ООО «РусБИТех-Астра» является правообладателем, разработчиком и заявителем на сертификацию программного изделия «Операционная система специального назначения «Astra Linux Special Edition», зарегистрированного под указанным полным наименованием в Реестре программ для ЭВМ, а также принятого на снабжение Вооруженных Сил Российской Федерации.

Таким образом, изделием – является «Операционная система специального назначения «Astra Linux Special Edition» (далее – ОС СН), и в отношении этого издения в соответствии с требованиями систем сертификации средств защиты информации Российской Федерации ООО «РусБИТех-Астра» осуществляет работы по устранению уязвимостей и недекларированных возможностей и выпуску:

• очередных обновлений (новых версий) ОС СН;
• оперативных обновлений ОС СН.

Порядок работ по устранению уязвимостей и недекларированных возможностей и выпуску очередных обновлений (новых версий) и оперативных обновлений (обновлений безопасности) ОС СН установлен в:

• документации ОС СН (согласована ФСТЭК России);
• «Регламенте организации работ по устранению уязвимостей и выпуску обновлений безопасности...» (согласован и утвержден Министерством обороны Российской Федерации);
• документе «Операционная система специального назначения «Astra Linux Special Edition». Порядок обновления. РУСБ.10015-16 98 01» (согласован ФСБ России).

Очередные обновления (новые версии)

Очередные обновления (новые версии) ОС СН представляют собой заводские экземпляры ОС СН, изготовленные в соответствии с конструкторской (программной) и технологической документацией, действующей на момент изготовления, с внесенными в нее по ГОСТ 2.503-2013 изменениями. Номер версии вместе с заводским номером, присвоенным на производстве, используется для однозначной идентификации экземпляра ОС СН, находящегося в эксплуатации и для планирования и доведения обновлений при оказании услуг технической поддержки.

Очередные обновления (новые версии) решают задачи повышения качества программного обеспечения и документации, поддержки современного оборудования, реализации новых функциональных возможностей, повышения уровня защищенности, устранения известных уязвимостей и др.

Очередные обновления (новые версии) предоставляются в соответствии с установленным правообладателем порядком, изложенным в «Лицензионном соглашении с конечным пользователем по использованию ОС СН (https://astralinux.ru/information/licenses), согласно которому пользователи обязаны периодически, но не реже одного раза в 36 месяцев, в течение срока эксплуатации получать у правообладателя экземпляры ОС СН, в отношении которых осуществляется выпуск оперативных обновлений.

В соответствии с «Положением о технической поддержке» (https://astralinux.ru/support/technical-support-statement) право доступа к очередным обновлениям (новым версиям) на безвозмездной основе имеют пользователи, получающие услуги технической поддержки уровней «Стандартный» и «Привилегированный».

Оперативные обновления (обновления безопасности и методические указания)

Оперативные обновления (обновления безопасности) ОС СН представляют собой отдельные программные документы, не предусматривающие внесение изменений в комплект документации очередного обновления (версии), характеристики которого подтверждены сертификатом соответствия.

Оперативные обновления решают задачи повышения качества программного обеспечения, поддержки современного оборудования, иных возможностей, повышения уровня защищенности, устранения известных уязвимостей, но, в отличие от очередных обновлений, не являются самостоятельным программным изделием, серийное производство и поставка (в том числе на материальных носителях) обновлений безопасности конструкторской документацией ОС СН не предусмотрены.

Оперативные обновления предоставляются путём публикации бюллетеней безопасности на WEB-сайте https://wiki.astralinux.ru , и могут содержать:

• обновления безопасности, представляющие собой:
  • файл (файлы) обновления (образ диска (в формате IS09660 либо UDF) или архив), содержащий (содержащие) программные компоненты из состава ОС СН, в которые внесены изменения с целью оперативного устранения недостатков и ранее неизвестных уязвимостей;
  • файлы, содержащие сведения о контрольных суммах и цифровых подписях всех файлов обновления;
• методические указания, содержащие сведения о компенсирующих мерах или ограничениях по применению операционной системы при ее эксплуатации;
• инструкции по установке, настройке обновления и особенностям эксплуатации ОС СН с установленным обновлением безопасности.

Сертификационные испытания оперативных обновлений организуются ООО «РусБИТех-Астра» в соответствии с требованиями систем сертификации средств защиты информации Российской Федерации.

Оперативные обновления выпускаются и предоставляются пользователям на безвозмездной основе. Обязательные требования о применении всех обновлений безопасности у разработчика ОС СН отсутствуют.

Способы и порядок доведения обновлений безопасности до пользователей (потребителей) устанавливается каждой системой сертификации средств защиты информации Российской Федерации самостоятельно. Например, для информационных систем, находящихся в компетенции ФСТЭК России, официальным источником получения обновлений безопасности является официальный сайт разработчика (заявителя), а для информационных систем, находящихся в компетенции Министерства обороны Российской Федерации или ФСБ России, доведение обновлений до пользователей (потребителей) осуществляется структурными подразделениями соответствующих ведомств.

Заключение

Учитывая изложенное, сопровождение (техническая поддержка) ОС СН в части работ по устранению уязвимостей осуществляется на протяжении всего срока эксплуатации ОС СН и подразумевает применение потребителями оперативных и очередных обновлений.

Поддержание в безопасном состоянии информационных систем, в составе которых применяются экземпляры ОС СН, в отношении которых выпуск оперативных обновлений не осуществляется, необходимо обеспечивать иными программно-техническими способами и/или компенсирующими мерами.