Политика о выпуске обновлений операционных систем Astra Linux

Политика о выпуске обновлений операционных систем Astra Linux

1. Общие положения

1.1 Настоящая Политика регулирует порядок выпуска ООО "РусБИТех-Астра" (далее – Вендор) обновлений операционных систем Astra Linux.
1.2 Обновления (методические указания, пакеты и iso-образы с пакетами) выпускаются в целях улучшения функциональных возможностей, соответствия сертифицированных операционных систем Astra Linux требованиям по безопасности информации, предотвращения и устранения недостатков операционных систем Astra Linux (далее - Продукт).
1.3 Лицо имеет право на получение обновлений Продукта в случае приобретения лицензии на Продукт с включенными обновлениями на указанный в описании лицензии на Продукт срок по договору с Вендором или партнером Вендора (далее – Пользователь). Информация о периоде обновлений, наименовании Продукта, количестве установок и другие данные доступны Пользователю в личном кабинете.
1.4 Обновления предоставляются в соответствии с настоящей Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договору, применяются положения договора.

2. Виды обновлений

2.1 Вендор выпускает следующие виды обновлений:

  • очередные обновления;
  • оперативные и срочные обновления.

2.2 Очередные обновления решают следующий комплекс задач:

  • устранение критических и некритических уязвимостей в Продукте;

  • реализация новых функциональных возможностей Продукта;

  • обеспечение соответствия актуальным требованиям безопасности информации;

  • повышение удобства использования, управления компонентами Продукта и др.

Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора и/или в личном кабинете.

2.2.1 Очередные обновления обозначаются десятизначной дробью через точку. Например, 1.7, 1.8 и т.д. Каждое последующее очередное обновление не является новым Продуктом.
2.3 Оперативные и срочные обновления предназначены для оперативного устранения критических уязвимостей и уязвимостей высокого уровня опасности (в соответствии с ГОСТ Р 56545-2015) в Продукте, и представляют собой бюллетень безопасности, который доступен в виде:

  • инструкций и методических указаний по настройке и особенностям использования Продукта, содержащих сведения о компенсирующих мерах или ограничениях по применению Продукта при его использовании;

  • отдельных программных компонентов из состава Продукта, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;

  • обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава Продукта, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям использования Продукта с установленными обновлениями безопасности.

2.3.1 Обновления безопасности представляют собой отдельные программные компоненты, не предусматривающие внесение изменений в комплект документации очередного обновления, характеристики которого подтверждены сертификатом соответствия.
2.3.2 Все оперативные и срочные обновления перед публикацией на сайте Вендора проходят тестирование в рамках процедур по разработке безопасного программного обеспечения, а также тестирование с целью подтверждения устранения и/или невозможности использования выявленных уязвимостей, невнесения новых уязвимостей и соответствия Продукта с внесенными изменениями функциональному предназначению.
2.3.3 Номер оперативного обновления обозначается числом, которое следует после номера очередного обновления. Например, 1.7.2, где 1.7 – номер очередного обновления, цифра "2" - номер оперативного обновления.

3. Информационно-справочная поддержка функционирования Продукта

3.1 Информационно-справочная поддержка функционирования Продукта осуществляется в соответствии с правилами формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных, утв. Постановлением Правительства РФ от 16.11.2015 №1236, а также требованиями регуляторов в области безопасности информации.
3.2 Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями, указанными в 3.3 Политики.
3.3 Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет. Прием Запросов по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК (24/7 для степеней критичности "экстренная" и "высокая" для обновлений "Тип 2"). Сведения об уровнях критичности обновлений Продукта доступны в Личном кабинете. Оповещения о регистрации Запроса приходят автоматически на электронную почту Пользователя с no-reply@astralinux.ru. Для получения обратной связи по телефону необходимо указать контактное лицо, телефон и предпочтительное время для связи:

  • Телефон - многоканальный телефон +7 (495) 369-48-16 доб. 3, 8 (800) 222-07-00 доб. 3.

  • Личный кабинет - web-ресурс: https://lk-new.astralinux.ru/ Инструкция по использованию ЛК: https://wiki.astralinux.ru/x/eoWqBw

  • Мессенджер - mattermost: https://support.astralinux.ru/im Создание ссылки-приглашения на канал доступно в процессе работы над Запросом "высокой" или "экстренной" критичности обновлений (доступно для обновлений "Тип 2"), после чего канал становится доступен через Web или нативный клиент.

3.4 В рамках информационно-справочной поддержки предоставляется доступ к инструкциям и руководствам по работе с Продуктом, обеспечивается прием обращений по вопросам, связанным с выпуском обновлений Продукта, а также возникающим в ходе эксплуатации Продукта. Пользователь имеет право на получение обновлений Продукта в течение срока, указанного в описании лицензии на Продукт. После окончания срока, указанного в описании лицензии на Продукт, обновления Продукта доступны в рамках технической поддержки по отдельному договору.

4. Типы обновлений Продукта


Тип 1

Тип 2

Тип 3¹

4.1

Доступ к обновлениям безопасности Продукта*

+

+

+

4.2

Возможность перехода на очередное обновление Продукта в пределах срока получения обновлений Тип-2, предусмотренного лицензией на Продукт²

-

+

-

4.3

Информационно-справочная поддержка в миграции на очередное обновление Продукта

+

+

-

4.4

Исправление ошибок, несоответствий, инцидентов, дефектов за счет выпуска новых обновлений Продукта

+

+

+

4.5

Информационно-справочная поддержка по установке и обновлению Продукта

+

+

-

4.6

Информационно-справочная поддержка по настройке Продукта после обновления

+

+

+

4.7

Моделирование сценариев на тестовом стенде Вендора (при наличии технической возможности)

+

+

+

4.8

Удаленный сбор информации о сбоях в системе Пользователя**

-

+

-

4.9

Информационно-справочная поддержка по настройке Продукта в гетерогенных средах

-

+

-

4.10

Информационно-справочная поддержка и координация проблем установки программного обеспечения технологических партнеров, вызванных обновлениями Продукта

-

+

-

4.11

Прогноз совместимости оборудования по спецификации с актуальным и будущим обновлением Продукта³

+

+

-

4.12

Решение вопросов, связанных с совместимостью оборудования путем внесения улучшений в рамках обновления Продукта (при наличии технической возможности)

+

+

-

4.13

Выделенный консультант по вопросам обновлений и улучшений Продукта

-

+

-

¹Тип 3 не взаимозаменяем другими типами обновлений и распространяется только на Продукты, приобретенные через облачных провайдеров
²Переход на актуальное очередное обновление Продукта (без перехода на новый Продукт, если иное не предусмотрено в отдельном договоре между Пользователем и Вендором или партнером Вендора) доступен в пределах срока получения обновлений Тип-2, предусмотренного лицензией на Продукт.
³Поддержка оборудования гарантируется, только если оно прошло программу поддержки производителей оборудования и программного обеспечения "Ready For Astra Linux", при этом прогноз совместимости оборудования с Продуктом можно сделать на основании его спецификации.
*Для актуального и предыдущего очередного обновления (подробнее п.7 Политики).
**Удаленное подключение к информационной системе Пользователя осуществляется после получения согласия на доступ к инфраструктуре в письменной или электронной форме. Подключение производится в рамках контекста Запроса по согласованию сторон. Дополнительно, стороны согласуют программное средство и время подключения.

5. Обязательства и ответственность Пользователя 

5.1 Пользователь обязан:
5.1.1 Своевременно устанавливать обновления в соответствии с инструкциями, размещенными в Справочном центре или инструкциями, предоставленными Вендором. В случае несоблюдения инструкций, Вендор не несет ответственности за сбои в работе Продукта.
5.1.2 Выполнять следующие рекомендации перед применением обновлений и инструкций, предоставленных Вендором на функционирующей инфраструктуре:

  • создать резервную копию данных или программного обеспечения, если данные удаётся идентифицировать, а в случае невозможности идентификации затронутого ПО или данных создать резервную копию всей конфигурации;

  • применить обновление или инструкции в первую очередь на тестовом контуре, полностью повторяющим продуктивную среду.

5.1.3 Не нарушать функционирование, не создавать помехи в пользовании онлайн-ресурсами Вендора, к которым был предоставлен доступ.
5.2 Пользователь несет ответственность:

  • за резервное копирование своих данных из своей инфраструктуры в системе резервного копирования и программного обеспечения;

  • за соблюдение лицензионных условий использования системного программного обеспечения, а также программного обеспечения иных разработчиков.

5.3 Пользователь не вправе уступать права требования к Вендору третьим лицам, вытекающие из настоящей Политики.

6. Ограничение ответственности Вендора 

6.1 Вендор не несет ответственности за недостатки и уязвимости в Продукте по причине не установки Пользователем доступных обновлений Продукта, устраняющих данные недостатки.
6.2 Вендор не несет ответственности и не возмещает никакой ущерб, причиненный Пользователю или третьим лицам в результате использования и/или невозможности использования Продукта и/или информации, содержащейся в результатах работы Продукта, а также программного обеспечения третьих лиц. Данное правило в части невозможности использования Продукта не применяется к тем случаям, когда такая невозможность использования Продукта произошла по вине Вендора.
6.3 Вендор не несет ответственности за не доведение обновлений по запросу Пользователя по причинам, не зависящим от Вендора, а именно, нарушение работы Интернета, оборудования или программного обеспечения со стороны Пользователя, сбои в работе служб email-рассылки, в том числе при попадании писем Вендора в папку "Спам".
6.4 Вендор не несет ответственность за нарушение условий настоящей Политики в случае предоставления Пользователем недостоверной и/или неполной информации, предоставленной и/или запрошенной Вендором при поступлении или во время работы по Запросу.
6.5 Вся охраняемая законом информация, содержащаяся в информационной системе, информационно-телекоммуникационной сети, автоматизированных системах управления Пользователя, не будет доступной для Вендора в процессе отработки Запроса. Обнаружение Вендором возможности получения доступа к охраняемой законом информации, не является неправомерным, и Пользователь не будет иметь каких-либо претензий к Вендору при наступлении данного обстоятельства. Пользователь обязан самостоятельно обеспечить защиту охраняемой законом информации в процессе отработки Вендором Запроса.
6.6 Ни одна из сторон не несет ответственности перед другой стороной за невыполнение обязательств, вызванное обстоятельствами, возникшими помимо воли и желания сторон, которые нельзя было предвидеть или избежать.

7. Жизненный цикл Продукта

7.1 Для актуальных очередных обновлений Продукта, находящихся в серийном производстве (подробнее: https://wiki.astralinux.ru/x/Q4k_Bw) предоставляется информационно-справочная поддержка в части обновлений, помощи и поддержке при возникновении проблем или вопросов, а также предоставление доступа к инструкциям и руководствам.
7.2 Предыдущее очередное обновление Продукта может ограничиваться в части улучшений. Внесенные предложения по улучшениям рассматриваются для актуального и будущего очередного обновления Продукта.
7.3 Пользователям устаревших очередных обновлений Продукта, предоставляются известные решения, описанные в Документации, в которой Продукт, его компоненты и программное обеспечение партнеров взаимодействуют установленным и проверенным образом, существующие обновления, а также информационно-справочная поддержка в миграции в пределах срока получения обновлений Тип-2, предусмотренного лицензией на Продукт на актуальное очередное обновление.
7.4 Информационно-справочная поддержка устаревших обновлений оказывается в рамках Документации.

8. Прочие условия 

8.1 Согласно Политике, помощь по настройке каналов связи, программированию и разработке программного обеспечения, стороннему программному обеспечению (исключение - случаи, указанные в пункте 4.10), оценке действий третьих лиц, диагностике инцидентов информационной безопасности, разработке сценариев и скриптов, а также настройке инфраструктуры, вопросам выходящим за рамки Документации, и конфигурациям, отличным от Поддерживаемых (для обновлений "Тип 1" и "Тип 3"), не предоставляется.
8.2 Вендор вправе в любое время вносить изменения в Политику. Актуальная версия Политики доступна на официальном сайте Вендора по адресу: https://astralinux.ru/support/security-bulletins/politika-o-vypuske-obnovleniy-operatsionnykh-sistem-astra-linux.php
8.3 Пользователь обязуется регулярно осуществлять проверку наличия изменений в Политике, а Вендор уведомлять об изменениях Политики посредством Личного кабинета. Пользователь не вправе ссылаться на свою не информированность о внесении таких изменений.
8.4 В случае, если Пользователь предоставляет данные о юридическом лице, Пользователь подтверждает, что имеет для этого достаточно правомочий, а предоставляемая Пользователем информация о юридическом лице является полной и достоверной.