Download PDF
Download page Порядок применения обновлений для ОС в информационных системах.
Порядок применения обновлений для ОС в информационных системах
Окружение
Вопрос
Прошу Вас проинформировать по поводу бюллетеней обновлений, а именно, имеют ли пакеты в составе обновления сертификаты ФСБ России и ФСТЭК России, и можно ли производить обновление аттестованных объектов без повторных мероприятий по аттестации.
Ответ
ООО "РусБИТех-Астра" (далее — изготовитель) осуществляет работы по выявлению и устранению уязвимостей в экземплярах сертифицированной ОС Astra Linux, находящихся в эксплуатации, в соответствии со следующими документами:
- "Положение о системе сертификации средств защиты информации", утвержденное приказом ФСТЭК России № 55 (далее — Положение о системе сертификации средств защиты информации ФСТЭК России);
- "Положение о системе сертификации средств защиты информации", утвержденное приказом Министра обороны Российской Федерации от 29 сентября 2020 г. № 488;
- "Регламент организации работ по устранению уязвимостей и выпуску обновлений безопасности...", утвержденный Восьмым управлением Генерального штаба Вооруженных Сил Российской Федерации и согласованный с заказывающими и довольствующими органами военного управления.
Источником получения обновлений для информационных (автоматизированных) систем является официальный информационный ресурс изготовителя (разработчика).
Работы по оценке соответствия оперативных обновлений требованиям безопасности информации ФСТЭК России организуются в порядке, установленном действующим Положением о системе сертификации средств защиты информации ФСТЭК России, одновременно с их выпуском. Изготовитель публикует на сайте и доводит оперативные обновления до потребителей для их применения в составе информационных систем до завершения предусмотренных приказом испытаний по оценке соответствия требованиям безопасности информации. Применение оперативных обновлений не является основанием для повторной аттестации информационных систем и объектов информатизации, аттестованных по требованиям безопасности информации. Все работы по обновлению средств защиты информации проводятся в рамках действующих аттестатов соответствия ФСТЭК России на информационные системы и объекты информатизации.
Для информационных (автоматизированных) систем, находящихся в компетенции ФСБ России, официальный информационный ресурс изготовителя также является официальным источником получения оперативных обновлений для использования в работе предприятиями промышленности. При этом, обновления публикуются только после завершения контрольных тематических исследований.
Для информационных (автоматизированных) систем, находящихся в компетенции Минобороны России, применение оперативных обновлений возможно только по завершении сертификации. В соответствии с изменениями Регламента, утвержденными 20.12.2022 г. начальником 8 Управления Генерального штаба Вооруженных Сил Российской Федерации, источником получения оперативных обновлений, в том числе для ознакомления, установки и использования эксплуатирующими организациями, включая предприятия оборонно-промышленного комплекса, осуществляющими выполнение опытно-конструкторских и иных работ в интересах Министерства обороны Российской Федерации, является официальный информационный ресурс изготовителя.
Таким образом, оперативные обновления, опубликованные на официальном справочном ресурсе:
- В информационных (автоматизированных) системах, находящихся в компетенции ФСТЭК России, — можно применять до завершения работ по оценке соответствия требованиям безопасности информации. Обновления опубликованы и доступны для загрузки по ссылкам, размещенным на странице Справочного центра Операционные системы Astra Linux.
- В информационных (автоматизированных) системах, находящихся в компетенции ФСБ России, — можно применять только обновления, прошедшие контрольные тематические исследования и опубликованные на странице Справочного центра Оперативные обновления для Astra Linux Special Edition РУСБ.10015-16 исп. 1 и 2.
- В информационных (автоматизированных) системах, находящихся в компетенции МО РФ, — можно применять по завершении сертификации. Обновления опубликованы и доступны для загрузки по ссылкам, размещенным на странице Справочного центра Операционные системы Astra Linux.