Содержание

Skip to end of metadata
Go to start of metadata

ООО «РусБИТех-Астра» является правообладателем, разработчиком и заявителем на сертификацию программного изделия «Операционная система специального назначения «Astra Linux Special Edition», зарегистрированного под указанным полным наименованием в Реестре программ для ЭВМ, а также принятого на снабжение Вооруженных Сил Российской Федерации.

Таким образом, изделием – является «Операционная система специального назначения «Astra Linux Special Edition» (далее – ОС СН), и в отношении этого издения в соответствии с требованиями систем сертификации средств защиты информации Российской Федерации ООО «РусБИТех-Астра» осуществляет работы по устранению уязвимостей и недекларированных возможностей и выпуску:

  • очередных обновлений (новых версий) ОС СН;
  • оперативных обновлений ОС СН.

Порядок работ по устранению уязвимостей и недекларированных возможностей и выпуску очередных обновлений (новых версий) и оперативных обновлений (обновлений безопасности) ОС СН установлен в:

  • документации ОС СН (согласована ФСТЭК России);
  • «Регламенте организации работ по устранению уязвимостей и выпуску обновлений безопасности...» (согласован и утвержден Министерством обороны Российской Федерации);
  • документе «Операционная система специального назначения «Astra Linux Special Edition». Порядок обновления. РУСБ.10015-16 98 01» (согласован ФСБ России).

Очередные обновления (новые версии)

Очередные обновления (новые версии) ОС СН представляют собой заводские экземпляры ОС СН, изготовленные в соответствии с конструкторской (программной) и технологической документацией, действующей на момент изготовления, с внесенными в нее по ГОСТ 2.503-2013 изменениями. Номер версии вместе с заводским номером, присвоенным на производстве, используется для однозначной идентификации экземпляра ОС СН, находящегося в эксплуатации и для планирования и доведения обновлений при оказании услуг технической поддержки.

Очередные обновления (новые версии) решают задачи повышения качества программного обеспечения и документации, поддержки современного оборудования, реализации новых функциональных возможностей, повышения уровня защищенности, устранения известных уязвимостей и др.

Очередные обновления (новые версии) предоставляются в соответствии с установленным правообладателем порядком, изложенным в «Лицензионном соглашении с конечным пользователем по использованию ОС СН (https://astralinux.ru/information/licenses), согласно которому пользователи обязаны периодически, но не реже одного раза в 36 месяцев, в течение срока эксплуатации получать у правообладателя экземпляры ОС СН, в отношении которых осуществляется выпуск оперативных обновлений.

В соответствии с «Положением о технической поддержке» (https://astralinux.ru/support/technical-support-statement) право доступа к очередным обновлениям (новым версиям) на безвозмездной основе имеют пользователи, получающие услуги технической поддержки уровней «Стандартный» и «Привилегированный».

Оперативные обновления

Оперативные обновления представляют собой бюллетени безопасности и могут быть следующих видов:

  • инструкции, содержащие сведения о компенсирующих мерах или ограничениях по применению операционной системы при ее эксплуатации;
  • обновления безопасности, представляющие собой файл формата IS09660 либо UDF с программными компонентами из состава ОС СН, в которые внесены изменения с целью оперативного устранения недостатков и ранее неизвестных уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновления безопасности;
  • методические указания по установке, настройке и особенностям эксплуатации ОС СН с установленным обновлением безопасности.

Оперативные обновления предназначены для оперативного устранения ранее неизвестных уязвимостей и недостатков в экземплярах ОС СН, находящихся в эксплуатации, и не предусматривают внесение изменений в комплект документации очередного обновления, характеристики которого подтверждены сертификатом соответствия требованиям безопасности информации.

Обновления безопасности, содержащие программное обеспечение из состава ОС СН, в которое внесены изменения в целях устранения уязвимостей, не являются самостоятельным программным изделием, серийное производство и поставка (в том числе на материальных носителях) обновлений безопасности конструкторской документацией ОС СН не предусмотрены.

Сертификационные испытания обновлений безопасности организуются ООО «РусБИТех-Астра» в соответствии с требованиями систем сертификации средств защиты информации Российской Федерации.

На примере операционной системы специального назначения  «Astra Linux Special Edition» РУСБ.10015-01, предназначенной для 64-х разрядных платформ на базе процессорной архитектуры x86-64:

  • Выпуск оперативных обновлений осуществляется для экземпляров ОС СН, изготавливаемых по действующей документации, находящейся в архиве ООО «РусБИТех-Астра», а также изготовленных ранее по документации с изменениями, внесенными по предыдущему извещению об изменении (предыдущей версии), т. е. в настоящее время (по состоянию на декабрь 2020 года) такие работы осуществляются в отношении версий 1.5 и 1.6 (для ОС СН, сертифицированной в систем сертификации средств защиты информации ФСБ России, только для версии 1.6).

  • ООО «РусБИТех-Астра» осуществляется подготовка к серийному производству в 2021 году очередного (планового) обновления операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 – версии 1.7. После внесения изменений в документацию и проведения сертификационных испытаний проведение работ по устранению уязвимостей программного обеспечения операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (версия 1.5) будет прекращено.

Оперативные обновления выпускаются и предоставляются пользователям на безвозмездной основе. Обязательные требования о применении всех обновлений безопасности у разработчика ОС СН отсутствуют.

Способы и порядок доведения обновлений безопасности до пользователей (потребителей) устанавливается каждой системой сертификации средств защиты информации Российской Федерации самостоятельно. Например, для информационных систем, находящихся в компетенции ФСТЭК России, официальным источником получения обновлений безопасности является официальный сайт https://wiki.astralinux.ru, а для информационных систем, находящихся в компетенции Министерства обороны Российской Федерации или ФСБ России, доведение обновлений до пользователей (потребителей) осуществляется структурными подразделениями соответствующих ведомств.

Заключение

Учитывая изложенное, сопровождение (техническая поддержка) ОС СН в части работ по устранению уязвимостей осуществляется на протяжении всего срока эксплуатации ОС СН и подразумевает применение потребителями оперативных и очередных обновлений.

Поддержание в безопасном состоянии информационных систем, в составе которых применяются экземпляры ОС СН, в отношении которых выпуск оперативных обновлений не осуществляется, необходимо обеспечивать иными программно-техническими способами и/или компенсирующими мерами.

  • No labels