21. Средство должно обеспечиваться поддержкой безопасности средства, предусматривающей:
1) устранение недостатков и дефектов средства, в том числе устранение уязвимостей и недекларированных возможностей средства (далее - устранение недостатков средства);
2) информирование потребителей об обновлении программного обеспечения средства и доведение до потребителей обновлений программного обеспечения средства, а также изменений в эксплуатационную документацию (далее - обновление средства);
3) документирование процедур устранения недостатков и обновления средства;
4) информирование об окончании производства и (или) поддержки безопасности средства.
Поддержка безопасности средства обеспечивается заявителем на осуществление сертификации средства с привлечением разработчика и изготовителя средства.
22. К устранению недостатков средства предъявляются следующие требования:
22.1. Устранение недостатков средства, соответствующего 6 уровню доверия, должно предусматривать:
поиск в доступных источниках информации о недостатках средства, в том числе о недостатках в компонентах средства, заимствованных у сторонних изготовителей;
получение сведений о недостатках средства от потребителей средства;
проведение испытаний средства по выявлению недостатков в средстве, в том числе по выявлению уязвимостей и недекларированных возможностей средства;
разработку компенсирующих мер по защите информации или ограничений по применению средства, снижающих возможность эксплуатации недостатков (уязвимостей);
доведение информации о недостатках средства, а также о компенсирующих мерах по защите информации или ограничений по применению средства до потребителей средства, ФСТЭК России и банка данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2018, N 20, ст.2818);
устранение недостатков средства путем доработки средства или его отдельных компонентов, принятие иных мер, снижающих возможность эксплуатации уязвимостей;
тестирование (испытания) доработанного средства или его отдельных компонентов на предмет устранения влияния обновлений средства на его функции безопасности, подтверждения устранения уязвимостей, невнесения новых уязвимостей в средство.
22.2. Устранение недостатков средства, соответствующего 5 уровню доверия, наряду с требованиями, установленными пунктом 22.1 настоящих Требований, должно предусматривать:
разработку компенсирующих мер по защите информации или ограничений по применению средства, а также доведение информации о недостатках и указанных мерах и ограничениях до потребителей не позднее 72 часов с момента выявления недостатка;
доработку средства, в том числе разработку обновлений программного обеспечения средства, или разработку мер по защите информации, нейтрализующих недостаток, в срок не более 60 дней с момента выявления недостатка.
22.3. Устранение недостатков средства, соответствующего 4 уровню доверия, наряду с требованиями, установленными пунктами 22.1 и 22.2 настоящих Требований, должно предусматривать:
разработку компенсирующих мер по защите информации или ограничений по применению средства, а также доведение информации о таких мерах и ограничениях до потребителей в срок не более 48 часов с момента выявления недостатка;
доведение информации о недостатках средства, а также о компенсирующих мерах по защите информации или ограничениях по применению до каждого потребителя сертифицированного средства путем отправки сообщений на электронные адреса потребителей или за счет применения компонента средства, обеспечивающего доведение указанной информации до потребителя автоматически.
23. К обновлению средства предъявляются следующие требования:
23.1. Обновление средства, соответствующего 6 уровню доверия, должно предусматривать:
информирование потребителей средства о выпуске обновлений;
обеспечение возможности получения обновления средства способами, обеспечивающими его целостность.
23.2. Наряду с требованиями, установленными пунктом 23.1 настоящих Требований, к обновлению средства, соответствующего 5 уровню доверия, предъявляются следующие требования:
в случае получения обновления средства по сетям связи средство должно получать такие обновления с информационного ресурса заявителя;
при доведении обновлений средства до потребителей должны обеспечиваться подлинность и целостность обновлений за счет применения электронной цифровой подписи.