Содержание

Skip to end of metadata
Go to start of metadata

ООО «РусБИТех-Астра» является правообладателем, разработчиком и заявителем на сертификацию программного изделия «Операционная система специального назначения «Astra Linux Special Edition», зарегистрированного под указанным полным наименованием в Реестре программ для ЭВМ, а также указанного в сертификатах соответствия требованиям безопасности информации.

Таким образом, изделием – является «Операционная система специального назначения «Astra Linux Special Edition» (далее – ОС), в отношении которого в соответствии с требованиями систем сертификации средств защиты информации Российской Федерации, ООО «РусБИТех-Астра» осуществляет работы по устранению уязвимостей и недекларированных возможностей и выпуску:

  • очередных обновлений ОС;

  • оперативных обновлений ОС.

Порядок работ по устранению уязвимостей и недекларированных возможностей и выпуску очередных обновлений и оперативных обновлений ОС установлен в:

  • документации ОС (согласована ФСТЭК России и ФСБ России);

  • «Регламенте организации работ по устранению уязвимостей и выпуску обновлений безопасности...» (согласован и утвержден Министерством обороны Российской Федерации).


Очередные обновления

Очередные обновления («версии») представляют собой заводские экземпляры ОС, изготовленные в соответствии с конструкторской (программной) и технологической документацией, действующей на момент изготовления, с внесенными в нее порядком, установленным ГОСТ 2.503-2013, плановыми изменениями.

Очередные обновления решают следующий комплекс задач:

  • устранение критических и некритических уязвимостей;
  • обеспечение усовершенствования (модернизации) конструкции;
  • поддержка современного оборудования;
  • реализация новых функциональных возможностей;
  • обеспечение соответствия актуальным требованиям безопасности информации; - повышение удобства использования, управления компонентами ОС и другие.

Очередные обновления предоставляются пользователям при заключении соответствующего лицензионного договора или дополнения к имеющемуся лицензионному договору, а также в соответствии с положениями «Лицензионного соглашения с конечным пользователем по использованию операционной системы специального назначения «Astra Linux Special Edition».

Информация о выпуске очередных обновлений ОС размещаются на официальном сайте https://astralinux.ru, а также доводится до лицензиатов (потребителей) с использованием контактной информации, указанной в заключенных ранее лицензионных договорах (дополнениях к лицензионным договорам).

В целях поддержания информационных (автоматизированных) систем в безопасном состоянии, обеспечения их работоспособности совместно с современным оборудованием и увеличения срока эксплуатации, рекомендуется на постоянной основе планировать и организовывать проведение мероприятий по применению очередного обновления ОС.

Оперативные обновления

Оперативные обновления предназначены для оперативного устранения критических уязвимостей и уязвимостей высокого уровня опасности (в соответствии с ГОСТ Р 56545-2015) в экземплярах очередных обновлений ОС, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

  1. инструкций и методических указаний по настройке и особенностям эксплуатации операционной системы содержащих сведения о компенсирующих мерах или ограничениях по применению операционной системы при эксплуатации;
  2. отдельных программных компонентов из состава операционной системы в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
  3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава операционной системы в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Обновления безопасности представляют собой отдельные программные документы, не предусматривающие внесение изменений в комплект документации очередного обновления, характеристики которого подтверждены сертификатом соответствия. Таким образом, сертификат соответствия очередного обновления ОС, поставляемого потребителям в комплектности в соответствии с формуляром, является действующим вне зависимости от выпуска оперативного обновления.

Оперативные обновления также содержат информацию об устраненных уязвимостях и предоставляется пользователям на безвозмездной основе.

Лицензиаты (потребители) оповещаются о выпуске и возможности получения обновления с использованием контактной информации, указанной в лицензионных договорах и дополнениях к ним, путем размещения соответствующей информации на официальном сайте и через личный кабинет.

Оперативные обновления не являются самостоятельным программным изделием. Серийное производство и поставка (в том числе на материальных носителях) оперативных обновлений не предусмотрены.

Оперативные обновления выпускаются и предоставляются пользователям на безвозмездной основе. Обязательные требования о применении всех обновлений безопасности у разработчика Astra Linux Special Edition отсутствуют.

Доведение оперативных обновлений до потребителей осуществляется:

  • для информационных (автоматизированных) систем, находящихся в компетенции ФСТЭК России, — изготовителем ОС путем распространения по сетям связи. Источником получения оперативного обновления, подписанного усиленной квалифицированной электронной подписью изготовителя, является официальный сайт изготовителя;
  • для информационных (автоматизированных) систем, находящихся в компетенции Министерства обороны Российской Федерации, — уполномоченным органом военного управления Министерства обороны Российской Федерации путем распространения по сетям связи. Источником получения оперативного обновления является ведомственная интерактивная система (витрина данных). В соответствии с Регламентом изготовитель доводит оперативное обновление только до Восьмого управления Генерального штаба Вооруженных Сил Российской Федерации для проведения работ по контролю их эффективности и последующего размещения в интерактивной системе (витрине данных). Контроль выполнения и координация работ, связанных с применением обновления, осуществляются довольствующим органом и/или заказывающим органом военного управления;
  • для информационных (автоматизированных) систем, находящихся в компетенции ФСБ России, официальный информационный ресурс изготовителя является официальным источником получения оперативных обновлений для использования в работе предприятиями промышленности. Для применения в составе эксплуатируемых автоматизированных систем распространение и доведение обновлений осуществляется уполномоченным структурным подразделением ФСБ России.

Порядок применения оперативных обновлений в составе аттестованных по требованиям безопасности информации информационных (автоматизированных) систем устанавливается в пределах своих полномочий ФСТЭК России, Министерством обороны Российской Федерации и ФСБ России.

Учитывая изложенное, сопровождение (техническая поддержка) ОС в части работ по устранению уязвимостей осуществляется на протяжении всего срока эксплуатации ОС и подразумевает применение потребителями оперативных и очередных обновлений.

Поддержание в безопасном состоянии информационных систем, в составе которых применяются экземпляры ОС, в отношении которых выпуск оперативных обновлений не осуществляется, необходимо обеспечивать иными программно-техническими способами и/или компенсирующими мерами.

  • No labels