Политика о выпуске обновлений операционных систем Astra Linux
Политика о выпуске обновлений операционных систем Astra Linux
1. Общие положения
1.1 Настоящая Политика регулирует порядок выпуска ООО "РусБИТех-Астра" (далее – Вендор) обновлений операционных систем Astra Linux.
1.2 Обновления (методические указания, пакеты и iso-образы с пакетами) выпускаются в целях улучшения функциональных возможностей, соответствия сертифицированных операционных систем Astra Linux требованиям по безопасности информации, предотвращения и устранения недостатков операционных систем Astra Linux (далее - Продукт).
1.3 Право на получение обновлений Продукта имеет лицо, которое приобрело лицензию на Продукт по договору с Вендором или партнером Вендора (далее – Пользователь). В момент приобретения лицензии на Продукт Пользователю через личный кабинет направляется сертификат, который предоставляет право на получение обновлений, в течение определенного периода времени и в отношении указанного в нем Продукта, типа лицензии и обновлений, количества установок и, если применимо, уровня защищенности ("Базовый", "Усиленный", "Максимальный") (далее – Сертификат).
1.4 Обновления предоставляются в соответствии с настоящей Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договором, применяются положения договора.
2. Виды обновлений
2.1 Вендор выпускает следующие виды обновлений:
2.1.1 очередные обновления
2.1.2 оперативные обновления
2.2 Очередные обновления решают следующий комплекс задач:
устранение критических и некритических уязвимостей в Продукте;
реализация новых функциональных возможностей Продукта;
обеспечение соответствия актуальным требованиям безопасности информации;
повышение удобства использования, управления компонентами Продукта и др.
Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора и/или в личном кабинете.
2.2.1 Очередные обновления обозначаются десятизначной дробью через точку. Например, 1.7, 1.8 и т.д. Каждое последующее очередное обновление не является новым Продуктом.
2.3 Оперативные обновления предназначены для оперативного устранения критических уязвимостей и уязвимостей высокого уровня опасности (в соответствии с ГОСТ Р 56545-2015) в Продукте, и представляют собой бюллетень безопасности, который доступен в виде:
инструкций и методических указаний по настройке и особенностям использования Продукта, содержащих сведения о компенсирующих мерах или ограничениях по применению Продукта при его использовании;
отдельных программных компонентов из состава Продукта, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава Продукта, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям использования Продукта с установленными обновлениями безопасности.
2.3.1 Обновления безопасности представляют собой отдельные программные документы, не предусматривающие внесение изменений в комплект документации очередного обновления, характеристики которого подтверждены сертификатом соответствия.
2.3.2 Все оперативные обновления перед публикацией на сайте Вендора проходят тестирование в рамках процедур по разработке безопасного программного обеспечения, а также тестирование с целью подтверждения устранения и/или невозможности использования выявленных уязвимостей, невнесения новых уязвимостей и соответствия Продукта с внесенными изменениями функциональному предназначению.
2.3.3 Номер оперативного обновления обозначается числом, которое следует после номера очередного обновления. Например, 1.7.2, где 1.7 – номер очередного обновления, цифра "2" - номер оперативного обновления.
3. Информационно-справочная поддержка функционирования Продукта
3.1 Информационно-справочная поддержка функционирования Продукта осуществляется в соответствии с правилами формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных, утв. Постановлением Правительства РФ от 16.11.2015 №1236, а также требованиями регуляторов в области безопасности информации.
3.2 Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями, указанными в 3.3 Политики.
3.3 Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет (создание Запросов не доступно на уровне обновлений "начальный" (само обеспечение)). Прием Запросов по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК (24/7 для степеней критичности "экстренная" и "высокая" для обновлений "Тип 2"). Сведения об уровнях критичности обновлений Продукта доступны в Личном кабинете. Оповещения о регистрации Запроса приходят автоматически на электронную почту Пользователя с no-reply@astralinux.ru. Для получения обратной связи по телефону необходимо указать контактное лицо, телефон и предпочтительное время для связи.
Телефон - многоканальный телефон +7 (495) 369-48-16 доб. 3, 8 (800) 222-07-00 доб. 3.
Личный кабинет - web-ресурс: https://lk-new.astralinux.ru/ Инструкция по использованию ЛК: https://wiki.astralinux.ru/x/eoWqBw
Мессенджер - mattermost: https://support.astralinux.ru/im Создание ссылки-приглашения на канал доступно в процессе работы над Запросом "высокой" или "экстренной" критичности обновлений (доступно для обновлений "Тип 2"), после чего канал становится доступен через Web или нативный клиент.
3.4 Запросы, содержащие задачи на разработку инструкций выходящих за рамки документации (правила эксплуатации разрабатываемого и выпускаемого Продукта, а также гарантии и сведения по его эксплуатации), с предложениями по развитию функциональных возможностей Продукта, а также по улучшению эргономики интерфейсов его компонентов (далее - Предложение), с конфигурациями не описанными в документации (далее - Альтернативная конфигурация), со сборками образов ALP и ошибкам, после подтверждения и сбора необходимой информации переводятся в статус "Передано профильной команде" или "Передано разработчикам" и отрабатываются без времени реакции. Пользователь оповещается по мере поступления информации от профильных команд Вендора по таким Запросам или по готовности задачи.
3.5 Подробный порядок обработки Запросов, связанных с обновлениями Продукта, размещен в Личном кабинете.
4. Типы обновлений Продукта
Тип 1 | Тип 2 | Тип 3¹ | ||
4.1 | Доступ к обновлениям безопасности Продукта* | + | + | + |
4.2 | Возможность перехода на очередное обновление Продукта (при наличии активного Сертификата)² | + | + | + |
4.3 | Регистрация ошибок, Предложений и отслеживание их статуса через Вендора³ | + | + | + |
4.4 | Информационная поддержка по установке обновлений Продукта | + | + | - |
4.5 | Информационная поддержка по настройке обновлений Продукта | + | + | + |
4.6 | Моделирование сценариев на тестовом стенде Вендора при наличии технической возможности | + | + | + |
4.7 | Удаленное подключение к системе Пользователя для сбора информации, необходимой для решения Запроса** | - | + | - |
4.8 | Информационная поддержка по функционированию Продукта в гетерогенных сетях | - | + | - |
4.9 | Информационная поддержка по установке программного обеспечения технологических партнеров (при условии подтвержденной совместимости в рамках программы "Ready for Astra Linux".)⁴ | - | + | - |
4.10 | Анализ совместимости оборудования с Продуктом по предоставленной спецификации⁵ | + | + | - |
4.11 | Решение вопросов, связанных с совместимостью оборудования, при наличии технической возможности⁶ | + | + | - |
4.12 | Сборка драйверов для оборудования (возможность сборки драйвера рассматривается Вендором при наличии исходных кодов) | - | + | - |
4.13 | Выделенный менеджер для консультаций по вопросам обновлений (Рабочие дни с 09:00 до 18:00 по МСК) | - | + | - |
¹Не взаимозаменяема другими типами обновлений и распространяется только на Продукты, приобретенные через облачных провайдеров.
²Переход на актуальное очередное обновление Продукта (без перехода на новый Продукт, если иное не предусмотрено в отдельном договоре между Пользователем и Вендором или партнером Вендора) доступен при наличии активного Сертификата (подробнее п.7.1 Политики).
³Регистрация ошибок и Предложений производится через Запрос в Личном кабинете. Вендор анализирует Запрос и при необходимости регистрирует задачу во внутренней информационной системе, осуществляет информирование и взаимодействие с Пользователем по задаче через Запрос.
⁴Информационная поддержка оказывается исключительно по установке, но не по настройке или использованию ПО партнеров.
⁵Поддержка оборудования гарантируется, только если оно прошло программу поддержки производителей оборудования и программного обеспечения "Ready For Astra Linux", при этом прогноз совместимости оборудования с Продуктом можно сделать на основании его спецификации.
⁶Набор действий, направленных на обеспечение совместимости Продукта с оборудованием Пользователя, включающих разработку инструкций и/или выпуск обновлений.
* Для актуального и предыдущего очередного обновления. Подробнее п. 7.
**Удаленное подключение к информационной системе Пользователя осуществляется после получения согласия на доступ к инфраструктуре в письменной или электронной форме. Подключение производится в рамках контекста Запроса по согласованию сторон. Дополнительно, стороны согласуют программное средство и время подключения.
Штатное, предусмотренное документацией функционирование семейства операционных систем "Astra Linux" обеспечивается только на рекомендованном Вендором совместимом оборудовании. Перечень рекомендуемого к применению оборудования, а также регламент сертификации на совместимость опубликованы на сайте: https://astralinux.ru/ready-for-astra/compatible-hardware/
5. Обязательства и ответственность Пользователя
5.1 Пользователь обязан:
5.1.1 Устанавливать обновления в соответствии с инструкциями, размещенными в Справочном центре или инструкциями, предоставленными специалистами Вендора. В случае несоблюдения инструкций, Вендор не несет ответственности за сбои в работе Продукта.
5.1.2 Выполнять следующие рекомендации перед применением обновлений и инструкций, предоставленных Вендором на функционирующей инфраструктуре:
создать резервную копию данных или программного обеспечения, если данные удаётся идентифицировать, в случае невозможности идентификации затронутого ПО или данных, создать резервную копию всей конфигурации;
применить обновление или инструкции, в первую очередь на тестовом контуре, полностью повторяющим тестируемый сервис.
5.1.3 Не нарушать функционирование, не создавать помехи в пользовании онлайн-ресурсами Вендора, к которым был предоставлен доступ.
5.2 Пользователь несет ответственность:
за резервное копирование своих данных из своей инфраструктуры в системе резервного копирования и программного обеспечения;
за соблюдение лицензионных условий использования системного программного обеспечения, а также программного обеспечения иных разработчиков.
5.3 Пользователь не вправе уступать права требования к Вендору третьим лицам, вытекающие из настоящей Политики.
6. Ограничение ответственности Вендора
6.1 Вендор не несет ответственности за недостатки и уязвимости в Продукте по причине не установки Пользователем доступных обновлений Продукта, устраняющих данные недостатки.
6.2 Вендор не несет ответственности и не возмещает никакой ущерб, причиненный Пользователю или третьим лицам в результате использования и/или невозможности использования Продукта и/или информации, содержащейся в результатах работы Продукта, а также программного обеспечения третьих лиц. Данное правило в части невозможности использования Программы не применяется к тем случаям, когда такая невозможность использования Продукта произошла по вине Вендора.
6.3 Вендор не несет ответственности за не доведение обновлений по запросу Пользователя по причинам, не зависящим от Вендора, а именно, нарушение работы Интернета, оборудования или программного обеспечения со стороны Пользователя, сбои в работе служб email-рассылки, в том числе при попадании писем Вендора в папку "Спам".
6.4 Вендор не несет ответственность за нарушение условий настоящей Политики в случае предоставления Пользователем недостоверной и/или неполной информации, предоставленной и/или запрошенной Вендором при поступлении или во время работы по Запросу.
6.5 Вся охраняемая законом информация, содержащаяся в информационной системе, информационно-телекоммуникационной сети, автоматизированных системах управления Пользователя, не будет доступной для Вендора в процессе отработки Запроса. Обнаружение Вендором возможности получения доступа к охраняемой законом информации, не является неправомерным, и Пользователь не будет иметь каких-либо претензий к Вендору при наступлении данного обстоятельства. Пользователь обязан самостоятельно обеспечить защиту охраняемой законом информации в процессе отработки Вендором Запроса.
6.6 Ни одна из сторон не несет ответственности перед другой стороной за невыполнение обязательств, вызванное обстоятельствами, возникшими помимо воли и желания сторон, которые нельзя было предвидеть или избежать.
7. Жизненный цикл Продукта
7.1 Для актуальных очередных обновлений Продукта, находящихся в серийном производстве (подробнее: https://wiki.astralinux.ru/x/Q4k_Bw) предоставляется полное сопровождение, включающее в себя поддержку с рассмотрением Альтернативных конфигураций и Предложений, выпуск обновлений безопасности, обновление установщика, исправление ошибок.
7.2 Предыдущее очередное обновление Продукта может ограничиваться в части Предложений. Внесенные Предложения рассматриваются для актуального и будущего очередного обновления.
7.3 Пользователям устаревших очередных обновлений Продукта, предоставляются известные решения, описанные в документации, в которой Продукт, его компоненты и стороннее программное обеспечение взаимодействуют установленным и проверенным образом (Поддерживаемые конфигурации), существующие исправления и обновления, а также помощь в миграции на актуальное очередное обновление с полным сопровождением.
7.4 Устаревшие обновления, используемые в Альтернативных конфигурациях, не поддерживаются.
7.5 Срок сопровождения не ограничен, при условии перехода на актуальное очередное обновление.
8. Прочие условия
8.1 В рамках Политики не осуществляется:
8.1.1 Решение проблем настройки каналов связи.
8.1.2 Помощь по вопросам, не описанным в документации и Альтернативным конфигурациям (для обновлений "Тип 1" и "Тип 3").
8.1.3 Помощь в разработке стороннего программного обеспечения или общим вопросам программирования (без заключения соответствующего договора с Вендором или партнером Вендора).
8.1.4 Помощь по любым вопросам, связанным с сторонним программным обеспечением (далее ПО), включая ПО в среде Wine (Исключение - случаи, указанные в пункте 4.9).
8.1.5 Разъяснение, оценка действий третьих лиц.
8.1.6 Диагностика инцидентов информационной безопасности.
8.1.7 Разработка сценариев, скриптов, требующихся для автоматизации процесса.
8.1.8 Консультации и услуги по настройке инфраструктуры (без заключения договора с Вендором или партнером Вендора).
8.2 Вендор вправе в любое время вносить изменения в Политику. Актуальная версия Политики доступна на официальном сайте Вендора по адресу: https://astralinux.ru/support/security-bulletins/politika-o-vypuske-obnovleniy-operatsionnykh-sistem-astra-linux.php
8.3 Пользователь обязуется регулярно осуществлять проверку наличия изменений в Политике, а Вендор уведомлять об изменениях Политики посредством Личного кабинета. Пользователь не вправе ссылаться на свою не информированность о внесении таких изменений.
8.4 В случае, если Пользователь предоставляет данные о юридическом лице, Пользователь подтверждает, что имеет для этого достаточно правомочий, а предоставляемая Пользователем информация о юридическом лице является полной и достоверной.
