ПРОЦЕССЫ, ОБЕСПЕЧИВАЮЩИЕ ПОДДЕРЖАНИЕ ЖИЗНЕННОГО ЦИКЛА ОПЕРАЦИОННОЙ СИСТЕМЫ

ОС «СТРЕЛЕЦ»
1. Общие сведения

Жизненный цикл операционной системы (ОС) общего назначения "Стрелец" представлен на рис. 1.
Рис. 1.
Работы по поддержанию жизненного цикла ОС предполагают выпуск планового обновления ОС и выпуск обновлений безопасности ОС (разделы 2,3 настоящего документа).

2. Выпуск планового обновления

Плановый выпуск обновления (внесения изменений в комплект рабочей конструкторской документации (РКД)) ОС осуществляются один раз в год. При этом решаются следующие задачи:

  • обеспечение поддержки современного оборудования;
  • реализация новых функциональных возможностей программного обеспечения, входящего в состав изделия;
  • устранение ошибок и повышение уровня защищенности изделия;
  • повышение удобства использования и управления компонентами изделия.

При этом внесение изменений в РКД ОС осуществляется в соответствии с требованиями ГОСТ 2.503, ГОСТ 2.902, ГОСТ 15.307 и сопровождается выпуском предварительного извещения, изготовлением образцов ОС с внесенными предлагаемыми изменениями, проведением типовых испытаний в соответствии с техническими условиями и, в случае успешного проведения типовых испытаний, внесением предварительных изменений в РКД. Окончательно изменения в комплект РКД вносятся по результатам инспекционного контроля, проводимого испытательной лабораторией в соответствии с действующим регламентом Федерального органа по сертификации средств защиты информации. По результатам внесения изменений все лицензиаты (потребители) оповещаются о возможности получения и использования доработанной (обновленной) ОС на условиях заключенного лицензионного договора (дополнения к лицензионному договору).

Порядок информирования потребителей о выпуске и порядок получения ими планового обновления изложен в разделе 4 настоящего документа.

Верификация потребителями планового обновления ОС (входной контроль) осуществляется посредством подсчета контрольных сумм CD/DVD-дисков. Значения контрольных сумм и порядок их вычисления определены в формуляре на ОС.

Дополнительная верификация файлов, входящих в состав планового обновления ОС, осуществляется в соответствии с документацией на ОС.

3. Выпуск обновлений безопасности

При подготовке обновлений безопасности ОС решается задача устранения ошибки в программном обеспечении, которая может быть использована для нарушения установленных правил разграничения доступа к обрабатываемой, хранимой и передаваемой информации и не может быть устранена путем организационно-технических мероприятий на объекте эксплуатации. При этом подготовка обновления безопасности ОС предусматривает следующие работы:

1) При получении уведомления о наличии уязвимости изделия разработчиком описывается порядок проверки наличия уязвимости в ОС в условиях наличия установленных правил разграничения доступа к условной тестовой информации. Факт наличия уязвимости в изделии подтверждается при наступлении любого из перечисленных событий:

  • получение доступа к тестовой информации в нарушение установленных правил разграничения доступа;
  • нарушение целостности тестовой информации или компонентов изделия в нарушение установленных правил разграничения доступа;
  • получение пользователем полномочий администратора в изделии в нарушение установленных правил предоставления прав доступа и выполнение произвольных действий в отношении тестовой информации и ОС.

2) Разработчик формулирует предложения по проведению организационно-технических мероприятий, устраняющих выявленную уязвимость изделия на объектах эксплуатации или исключающих риск ее использования при проведении компьютерных атак. Такие изменения являются обновлениями безопасности, в РКД не вносятся, а доводятся до потребителя в виде инструкций, содержащих сведения об обязательных к проведению при эксплуатации ОС организационно-технических мероприятиях.

3) В случае невозможности сформулировать предложения по проведению организационно-технических мероприятий, устраняющие выявленную уязвимость изделия на объектах эксплуатации или исключающие риск ее использования при проведении компьютерных атак, либо в случае неэффективности таких предложений, разработчик подготавливает изменения в РКД ОС. Такие изменения являются обновлениями безопасности, в РКД не вносятся, а в виде отдельных файлов, отдельных пакетов программ или совокупности (комплекта) пакетов программ доводятся до потребителя. Внесение в РКД таких изменений, аккумулированных в течение периода между выпуском плановых обновлений (новых версий), осуществляется разработчиком один раз в год в порядке, предусмотренном п. 2 настоящего документа.

4) После подготовки обновлений безопасности проводится его тестирование в соответствии с документацией на ОС в условиях наличия установленных правил разграничения доступа к условной тестовой информации с целью контроля обеспечения выполнения всех предусмотренных конструкторской и эксплуатационной документацией ОС функций, а также с целью подтверждения невозможности использования выявленной уязвимости при проведении компьютерных атак.

5) Дальнейший порядок информирования потребителей о выпуске и порядок получения ими обновления безопасности изложен в п. 4 настоящей инструкции.

6) Верификация потребителями файлов обновлений безопасности ОС осуществляется с помощью подсчета контрольных сумм. Алгоритм подсчета контрольных сумм указан в Формуляре на ОС.

4. Порядок информирования о выпуске обновлений и доведение обновлений до потребителей

После завершения процедуры внесения изменений в РКД ОС лицензиаты (потребители) оповещаются о возможности и порядке получения планового обновления или обновления безопасности изделия, как с использованием контактной информации, указанной в заключенных ранее лицензионных договорах (дополнениях к лицензионным договорам), так и путем размещения соответствующей информации на сайте разработчика http://vniins.ru.Получение планового обновления ОС возможно в установленном порядке путем заключения соответствующего договора или дополнения к ранее заключенному лицензионному договору.

Источником обновлений безопасности ОС является официальный сайт разработчика изделия http://vniins.ru, на котором в соответствующем разделе размещаются обновления безопасности, доступные в виде:

  • отдельных инструкций, содержащих сведения об обязательных к проведению при эксплуатации ОС организационно-технических мероприятиях;
  • отдельных файлов программ, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов обновления безопасности;
  • отдельных пакетов программ (комплекта пакетов программ), инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности ОС;
  • методических указаний по настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.