Тематический план

  • Введение

    Свернуть всё Развернуть всё

    Дисциплина «Модуль проектной деятельности» реализуется в рамках образовательной программы высшего образования – программы магистратуры «Компьютерная математика: теория и приложения» по направлению подготовки 01.04.02 «Прикладная математика и информатика» в очной форме обучения на русском языке.

    В данном курсе обсуждаются документы, которые сопровождают программное обеспечение в ходе всего его жизненного цикла.

    В России эти документы являются ГОСТами. ГОСТы обычно легко доступны в сети Интернет по их названию. Основными для нас будут 

    ГОСТ 19.201-78 Единая система программной документации (ЕСПД). Техническое задание. Требования к содержанию и оформлению. http://docs.cntd.ru/document/1200007648

    ГОСТ 19.101-77 Единая система программной документации (ЕСПД). Виды программ и программных документов http://docs.cntd.ru/document/1200007627

    ГОСТ 19.401-78. ЕСПД. Текст программы. Требования к оформлению https://www.swrit.ru/doc/espd/19.401-78.pdf


    ГОСТ 19.201-78 Единая система программной документации. Техническое задание. Требования к содержанию и оформлению. Обозначение

    СТ РК 34.015-2002 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.

    ГОСТ 34.602-89 Техническое задание на создание автоматизированной системы

    ГОСТ 19.503-79 Единая система программной документации. Руководство системного программиста. Требования к содержанию и оформлению.

    ГОСТ 19.505-79 Единая система программной документации. Руководство оператора. Требования к содержанию и оформлению

    ГОСТ 19.301-79. Единая система программной документации. Программа и методика испытаний. Требования к содержанию и оформлению.



  • Жизненный цикл ПО

    Жизненный цикл программного продукта представляет собой непрерывный процесс, начинающийся с момента принятия решения о создании программного обеспечения и заканчивающийся в момент полного изъятия его из эксплуатации.

    Этапы жизненного цикла программного продукта

    1. Анализ требований

    Данная стадия является одной из важнейших, поскольку определяет успех всего проекта. На этом этапе формулируются цели и задачи проекта, устанавливается область применения программного обеспечения (ПО) и определяются граничные условия, выделяются базовые сущности и взаимосвязи между ними.

    Определяются сроки и стоимость разработки ПО, формируется и подписывается техническое задание на разработку ПО.

    2. Стадия проектирования

    Проектирование включает в себя определение архитектуры программной системы, её функций, внешних условий функционирования, интерфейсы и распределение функций между пользователями и системой, требования к программным и информационным компонентам. Проектирование системы проводится на основе результатов формирования требований.

    Разрабатывается функциональная спецификация ПО, выбирается архитектура системы, определяется наиболее подходящая СУБД, проектируются структуры хранения данных, оговариваются требования к аппаратному обеспечению, определяется набор организационных мероприятий, которые необходимы для внедрения ПО, а также перечень документов регламентирующих его использование.

    3. Кодирование (программирование)

    На данной стадии строятся прототипы как целой программной системы, так и её частей, осуществляется физическая реализация структур данных, разрабатывается программные коды, выполняется отладочное тестирование, создается техническая документация. В результате этапа кодирования появляется рабочая версия продукта.

    4. Тестирование и отладка

    Тестирование ПО тесно связано с этапами проектирования и реализации. В систему встраиваются специальные механизмы, которые дают возможность производить тестирование программного обеспечения на соответствие требований к нему, проверку оформления и наличие необходимого пакета документации.

    Результатом тестирования является устранение всех недостатков программного продукта и заключение о её качестве.

    5. Эксплуатация и сопровождение

    Ввод в эксплуатацию ПО предусматривают установку программной системы, обучение пользователей, документирование. Поддержка функционирования ПО должна осуществляться группой технической поддержки разработчика.

    Сопровождение – это процесс адаптации поставляемого ПО к новым условиям, внесения изменений в ПО и соответствующую документацию, вызванных возникшими проблемами или потребностями в модификации при сохранении неизменными его основных функций.

    Вывод из эксплуатации программного обеспечения осуществляется в результате его морального, прихода на смену более совершенных продуктов или по иным объективным или субъективным причинам.


  • Стандарты, имеющие отношение к разработке, внедрению и сопровождению ИС

    Стандарты, имеющие отношение к разработке, внедрению и сопровождению информационных систем можно разделить на четыре группы: 

    1) Стандарты по документации на ИС; 

    2) Стандарты по процессам документирования ИС; 

    3) Стандарты по оценке качества документации на ИС; 

    4) Стандарты по информационной безопасности (кибербезопасности), относящиеся к процессам документирования ИС. 

    Рассмотрим подробно эти группы стандартов. 

     

    Стандарты по документам на ИС 

     

    Перечень программной документации на ИС зависит от вида и назначения конкретной системы и определяется техническим заданием на разработку, согласованным между Поставщиком и Заказчиком в рамках Договора на оказание услуг. Разработка программной документации регулируется сводом стандартов, объединенных в комплекс с индексом «19» под общим названием ЕСПД.  Единая система программной документации (ЕСПД) — комплекс государственных стандартов Российской Федерации (межгосударственных стандартов для стран СНГ), устанавливающих взаимосвязанные правила разработки, оформления и обращения программ и программной документации. В стандартах ЕСПД устанавливаются требования, регламентирующие разработку, сопровождение, изготовление и эксплуатацию программ, что обеспечивает возможность: - унификации программных изделий для взаимного обмена программами и применения ранее разработанных программ в новых разработках; - снижения трудоемкости и повышения эффективности разработки, сопровождения, изготовления и эксплуатации программных изделий; - автоматизации изготовления и хранения программной документации. Часть программной документации создается для сложных автоматизированных систем (АСУ и АСУ ТП, включающих как программные, так и технические компоненты) и регулируется комплексом стандартов с индексом «34» - Информационная технология. Комплекс стандартов на автоматизированные системы (КСАС). При этом необходимо учитывать, что для документации на программные компоненты систем разработчикам необходимо соблюдать требования ЕСПД, а в отношении документации на технические компоненты – требования ЕСКД. Единая система конструкторской документации (ЕСКД) — комплекс стандартов, содержащий требования к технической документации, выпускаемой и применяемой на всех стадиях жизненного цикла продукта. Мы не рассматриваем разработку документации на технические компоненты автоматизированной системы по ЕСКД.  В таблице представлен полный перечень документации (программной и эксплуатационной) на АС согласно ГОСТ (или ИС, которая может считаться видообразующим типом АС), который может быть использован разработчиком. 


    Перечень документации

    Наименование документа

    Тип документа и возможность включения в состав других документов

    Стандарт, используемый при разработке документа в странах СНГ

    Спецификация

    Используется для комплексов и компонентов ПП. Включает: - перечень документации;

    - перечень комплексов;

    - перечень компонентов

    ГОСТ 19.202 (для составных ПП)

    Описание программы (ОП)

     

    Включает: 

    - общее описание системы;

    - описание применения;

    - описание автоматизируемых функций;

    - описание алгоритма;

    - описание организации информационной базы;

    - описание технологического процесса обработки данных;

    - перечень входных сигналов и данных;

    - перечень выходных сигналов и данных (документов)

    ГОСТ 19.402

    Техническое задание (ТЗ)

    Техническое задание на ПП Техническое задание на АС (ИС) Включает:

    - схема организационной структуры;

    - описание организационной структуры;

    - технологическая инструкция; - описание постановки задачи; - проектная оценка надежности системы;

    - описание информационного обеспечения системы;

    - описание организации информационной базы;

    - описание системы классификации и кодирования;

    - описание комплекса технических средств;

    - схема автоматизации; - схема структурная комплекса технических средств;

    - спецификация оборудования

    ГОСТ 19.201-78,

    СТ РК 34.015-2002,

    ГОСТ 34.602-89

    Пояснительная записка (ПЗ)

    Включает:

    - описание информационного обеспечения системы;

    - описание системы классификации и кодирования;

    - описание комплекса технических средств;

    - описание технико-экономических показателей

    ГОСТ 19.404

    Текст программы

    Включает в себя программный код ПП (АС или ИС)

    ГОСТ 19.401

    Ведомость эксплуатационных документов

    Включает в себя перечень эксплуатационной (программной и эксплуатационной документации) на ПП

    ГОСТ 19.507

    Формуляр

    Включает:

    - общие указания;

    - общие сведения;

    - основные характеристики;

    - комплектность;

    - периодический контроль основных характеристик при эксплуатации и хранении;

    - свидетельство о приёмке;

    - свидетельство об упаковке и маркировке;

    - гарантийные обязательства;

    - сведения о закреплении программного изделия при эксплуатации;

    - сведения об изменениях;

    - особые отметки; - приложения

    ГОСТ 19.501

    Руководство системного программиста (администратора) (РА)

    Включает:

    - общие сведения о программе;

    - структура программы;

    - настройка программы;

    - проверка программы;

    - дополнительные возможности;

    - сообщения системному программисту

    ГОСТ 19.503

    Руководство программиста

    Включает:

    - назначение и условия применения программ;

    - характеристика программы;

    - обращение к программе;

    - входные и выходные данные;

    - сообщения

     

    ГОСТ 19.504

    Руководство оператора (РО)

    Включает:

    - назначение программы;

    - условия выполнения программы;

    - выполнение программы;

    - сообщения оператору

    ГОСТ 19.505

    Программа и методика испытаний (ПМИ)

    Включает:

    - требования к условиям проведения испытаний;

    - программу испытаний;

    - методику испытаний;

    - результаты испытаний;

    - нормативные акты

    ГОСТ 19.301

    Стандарты по процессам документирования 

     

    Перечень стандартов, которые нужно использовать при разработке документации на 

    ИС: 

    − ГОСТ 2.105-95 «Общие требования к текстовым документам»; 

    − ГОСТ 2.610-2006 «Правила выполнения эксплуатационных документов»; 

    − ГОСТ 2.601-95 «Эксплуатационные документы»; 

    − РД 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы, требования к содержанию документов»; 

    − ГОСТ 19.101-77 «ЕСПД. Виды программ и программных документов»; 

    − ГОСТ 19.105-78 «ЕСПД. Общие требования к программным документам»; 

    − ГОСТ 19.106-78 «ЕСПД. Требования к программным документам, выполненным печатным способом»; 

    − ГОСТ 19.604-78 «ЕСПД. Правила внесения изменений в программные документы, выполненные печатным способом»; 

    − ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»; 

    − ГОСТ Р ИСО/МЭК 15910-2006 «Процесс создания документации пользователя программного средства»; 

    − Р 50-34.126-92 «Рекомендация. Информационная технология. Правила проведения работ при создании автоматизированных систем». 

     

    Стандарты по оценке качества документации 

     

    Перечень стандартов, которые следует учитывать при разработке документации и по которым проводится сертификация или аттестация ИС: 

    − ГОСТ 28195-89 «Оценка качества программных средств. Общие положения» - по части оценки программной документации; 

    − ГОСТ Р ИСО/МЭК 25041-2014 «Информационные технологии (ИТ). Системная и программная инженерия. Требования и оценка качества систем и программного обеспечения (SQuaRE). Руководство по оценке для разработчиков, приобретателей и независимых оценщиков» - по части оценки эксплуатационной документации; 

    − ГОСТ Р ИСО/МЭК ТО 9294-93 «Информационная технология. Руководство по управлению документированием программного обеспечения» - по части определений, терминологии и типологии документации; 

    − СТ РК 34.010-2002 «Информационная технология. Сертификация программных средств. Порядок проведения экспертизы программной документации» - сборка по стандартам ГОСТ комплексов 19, 24, 34 и ГОСТ Р ИСО/МЭК. 

     

    Стандарты по информационной безопасности, относящиеся к процессам документирования 

     

    Перечень стандартов по ИБ, которые следует учитывать при составлении документации на ИС: 

    − ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»; 

    − ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» 

    − Р 50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»; 

    − ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»; 

    − ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»; 

    − ГОСТ Р ИСО/МЭК 27001 «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005; − ISO/IEC 27000 -2012 «Словарь и определения»; 

    − ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология»; 

    − ГОСТ Р ИСО/МЭК 27034-1-2014 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия». 


  • Технология документирования

    Документирование ИС тесно связано с производством самого программного продукта и частично определяется стандартами ГОСТ 34.601-90 (стадии создания АС), ГОСТ 19.10177 (перечень документов) и ГОСТ Р ИСО/МЭК 15910-2002 (стадии создания документации пользователя АС). Попробуем создать общую схему технологии документирования, основанную на практическом опыте автора.

     Существует два варианта создания ИС:

      1) Система создается по заказу (договор на продукт или услугу). При этом возникают деловые отношения, которые регулируются законодательством (между Разработчиком и Заказчиком). Уровень документирования должен быть высоким, пакет документации – максимально полным по ГОСТ 34.601-90 и 34.602-89.  Схема документирования первого варианта представлена на рисунке.


    Пакет документации (стандартно) включает: 

    - Отчет об обследовании; 

    - Технико-экономическое обоснование; 

    - Пояснительная записка; 

    - Техническое задание; 

    - Описание системы (программы); 

    - Описание применения системы; 

    - Программа и методика испытаний; 

    - Формуляр; 

    - Паспорт программы (системы); 

    - Ведомость эксплуатационных документов; 

    - Руководство пользователя; 

    - Руководство администратора; 

    - Руководство по техническому обслуживанию. 

     

    2) Система создается для собственных нужд организации (Потребитель). 

    Уровень документирования может быть низким, пакет документации ограничивается руководствами пользователя и администратора. Но если система в дальнейшем будет предлагаться сторонним организациям как товар, возникают деловые отношения аналогично пункту 1 и уровень документирования должен быть повышен до среднего с минимальным пакетом документации. Поэтому автор советует сразу готовить подобный пакет документации, определяемый ГОСТ 19.101-77. Схема упрощенного документирования представлена на рисунке Пакет 

    документации (минимальный) включает: - Описание системы (программы); - Руководство пользователя; - Руководство администратора; - Руководство по техническому обслуживанию. 

     
    3.1. Подготовительный этап  
     
    Подготовительный этап обычно включает в себя несколько действий, которые обычно не описываются в стандартах: 
     
    1) Встреча и обсуждение с Заказчиком условий разработки ИС (или приобретения готового продукта); 
    2) Обследование представителями Разработчика организации Заказчика на предмет выявления основных условий и требований к разработке (внедрению) ИС; 
    3) Разработка черновиков пояснительной записки (ПЗ), технико-экономического обоснования (ТЭО). При необходимости – служебные записки (СЗ) подразделениям Разработчика и Заказчика для сбора необходимых сведений; 
    4) После принятия руководством Заказчика и Разработчика решения о разработке (покупке) ИС ТП следует ознакомиться с официальными документами, подтверждающими это решение (протоколы, СЗ и т.п.); 
    5) После подписания Договора на разработку (покупку) ИС ТП должен получить его копию с обязательным приложением - технической спецификацией (ТС).   Обследование организации Заказчика должно проводиться тщательно и ТП может принимать в нем участие (наряду с техническими специалистами, программистами и экономистами Разработчика), чтобы выявить те основные положения, которые лягут в основу функционала ИС. Сведения, которые собираются во время обследования, станут основой пояснительной записки и ТЭО, черновики которых позволят очертить круг проблем и задач, имеющихся в организации Заказчика и которые можно решить путем создания новой или внедрения готовой ИС. Среди собираемых сведений могут быть: Сведения об организации:  Наименование, адрес, контакты;  Структура, подчиненность,   деятельность, процессы, информационно-коммуникационная инфраструктура  и т.п.   
     
    Материалы, которые будут получены при обследовании, войдут на последующих этапах в техническую спецификацию (приложение к договору на создание или внедрение ИС), техническое задание и часть программных документов, которые будут готовиться в процессе разработки и внедрения ИС. Чем больше будет собрано материалов, тем легче ТП будет создавать пакет документации по ИС, а разработчикам будет проще согласовывать разработанные части системы с Заказчиком на основании заранее собранных документированных требований и ограничений по назначению и функционалу системы. 
     
    Собранные во время обследования сведения могут быть использованы ТП для разработки черновиков двух документов, которые способны оказать определенное влияние на Заказчика и команду разработчиков: пояснительная записка (ПЗ) и техникоэкономическое обоснование (ТЭО). Состав и качество этих документов имеет значение для последующих работ, поэтому ТП должен относиться к их составлению с высокой ответственностью и привлекать к работе всех заинтересованных лиц. Разработчики (руководитель проекта, системный архитектор и руководитель программистов) могут дополнить начальный вариант ПЗ и ТЭО, внести четкие определения по средствам, срокам и ресурсам. Заказчик, ознакомившись с ПЗ и ТЭО, также может внести свои правки, получив конкретную информацию по способам и срокам реализации новой системы.  Черновик ПЗ создается на основе ГОСТ 19.404-79 и собранных у Заказчика сведений (технического, экономического и организационного характера).  Черновик ТЭО создается в произвольной форме, но имеет смысл использовать структуру, близкую к структуре ПЗ, только с экономическим уклоном.  Также можно воспользоваться устаревшим стандартом ГОСТ 24.2020-80 «ЕСС АСУ. Требования к содержанию документа «Технико-экономическое обоснование создания АСУ»», который содержит следующую структуру документа: Введение    
    - основание для проведения работ; 
    - наименование организации-заказчика; 
    - наименование организаций-участников работ; 
    - сроки начала и окончания работ; 
    - источники, объемы, порядок финансирования работ; 
    - перечень нормативно-технических документов, 
    Раздел 1. Характеристика объекта и существующей системы управления   
    - общую характеристику объекта; 
    - характеристику производственно-хозяйственной деятельности, организационной и производственной структуры объекта; 
    - характеристику существующей системы управления, ее структурных элементов с указанием распределения функций управления между элементами организационной структуры; 
    - характеристику функций управления, используемых методов и средств управления; 
    - перечень и характеристику недостатков в организации и управлении объектом (в методах управления, организационной структуре управления, выполнении функций управления, обеспечении информацией и т.д.); 
    - оценку производственных потерь, возникающих из-за недостатков в организации и управлении по объекту в целом и его частям (ухудшение технико-экономических и социальных показателей деятельности объекта и его частей); 
    - характеристику готовности объекта к созданию АСУ. 
    Раздел 2. Цели, критерии и ограничения создания АСУ   
    - формулировку производственно-хозяйственных, научно-технических и экономических целей и критериев создания АСУ;  
    - характеристику ограничений по созданию АСУ.   
    Раздел 3. Функции и задачи создаваемой АСУ   
    - обоснование выбора перечня автоматизированных функций и комплексов задач (задач) управления с указанием очередности внедрения; 
    - требования к характеристикам реализации функций и задач управления в соответствии с действующими нормативно-техническими документами, определяющими общие технические требования к АСУ конкретного вида; 
    - дополнительные требования к АСУ в целом и ее частям, учитывающие специфику объекта управления и создаваемой АСУ. 
    Раздел 4. Ожидаемые технико-экономические результаты создания АСУ   
    - перечень основных источников экономической эффективности получаемых в результате создания АСУ (в том числе — экономия производственных ресурсов, улучшение качества продукции, повышение производительности труда и т. д.) и оценку ожидаемых изменений основных технико-экономических и социальных показателей производственно-хозяйственной деятельности объекта (например показателей по номенклатуре и объемам производства, себестоимости продукции, рентабельности, отчислениям в фонды экономического стимулирования, уровню социального развития); 
    - оценку ожидаемых затрат на создание АСУ с распределением их по очередям создания АСУ по годам; 
    - ожидаемые обобщающие показатели экономической эффективности АСУ. 
    Раздел 5. Выводы и предложения   
    - выводы о производственно-хозяйственной необходимости и технико-экономической целесообразности создания АСУ;   
    - предложения по совершенствованию организации и управления; 
    - рекомендации по созданию АСУ. 


  • Сертификация и аттестация ИС

    Сертификация ИС 

     

    Сертификация программного обеспечения – это процедура, направленная на подтверждение соответствия данного компонента нормам и стандартам, действующим на территории России (и стран Таможенного союза). Сертификация проводится на основе требований ГОСТ 19781-90 (содержит термины и определения) и не является обязательной. Добровольная процедура контроля повышает конкурентоспособность товаров, поскольку вызывает доверие со стороны потребителей. Она осуществляется в органах по сертификации, имеющих аккредитацию Госстандарта. Однако, если ПО продаётся за рубеж или по деловому соглашению в стране, требуется оформление Отказного письма, которое также выдаёт по запросу Госстандарт. Органы сертификации используют для оценки ПО стандарт ГОСТ 28195-99 (или 28195-89), содержащий показатели качества программных средств вычислительной техники (ПС). Для технического писателя в этом стандарте важны следующие показатели: 

    Показатели надёжности ПС. Характеризуют способность ПС в конкретных областях применения выполнять заданные функции в соответствии с программными документами в условиях возникновения отклонений в среде функционирования, вызванных сбоями технических средств, ошибками во входных данных, ошибками обслуживания и другими дестабилизирующими воздействиями. 

    Работоспособность. Способность программы функционировать в заданных режимах и объёмах обрабатываемой информации в соответствии с программными документами при отсутствии сбоев технических средств. 

    Показатели сопровождения. Характеризуют технологические аспекты, обеспечивающие простоту устранения ошибок в программе и программных документах и поддержания ПС в актуальном состоянии 

    Наглядность. Наличие и представление в наиболее легко воспринимаемом виде исходных модулей ПС, полное их описание в соответствующих программных документах. 

    Показатели удобства применения.  1) Лёгкость освоения. Представление программных документов и программы в виде, способствующем пониманию логики функционирования программы в целом и ее частей 2) Доступность эксплуатационных программных документов Понятность, наглядность и полнота описания взаимодействия пользователя с программой в эксплуатационных программных документах.

    Показатели корректности  1) Полнота реализации. Полнота реализации заданных функций ПС и достаточность их описания в программной документации 2) Согласованность. Однозначное, непротиворечивое описание и использование тождественных объектов, функций, терминов, определений, идентификаторов и т.д. в различных частях программных документов и текста программы.


    Испытание ИС на информационную безопасность 

     

    В настоящее время информационная безопасность выделилась в отдельную область информационных технологий в силу своей востребованности (активная работа населения в сети Интернет, обмен данными через эту сеть, облачные технологии и переход финансовых организаций на мобильные платформы обслуживания). Основными стандартами в этой области, применимыми к ИС, являются стандарты ISO, которые адаптируются к особенностям стран СНГ и Таможенного Союза. Основными, имеющими отношение к производству информационных систем и документации к ним, следует считать группы стандартов ГОСТ Р ИСО/МЭК 15408 и  Испытания (аттестационные испытания) являются комплексной проверкой защищаемого объекта информатизации для оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. 

    Согласно приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»: в части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы (и муниципальной информационной системы) по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний». Приказа ФСТЭК России от 11 февраля 2013 г. № 17 не отменяет действие методических документов «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее – СТР-К) и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования о защите информации» (далее – РД АС). Для ИС не использующих и не обрабатывающих персональные данные аттестация по ИБ не предусмотрена, но может быть проведена в виде добровольной аттестации по заявке владельца системы. Для банковских ИС испытания проводятся по стандарту Банка России СТО БР ИББС1.2-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.02014». Примечание по РК. В Казахстане испытания государственных ИС и организаций, взаимодействующих с государственными ИС, проводятся по «Методике проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности» (Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 63). Эта методика входит в состав мероприятий по проведению аттестации ИС по ИБ согласно «Единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности» (утверждены Постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832). 


    Аттестация ИС по информационной безопасности 

    Аттестация по требованиям безопасности является завершающей стадией ввода в действие системы защиты информации и выступает подтверждением эффективности комплекса мер и средств защиты информации, используемых на конкретном объекте информатизации. При проведении аттестации оцениваются в совокупности все средства защиты информации, а также конкретные условия эксплуатации рассматриваемого объекта. В качестве объекта информатизации выступают автоматизированные и информационные системы, выделенные и защищаемые помещения, системы связи, отображения и размножения информации. Обязательная аттестация имеет место в случае: обработки информации, составляющей государственную тайну; управления экологически опасными объектами; ведения секретных переговоров; при организации защиты информации, содержащейся в государственных информационных ресурсах («СТР-К», Гостехкомиссия России); при обработке информации в государственных и муниципальных информационных системах (Приказ ФСТЭК России № 17); 

    при проведении лицензирующей деятельности по ТЗКИ и СКЗИ (Постановления Правительства РФ № 79 и № 313). В остальных случаях аттестация носит добровольный характер и представляет собой способ официального подтверждения соответствия вашего объекта информатизации требованиям по безопасности информации (иного способа нормативная база не предусматривает). Основным документом, определяющим цели и задачи, порядок и условия проведения аттестации объектов информатизации, является руководящий документ Гостехкомиссии РФ «Положение об аттестации объектов информатизации по требованиям безопасности информации». Согласно приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»: в части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы (и муниципальной информационной системы) по требованиям защиты информации в соответствии с Требованиями, утверждёнными приказом ФСТЭК России от 11 февраля 2013 г. № 17, национальными стандартами ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» и ГОСТ РО 0043 -004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний». Приказа ФСТЭК России от 11 февраля 2013 г. № 17 не отменяет действие методических документов «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее – СТР-К) и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования о защите информации» (далее – РД АС). Для ТП важно то, что проведение аттестационных испытаний объекта информатизации включает: - анализ структуры объекта информатизации, информационных потоков, комплекса технических средств и программного обеспечения, системы защиты информации и разработанной документации. 

     Ввод ИС в промышленную эксплуатацию 

     

    Ввод ИС в промышленную эксплуатацию производится только после успешно завершенной опытной эксплуатации и оформления Акта приемо-сдаточных испытаний. Для ИС государственного сектора ввод в промышленную эксплуатацию возможен только по итогам прохождения аттестации по ИБ. 

     

     


  • ДОРАБОТКА ДОКУМЕНТАЦИИ В ПРОЦЕССЕ ЭКСПЛУАТАЦИИ ИС

    По стандартам ГОСТ Р 53622-2009 и предусмотрено, что на стадии «Эксплуатация ИВС» могут разрабатываться документы, отображающие: 

    − ТЗ на внесение изменений в прикладные программы; 

    − проекты реализации изменений; 

    − доработанные прикладные программы; 

    − уточнённый состав вычислительных средств, системных программ и программ общего назначения: 

    − откорректированные конструкторские и эксплуатационные документы. 

    На этапе анализа проблем и разработки предложений по изменениям могут быть разработаны: ТЗ на внесение изменений и рабочие проекты изменений.

    На этапе внесения изменений комплектность документов может быть следующей: откорректированные конструкторские документы, откорректированные эксплуатационные документы

    На этапе проверки и приёмки изменений комплектность документов может быть следующей: протокол проверки изменений, протоколы испытаний, откорректированные ТУ, акты сдави и приемки работ.

  • Примеры оформления документов, сопровождающих программные средства

    Пример технического задания

    А.1 Введение

     

    А.1.1 Наименование разрабатываемого программного средства

     

    Полное название – «Имитационная модель отводного канала наблюдения».

     

    А.1.2 Область применения

     

    Областью применения данного программного средства является рабочий процесс предприятий, конструирующих системы связи.

     

    А.2 Основание для разработки

     

    Разработка по теме: «Имитационная модель отводного канала наблюдения» проводится на основании задания на дипломную работу, для студентов факультета «Информатики и Вычислительной Техники» (ИиВТ)....

      

    А.3 Назначение разработки

     

    А.3.1 Функциональное назначение

     

    Функциональное назначение заключается в моделирование ситуации в которой наблюдателю в канале приходят данные разного уровня зашумленности.

     

    А.3.2 Эксплуатационное назначение

     

    Эксплуатационное назначение заключается в использовании на устройствах конечных пользователей, а также на проведение экспериментов, направленных на изучение характеристик кода.

     

    А.4 Требования к программе

     

    А.4.1 Требования к функциональным характеристикам

     

    Программное средство должно обеспечивать возможность выполнения следующих функций: кодирование, декодирование декодером, исправляющим ошибки за половиной кодового расстояния, декодирование декодером, исправляющим ошибки за половиной кодового расстояния (комплексный вход), декодирование декодером, основанным на дифференцировании полиномов нескольких переменных.

     

    А.4.2 Требования к надежности

     

    Надежное функционирование программы должно быть обеспечено выполнением совокупности организационно-технических мероприятий, перечень которых приведен ниже:

                организацией бесперебойного питания технических средств;

                регулярным выполнением требований ГОСТ 51188-98;

                испытания программных средств на наличие компьютерных вирусов.

    Так же обрабатываются отказы из-за некорректных действий пользователей системы.

     

    А.4.3 Условия эксплуатации

     

    Для функционирования программного продукта необходимо соблюдение всех требований и правил эксплуатации компьютерной техники. Требования к персоналу, работающему с данным программным продуктом: общие знания вычислительной техники, общие знания по теории информации, знание операционной системы Windows.

     

    А.4.4 Требования к составу и параметрам технических средств

     

    В состав технических средств должен входить IВМ-совместимый персональный компьютер (ПЭВМ), включающий в себя: процессор с тактовой частотой не ниже 1 GHz, оперативную память объемом не менее 1 Гбайт, дисплей, клавиатура, мышь. Дополнительных требований и ограничений не вводится.

     

    А.4.5 Требования к программной совместимости

     

    А.4.5.1 Определение структуры входных и выходных данных

     

    Входными данные программного средства являются пользовательские данные или сгенерированные данные.

    Выходными данными программы является отчет об успешности декодирования.

    Входные данные и выходные данные выводятся в окне экрана персонального компьютера.

     

    А.4.5.2 Язык программирования

     

    Для корректного функционирования и редактирования программного продукта необходимо использование языка программирования С++. 

     

    А.4.5.3 Операционная система

     

    Программное средство должно работать под управлением ОС Windows XP и новее.

     

    A.4.6 Требование к упаковке и маркировке

     

    Требования к маркировке не предъявляются, а требования к упаковке определяются требованиями к упаковке носителей информации, на которые будет записано ПО.

     

    А.4.7 Требования к транспортировке и хранению

     

    Условия транспортирования, места хранения, условия складирования и сроки хранения в различных условиях должны соответствовать требованиям, предъявляемым к носителям информации на которых будет содержаться данное программное изделие.

    Допустимы все способы транспортирования и хранения, не нарушающие целостность используемого носителя данных.

    Программное средство может храниться на любом носителе информации, в том числе в облачном хранилище.

    Транспортировка на флэш-носителях или SD- картах памяти также допускается.

     

    А.5 Требования к программной документации

     

    Программная документация должна состоять из следующих пунктов:

                задание на дипломную работу;

                техническое задание по ГОСТ 19.201-78 ЕСПД;

                пояснительная записка по ГОСТ 19.201-78 ЕСПД.

     

    A.6 Стадии и этапы разработки

     

    Системный анализ:

                изучение предметной области;

                определение области применения и целей использования разрабатываемого программного средства;

                поиск вариантов решения поставленных задач;

                определение ограничений и диапазонов функционирования разрабатываемого программного средства;

                подготовка технического задания.

    Общесистемное проектирование:

    определение структуры программного средства;

    определение структуры алгоритмов и модулей.

    Подготовка технологических средств:

                выбор языка программирования;

                выбор среды разработки;

                выбор и подготовка инструментальных средств и средств отладки;

                разработка инструкций к применению методов.

    Программная реализация, рабочий проект:

                разработка алгоритмической части; 

                разработка текстов программных модулей;

                проектирование пользовательского интерфейса.

    Отладка программного средства в статике:

                тестирование программных модулей;

                комплексирование модулей, поэтапное сведение в единый комплекс;

                локализация ошибок, выявление ошибочных ситуаций;

                корректировка исходных текстов;

                коррекция информационных потоков;

                перекомпиляция, тестирование ПС.

     

    А.7 Порядок контроля и приемки

     

    Порядок и контроль приёмки определяются .... и основаны на демонстрации знаний технологии и умении создавать программные средства для различных предметных областей.

    Главным требованием к приемке является наличие правильно работающего комплекса модулей с тестовым примером и отчета, представленного в печатном виде.

     

    Разработчик технического задания             


    Руководство программиста

     

    Б.1 Общие сведения о программе

     

    Областью применения данного программного средства является рабочий процесс предприятий, конструирующих системы связи.

    Разработанный программный компонент выполняет следующие функции:

               Выбор параметров кода;

                Генерация информационных слов;

                Кодирование информационных слов;

                Выбор уровня шума и зашумление кодовых слов;

                Выбор декодера и декодирование зашумленных кодовых слов;

                Генерация отчета.

    Для корректного функционирования программного продукта в состав технических средств должен входить IВМ-совместимый персональный компьютер (ПЭВМ), включающий в себя:

               процессор Pentium-2.0GHz, не менее или процессор Intel или AMD с тактовой частотой не ниже 2.0GHz;

                оперативную память объемом не менее 1024 Мбайт;

               операционную систему семейства Windows (не ниже версии Windows XP) и права Администратора;

                клавиатура и мышь.

     

    Б.2 Характеристика программы

     

    Программное средство реализовано на языке программирования C++ в среде разработки QtCreator.

    В программе реализован контроль вводимых данных всех полей. Таким образом, пользователь не сможет ввести не корректные данные и запустить расчет.

     

    Б.3 Обращение к программе

     

    Обращение производится пользователем интерактивно, посредством операционной системы. Программа не поддерживает какие-либо аргументы командной строки.

     

    Б.4 Входные и выходные данные

     

    Входные данные:

                Параметры кода;

                Количество информационных слов;

                Уровень шума;

                Вид декодера.

    Выходные данные:

                Отчет о корректирующей способности декодера.

     

     

     

     

     

     

     


    Руководство системного программиста

     

    В.1 Общие сведения о программе

     

    Областью применения данного программного средства является рабочий процесс предприятий, конструирующих системы связи.

    Разработанный программный компонент выполняет следующие функции:

                Выбор параметров кода;

                Генерация информационных слов;

                Кодирование информационных слов;

                Выбор уровня шума и зашумление кодовых слов;

                Выбор декодера и декодирование зашумленных кодовых слов;

                Генерация отчета.

     

    В.2 Структура программы

     

    Программный комплекс состоит из следующих файлов:

    ‒    ChannelObservation.exe – исполняемый файл;

    ‒    Qt5Core.dll, Qt5Widgets.dll, libgcc_s_dw2-1.dll, libstdc++-6.dll, icudt52.dll, icuin52.dll, icuuc52.dll, libgcc_s_dw2-1.dll, libwinpthread-1.dll, qminimal.dll, qwindows.dll – dll-библиотеки;

    ‒    qt.conf - текстовый INI-файл, содержащий пути к  необходимым библиотекам.

     

    В.3 Настройка программы

     

    Для настройки программного средства необходимо провести следующие операции:

                Запустить программное средство;

                Ввести параметры кода и нажать кнопку «Установка параметров»;

                Ввести количество информационных слов и нажать кнопку «Генерация данных»;

                Нажать кнопку «Кодирование данных»;

                Установить уровень шума и нажать кнопку «Наложение шума»;

                Выбрать декодер и нажать кнопку «Декодирование данных».

    Проверка программного средства осуществлялась в процессе разработки при помощи тестов. Тестирование программного средства прошло успешно.

    Результаты тестирования и экспериментов, отображённые в части экспериментальных исследований, позволяют утверждать, что программный компонент работает корректно.

     

    В.4 Дополнительные возможности

     

    Программное средство кроме основной функции содержит следующие средства для удобства использования:

                Сгенерированные отчеты записываются в файл;

                 Реализован механизм для циклического декодирования данных с разным уровнем шума.