra Linux путем распространения по сетям связи. Источником получения оперативного обновления, подписанного усиленной квалифицированной электронной подписью изготовителя, является официальный сайт изготовителя;
- для информационных (автоматизированных) систем, находящихся в компетенции Министерства обороны Российской Федерации, — уполномоченным органом военного управления Министерства обороны Российской Федерации путем распространения по сетям связи. Источником получения оперативного обновления является ведомственная интерактивная система (витрина данных). В соответствии с Регламентом изготовитель доводит оперативное обновление только до Восьмого управления Генерального штаба Вооруженных Сил Российской Федерации для проведения работ по контролю их эффективности и последующего размещения в интерактивной системе (витрине данных). Контроль выполнения и координация работ, связанных с применением обновления, осуществляются довольствующим органом и/или заказывающим органом военного управления;
- для информационных (автоматизированных) систем, находящихся в компетенции ФСБ России, официальный информационный ресурс изготовителя является официальным источником получения оперативных обновлений для использования в работе предприятиями промышленности. Для применения в составе эксплуатируемых автоматизированных систем распространение и доведение обновлений осуществляется уполномоченным структурным подразделением ФСБ России.
Порядок применения оперативных обновлений в составе аттестованных по требованиям безопасности информации информационных (автоматизированных) систем устанавливается в пределах своих полномочий ФСТЭК России, Министерством обороны Российской Федерации и ФСБ России.
Учитывая изложенное, сопровождение (техническая поддержка) ОС Astra Linux осуществляется на протяжении всего срока эксплуатации путем последовательного применения потребителями очередных и соответствующих им оперативных обновлений, что обеспечивает возможность нейтрализации актуальных угроз безопасности информации.
Внимание!