ООО «РусБИТех-Астра» является правообладателем, разработчиком и заявителем на сертификацию программного изделия «Операционная система специального назначения «Astra Linux Special Edition», зарегистрированного под указанным полным наименованием в Реестре программ для ЭВМ, а также принятого на снабжение Вооруженных Сил Российской Федерации.

Таким образом, изделием – является «Операционная система специального назначения «Astra Linux Special Edition» (далее – ОС СН), и в отношении этого издения в соответствии с требованиями систем сертификации средств защиты информации Российской Федерации ООО «РусБИТех-Астра» осуществляет работы по устранению уязвимостей и недекларированных возможностей и выпуску:

• очередных обновлений (новых версий) ОС СН;
• оперативных обновлений ОС СН.

Порядок работ по устранению уязвимостей и недекларированных возможностей и выпуску очередных обновлений (новых версий) и оперативных обновлений (обновлений безопасности) ОС СН установлен в:

• документации ОС СН (согласована ФСТЭК России);
• «Регламенте организации работ по устранению уязвимостей и выпуску обновлений безопасности...» (согласован и утвержден Министерством обороны Российской Федерации);
• документе «Операционная система специального назначения «Astra Linux Special Edition». Порядок обновления. РУСБ.10015-16 98 01» (согласован ФСБ России).

Очередные обновления (новые версии)

Очередные обновления (новые версии) ОС СН представляют собой заводские экземпляры ОС СН, изготовленные в соответствии с конструкторской (программной) и технологической документацией, действующей на момент изготовления, с внесенными в нее по ГОСТ 2.503-2013 изменениями. Номер версии вместе с заводским номером, присвоенным на производстве, используется для однозначной идентификации экземпляра ОС СН, находящегося в эксплуатации и для планирования и доведения обновлений при оказании услуг технической поддержки.

Очередные обновления (новые версии) решают задачи повышения качества программного обеспечения и документации, поддержки современного оборудования, реализации новых функциональных возможностей, повышения уровня защищенности, устранения известных уязвимостей и др.

Очередные обновления (новые версии) предоставляются в соответствии с установленным правообладателем порядком, изложенным в «Лицензионном соглашении с конечным пользователем по использованию ОС СН (https://astralinux.ru/information/licenses), согласно которому пользователи обязаны периодически, но не реже одного раза в 36 месяцев, в течение срока эксплуатации получать у правообладателя экземпляры ОС СН, в отношении которых осуществляется выпуск оперативных обновлений.

В соответствии с «Положением о технической поддержке» (https://astralinux.ru/support/technical-support-statement) право доступа к очередным обновлениям (новым версиям) на безвозмездной основе имеют пользователи, получающие услуги технической поддержки уровней «Стандартный» и «Привилегированный».

Оперативные обновления

Оперативные обновления представляют собой бюллетени безопасности и могут быть следующих видов:

• инструкции, содержащие сведения о компенсирующих мерах или ограничениях по применению операционной системы при ее эксплуатации;
• обновления безопасности, представляющие собой файл формата IS09660 либо UDF с программными компонентами из состава ОС СН, в которые внесены изменения с целью оперативного устранения недостатков и ранее неизвестных уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновления безопасности;
• методические указания по установке, настройке и особенностям эксплуатации ОС СН с установленным обновлением безопасности.

Оперативные обновления предназначены для оперативного устранения ранее неизвестных уязвимостей и недостатков в экземплярах ОС СН, находящихся в эксплуатации, и не предусматривают внесение изменений в комплект документации очередного обновления, характеристики которого подтверждены сертификатом соответствия требованиям безопасности информации.

Обновления безопасности, содержащие программное обеспечение из состава ОС СН, в которое внесены изменения в целях устранения уязвимостей, не являются самостоятельным программным изделием, серийное производство и поставка (в том числе на материальных носителях) обновлений безопасности конструкторской документацией ОС СН не предусмотрены.

Сертификационные испытания обновлений безопасности организуются ООО «РусБИТех-Астра» в соответствии с требованиями систем сертификации средств защиты информации Российской Федерации.

Оперативные обновления выпускаются и предоставляются пользователям на безвозмездной основе. Обязательные требования о применении всех обновлений безопасности у разработчика ОС СН отсутствуют.

Способы и порядок доведения обновлений безопасности до пользователей (потребителей) устанавливается каждой системой сертификации средств защиты информации Российской Федерации самостоятельно. Например, для информационных систем, находящихся в компетенции ФСТЭК России, официальным источником получения обновлений безопасности является официальный сайт https://wiki.astralinux.ru, а для информационных систем, находящихся в компетенции Министерства обороны Российской Федерации или ФСБ России, доведение обновлений до пользователей (потребителей) осуществляется структурными подразделениями соответствующих ведомств.

Заключение

Учитывая изложенное, сопровождение (техническая поддержка) ОС СН в части работ по устранению уязвимостей осуществляется на протяжении всего срока эксплуатации ОС СН и подразумевает применение потребителями оперативных и очередных обновлений.

Поддержание в безопасном состоянии информационных систем, в составе которых применяются экземпляры ОС СН, в отношении которых выпуск оперативных обновлений не осуществляется, необходимо обеспечивать иными программно-техническими способами и/или компенсирующими мерами.