ГОСТы в корпоративных информационных системах

Подробности
Опубликовано: 09.01.2022 10:25
Автор: Черемухина Юлия Юрьевна
Просмотров: 221
Корпоративные информационные системы и учетная политика организации при применении автоматизированной формы ведения учета

Аннотация: в статье рассмотрена действующая классификация нормативно-правовых документов РФ группы ГОСТ, регламентирующая сферу создания и эксплуатации автоматизированных информационных систем. Раскрыт положительный момент использования методик ГОСТов на процесс создания и эксплуатацию информационных систем: структурирование и унификация профессиональных знаний IT-специалистов. Приведен анализ изменений ГОСТов на автоматизированные системы, включая ERP-системы в 2022 году, а также представлен действующий их перечень. Изложены условия и порядок обязательного применения в РФ требований и норм ГОСТов на автоматизированные информационные системы с учетом обновления старых стандартов в рамках новой серии национальных и межгосударственных стандартов в этой области.
СкачатьPDF (статья), PDF (выпуск №17).
Ключевые слова: нормативно-правовые документы, ГОСТ РВ 51987, обновление стандартов, стандартизация производственных процессов, государственный стандарт, требования ГОСТ, структурообразующие элементы, система документации, совокупность проектных решений, рабочая документация, ГОСТ Р 51583-2014.

Введение

Информационная система предназначена для своевременного обеспечения людей надлежащей информацией, то есть для удовлетворения конкретных информационных потребностей в рамках определённой предметной области, при этом результатом функционирования информационных систем является информационная продукция: документы, базы данных и услуги. В настоящее время информационная продукция рассматривается как производственный ресурс, становясь на один уровень с финансами, материалами, энергией и др. Специфика информации как производственного ресурса состоит в том, что данные, преобразованные в форму, которая является значимой для предприятия, позволяют обеспечивать эффективное управление ими. На текущий момент широко востребована информационная продукция в просвещении, пропагандисткой области жизни общества и государства, а также на идеологических «фронтах» различного масштаба.

1. Информационная система, определение и вид

Информационная система (или ИС) – это система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые и т.д.), которые обеспечивают и распространяют информацию (ISO/IEC 2382:2015).

Понятие информационной системы в широком смысле подразумевает, что её неотъемлемыми компонентами являются данные, техническое и программное обеспечение, а также персонал и организационное обеспечение. В федеральном законе Российской Федерации «Об информации, информационных технологиях и о защите информации» под информационной системой подразумевается совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств.

Информационные системы в более узком смысле ограничены составом ее данных, программами и аппаратным обеспечением. Интеграция этих компонентов позволяет автоматизировать процессы управления информацией и целенаправленной деятельности конечных пользователей, направленной на получение, модификацию и хранение информации.

Российский стандарт ГОСТ РВ 51987 подразумевает под информационной системой «автоматизированную систему (далее – АС), результатом функционирования которой является представление выходной информации для последующего использования».

ГОСТ Р 53622-2009 использует термин информационно-вычислительная система для обозначения совокупности данных или баз данных, систем управления базами данных и прикладных программ, функционирующих на вычислительных средствах как единое целое для решения определённых задач.

Информационные системы на практике могут различаться друг от друга по типам объектов, характером и объемом решаемых задач и рядом других признаков. Поэтому понятие информационной системы интерпретируют по-разному, в зависимости от контекста. Общепринятой классификации информационных систем пока не существует, поэтому их можно разделить по различным критериям. Задача любой классификации подобных систем состоит в создании неких удобных образов, позволяющих, например, при выборе систем ограничиться определенным классом или типом. Типовая наиболее часто применяемая на практике классификация информационных систем приведена в таблице 1.

Табл. 1. Классификация информационных систем
Признак классификации Типы информационных систем
по архитектуре
(степени распределённой)
  • настольные
  • распределенные
  • файл-сервисные
  • клиент-сервисные
по степени автоматизации
  • автоматизированные
  • автоматические
по характеру обработки данных
  • информационно-справочные (поисковые)
  • по обработке данных (решающие)
по сфере применения
  • экономические
  • медицинские
  • географические
по масштабности 
  • персональная
  • групповая
  • корпоративная 

Информационная система в деятельности компании рассматривается как программное обеспечение, реализующее её деловую стратегию и бизнес-процессы. Желательной целью является создание и развертывание единой корпоративной информационной системы (далее – КИС), удовлетворяющей информационные потребности всех сотрудников, служб и подразделений организации.

2. ГОСТы и корпоративные информационные системы

Корпоративная информационная система автоматизирует все бизнес-процессы предприятия или их значительную часть, достигая полной информационной согласованности, безизбыточности и прозрачности. Они могут поддерживать территориально разнесенные узлы и иметь иерархическую структуру из нескольких уровней. Для таких систем характерна архитектура клиент-сервер со специализацией серверов или же многоуровневая архитектура. При их разработке могут также использоваться серверы баз данных, используемые при разработке групповых информационных систем [1].

В России проектирование и создание автоматизированных информационных систем, включая корпоративные, использование информационных технологий и средств защиты информации в процессе создания информационных ресурсов и эксплуатации ИС регламентируется нормативными документами Российской Федерации и локальными нормативными документами организации. В группу нормативных документов РФ входят стандарты.

Государственный стандарт – это нормативно-правовой документ, в соответствии требованиям которого производится стандартизация производственных процессов и оказания услуг. Согласно нормам действующего закона РФ от 29.06.2015 №162-ФЗ «О стандартизации в Российской Федерации», добровольность применения документов по стандартизации является один из принципов стандартизации в РФ (статья 4). Область создания и эксплуатации автоматизированных информационных систем, использование информационных технологий и информации регламентируется в настоящее время в РФ комплексом различных видов стандартов:

  • национальные стандарты России и региональные стандарты. Национальный стандарт РФ (ГОСТ Р) утверждает Росстандарт РФ, а разрабатывают их в рамках технических комитетов (ТК) при Росстандарте. Межгосударственный стандарт (ГОСТ) – региональный стандарт, принятый Межгосударственным советом по стандартизации, метрологии и сертификации Содружества Независимых Государств. На территории Евразийского экономического союза, как и на территории СНГ, межгосударственные стандарты применяются с соблюдением принципа добровольности. Аббревиатура данных стандартов:

    • национальный стандарт России – ГОСТ Р;
    • межгосударственный стандарт стран СНГ – ГОСТ.

Для государственных учреждений соблюдение этих стандартов в области создания автоматизированных информационных систем, использования информационных технологий и информации обязательно, для коммерческих организаций – носит рекомендательный характер. Тем не менее, ряд требований ГОСТов в этой области является обязательным для соблюдения и применения всеми организациями независимо от их формы собственности, в том числе в вопросах защиты информации и информационной безопасности.

  • международные стандарты, на сегодня в РФ в основном востребованы международные стандарты в области безопасности ИС;
  • отраслевые стандарты, в частности, при построении информационных систем в финансовой сфере применяются стандарты Центрального Банка России «Обеспечение информационной безопасности организаций банковской системы РФ» (СТО БР ИББС-1.0-2006), информационные системы топливно-энергетического комплекса требуют ссылки на ОСТы Газпрома и т.д.

В настоящей статье рассматривается применение в КИС первой из вышеуказанных групп стандартов – это национальные стандарты России ГОСТ Р и межгосударственные ГОСТы. В чем заключаются положительная составляющая применения разработанных и утвержденных в ГОСТах норм на автоматизированные информационные системы для их разработчиков и пользователей?

Во-первых, комплекс стандартов на автоматизированные информационные системы вводит словарь (глоссарий) узкоспециализированных терминов этой области деятельности; содержит примеры оформления, описывает технологический процесс, содержит продуманную структуру этапов разработки и хорошо узнаваемые разработчиками разделы технической документации, все это способствует унификации процессов и этапов разработки и создания ИС; структурированию теоретических, профессиональных знаний для IT-специалистов, работающих в сфере информационных систем и технологий, развитию их практических/ прикладных навыков и умений.

Во-вторых, своды знаний, содержащиеся в ГОСТах, основаны на результатах исследований, на международных стандартах и на практическом опыте. Даже организациям, которым не требуется следовать во всем ГОСТу, стандарты разработки технической документации будут полезны в качестве списка для проверки, «все ли продумано перед созданием системы?». Применение ГОСТов позволяет снизить риски, связанные с упущениями при проектировании, позволяет выставлять разработчикам требования на понятном языке.

В-третьих, своды требований по технической и документальной регламентации, включенные в ГОСТы, направлены на исполнение и соблюдение разработчиками и пользователями информационных систем законодательства РФ по информационной безопасности и защите информации автоматизированных информационных систем. Основными определяющими законодательными документами РФ, на исполнение которых направлены меры обеспечения информационной безопасности и защиты информации в информационных системах, в настоящее время являются [2]:

  • Федеральный Закон от 27 июля 2006г. № 152-ФЗ «О персональных данных».
  • Федеральный Закон от 29 июля 2004г. № 98-ФЗ «О коммерческой тайне».
  • Федеральный Закон от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
  • Федеральный Закон от 21 июля 1993г. № 5485-1 «О государственной тайне».
  • Федеральный Закон от 26 июля 2017г. №187-ФЗ «О безопасности критической информационной инфраструктуры РФ».

Действующие в РФ ГОСТы по разработке и созданию автоматизированных систем подразделяются на два вида:

  • ГОСТ 34-й серии относится к разработке автоматизированных систем.
  • ГОСТ 19-й серии относится к разработке программного обеспечения.

В 2022 году произошло обновление старых стандартов в рамках новой серии национальных и межгосударственных стандартов на автоматизированные системы. Основные наиболее существенные изменения в составе ГОСТов и подходах к стандартизации автоматизированных систем с 2022 года можно свести к следующему:

  • кардинально изменилась ситуация неопределенности требований к содержанию технической рабочей документации, возникшая с момента отмены в 2019 году методических рекомендаций РД 50-34.698-90. Теперь требования к содержанию документации регламентированы ГОСТ Р 59795-2021;
  • стали более четкими формулировки ГОСТ 34.201-2020, введенного взамен ГОСТа 34.201-89, который ранее устанавливал наименование, комплектность и обозначение документов. Теперь новый стандарт устанавливает требования к видам, наименованию, комплектности и обозначению документов. Таким образом, новые требования к наименованию и содержанию документов ГОСТа 34.201–2020 на автоматизированные системы перешли из разряда методических рекомендаций в разряд требований.

Анализ изменений в составе ГОСТов действующих с 2022 года на автоматизированные системы представлен в таблице 2. 

Табл. 2. Перечень действующих стандартов на автоматизированные информационные системы
Ранее действовавший стандарт Новый стандарт Ссылка на документ

Статус (основание)
1 ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания» ГОСТ Р 59793-2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» protect.gost.ru

Действует с 30.04.2022 (приказ Росстандарта от 25.10.2021 №1285-ст)
2 ГОСТ 34.602-89 «Техническое задание на создание автоматизированной системы». Действие прекращено с 01.01.2022 ГОСТ 34.602-2020 «Техническое зада-ние на создание автоматизированной системы» protect.gost.ru

Действует с 01.01.2022 (приказ Росстандарта от 19.11.2021 № 1522-ст)
3 ГОСТ 34.603-92 «Виды испытаний автоматизированных систем». Действие прекращается с 30.04.2022 ГОСТ Р 59792-2021 «Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем» protect.gost.ru Действует с 30.04.2022 (приказ Рос-стандарта от 25.10.2021 № 1284-ст)
4 ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированных систем». Действие прекращено с 01.01.2022 ГОСТ 34.201-2020 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Виды, комплектность и обозначение документов» protect.gost.ru

Действует с 01.01.2022 (приказ Росстандарта от 19.11.2021 № 1521-ст)
5 РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов». Действие прекращено (приказ Росстандарта от 12.02.2019 № 216) ГОСТ Р 59795-2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов» protect.gost.ru

Действует с 30.04.2022 (приказ Рос-стандарта от 25.10.2021 № 1297-ст)
6 ГОСТ 34.003-90 «Автоматизированные системы. Термины и определения». Действие прекращено с 01.01.2022 ГОСТ Р 59853-2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» protect.gost.ru Действует с 01.01.2022 (приказ Рос-стандарта от 19.11.2021 № 1520-ст)
7 ГОСТ 2.102-2013 «Единая система конструкторской документации. Виды и комплектность конструкторских документов» Действует ранее принятый стандарт protect.gost.ru Издание (июль 2020) с поправками
8 ГОСТ Р 2.105-2019 «Единая система конструкторской документации. Общие требования к текстовым документам» Действует ранее принятый стандарт protect.gost.ru Действует с 01.02.2020
9 ГОСТ Р 2.106-2019 «Единая система конструкторской документации. Текстовые документы» Действует ранее принятый стандарт protect.gost.ru Действует с 01.02.2020
10 ГОСТ 7.32-2017 «Система стандартов по информации, библиотечному и издательскому делу. Отчет о научно-исследовательской работе. Структура и правила оформления» Действует ранее принятый стандарт protect.gost.ru Действует 01.07.2018
11 ГОСТ 2.113-75 «Единая система конструкторской документации. Групповые и базовые конструкторские документы» Действует ранее принятый стандарт protect.gost.ru Измененная редакция, Изм. № 2
12 ГОСТ 19.101-77 «Единая система программной документации. Виды программ и программных документов» (ЕСПД) Действует ранее принятый стандарт protect.gost.ru Измененная редакция, Изм. № 1
13 ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защи-щенном исполнении. Общие положения» Действует ранее принятый стандарт protect.gost.ru Переиздан в октябре 2018 года

Согласно вышеуказанному перечню действующих в РФ ГОСТов на автоматизированные информационные системы, основными регламентными аспектами данных стандартов являются:

  • стадии создания автоматизированной системы;
  • техническое задание создание системы;
  • виды, комплектность и обозначение документов;
  • содержание документов;
  • термины и определения;
  • оформление документов;
  • единая система программной документации, виды программ и программных документов (ЕСПД);
  • защита информации.

3. Практика применения требований ГОСТ на автоматизированные информационные системы

Несмотря на то, что в соответствии с Федеральным законом от 29.06.2015 №162-ФЗ «О стандартизации в Российской Федерации», добровольность применения документов по стандартизации определена как один из принципов стандартизации (статья 4), при проектировании и внедрении автоматизированных информационных систем, включая КИС, и в процессе создания информационных ресурсов любого уровня. Условия обязательного соблюдения требований ГОСТов предусмотрены в случаях, связанных с защитой информации и информационной безопасностью ИС. Обязательные требования ГОСТов содержат важные структурообразующие элементы, применение которых позволит сформировать слаженную систему документации для создания и эксплуатации автоматизированных систем и обеспечить систему защиты ее информации.

Условия и порядок обязательного применения требований и норм ГОСТов на автоматизированные информационные системы определены следующим:

А. ГОСТ становится обязательным при создании, внедрении и эксплуатации информационной системы, включая КИС:

  • во-первых, если это установлено Федеральным законом (в случае защиты государственной тайны или в отношении оборонной продукции (статья 6 Закона 162-ФЗ, что не является общим случаем для применения ГОСТ на автоматизированные системы);
  • во-вторых, если изготовитель/исполнитель принимает на себя требования (например, требования Технического задания) о применении национального/межгосударственного стандарта (статья 26 Закона 162-ФЗ).
  • в-третьих, особые случаи, при наличии которых необходимо в обязательном порядке учитывать требования ГОСТ на автоматизированные системы, это:

    • создание автоматизированных систем в защищенном исполнении;
    • создание государственных информационных систем;
    • защита персональных данных;
    • защита автоматизированных систем управления технологическими процессами;
    • обеспечение безопасности критической информационной инфраструктуры;
    • аттестация по требованиям безопасности информации.

Нормативными требованиями в таких случаях предусматривается разработка следующих документов:

  • технического задания на создание подсистемы безопасности;
  • модели угроз безопасности информации;
  • документации на систему (проектной документации);
  • рабочей (эксплуатационной) документации.

В всех указанных случаях необходимо руководствоваться требованиями ГОСТ на автоматизированные системы, даже если в современных трактовках вышеуказанных нормативных требований к разработке документации не употребляется прямая отсылка к ним, а, например, указываются только цитаты из ГОСТ Р 59793-2021:

  • документация на систему (проектные решения) должна быть «в объеме, необходимом для описания полной совокупности проектных решений, достаточном для дальнейшего выполнения работ по созданию системы»;
  • рабочая документация должна содержать «все необходимые и достаточные сведения для обеспечения выполнения работ по вводу АС в действие и ее эксплуатации, а также для поддержания уровня эксплуатационных характеристик (качества) АС в соответствии с принятыми проектными решениями».

Б. На необходимость обязательного учета требований ГОСТ на автоматизированные системы при создании систем указывает следующая действующая нормативная база, в частности:

  • ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
  • приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • постановление Правительства Российской Федерации от 06.07.2015 №676 (в редакции от 23.12.2021) «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».

Последний из нормативных актов не содержит прямого указания на ГОСТ Р 59793-2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания», но содержит цитату из него, дополненную требованиями по защите информации: «Этап разработки документации на систему и ее части включает разработку, согласование и утверждение документации в объеме, необходимом для описания полной совокупности проектных решений (в том числе по защите информации) и достаточном для дальнейшего выполнения работ по созданию системы».

Система защиты информации и информационная безопасность автоматизированной системы при соблюдении принципов конфиденциальности, целостности и доступности системы должна обеспечивать невозможность:

  • несанкционированного доступа в систему;
  • утечки информации;
  • несознательного и сознательного вредительства.

Заключение

В статье кратко приведена актуализация темы ГОСТов для специалистов IT-отрасли. Поэтому при обобщении вышеизложенного важно отметить, что в рамках реалий сегодняшнего дня, когда информационные ресурсы, информационные системы и сама информация становятся объектами использования в конфликтных ситуациях не только между конкурентами, но и в глобальном масштабе, вопросы обеспечения информационной безопасности будут ужесточаться, а требования к качеству и защищенности информационной системы со стороны заказчиков будут расти. Следовательно, знание ГОСТов и их соблюдение при создании и эксплуатации автоматизированных информационных систем, будут являться одним из основных инструментов повышения качества АС в целом и ее информационной безопасности, в частности. 

Литература 

  1. Степанова Г.А. Правовое обеспечение информации и функционирования корпоративных информационных систем в РФ // Корпоративные информационные системы. – 2019. – №4(8). – с.33-49. – URL: https://corpinfosys.ru/archive/issue-8/74-2019-8-erplaw.
  2. Антонов А.Б. Документирование информационных систем. – М.: ЛитРес, 2020.

Выходные данные статьи

Черемухина Ю.Ю. ГОСТы в корпоративных информационных системах // Корпоративные информационные системы. – 2022. – №1(17). – С. 41-53. – URL: https://corpinfosys.ru/archive/issue-17/193-2022-17-statestandard.

ГОСТы в корпоративных информационных системах

Об авторе

 Черемухина Юлия Юрьевна Черемухина Юлия Юрьевна – кандидат технических наук, доцент МИРЭА, занимается стандартизацией и сертификацией, стратегическим планированием, а также системами менеджмента качества. Имеет научные работы, опубликованные в журналах «Наукоемкие технологии», «Технологии техносферной безопасности», «Фундаментальные проблемы радиоэлектронного приборостроения» и др. Адрес контактной электронной почты: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра..

Статьи выпуска №17

  1. Автоматизация работы врача терапевта (часть 2);
  2. Рабочий план счетов бухгалтерского учета в КИС.
  3. Акт сверки взаимных расчетов;
  4. ГОСТы в корпоративных информационных системах.