Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)

См. также: Порядок сопровождения сертифицированных операционных систем специального назначения Astra Linux Special Edition x.8

ООО «РусБИТех-Астра» является правообладателем, разработчиком и заявителем на сертификацию программного изделия «Операционная система специального назначения «Astra Linux Special Edition».

Внимание!

В свидетельстве о государственной регистрации программы для ЭВМ и соответствующей записи в Едином реестре российских программ для электронных вычислительных машин и баз данных, а также в сертификатах соответствия операционная система специального назначения «Astra Linux Special Edition» указана под данным полным наименованием, без дополнительной классификации.

Таким образом, изделием, в отношении которого осуществляются работы по развитию, сопровождению и устранению уязвимостей и недекларированных возможностей, является — «Операционная система специального назначения «Astra Linux Special Edition» (далее – ОС Astra Linux).
В целях усовершенствования функциональных возможностей и возможностей безопасности ОС Astra Linux жизненным циклом предусмотрены работы по ее непрерывному развитию, предполагающие постоянный анализ актуальных требований, предъявляемых к операционным системам и средствам защиты информации и работы по обеспечению соответствия ОС Astra Linux указанным требованиям.
В рамках жизненного цикла ООО «РусБИТех-Астра» осуществляет выпуск очередных и оперативных обновлений ОС Astra Linux.
Порядок работ по устранению уязвимостей и недекларированных возможностей и выпуску очередных обновлений и оперативных обновлений ОС Astra Linux установлен в:

  • документации ОС Astra Linux (согласована ФСТЭК России и ФСБ России);
  • «Регламенте организации работ по устранению уязвимостей и выпуску обновлений безопасности...» (согласован и утвержден Министерством обороны Российской Федерации);
  • соглашении по сертификации между ООО «РусБИТех-Астра» и ОАЦ РБ.

Очередные обновления

Очередные обновления представляют собой экземпляры ОС Astra Linux, находящиеся в серийном производстве в соответствии с действующей конструкторской (программной) и технологической документацией, с внесенными плановыми изменениями.

Очередные обновления решают следующий комплекс задач:

  • устранение критических и некритических уязвимостей;
  • обеспечение усовершенствования (модернизации) конструкции;
  • поддержка современного оборудования;
  • реализация новых функциональных возможностей;
  • обеспечение соответствия актуальным требованиям безопасности информации;
  • повышение удобства использования, управления компонентами ОС Astra Linux и другие.

Информация о выпуске очередных обновлений ОС Astra Linux размещаются на официальном сайте https://astralinux.ru, а также доводится до лицензиатов (потребителей) с использованием контактной информации, указанной в заключенных ранее лицензионных договорах (дополнениях к лицензионным договорам).

Выпуск очередных обновлений сопровождается внесением изменений в единый комплект конструкторской (программной) документации порядком, предусмотренным ГОСТ 2.503.
После внесения изменений в документацию и проведения сертификационных испытаний нового очередного обновления, серийное производство предыдущего очередного обновления прекращается, а все ранее изготовленные экземпляры ОС Astra Linux переводятся в статус заводской партии и находятся на складе готовой продукции до востребования.

Очередные обновления предоставляются пользователям при заключении соответствующего лицензионного договора или дополнения к имеющемуся лицензионному договору, а также в соответствии с положениями «Лицензионного соглашения с конечным пользователем по использованию операционной системы специального назначения «Astra Linux Special Edition» (https://astralinux.ru/information/licenses/). В соответствии с Положением о технической поддержке (https://astralinux.ru/support/technical-support-statement)
право доступа к очередным обновлениям на безвозмездной основе имеют пользователи, получающие услуги технической поддержки уровней «Стандартный» и «Привилегированный».
В целях поддержания информационных (автоматизированных) систем в безопасном состоянии, обеспечения их работоспособности совместно с современным оборудованием и увеличения срока эксплуатации, рекомендуется на постоянной основе планировать и организовывать проведение мероприятий по применению очередного обновления ОС Astra Linux, что также закреплено в «Лицензионном соглашении с конечным пользователем…» (п. 2.3), являющемся неотъемлемой частью заключаемых лицензионных договоров (см. ЛИЦЕНЗИОННЫЕ СОГЛАШЕНИЯ И ПОЛИТИКА ЛИЦЕНЗИРОВАНИЯ ГК ASTRA LINUX).

Оперативные обновления

Оперативные обновления решают задачи:

  1. Оперативного устранения критических уязвимостей и уязвимостей высокого уровня опасности.
  2. Устранения функциональных недостатков.
  3. Совершенствование функциональных возможностей.

Оперативные обновления представляют собой бюллетень безопасности,  который доступен в виде:

  1. Инструкций и методических указаний по настройке и особенностям эксплуатации операционной системы содержащих сведения о компенсирующих мерах или ограничениях по применению операционной системы при эксплуатации.
  2. Отдельных программных компонентов из состава операционной системы в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления.
  3. Обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава операционной системы в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС Astra Linux с установленными обновлениями безопасности.

Обновления безопасности представляют собой отдельные программные документы, не предусматривающие внесение изменений в комплект документации очередного обновления, характеристики которого подтверждены сертификатом соответствия. Таким  образом, сертификат соответствия очередного обновления ОС Astra Linux, поставляемого потребителям в комплектности в соответствии с формуляром, является действующим вне зависимости от выпуска оперативного обновления.

Все оперативные обновления перед публикацией проходят тестирование в рамках процедур по разработке безопасного программного обеспечения, а также тестирование с целью подтверждения устранения и/или невозможности использования выявленных уязвимостей, невнесения новых уязвимостей, невлияния обновлений на сертифицированные функции безопасности операционной системы и соответствия операционной системы с внесенными изменениями функциональному предназначению.

Оперативные обновления предоставляется пользователям на безвозмездной основе.

Лицензиаты (потребители) оповещаются о выпуске и возможности получения обновления с использованием контактной информации, указанной в лицензионных договорах и дополнениях к ним, путем размещения соответствующей информации на официальном сайте и через личный кабинет.

Оперативные обновления не являются самостоятельным программным изделием. Серийное производство и поставка (в том числе на материальных носителях) оперативных обновлений не предусмотрены.

Внимание!

Выпуск оперативных обновлений осуществляется как в отношении очередного обновления, находящегося в серийном производстве, так и в отношении заводской партии ранее изготовленных экземпляров предыдущего очередного обновления ОС Astra Linux.

Обязательные требования о применении всех обновлений безопасности у разработчика Astra Linux Special Edition отсутствуют.  При этом, в соответствии с требованиями, предъявляемыми к защите информации ограниченного доступа, оператор информационной системы должен обеспечивать реализацию мер по контролю защищенности информационных систем, обрабатывающих информацию ограниченного доступа, в том числе устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации, путем установки обновлений программного обеспечения средств защиты информации.

Доведение оперативных обновлений до потребителей осуществляется:

  • Для информационных (автоматизированных) систем, находящихся в компетенции ФСТЭК России и Министерства обороны Российской Федерации, — изготовителем ОС Astra Linux путем распространения по сетям связи. Источником получения оперативного обновления, подписанного усиленной квалифицированной электронной подписью изготовителя, является официальный сайт изготовителя.

  • Для информационных (автоматизированных) систем, находящихся в компетенции ФСБ России, официальный информационный ресурс изготовителя является официальным источником получения оперативных обновлений для использования в работе предприятиями промышленности. Для применения в составе эксплуатируемых автоматизированных систем распространение и доведение обновлений осуществляется уполномоченным структурным подразделением ФСБ России.

  • Для информационных (автоматизированных) систем Республики Беларусь — изготовителем ОС Astra Linux путем распространения по сетям связи.

Порядок применения оперативных обновлений в составе аттестованных по требованиям безопасности информации информационных (автоматизированных) систем устанавливается в пределах своих полномочий ФСТЭК России, Министерством обороны Российской Федерации, ФСБ России и ОАЦ РБ.

Учитывая изложенное, сопровождение (техническая поддержка) ОС Astra Linux осуществляется на протяжении всего срока эксплуатации путем последовательного применения потребителями очередных и соответствующих им оперативных обновлений, что обеспечивает возможность нейтрализации актуальных угроз безопасности информации.

Внимание!

Поддержание в безопасном состоянии информационных систем, функционирующих под управлением экземпляров ОС Astra Linux заводских партий, для которых не выпускаются оперативные обновления, осуществляется только путем применения актуального очередного обновления ОС Astra Linux или иными программно-техническими способами и/или компенсирующими мерами.

Потребителям, эксплуатирующим экземпляры ОС Astra Linux заводских партий, для которых выпуск оперативных обновлений прекращен, предоставляется возможность обновления (миграции) путем получения и установки необходимого количества экземпляров Astra Linux, для которых выпуск оперативных обновлений осуществляется. Подробные условия предоставляются по запросу.