ГОСТы в корпоративных информационных системах
- Подробности
- Опубликовано: 09.01.2022 10:25
- Автор: Черемухина Юлия Юрьевна
- Просмотров: 221

Аннотация: в статье рассмотрена действующая классификация нормативно-правовых документов РФ группы ГОСТ, регламентирующая сферу создания и эксплуатации автоматизированных информационных систем. Раскрыт положительный момент использования методик ГОСТов на процесс создания и эксплуатацию информационных систем: структурирование и унификация профессиональных знаний IT-специалистов. Приведен анализ изменений ГОСТов на автоматизированные системы, включая ERP-системы в 2022 году, а также представлен действующий их перечень. Изложены условия и порядок обязательного применения в РФ требований и норм ГОСТов на автоматизированные информационные системы с учетом обновления старых стандартов в рамках новой серии национальных и межгосударственных стандартов в этой области.
Скачать: PDF (статья), PDF (выпуск №17).
Ключевые слова: нормативно-правовые документы, ГОСТ РВ 51987, обновление стандартов, стандартизация производственных процессов, государственный стандарт, требования ГОСТ, структурообразующие элементы, система документации, совокупность проектных решений, рабочая документация, ГОСТ Р 51583-2014.
Введение
Информационная система предназначена для своевременного обеспечения людей надлежащей информацией, то есть для удовлетворения конкретных информационных потребностей в рамках определённой предметной области, при этом результатом функционирования информационных систем является информационная продукция: документы, базы данных и услуги. В настоящее время информационная продукция рассматривается как производственный ресурс, становясь на один уровень с финансами, материалами, энергией и др. Специфика информации как производственного ресурса состоит в том, что данные, преобразованные в форму, которая является значимой для предприятия, позволяют обеспечивать эффективное управление ими. На текущий момент широко востребована информационная продукция в просвещении, пропагандисткой области жизни общества и государства, а также на идеологических «фронтах» различного масштаба.
1. Информационная система, определение и вид
Информационная система (или ИС) – это система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые и т.д.), которые обеспечивают и распространяют информацию (ISO/IEC 2382:2015).
Понятие информационной системы в широком смысле подразумевает, что её неотъемлемыми компонентами являются данные, техническое и программное обеспечение, а также персонал и организационное обеспечение. В федеральном законе Российской Федерации «Об информации, информационных технологиях и о защите информации» под информационной системой подразумевается совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств.
Информационные системы в более узком смысле ограничены составом ее данных, программами и аппаратным обеспечением. Интеграция этих компонентов позволяет автоматизировать процессы управления информацией и целенаправленной деятельности конечных пользователей, направленной на получение, модификацию и хранение информации.
Российский стандарт ГОСТ РВ 51987 подразумевает под информационной системой «автоматизированную систему (далее – АС), результатом функционирования которой является представление выходной информации для последующего использования».
ГОСТ Р 53622-2009 использует термин информационно-вычислительная система для обозначения совокупности данных или баз данных, систем управления базами данных и прикладных программ, функционирующих на вычислительных средствах как единое целое для решения определённых задач.
Информационные системы на практике могут различаться друг от друга по типам объектов, характером и объемом решаемых задач и рядом других признаков. Поэтому понятие информационной системы интерпретируют по-разному, в зависимости от контекста. Общепринятой классификации информационных систем пока не существует, поэтому их можно разделить по различным критериям. Задача любой классификации подобных систем состоит в создании неких удобных образов, позволяющих, например, при выборе систем ограничиться определенным классом или типом. Типовая наиболее часто применяемая на практике классификация информационных систем приведена в таблице 1.
Табл. 1. Классификация информационных систем
Признак классификации | Типы информационных систем |
по архитектуре (степени распределённой) |
|
по степени автоматизации |
|
по характеру обработки данных |
|
по сфере применения |
|
по масштабности |
|
Информационная система в деятельности компании рассматривается как программное обеспечение, реализующее её деловую стратегию и бизнес-процессы. Желательной целью является создание и развертывание единой корпоративной информационной системы (далее – КИС), удовлетворяющей информационные потребности всех сотрудников, служб и подразделений организации.
2. ГОСТы и корпоративные информационные системы
Корпоративная информационная система автоматизирует все бизнес-процессы предприятия или их значительную часть, достигая полной информационной согласованности, безизбыточности и прозрачности. Они могут поддерживать территориально разнесенные узлы и иметь иерархическую структуру из нескольких уровней. Для таких систем характерна архитектура клиент-сервер со специализацией серверов или же многоуровневая архитектура. При их разработке могут также использоваться серверы баз данных, используемые при разработке групповых информационных систем [1].
В России проектирование и создание автоматизированных информационных систем, включая корпоративные, использование информационных технологий и средств защиты информации в процессе создания информационных ресурсов и эксплуатации ИС регламентируется нормативными документами Российской Федерации и локальными нормативными документами организации. В группу нормативных документов РФ входят стандарты.
Государственный стандарт – это нормативно-правовой документ, в соответствии требованиям которого производится стандартизация производственных процессов и оказания услуг. Согласно нормам действующего закона РФ от 29.06.2015 №162-ФЗ «О стандартизации в Российской Федерации», добровольность применения документов по стандартизации является один из принципов стандартизации в РФ (статья 4). Область создания и эксплуатации автоматизированных информационных систем, использование информационных технологий и информации регламентируется в настоящее время в РФ комплексом различных видов стандартов:
- национальные стандарты России и региональные стандарты. Национальный стандарт РФ (ГОСТ Р) утверждает Росстандарт РФ, а разрабатывают их в рамках технических комитетов (ТК) при Росстандарте. Межгосударственный стандарт (ГОСТ) – региональный стандарт, принятый Межгосударственным советом по стандартизации, метрологии и сертификации Содружества Независимых Государств. На территории Евразийского экономического союза, как и на территории СНГ, межгосударственные стандарты применяются с соблюдением принципа добровольности. Аббревиатура данных стандартов:
- национальный стандарт России – ГОСТ Р;
- межгосударственный стандарт стран СНГ – ГОСТ.
Для государственных учреждений соблюдение этих стандартов в области создания автоматизированных информационных систем, использования информационных технологий и информации обязательно, для коммерческих организаций – носит рекомендательный характер. Тем не менее, ряд требований ГОСТов в этой области является обязательным для соблюдения и применения всеми организациями независимо от их формы собственности, в том числе в вопросах защиты информации и информационной безопасности.
- международные стандарты, на сегодня в РФ в основном востребованы международные стандарты в области безопасности ИС;
- отраслевые стандарты, в частности, при построении информационных систем в финансовой сфере применяются стандарты Центрального Банка России «Обеспечение информационной безопасности организаций банковской системы РФ» (СТО БР ИББС-1.0-2006), информационные системы топливно-энергетического комплекса требуют ссылки на ОСТы Газпрома и т.д.
В настоящей статье рассматривается применение в КИС первой из вышеуказанных групп стандартов – это национальные стандарты России ГОСТ Р и межгосударственные ГОСТы. В чем заключаются положительная составляющая применения разработанных и утвержденных в ГОСТах норм на автоматизированные информационные системы для их разработчиков и пользователей?
Во-первых, комплекс стандартов на автоматизированные информационные системы вводит словарь (глоссарий) узкоспециализированных терминов этой области деятельности; содержит примеры оформления, описывает технологический процесс, содержит продуманную структуру этапов разработки и хорошо узнаваемые разработчиками разделы технической документации, все это способствует унификации процессов и этапов разработки и создания ИС; структурированию теоретических, профессиональных знаний для IT-специалистов, работающих в сфере информационных систем и технологий, развитию их практических/ прикладных навыков и умений.
Во-вторых, своды знаний, содержащиеся в ГОСТах, основаны на результатах исследований, на международных стандартах и на практическом опыте. Даже организациям, которым не требуется следовать во всем ГОСТу, стандарты разработки технической документации будут полезны в качестве списка для проверки, «все ли продумано перед созданием системы?». Применение ГОСТов позволяет снизить риски, связанные с упущениями при проектировании, позволяет выставлять разработчикам требования на понятном языке.
В-третьих, своды требований по технической и документальной регламентации, включенные в ГОСТы, направлены на исполнение и соблюдение разработчиками и пользователями информационных систем законодательства РФ по информационной безопасности и защите информации автоматизированных информационных систем. Основными определяющими законодательными документами РФ, на исполнение которых направлены меры обеспечения информационной безопасности и защиты информации в информационных системах, в настоящее время являются [2]:
- Федеральный Закон от 27 июля 2006г. № 152-ФЗ «О персональных данных».
- Федеральный Закон от 29 июля 2004г. № 98-ФЗ «О коммерческой тайне».
- Федеральный Закон от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
- Федеральный Закон от 21 июля 1993г. № 5485-1 «О государственной тайне».
- Федеральный Закон от 26 июля 2017г. №187-ФЗ «О безопасности критической информационной инфраструктуры РФ».
Действующие в РФ ГОСТы по разработке и созданию автоматизированных систем подразделяются на два вида:
- ГОСТ 34-й серии относится к разработке автоматизированных систем.
- ГОСТ 19-й серии относится к разработке программного обеспечения.
В 2022 году произошло обновление старых стандартов в рамках новой серии национальных и межгосударственных стандартов на автоматизированные системы. Основные наиболее существенные изменения в составе ГОСТов и подходах к стандартизации автоматизированных систем с 2022 года можно свести к следующему:
- кардинально изменилась ситуация неопределенности требований к содержанию технической рабочей документации, возникшая с момента отмены в 2019 году методических рекомендаций РД 50-34.698-90. Теперь требования к содержанию документации регламентированы ГОСТ Р 59795-2021;
- стали более четкими формулировки ГОСТ 34.201-2020, введенного взамен ГОСТа 34.201-89, который ранее устанавливал наименование, комплектность и обозначение документов. Теперь новый стандарт устанавливает требования к видам, наименованию, комплектности и обозначению документов. Таким образом, новые требования к наименованию и содержанию документов ГОСТа 34.201–2020 на автоматизированные системы перешли из разряда методических рекомендаций в разряд требований.
Анализ изменений в составе ГОСТов действующих с 2022 года на автоматизированные системы представлен в таблице 2.
Табл. 2. Перечень действующих стандартов на автоматизированные информационные системы
№ | Ранее действовавший стандарт | Новый стандарт | Ссылка на документ |
Статус (основание) |
1 | ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания» | ГОСТ Р 59793-2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» | protect.gost.ru |
Действует с 30.04.2022 (приказ Росстандарта от 25.10.2021 №1285-ст) |
2 | ГОСТ 34.602-89 «Техническое задание на создание автоматизированной системы». Действие прекращено с 01.01.2022 | ГОСТ 34.602-2020 «Техническое зада-ние на создание автоматизированной системы» | protect.gost.ru |
Действует с 01.01.2022 (приказ Росстандарта от 19.11.2021 № 1522-ст) |
3 | ГОСТ 34.603-92 «Виды испытаний автоматизированных систем». Действие прекращается с 30.04.2022 | ГОСТ Р 59792-2021 «Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем» | protect.gost.ru | Действует с 30.04.2022 (приказ Рос-стандарта от 25.10.2021 № 1284-ст) |
4 | ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированных систем». Действие прекращено с 01.01.2022 | ГОСТ 34.201-2020 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Виды, комплектность и обозначение документов» | protect.gost.ru |
Действует с 01.01.2022 (приказ Росстандарта от 19.11.2021 № 1521-ст) |
5 | РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов». Действие прекращено (приказ Росстандарта от 12.02.2019 № 216) | ГОСТ Р 59795-2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов» | protect.gost.ru |
Действует с 30.04.2022 (приказ Рос-стандарта от 25.10.2021 № 1297-ст) |
6 | ГОСТ 34.003-90 «Автоматизированные системы. Термины и определения». Действие прекращено с 01.01.2022 | ГОСТ Р 59853-2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» | protect.gost.ru | Действует с 01.01.2022 (приказ Рос-стандарта от 19.11.2021 № 1520-ст) |
7 | ГОСТ 2.102-2013 «Единая система конструкторской документации. Виды и комплектность конструкторских документов» | Действует ранее принятый стандарт | protect.gost.ru | Издание (июль 2020) с поправками |
8 | ГОСТ Р 2.105-2019 «Единая система конструкторской документации. Общие требования к текстовым документам» | Действует ранее принятый стандарт | protect.gost.ru | Действует с 01.02.2020 |
9 | ГОСТ Р 2.106-2019 «Единая система конструкторской документации. Текстовые документы» | Действует ранее принятый стандарт | protect.gost.ru | Действует с 01.02.2020 |
10 | ГОСТ 7.32-2017 «Система стандартов по информации, библиотечному и издательскому делу. Отчет о научно-исследовательской работе. Структура и правила оформления» | Действует ранее принятый стандарт | protect.gost.ru | Действует 01.07.2018 |
11 | ГОСТ 2.113-75 «Единая система конструкторской документации. Групповые и базовые конструкторские документы» | Действует ранее принятый стандарт | protect.gost.ru | Измененная редакция, Изм. № 2 |
12 | ГОСТ 19.101-77 «Единая система программной документации. Виды программ и программных документов» (ЕСПД) | Действует ранее принятый стандарт | protect.gost.ru | Измененная редакция, Изм. № 1 |
13 | ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защи-щенном исполнении. Общие положения» | Действует ранее принятый стандарт | protect.gost.ru | Переиздан в октябре 2018 года |
Согласно вышеуказанному перечню действующих в РФ ГОСТов на автоматизированные информационные системы, основными регламентными аспектами данных стандартов являются:
- стадии создания автоматизированной системы;
- техническое задание создание системы;
- виды, комплектность и обозначение документов;
- содержание документов;
- термины и определения;
- оформление документов;
- единая система программной документации, виды программ и программных документов (ЕСПД);
- защита информации.
3. Практика применения требований ГОСТ на автоматизированные информационные системы
Несмотря на то, что в соответствии с Федеральным законом от 29.06.2015 №162-ФЗ «О стандартизации в Российской Федерации», добровольность применения документов по стандартизации определена как один из принципов стандартизации (статья 4), при проектировании и внедрении автоматизированных информационных систем, включая КИС, и в процессе создания информационных ресурсов любого уровня. Условия обязательного соблюдения требований ГОСТов предусмотрены в случаях, связанных с защитой информации и информационной безопасностью ИС. Обязательные требования ГОСТов содержат важные структурообразующие элементы, применение которых позволит сформировать слаженную систему документации для создания и эксплуатации автоматизированных систем и обеспечить систему защиты ее информации.
Условия и порядок обязательного применения требований и норм ГОСТов на автоматизированные информационные системы определены следующим:
А. ГОСТ становится обязательным при создании, внедрении и эксплуатации информационной системы, включая КИС:
- во-первых, если это установлено Федеральным законом (в случае защиты государственной тайны или в отношении оборонной продукции (статья 6 Закона 162-ФЗ, что не является общим случаем для применения ГОСТ на автоматизированные системы);
- во-вторых, если изготовитель/исполнитель принимает на себя требования (например, требования Технического задания) о применении национального/межгосударственного стандарта (статья 26 Закона 162-ФЗ).
- в-третьих, особые случаи, при наличии которых необходимо в обязательном порядке учитывать требования ГОСТ на автоматизированные системы, это:
- создание автоматизированных систем в защищенном исполнении;
- создание государственных информационных систем;
- защита персональных данных;
- защита автоматизированных систем управления технологическими процессами;
- обеспечение безопасности критической информационной инфраструктуры;
- аттестация по требованиям безопасности информации.
Нормативными требованиями в таких случаях предусматривается разработка следующих документов:
- технического задания на создание подсистемы безопасности;
- модели угроз безопасности информации;
- документации на систему (проектной документации);
- рабочей (эксплуатационной) документации.
В всех указанных случаях необходимо руководствоваться требованиями ГОСТ на автоматизированные системы, даже если в современных трактовках вышеуказанных нормативных требований к разработке документации не употребляется прямая отсылка к ним, а, например, указываются только цитаты из ГОСТ Р 59793-2021:
- документация на систему (проектные решения) должна быть «в объеме, необходимом для описания полной совокупности проектных решений, достаточном для дальнейшего выполнения работ по созданию системы»;
- рабочая документация должна содержать «все необходимые и достаточные сведения для обеспечения выполнения работ по вводу АС в действие и ее эксплуатации, а также для поддержания уровня эксплуатационных характеристик (качества) АС в соответствии с принятыми проектными решениями».
Б. На необходимость обязательного учета требований ГОСТ на автоматизированные системы при создании систем указывает следующая действующая нормативная база, в частности:
- ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
- приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
- постановление Правительства Российской Федерации от 06.07.2015 №676 (в редакции от 23.12.2021) «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
Последний из нормативных актов не содержит прямого указания на ГОСТ Р 59793-2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания», но содержит цитату из него, дополненную требованиями по защите информации: «Этап разработки документации на систему и ее части включает разработку, согласование и утверждение документации в объеме, необходимом для описания полной совокупности проектных решений (в том числе по защите информации) и достаточном для дальнейшего выполнения работ по созданию системы».
Система защиты информации и информационная безопасность автоматизированной системы при соблюдении принципов конфиденциальности, целостности и доступности системы должна обеспечивать невозможность:
- несанкционированного доступа в систему;
- утечки информации;
- несознательного и сознательного вредительства.
Заключение
В статье кратко приведена актуализация темы ГОСТов для специалистов IT-отрасли. Поэтому при обобщении вышеизложенного важно отметить, что в рамках реалий сегодняшнего дня, когда информационные ресурсы, информационные системы и сама информация становятся объектами использования в конфликтных ситуациях не только между конкурентами, но и в глобальном масштабе, вопросы обеспечения информационной безопасности будут ужесточаться, а требования к качеству и защищенности информационной системы со стороны заказчиков будут расти. Следовательно, знание ГОСТов и их соблюдение при создании и эксплуатации автоматизированных информационных систем, будут являться одним из основных инструментов повышения качества АС в целом и ее информационной безопасности, в частности.
Литература
- Степанова Г.А. Правовое обеспечение информации и функционирования корпоративных информационных систем в РФ // Корпоративные информационные системы. – 2019. – №4(8). – с.33-49. – URL: https://corpinfosys.ru/archive/issue-8/74-2019-8-erplaw.
- Антонов А.Б. Документирование информационных систем. – М.: ЛитРес, 2020.
Выходные данные статьи
Черемухина Ю.Ю. ГОСТы в корпоративных информационных системах // Корпоративные информационные системы. – 2022. – №1(17). – С. 41-53. – URL: https://corpinfosys.ru/archive/issue-17/193-2022-17-statestandard.
Об авторе
![]() |
Черемухина Юлия Юрьевна – кандидат технических наук, доцент МИРЭА, занимается стандартизацией и сертификацией, стратегическим планированием, а также системами менеджмента качества. Имеет научные работы, опубликованные в журналах «Наукоемкие технологии», «Технологии техносферной безопасности», «Фундаментальные проблемы радиоэлектронного приборостроения» и др. Адрес контактной электронной почты: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.. |
Статьи выпуска №17
- Автоматизация работы врача терапевта (часть 2);
- Рабочий план счетов бухгалтерского учета в КИС.
- Акт сверки взаимных расчетов;
- ГОСТы в корпоративных информационных системах.