Политика о выпуске обновлений операционных систем "Astra Linux" для рабочих станций, предоставляемых субъектам малого и среднего бизнеса
Политика о выпуске обновлений операционных систем "Astra Linux" для рабочих станций, предоставляемых субъектам малого и среднего бизнеса
1. Общие положения
1.1. Настоящая Политика регулирует порядок выпуска ООО "РусБИТех-Астра" (далее - Вендор) обновлений операционной системы "Astra Linux" для рабочих станций, предоставляемых субъектам малого и среднего бизнеса, определение которых приведено в лицензионном соглашении (EULA), размещённом на официальном сайте Вендора по адресу: https://astra.ru/info/law/
1.2. Основными целями процесса обновления (методические указания, обновления отдельных программных компонентов, кумулятивные обновления, обновления установочного комплекта и др.) являются исправление ошибок, улучшение функций, производительности и безопасности операционной системы "Astra Linux" (далее - Продукт). Определения видов очередных обновлений Продукта размещены на странице жизненного цикла Продукта на официальном сайте Вендора по адресу: https://wiki.astralinux.ru/x/OIGLH
1.3. Обновления Продукта предоставляются в случае приобретения лицом (далее - Пользователь) лицензии на Продукт с включенными обновлениями в течение срока, указанного в описании лицензии. Сведения о выходе обновлений Продукта, количестве приобретенных лицензий на Продукт доступны в личном кабинете Пользователя. После окончания срока предоставления обновлений, Пользователь вправе получить доступ к обновлениям Продукта только в рамках технической поддержки Продукта. Услуги по технической поддержке Продукта приобретаются на основании отдельного договора с Вендором или партнером Вендора. Обновления являются одной из составных частей технической поддержки Продукта.
1.4. Обновления предоставляются в соответствии с настоящей Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договору, применяются положения договора.
2. Виды обновлений
2.1. Вендор выпускает следующие виды обновлений:
- Очередные обновления;
- Оперативные и срочные обновления.
2.2. Очередные обновления решают следующий комплекс задач:
Устранение критических и некритических уязвимостей в Продукте;
Реализация новых функциональных возможностей Продукта;
Обеспечение соответствия актуальным требованиям безопасности информации;
Повышение удобства использования, управления компонентами Продукта и др.
2.3. Очередные обновления обозначаются десятичной дробью через точку. Например, 1.7, 1.8 и т.д. Каждое последующее очередное обновление не является новым Продуктом.
2.4. Оперативные и срочные обновления предназначены для оперативного устранения критических уязвимостей и уязвимостей высокого уровня опасности (в соответствии с ГОСТ Р 56545-2015) в Продукте, и представляют собой бюллетень безопасности, который доступен в виде:
Инструкций и методических указаний по настройке и особенностям использования Продукта, содержащих сведения о компенсирующих мерах или ограничениях по применению Продукта при его использовании;
Отдельных программных компонентов из состава Продукта, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
Обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава Продукта, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям использования Продукта с установленными обновлениями безопасности.
2.4.1. Обновления безопасности представляют собой отдельные программные компоненты, не предусматривающие внесение изменений в комплект документации очередного обновления, характеристики которого подтверждены сертификатом соответствия.
2.4.2. Все оперативные и срочные обновления перед публикацией на сайте Вендора проходят тестирование в рамках процедур по разработке безопасного программного обеспечения, а также тестирование с целью подтверждения устранения и/или невозможности использования выявленных уязвимостей, невнесения новых уязвимостей и соответствия Продукта с внесенными изменениями функциональному предназначению.
2.4.3. Номер оперативного обновления обозначается числом, которое следует после номера очередного обновления. Например, 1.7.2, где 1.7 – номер очередного обновления, цифра "2" - номер оперативного обновления.
2.5. Информация о выпуске обновлений Продукта доступна на сайте Вендора. Пользователь также уведомляется о выходе новых обновлений по адресу электронной почты, указанному при регистрации в Личном кабинете.
2.6. Особенности предоставления и планирования обновлений:
Оперативные обновления Продукта предоставляются для актуальных и предыдущих очередных обновлений Продукта.
- Оперативные обновления Продукта предоставляются в рамках длительного срока поддержки (Long-Term Support) для устаревшего очередного обновления в объеме, предусмотренном применимыми требованиями регулятора к таким обновлениям, при условии наличия у Пользователя соответствующего действующего сертификата технической поддержки, права на получение обновлений соответствующего типа, предусмотренного лицензией на Продукт, либо иного права на получение таких обновлений, предусмотренного Договором.
- Переход на предыдущее очередное обновление Продукта доступен при наличии устаревшего очередного обновления у Пользователя без взимания дополнительной платы в соответствии с требованиями регулятора.
Переход на актуальное очередное обновление Продукта доступен Пользователю в пределах срока получения обновлений соответствующего типа, предусмотренного лицензией на Продукт, либо при наличии соответствующего действующего сертификата технической поддержки или иного права на получение такого обновления, предусмотренного Договором.
- Информационно-справочная поддержка по вопросам планирования и сопровождения миграции на поддерживаемые очередные обновления предоставляется вне зависимости от типа обновлений.
- По окончании срока получения обновлений по лицензии Пользователь сохраняет доступ к базе знаний, справочному центру и личному кабинету, но без возможности создания обращений за информационно-справочной поддержкой. При этом остаётся возможность сообщить об обнаруженной уязвимости по адресу https://astra.ru/soobshchit-ob-uyazvimosti.php. Доступ к оперативным обновлениям сохраняется в пределах срока действия жизненного цикла соответствующего очередного обновления.
- В рамках обновлений "Тип 6" при планировании выпусков и подготовке исправлений, Вендор также рассматривает предложения Пользователей о включении новых пакетов в официальные репозитории Продукта, а также запросы на обновление версий пакетов, уже присутствующих в официальных репозиториях. Рассмотрение указанных запросов осуществляется в рамках процедуры планирования обновлений и не гарантирует их реализацию. Решение о включении или обновлении пакетов остаётся за Вендором.
- При планировании обновлений Вендор учитывает необходимость обновления и сборки драйверов для обеспечения корректной работы оборудования при наличии исходных кодов и технической возможности. Сборка выполняется без включения драйверов в состав Продукта и без их дальнейшего сопровождения, однако они могут использоваться для обеспечения корректной работы оборудования под управлением Продукта. Предоставление собранных драйверов осуществляется только в рамках обновлений "Тип 6".
3. Информационно-справочная поддержка функционирования Продукта
3.1. Информационно-справочная поддержка функционирования Продукта осуществляется в соответствии с правилами формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных, утв. Постановлением Правительства РФ от 16.11.2015 №1236, а также требованиями регуляторов в области безопасности информации.
3.1.1. Объём предоставляемой информационно-справочной поддержки обновлений в рамках настоящей Политики определяется типом включённых в лицензию обновлений - "Тип 5" или "Тип 6".
3.2. Информационно-справочная поддержка осуществляется на основании Документации, включающей руководства, инструкции и другие материалы по работе с Продуктом, размещённые в справочном центре Вендора по адресу: https://wiki.astralinux.ru/, в базе знаний по адресу: https://wiki.astralinux.ru/kb, а также в Личном кабинете пользователя по адресу: https://lk.astra.ru/. При заполнении темы Запроса в форме личного кабинета близкие по теме решения из справочного центра и базы знаний предлагаются автоматически.
3.2.1. Документация содержит описание состава и особенностей применения обновлений, инструкции по установке и настройке Продукта, рекомендации по миграции на очередное обновление, а также иную информацию, необходимую для корректной эксплуатации.
3.3. Осуществляется приём обращений (далее - Запрос) по вопросам, связанным с эксплуатацией, использованием и обновлением Продукта, включая выявление, регистрацию и анализ инцидентов (нарушений нормальной работы системы), а также их корневых причин – ошибок, сбоев, несоответствий, иных дефектов (далее - Дефекты) и уязвимостей, а также по вопросам, связанным с миграцией на очередное обновление Продукта. Устранение выявленных проблем осуществляется за счёт выпуска обновлений Продукта.
В рамках рассмотрения Запросов Вендор обеспечивает регистрацию ошибок и предложений по улучшению функциональности, проведение анализа инцидентов с использованием предоставленных журналов и иных диагностических данных, а при необходимости воспроизведение сценариев работы на стендах Вендора. В случаях, когда выпуск обновлений требует времени, Вендор может разрабатывать временные решения, направленные на минимизацию влияния выявленных проблем до выхода исправлений.
В рамках обновлений "Тип 6" Вендор дополнительно обеспечивает проведение удалённой диагностики в случаях, когда воспроизведение условий инцидента на стендах Вендора невозможно, а штатные средства Пользователя не позволяют собрать полную информацию о проблеме, при этом удалённая диагностика осуществляется только при наличии согласия Пользователя на подключение к его инфраструктуре.
Также в рамках обновлений "Тип 6" Вендор обеспечивает возможность назначения инцидент-менеджера для координации работ по зарегистрированному Запросу с типом "Инцидент".
Инцидент-менеджер назначается в случаях, когда в процессе обработки Запроса подтверждается степень критичности "Высокая" или "Экстренная". Инцидент-менеджер координирует действия по устранению инцидента, обеспечивает прозрачность работ и предоставляет Пользователю актуальную информацию о статусе и сроках решения. Назначение и участие инцидент-менеджера осуществляется в рабочие дни с 09:00 до 18:00 по московскому времени.
3.4. Приём Запросов, конфиденциальность и способы взаимодействия:
Вендор обеспечивает конфиденциальность сведений, полученных при обработке Запросов, включая информацию о выявленных Дефектах, уязвимостях и иных проблемах, в соответствии с требованиями информационной безопасности. В целях соблюдения этих требований пользователям не предоставляется прямой доступ к баг-трекеру, который содержит указанные сведения и другие материалы, потенциально включающие конфиденциальную информацию. Все операции по регистрации Запросов и получению информации о статусе их рассмотрения осуществляются исключительно через Личный кабинет, выполняющий функции тикет-системы, при участии специалистов Вендора.
3.4.1. Личный кабинет (web-ресурс):
Приём Запросов осуществляется круглосуточно (24/7) по адресу: https://lk.astra.ru/;
Инструкция по использованию Личного кабинета доступна по адресу: https://wiki.astralinux.ru/x/eoWqBw;
Оповещения о регистрации Запроса автоматически направляются на электронную почту Пользователя с адреса no-reply@astralinux.ru;
Для регистрации Запроса в Личном кабинете необходимо:
Четко сформулировать проблему или вопрос;
Подробно описать сценарий и рабочее окружение, указать время проявления проблемы, приложить журналы, созданные Продуктом, операционной системой или служебными программами, дампы памяти, отчеты о конфигурации программного обеспечения, конфигурацию оборудования и сети;
- Для получения обратной связи по телефону Пользователь указывает контактное лицо, номер телефона и предпочитаемое время для связи.
3.4.2. Телефон:
В рабочие дни с 09:00 до 18:00 (по московскому времени) по многоканальному номеру: +7 (495) 369-48-16 доб. 3 или 8 (800) 222-07-00 доб. 3;
- Оказание информационно-справочной поддержки по телефону возможно, если не требуется дополнительное время и информация. Если для оказания информационно-справочной поддержки требуются диагностические данные, которые невозможно в полном объеме сообщить по телефону, Пользователю необходимо создать Запрос в Личном кабинете. Вендор может порекомендовать Пользователю создать Запрос через Личный кабинет, если посчитает, что для информационно-справочной поддержки по телефону недостаточно предоставленной Пользователем информации и/или нужно время для отработки Запроса. Если по каким-либо причинам Пользователь не может создать Запрос самостоятельно, то Вендор предлагает завести Запрос от имени Пользователя. Срок подготовки ответа на принятый по Телефону Запрос соответствует степени его критичности и типу обновления. Если ответ предполагает передачу инструкции и файлов, то они прикладываются к заведенному Вендором Запросу;
- Для регистрации Запроса по Телефону необходимо подготовить идентификационные данные: наименование организации, ИНН, почту, указанную в регистрационных данных аккаунта или номер лицензии на обновление.
4. Обязательства и ответственность Пользователя
4.1. Пользователь обязан:
4.1.1. Устанавливать и своевременно обновлять Продукт в соответствии с инструкциями, размещенными в Справочном центре или инструкциями, предоставленными Вендором. В случае несоблюдения инструкций, Вендор не несет ответственности за сбои в работе Продукта.
4.1.2. Выполнять следующие рекомендации перед применением обновлений и инструкций, предоставленных Вендором, на функционирующей инфраструктуре:
Выполнять резервное копирование затрагиваемых данных и компонентов перед внесением изменений, обеспечив возможность полного восстановления соответствующей функциональности;
Рекомендуемая частота регулярного резервного копирования - не реже одного раза в день для критичных систем и одного раза в неделю для остальных;
В случае невозможности точной идентификации затронутого программного обеспечения или данных создавать резервную копию всей конфигурации;
Сохранять персональную информацию и настройки пользователей, включая их файлы, конфигурации, документы и прочее;
Применять обновления и инструкции в первую очередь на тестовом контуре, идентичном продуктивному.
4.1.3. Не нарушать функционирование онлайн-ресурсов Вендора, используемых для оказания Услуг.
4.1.4. Самостоятельно обеспечить, чтобы охраняемая законом информация, содержащаяся в информационной системе, информационно-телекоммуникационной сети, автоматизированных системах управления Пользователя, не была доступна Вендору в процессе отработки Запроса, за исключением случаев, когда доступ к такой информации необходим для исполнения Запроса и прямо согласован сторонами.
4.1.5. В случае передачи Вендору информации ограниченного доступа в ходе отработки Запроса предварительно уведомить об этом Вендора. Такая передача осуществляется по усмотрению и под ответственность Пользователя.
4.1.6. До передачи информации ограниченного доступа обеспечить получение всех необходимых согласий, соблюдение режима конфиденциальности и ненарушение прав третьих лиц.
4.2. Пользователь несет ответственность:
- За резервное копирование своих данных;
- За соблюдение лицензионных условий использования системного программного обеспечения, а также программного обеспечения третьих лиц;
- Пользователь несет ответственность за передачу Вендору информации ограниченного доступа, включая передачу такой информации в объеме, превышающем минимально необходимый для рассмотрения Запроса.
4.3. Пользователь не вправе уступать права требования к Вендору третьим лицам, вытекающие из настоящего Положения.
5. Ограничение ответственности Вендора
5.1. Вендор не несет ответственности за недостатки и уязвимости в Продукте по причине неустановки Пользователем доступных обновлений Продукта, устраняющих данные недостатки.
5.2. Вендор не несет ответственности за какие-либо прямые или косвенные последствия какого-либо использования или невозможности использования Продукта и(или) убытки и(или) имущественные потери, причиненные Пользователю и(или) третьим сторонам в результате какого-либо использования, неиспользования или невозможности использования Продукта или отдельных его компонентов и(или) функций, в том числе из-за возможных ошибок или сбоев в его работе, включая, но не ограничиваясь этим: реальный ущерб, упущенная выгода, имущественные потери, связанные с недополученной прибылью, временным или постоянным полным или частичным прекращением или прерыванием коммерческой или производственной деятельности, утратой данных и информации, ухудшения деловой репутации.
5.3. Вендор не несет ответственности за неоказание Услуги Пользователю по причинам, не зависящим от Вендора, а именно, нарушение работы Интернета, оборудования или программного обеспечения со стороны Пользователя, сбои в работе служб email-рассылки, в том числе при попадании писем Вендора в папку "Спам".
5.4. Вендор не несет ответственности за нарушение условий настоящего Положения в случае предоставления Пользователем недостоверной и/или неполной информации, предоставленной и/или запрошенной Вендором при поступлении или во время оказания Услуги по Запросу.
5.5. Обнаружение Вендором возможности доступа к охраняемой законом информации, содержащейся в информационной системе, информационно-телекоммуникационной сети, автоматизированных системах управления Пользователя, само по себе не является неправомерным. Пользователь не вправе предъявлять к Вендору претензии, связанные с таким обнаружением, при условии, что Вендор не осуществлял неправомерного использования или раскрытия указанной информации.
5.5.1. Вендор не несет ответственности за передачу Пользователем информации ограниченного доступа, в том числе в объеме, превышающем минимально необходимый для рассмотрения Запроса, равно как и за последствия такой передачи.
5.5.2. Вендор обязуется использовать сведения, полученные при рассмотрении Запроса, исключительно для целей его обработки, соблюдать конфиденциальность таких сведений и не раскрывать их третьим лицам, за исключением случаев, предусмотренных настоящим Положением и законодательством Российской Федерации.
5.6. Ни одна из сторон не несет ответственности перед другой стороной за невыполнение обязательств, вызванное обстоятельствами, возникшими помимо воли и желания сторон, которые нельзя было предвидеть или избежать.
6. Жизненный цикл Продукта
6.1. Для актуальных очередных обновлений Продукта, находящихся в серийном производстве (подробнее: https://wiki.astralinux.ru/x/Q4k_Bw) предоставляется информационно-справочная поддержка в части обновлений, помощи и поддержке при возникновении проблем или вопросов, а также предоставление доступа к инструкциям и руководствам.
6.2. Предыдущее очередное обновление Продукта может ограничиваться в части улучшений. Внесенные предложения по улучшениям рассматриваются для актуального и будущего очередного обновления Продукта.
6.3. Пользователям устаревших очередных обновлений Продукта предоставляются известные решения, описанные в Документации, в которой Продукт, его компоненты и программное обеспечение партнёров взаимодействуют установленным и проверенным образом, существующие обновления, а также информационно-справочная поддержка в миграции на актуальное очередное обновление, в пределах срока получения обновлений, предусмотренного лицензией на Продукт.
6.4. Информационно-справочная поддержка устаревших обновлений оказывается в рамках Документации.
6.5. Актуальная версия описания жизненного цикла Продукта доступна на официальном сайте Вендора по адресу: https://wiki.astralinux.ru/x/OIGLH
7. Прочие условия
7.1. Согласно настоящей Политике, помощь по настройке каналов связи, программированию и разработке программного обеспечения, оценке действий третьих лиц, диагностике инцидентов информационной безопасности, разработке сценариев и скриптов, а также настройке инфраструктуры, вопросам, выходящим за рамки Документации, не предоставляется. При этом в рамках информационно-справочной поддержки рассматриваются вопросы, связанные с корректной установкой и эксплуатацией Продукта, включая координацию проблем установки программного обеспечения технологических партнёров, возникающих вследствие обновлений Продукта, предварительную оценку совместимости стороннего программного обеспечения на основании предоставленных спецификаций и характеристик (при этом официальная поддержка обеспечивается только для решений, прошедших программу "Ready For Astra Linux"), прогноз совместимости оборудования по предоставленным спецификациям с актуальными и планируемыми очередными обновлениями Продукта, а также рассмотрение вопросов обеспечения совместимости оборудования, подтверждённого как совместимое по программе "Ready For Astra Linux". В рамках обновлений "Тип 6" дополнительно обеспечивается информационно-справочная поддержка по установке стороннего программного обеспечения технологических партнёров, подтверждённого совместимым по программе "Ready For Astra Linux", на основании сведений из протоколов испытаний, а также рассмотрение вопросов совместимости оборудования, не проходившего указанную проверку, при наличии технической возможности и на основе ранее полученных данных о протестированном оборудовании.
7.2. Вендор вправе в любое время вносить изменения в Политику. Актуальная версия Политики доступна на официальном сайте Вендора: https://astra.ru/support/security-bulletins/.
7.3. Пользователь обязуется регулярно осуществлять проверку наличия изменений в Политике, а Вендор уведомлять об изменениях Политики посредством личного кабинета. Пользователь не вправе ссылаться на свою не информированность о внесении таких изменений.
7.4. В случае, если Пользователь предоставляет данные о юридическом лице, Пользователь подтверждает, что имеет для этого достаточно правомочий, а предоставляемая Пользователем информация является полной и достоверной.
