ООО «РусБИТех-Астра» является правообладателем, разработчиком и заявителем на сертификацию программного изделия «Операционная система специального назначения «Astra Linux Special Edition».

Таким образом, изделием, в отношении которого осуществляются работы по развитию, сопровождению и устранению уязвимостей и недекларированных возможностей, является — «Операционная система специального назначения «Astra Linux Special Edition» (далее – ОС Astra Linux).
В целях усовершенствования функциональных возможностей и возможностей безопасности ОС Astra Linux жизненным циклом предусмотрены работы по ее непрерывному развитию, предполагающие постоянный анализ актуальных требований, предъявляемых к операционным системам и средствам защиты информации и работы по обеспечению соответствия ОС Astra Linux указанным требованиям.
В рамках жизненного цикла ООО «РусБИТех-Астра» осуществляет выпуск очередных и оперативных обновлений ОС Astra Linux.
Порядок работ по устранению уязвимостей и недекларированных возможностей и выпуску очередных обновлений и оперативных обновлений ОС Astra Linux установлен в:

• документации ОС Astra Linux (согласована ФСТЭК России и ФСБ России);
• «Регламенте организации работ по устранению уязвимостей и выпуску обновлений безопасности...» (согласован и утвержден Министерством обороны Российской Федерации);
• соглашении по сертификации между ООО «РусБИТех-Астра» и ОАЦ РБ.

Очередные обновления

Очередные обновления представляют собой экземпляры ОС Astra Linux, находящиеся в серийном производстве в соответствии с действующей конструкторской (программной) и технологической документацией, с внесенными плановыми изменениями.

Очередные обновления решают следующий комплекс задач:

• устранение критических и некритических уязвимостей;
• обеспечение усовершенствования (модернизации) конструкции;
• поддержка современного оборудования;
• реализация новых функциональных возможностей;
• обеспечение соответствия актуальным требованиям безопасности информации;
• повышение удобства использования, управления компонентами ОС Astra Linux и другие.

Информация о выпуске очередных обновлений ОС Astra Linux размещаются на официальном сайте https://astralinux.ru, а также доводится до лицензиатов (потребителей) с использованием контактной информации, указанной в заключенных ранее лицензионных договорах (дополнениях к лицензионным договорам).

Выпуск очередных обновлений сопровождается внесением изменений в единый комплект конструкторской (программной) документации порядком, предусмотренным ГОСТ 2.503.
После внесения изменений в документацию и проведения сертификационных испытаний нового очередного обновления, серийное производство предыдущего очередного обновления прекращается, а все ранее изготовленные экземпляры ОС Astra Linux переводятся в статус заводской партии и находятся на складе готовой продукции до востребования.

Очередные обновления предоставляются пользователям при заключении соответствующего лицензионного договора или дополнения к имеющемуся лицензионному договору, а также в соответствии с положениями «Лицензионного соглашения с конечным пользователем по использованию операционной системы специального назначения «Astra Linux Special Edition» (https://astralinux.ru/information/licenses/). В соответствии с Положением о технической поддержке (https://astralinux.ru/support/technical-support-statement)
право доступа к очередным обновлениям на безвозмездной основе имеют пользователи, получающие услуги технической поддержки уровней «Стандартный» и «Привилегированный».
В целях поддержания информационных (автоматизированных) систем в безопасном состоянии, обеспечения их работоспособности совместно с современным оборудованием и увеличения срока эксплуатации, рекомендуется на постоянной основе планировать и организовывать проведение мероприятий по применению очередного обновления ОС Astra Linux, что также закреплено в «Лицензионном соглашении с конечным пользователем…» (п. 2.3), являющемся неотъемлемой частью заключаемых лицензионных договоров (см. ЛИЦЕНЗИОННЫЕ СОГЛАШЕНИЯ И ПОЛИТИКА ЛИЦЕНЗИРОВАНИЯ ГК ASTRA LINUX).

Оперативные обновления

Оперативные обновления решают задачи:

1. Оперативного устранения критических уязвимостей и уязвимостей высокого уровня опасности.
2. Устранения функциональных недостатков.
3. Совершенствование функциональных возможностей.

Оперативные обновления представляют собой бюллетень безопасности,  который доступен в виде:

1. Инструкций и методических указаний по настройке и особенностям эксплуатации операционной системы содержащих сведения о компенсирующих мерах или ограничениях по применению операционной системы при эксплуатации.
2. Отдельных программных компонентов из состава операционной системы в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления.
3. Обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава операционной системы в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС Astra Linux с установленными обновлениями безопасности.

Обновления безопасности представляют собой отдельные программные документы, не предусматривающие внесение изменений в комплект документации очередного обновления, характеристики которого подтверждены сертификатом соответствия. Таким  образом, сертификат соответствия очередного обновления ОС Astra Linux, поставляемого потребителям в комплектности в соответствии с формуляром, является действующим вне зависимости от выпуска оперативного обновления.

Все оперативные обновления перед публикацией проходят тестирование в рамках процедур по разработке безопасного программного обеспечения, а также тестирование с целью подтверждения устранения и/или невозможности использования выявленных уязвимостей, невнесения новых уязвимостей, невлияния обновлений на сертифицированные функции безопасности операционной системы и соответствия операционной системы с внесенными изменениями функциональному предназначению.

Оперативные обновления предоставляется пользователям на безвозмездной основе.

Лицензиаты (потребители) оповещаются о выпуске и возможности получения обновления с использованием контактной информации, указанной в лицензионных договорах и дополнениях к ним, путем размещения соответствующей информации на официальном сайте и через личный кабинет.

Оперативные обновления не являются самостоятельным программным изделием. Серийное производство и поставка (в том числе на материальных носителях) оперативных обновлений не предусмотрены.

Обязательные требования о применении всех обновлений безопасности у разработчика Astra Linux Special Edition отсутствуют.  При этом, в соответствии с требованиями, предъявляемыми к защите информации ограниченного доступа, оператор информационной системы должен обеспечивать реализацию мер по контролю защищенности информационных систем, обрабатывающих информацию ограниченного доступа, в том числе устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации, путем установки обновлений программного обеспечения средств защиты информации.

Доведение оперативных обновлений до потребителей осуществляется:

• Для информационных (автоматизированных) систем, находящихся в компетенции ФСТЭК России и Министерства обороны Российской Федерации, — изготовителем ОС Astra Linux путем распространения по сетям связи. Источником получения оперативного обновления, подписанного усиленной квалифицированной электронной подписью изготовителя, является официальный сайт изготовителя.
  
  
• Для информационных (автоматизированных) систем, находящихся в компетенции ФСБ России, официальный информационный ресурс изготовителя является официальным источником получения оперативных обновлений для использования в работе предприятиями промышленности. Для применения в составе эксплуатируемых автоматизированных систем распространение и доведение обновлений осуществляется уполномоченным структурным подразделением ФСБ России.
  
  
• Для информационных (автоматизированных) систем Республики Беларусь — изготовителем ОС Astra Linux путем распространения по сетям связи.

Порядок применения оперативных обновлений в составе аттестованных по требованиям безопасности информации информационных (автоматизированных) систем устанавливается в пределах своих полномочий ФСТЭК России, Министерством обороны Российской Федерации, ФСБ России и ОАЦ РБ.

Учитывая изложенное, сопровождение (техническая поддержка) ОС Astra Linux осуществляется на протяжении всего срока эксплуатации путем последовательного применения потребителями очередных и соответствующих им оперативных обновлений, что обеспечивает возможность нейтрализации актуальных угроз безопасности информации.