Окружение

Вопрос

Прошу Вас проинформировать по поводу бюллетеней обновлений, а именно, имеют ли пакеты в составе обновления сертификаты ФСБ России и ФСТЭК России, и можно ли производить обновление аттестованных объектов без повторных мероприятий по аттестации.

Ответ

ООО "РусБИТех-Астра" (далее — изготовитель) осуществляет работы по выявлению и устранению уязвимостей в экземплярах сертифицированной ОС Astra Linux, находящихся в эксплуатации, в соответствии со следующими документами:

Источником получения обновлений для информационных (автоматизированных) систем является официальный информационный ресурс изготовителя (разработчика).

Работы по оценке соответствия оперативных обновлений требованиям безопасности информации ФСТЭК России организуются в порядке, установленном действующим Положением о системе сертификации средств защиты информации ФСТЭК России, одновременно с их выпуском. Изготовитель публикует на сайте и доводит оперативные обновления до потребителей для их применения в составе информационных систем до завершения предусмотренных приказом испытаний по оценке соответствия требованиям безопасности информации. Применение оперативных обновлений не является основанием для повторной аттестации информационных систем и объектов информатизации, аттестованных по требованиям безопасности информации. Все работы по обновлению средств защиты информации проводятся в рамках действующих аттестатов соответствия ФСТЭК России на информационные системы и объекты информатизации.

Для информационных (автоматизированных) систем, находящихся в компетенции ФСБ России, официальный информационный ресурс изготовителя также является официальным источником получения оперативных обновлений для использования в работе предприятиями промышленности. При этом, обновления публикуются только после завершения контрольных тематических исследований.

Для информационных (автоматизированных) систем, находящихся в компетенции Минобороны России, применение оперативных обновлений возможно только по завершении сертификации. В соответствии с изменениями Регламента, утвержденными 20.12.2022 г. начальником 8 Управления Генерального штаба Вооруженных Сил Российской Федерации, источником получения оперативных обновлений, в том числе для ознакомления, установки и использования эксплуатирующими организациями, включая предприятия оборонно-промышленного комплекса, осуществляющими выполнение опытно-конструкторских и иных работ в интересах Министерства обороны Российской Федерации, является официальный информационный ресурс изготовителя.

Таким образом, оперативные обновления, опубликованные на официальном справочном ресурсе:

  • В информационных (автоматизированных) системах, находящихся в компетенции ФСТЭК России, — можно применять до завершения работ по оценке соответствия требованиям безопасности информации. Обновления опубликованы и доступны для загрузки по ссылкам, размещенным на странице Справочного центра Операционные системы Astra Linux.
  • В информационных (автоматизированных) системах, находящихся в компетенции ФСБ России, — можно применять только обновления, прошедшие контрольные тематические исследования и опубликованные на странице Справочного центра Оперативные обновления для Astra Linux Special Edition РУСБ.10015-16 исп. 1 и 2.
  • В информационных (автоматизированных) системах, находящихся в компетенции МО РФ, — можно применять по завершении сертификации. Обновления опубликованы и доступны для загрузки по ссылкам, размещенным на странице Справочного центра Операционные системы Astra Linux.