Поиск информации о недостатках и получение сведений о недостатках от потребителей

Поиск информации о недостатках Системы производится следующим образом:

1. Отслеживание недостатков путем проверки не реже одного раза в месяц наличия уязвимостей на основании информации из общедоступных БДУ. Предполагает поиск информации об уязвимостях конкретной ОС семейства РОСА "ХРОМ" и аналогичных ОС в следующих источниках:

• в базе данных уязвимостей в составе банка данных угроз безопасности информации (www.bdu.fstec.ru);
• на интернет-ресурсах компании-разработчика;
• в иных источниках и средствах массовой информации (www.securitylab.ru, www.exploit-db.com, cve.mitre.org, nvd.nist.gov, www.kb.cert.org, vigilance.fr, technet.microsoft.com/en-us/security/bulletin, http://www.rapid7.com/db/ и др.).

В качестве идентификаторов для поиска известных (подтвержденных) уязвимостей используются: название, версия, архитектура ОС РОСА "ХРОМ"; наименование компании-разработчика (АО "НТЦ ИТ РОСА").

Для поиска известных (подтвержденных) уязвимостей системы выполняются запросы вида:

• "уязвимости ОС РОСА ХРОМ";
• "уязвимости НТЦ ИТ РОСА";
• "vulnerability Rosa".

Для поиска потенциальных уязвимостей системы выполняются запросы вида:

• "уязвимости ОС Linux";
• "уязвимости ядра Linux";
• "Linux kernel vulnerability".

2. Отслеживание недостатков при помощи сканера уязвимостей OpenVAS с подключенными модулями следующих БД уязвимостей:

• NVT;
• CVE;
• CPE;
• OVAL Definitions;
• CERT-Bund advisores;
• DFN-CERT advisores.

Обновление БД уязвимостей производится регулярно (не реже раза в неделю).

1. Отслеживание недостатков средством АВЗ, входящим в комплект поставки Системы, – программой clamav (доступна в репозиториях ОС с версии 2021.15). Перед проверкой производится полное обновление доступных баз средства АВЗ. Система проверяется в варианте установки "по умолчанию"; также проверяются все файлы, расположенные на установочном носителе (носителях) Системы. Обновление баз средства АВЗ производится не реже 1 раза в неделю.
2. Автоматизированный анализ наличия известных уязвимостей с помощью сканеров уязвимостей по пакетам ОО, выполняющим функции безопасности.
3. Отслеживание недостатков осуществляется коммерческим программным средством с открытым исходным кодом Cisofy Lynis.
4. Отслеживание недостатков осуществляется путем тестирования (проверки) системы при проведении операций жизненного цикла в рамках документа "ОС РОСА "ХРОМ". Документация определения жизненного цикла.".
5. ОС оснащена подсистемой формирования отчетов о возникающих ошибках и недостатках Системы. Данные отчеты предназначены для их отправки в адрес разработчика в случае выявления недостатков и уязвимостей в системе. Отслеживание недостатков осуществляется путем получения и анализа отчетов, рекламаций, а также других материалов информационного характера, поступающих от потребителей системы в адрес разработчика, а также материалов, поступающих из уполномоченных (лицензированных) органов и юридических лиц РФ в области контроля качества и информационной безопасности в адрес разработчика.