ГОСТы в корпоративных информационных системах

Подробности

Опубликовано: 09.01.2022 10:25

Автор: Черемухина Юлия Юрьевна

Просмотров: 739

Аннотация: в статье рассмотрена действующая классификация нормативно-правовых документов РФ группы ГОСТ, регламентирующая сферу создания и эксплуатации автоматизированных информационных систем. Раскрыт положительный момент использования методик ГОСТов на процесс создания и эксплуатацию информационных систем: структурирование и унификация профессиональных знаний IT-специалистов. Приведен анализ изменений ГОСТов на автоматизированные системы, включая ERP-системы в 2022 году, а также представлен действующий их перечень. Изложены условия и порядок обязательного применения в РФ требований и норм ГОСТов на автоматизированные информационные системы с учетом обновления старых стандартов в рамках новой серии национальных и межгосударственных стандартов в этой области.
Скачать: PDF (статья), PDF (выпуск №17).
Ключевые слова: ГОСТ программное обеспечение, ГОСТ ИСО программное обеспечение, ГОСТ жизненный цикл программного обеспечения, ГОСТ жизненный цикл программного обеспечения, ГОСТ на разработку программного обеспечения, техническое задание на разработку программного обеспечения ГОСТ, разработка программ ГОСТ, стадии разработки программы ГОСТ, разработка безопасного программного обеспечения ГОСТ, разработка программы и методики испытаний ГОСТ, ИСО на программное обеспечение, ИСО 9126 оценка качества программного обеспечения, качество программного обеспечения, ГОСТ Р 53622-2009, ГОСТ РВ 51987, ГОСТ Р 59795-2021, ГОСТ 34.201-2020, ГОСТ Р 59793-2021.

Введение

Информационная система предназначена для своевременного обеспечения людей надлежащей информацией, то есть для удовлетворения конкретных информационных потребностей в рамках определённой предметной области, при этом результатом функционирования информационных систем является информационная продукция: документы, базы данных и услуги. В настоящее время информационная продукция рассматривается как производственный ресурс, становясь на один уровень с финансами, материалами, энергией и др. Специфика информации как производственного ресурса состоит в том, что данные, преобразованные в форму, которая является значимой для предприятия, позволяют обеспечивать эффективное управление ими. На текущий момент широко востребована информационная продукция в просвещении, пропагандисткой области жизни общества и государства, а также на идеологических «фронтах» различного масштаба.

1. Информационная система, определение и вид

Информационная система (или ИС) – это система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые и т.д.), которые обеспечивают и распространяют информацию (ISO/IEC 2382:2015).

Понятие информационной системы в широком смысле подразумевает, что её неотъемлемыми компонентами являются данные, техническое и программное обеспечение, а также персонал и организационное обеспечение. В федеральном законе Российской Федерации «Об информации, информационных технологиях и о защите информации» под информационной системой подразумевается совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств.

Информационные системы в более узком смысле ограничены составом ее данных, программами и аппаратным обеспечением. Интеграция этих компонентов позволяет автоматизировать процессы управления информацией и целенаправленной деятельности конечных пользователей, направленной на получение, модификацию и хранение информации.

Российский стандарт ГОСТ РВ 51987 подразумевает под информационной системой «автоматизированную систему (далее – АС), результатом функционирования которой является представление выходной информации для последующего использования».

ГОСТ Р 53622-2009 использует термин информационно-вычислительная система для обозначения совокупности данных или баз данных, систем управления базами данных и прикладных программ, функционирующих на вычислительных средствах как единое целое для решения определённых задач.

Информационные системы на практике могут различаться друг от друга по типам объектов, характером и объемом решаемых задач и рядом других признаков. Поэтому понятие информационной системы интерпретируют по-разному, в зависимости от контекста. Общепринятой классификации информационных систем пока не существует, поэтому их можно разделить по различным критериям. Задача любой классификации подобных систем состоит в создании неких удобных образов, позволяющих, например, при выборе систем ограничиться определенным классом или типом. Типовая наиболее часто применяемая на практике классификация информационных систем приведена в таблице 1.

Табл. 1. Классификация информационных систем

Информационная система в деятельности компании рассматривается как программное обеспечение, реализующее её деловую стратегию и бизнес-процессы. Желательной целью является создание и развертывание единой корпоративной информационной системы (далее – КИС), удовлетворяющей информационные потребности всех сотрудников, служб и подразделений организации.

2. ГОСТы и корпоративные информационные системы

Корпоративная информационная система автоматизирует все бизнес-процессы предприятия или их значительную часть, достигая полной информационной согласованности, безизбыточности и прозрачности. Они могут поддерживать территориально разнесенные узлы и иметь иерархическую структуру из нескольких уровней. Для таких систем характерна архитектура клиент-сервер со специализацией серверов или же многоуровневая архитектура. При их разработке могут также использоваться серверы баз данных, используемые при разработке групповых информационных систем [1].

В России проектирование и создание автоматизированных информационных систем, включая корпоративные, использование информационных технологий и средств защиты информации в процессе создания информационных ресурсов и эксплуатации ИС регламентируется нормативными документами Российской Федерации и локальными нормативными документами организации. В группу нормативных документов РФ входят стандарты.

Государственный стандарт – это нормативно-правовой документ, в соответствии требованиям которого производится стандартизация производственных процессов и оказания услуг. Согласно нормам действующего закона РФ от 29.06.2015 №162-ФЗ «О стандартизации в Российской Федерации», добровольность применения документов по стандартизации является один из принципов стандартизации в РФ (статья 4). Область создания и эксплуатации автоматизированных информационных систем, использование информационных технологий и информации регламентируется в настоящее время в РФ комплексом различных видов стандартов:

• национальные стандарты России и региональные стандарты. Национальный стандарт РФ (ГОСТ Р) утверждает Росстандарт РФ, а разрабатывают их в рамках технических комитетов (ТК) при Росстандарте. Межгосударственный стандарт (ГОСТ) – региональный стандарт, принятый Межгосударственным советом по стандартизации, метрологии и сертификации Содружества Независимых Государств. На территории Евразийского экономического союза, как и на территории СНГ, межгосударственные стандарты применяются с соблюдением принципа добровольности. Аббревиатура данных стандартов:
  
  
  • национальный стандарт России – ГОСТ Р;
  • межгосударственный стандарт стран СНГ – ГОСТ.

Для государственных учреждений соблюдение этих стандартов в области создания автоматизированных информационных систем, использования информационных технологий и информации обязательно, для коммерческих организаций – носит рекомендательный характер. Тем не менее, ряд требований ГОСТов в этой области является обязательным для соблюдения и применения всеми организациями независимо от их формы собственности, в том числе в вопросах защиты информации и информационной безопасности;

• международные стандарты, на сегодня в РФ в основном востребованы международные стандарты в области безопасности ИС;
• отраслевые стандарты, в частности, при построении информационных систем в финансовой сфере применяются стандарты Центрального Банка России «Обеспечение информационной безопасности организаций банковской системы РФ» (СТО БР ИББС-1.0-2006), информационные системы топливно-энергетического комплекса требуют ссылки на ОСТы Газпрома и т.д.

В настоящей статье рассматривается применение в КИС первой из вышеуказанных групп стандартов – это национальные стандарты России ГОСТ Р и межгосударственные ГОСТы. В чем заключаются положительная составляющая применения разработанных и утвержденных в ГОСТах норм на автоматизированные информационные системы для их разработчиков и пользователей?

Во-первых, комплекс стандартов на автоматизированные информационные системы вводит словарь (глоссарий) узкоспециализированных терминов этой области деятельности; содержит примеры оформления, описывает технологический процесс, содержит продуманную структуру этапов разработки и хорошо узнаваемые разработчиками разделы технической документации, все это способствует унификации процессов и этапов разработки и создания ИС; структурированию теоретических, профессиональных знаний для IT-специалистов, работающих в сфере информационных систем и технологий, развитию их практических/ прикладных навыков и умений.

Во-вторых, своды знаний, содержащиеся в ГОСТах, основаны на результатах исследований, на международных стандартах и на практическом опыте. Даже организациям, которым не требуется следовать во всем ГОСТу, стандарты разработки технической документации будут полезны в качестве списка для проверки, «все ли продумано перед созданием системы?». Применение ГОСТов позволяет снизить риски, связанные с упущениями при проектировании, позволяет выставлять разработчикам требования на понятном языке.

В-третьих, своды требований по технической и документальной регламентации, включенные в ГОСТы, направлены на исполнение и соблюдение разработчиками и пользователями информационных систем законодательства РФ по информационной безопасности и защите информации автоматизированных информационных систем. Основными определяющими законодательными документами РФ, на исполнение которых направлены меры обеспечения информационной безопасности и защиты информации в информационных системах, в настоящее время являются [2]:

• Федеральный Закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
• Федеральный Закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».
• Федеральный Закон от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
• Федеральный Закон от 21 июля 1993 г. № 5485-1 «О государственной тайне».
• Федеральный Закон от 26 июля 2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры РФ».

Действующие в РФ ГОСТы по разработке и созданию автоматизированных систем подразделяются на два вида:

• ГОСТ 34-й серии относится к разработке автоматизированных систем.
• ГОСТ 19-й серии относится к разработке программного обеспечения.

В 2022 году произошло обновление старых стандартов в рамках новой серии национальных и межгосударственных стандартов на автоматизированные системы. Основные наиболее существенные изменения в составе ГОСТов и подходах к стандартизации автоматизированных систем с 2022 года можно свести к следующему:

• кардинально изменилась ситуация неопределенности требований к содержанию технической рабочей документации, возникшая с момента отмены в 2019 году методических рекомендаций РД 50-34.698-90. Теперь требования к содержанию документации регламентированы ГОСТ Р 59795-2021;
• стали более четкими формулировки ГОСТ 34.201-2020, введенного взамен ГОСТа 34.201-89, который ранее устанавливал наименование, комплектность и обозначение документов. Теперь новый стандарт устанавливает требования к видам, наименованию, комплектности и обозначению документов. Таким образом, новые требования к наименованию и содержанию документов ГОСТа 34.201–2020 на автоматизированные системы перешли из разряда методических рекомендаций в разряд требований.

Анализ изменений в составе ГОСТов действующих с 2022 года на автоматизированные системы представлен в таблице 2. 

Табл. 2. Перечень действующих стандартов на автоматизированные информационные системы

Согласно вышеуказанному перечню действующих в РФ ГОСТов на автоматизированные информационные системы, основными регламентными аспектами данных стандартов являются:

• стадии создания автоматизированной системы;
• техническое задание создание системы;
• виды, комплектность и обозначение документов;
• содержание документов;
• термины и определения;
• оформление документов;
• единая система программной документации, виды программ и программных документов (ЕСПД);
• защита информации.

3. Практика применения требований ГОСТ на автоматизированные информационные системы

Несмотря на то, что в соответствии с Федеральным законом от 29.06.2015 №162-ФЗ «О стандартизации в Российской Федерации», добровольность применения документов по стандартизации определена как один из принципов стандартизации (статья 4), при проектировании и внедрении автоматизированных информационных систем, включая КИС, и в процессе создания информационных ресурсов любого уровня. Условия обязательного соблюдения требований ГОСТов предусмотрены в случаях, связанных с защитой информации и информационной безопасностью ИС. Обязательные требования ГОСТов содержат важные структурообразующие элементы, применение которых позволит сформировать слаженную систему документации для создания и эксплуатации автоматизированных систем и обеспечить систему защиты ее информации.

Условия и порядок обязательного применения требований и норм ГОСТов на автоматизированные информационные системы определены следующим:

Во-первых, ГОСТ становится обязательным при создании, внедрении и эксплуатации информационной системы, включая КИС:

• во-первых, если это установлено Федеральным законом (в случае защиты государственной тайны или в отношении оборонной продукции (статья 6 Закона 162-ФЗ, что не является общим случаем для применения ГОСТ на автоматизированные системы);
• во-вторых, если изготовитель/исполнитель принимает на себя требования (например, требования Технического задания) о применении национального/межгосударственного стандарта (статья 26 Закона 162-ФЗ).
• в-третьих, особые случаи, при наличии которых необходимо в обязательном порядке учитывать требования ГОСТ на автоматизированные системы, это:
  
  
  • создание автоматизированных систем в защищенном исполнении;
  • создание государственных информационных систем;
  • защита персональных данных;
  • защита автоматизированных систем управления технологическими процессами;
  • обеспечение безопасности критической информационной инфраструктуры;
  • аттестация по требованиям безопасности информации.

Нормативными требованиями в таких случаях предусматривается разработка следующих документов:

• технического задания на создание подсистемы безопасности;
• модели угроз безопасности информации;
• документации на систему (проектной документации);
• рабочей (эксплуатационной) документации.

В всех указанных случаях необходимо руководствоваться требованиями ГОСТ на автоматизированные системы, даже если в современных трактовках вышеуказанных нормативных требований к разработке документации не употребляется прямая отсылка к ним, а, например, указываются только цитаты из ГОСТ Р 59793-2021:

• документация на систему (проектные решения) должна быть «в объеме, необходимом для описания полной совокупности проектных решений, достаточном для дальнейшего выполнения работ по созданию системы»;
• рабочая документация должна содержать «все необходимые и достаточные сведения для обеспечения выполнения работ по вводу АС в действие и ее эксплуатации, а также для поддержания уровня эксплуатационных характеристик (качества) АС в соответствии с принятыми проектными решениями».

Во-вторых, на необходимость обязательного учета требований ГОСТ на автоматизированные системы при создании систем указывает следующая действующая нормативная база, в частности:

• ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
• приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• постановление Правительства Российской Федерации от 06.07.2015 №676 (в редакции от 23.12.2021) «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».

Последний из нормативных актов не содержит прямого указания на ГОСТ Р 59793-2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания», но содержит цитату из него, дополненную требованиями по защите информации: «Этап разработки документации на систему и ее части включает разработку, согласование и утверждение документации в объеме, необходимом для описания полной совокупности проектных решений (в том числе по защите информации) и достаточном для дальнейшего выполнения работ по созданию системы».

Система защиты информации и информационная безопасность автоматизированной системы при соблюдении принципов конфиденциальности, целостности и доступности системы должна обеспечивать невозможность:

• несанкционированного доступа в систему;
• утечки информации;
• несознательного и сознательного вредительства.

Заключение

В статье приведена актуализация темы ГОСТов для специалистов IT-отрасли. Поэтому при обобщении вышеизложенного важно отметить, что в рамках реалий сегодняшнего дня, когда информационные ресурсы, информационные системы и сама информация становятся объектами использования в конфликтных ситуациях не только между конкурентами, но и в глобальном масштабе, вопросы обеспечения информационной безопасности будут ужесточаться, а требования к качеству и защищенности информационной системы со стороны заказчиков будут расти. Следовательно, знание ГОСТов и их соблюдение при создании и эксплуатации автоматизированных информационных систем, будут являться одним из основных инструментов повышения качества АС в целом и ее информационной безопасности, в частности. 

Литература 

1. Степанова Г.А. Правовое обеспечение информации и функционирования корпоративных информационных систем в РФ // Корпоративные информационные системы. – 2019. – №4(8). – с.33-49. – URL: https://corpinfosys.ru/archive/issue-8/74-2019-8-erplaw.
2. Антонов А.Б. Документирование информационных систем. – М.: ЛитРес, 2020.

Выходные данные статьи

Черемухина Ю.Ю. ГОСТы в корпоративных информационных системах // Корпоративные информационные системы. – 2022. – №1(17). – С. 41-53. – URL: https://corpinfosys.ru/archive/issue-17/193-2022-17-statestandard.

Об авторе

Черемухина Юлия Юрьевна – кандидат технических наук, доцент МИРЭА, занимается стандартизацией и сертификацией, стратегическим планированием, а также системами менеджмента качества. Имеет научные работы, опубликованные в журналах «Наукоемкие технологии», «Технологии техносферной безопасности», «Фундаментальные проблемы радиоэлектронного приборостроения» и др. Адрес контактной электронной почты: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра..

Статьи выпуска №17

1. Автоматизация работы врача терапевта (часть 2);
2. Рабочий план счетов бухгалтерского учета в КИС.
3. Акт сверки взаимных расчетов;
4. ГОСТы в корпоративных информационных системах;
5. Автоматизация процессов транспортной логистики (часть 1).