Требования ГОСТ на автоматизированные системы в ИБ-проектах. Что изменилось и как это применять?
Время на прочтение
17 мин
Количество просмотров 44K
Зенин Николай Николаевич
главный архитектор проектов
компании Angara Security
Традиционно разработчики документации на автоматизированные системы при создании и обеспечении защиты этих систем применяли ГОСТы 34-й серии. С 2022 года наконец-то произошло обновление старых стандартов в рамках новой серии национальных и межгосударственных стандартов на автоматизированные системы (далее — ГОСТ на автоматизированные системы).
В этой статье мы проясним основные особенности применения ГОСТ на автоматизированные системы, а также разберемся в изменениях, которые произошли в 2022 году.
Состав ГОСТов на автоматизированные системы
С первой половины 2022 года вступили в действие новые стандарты (пункты 1–6) согласно Таблице 1.
Таблица 1 — Перечень действующих стандартов.
№ |
Ранее действовавший стандарт |
Новый стандарт |
Ссылка на документ |
Статус (основание) |
1) |
ГОСТ 34.601–90 «Автоматизированные системы. Стадии создания» |
ГОСТ Р 59793–2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» |
protect.gost.ru |
Действует с 30.04.2022 (приказ Росстандарта от 25.10.2021 №1285-ст) |
2) |
ГОСТ 34.602–89 «Техническое задание на создание автоматизированной системы». Действие прекращено с 01.01.2022 |
ГОСТ 34.602–2020 «Техническое задание на создание автоматизированной системы» |
protect.gost.ru |
Действует с 01.01.2022 (приказ Росстандарта от 19.11.2021 № 1522-ст) |
3) |
ГОСТ 34.603–92 «Виды испытаний автоматизированных систем». Действие прекращается с 30.04.2022 |
ГОСТ Р 59792–2021 «Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем» |
protect.gost.ru |
Действует с 30.04.2022 (приказ Росстандарта от 25.10.2021 № 1284-ст) |
4) |
ГОСТ 34.201–89 «Виды, комплектность и обозначение документов при создании автоматизированных систем». Действие прекращено с 01.01.2022 |
ГОСТ 34.201–2020 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Виды, комплектность и обозначение документов» |
protect.gost.ru |
Действует с 01.01.2022 (приказ Росстандарта от 19.11.2021 № 1521-ст) |
5) |
РД 50–34.698–90 «Автоматизированные системы. Требования к содержанию документов». Действие прекращено (приказ Росстандарта от 12.02.2019 № 216) |
ГОСТ Р 59795–2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов» |
protect.gost.ru |
Действует с 30.04.2022 (приказ Росстандарта от 25.10.2021 № 1297-ст) |
6) |
ГОСТ 34.003–90 «Автоматизированные системы. Термины и определения». Действие прекращено с 01.01.2022 |
ГОСТ Р 59853–2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» |
protect.gost.ru |
Действует с 01.01.2022 (приказ Росстандарта от 19.11.2021 № 1520-ст) |
7) |
ГОСТ 2.102–2013 «Единая система конструкторской документации. Виды и комплектность конструкторских документов» |
Действует ранее принятый стандарт |
protect.gost.ru |
Издание (июль 2020) с поправками |
|
ГОСТ Р 2.105–2019 «Единая система конструкторской документации. Общие требования к текстовым документам» |
Действует ранее принятый стандарт |
protect.gost.ru |
Действует с 01.02.2020 |
9) |
ГОСТ Р 2.106–2019 «Единая система конструкторской документации. Текстовые документы» |
Действует ранее принятый стандарт |
protect.gost.ru |
Действует с 01.02.2020 |
10) |
ГОСТ 7.32–2017 «Система стандартов по информации, библиотечному и издательскому делу. Отчет о научно-исследовательской работе. Структура и правила оформления» |
Действует ранее принятый стандарт |
protect.gost.ru |
Действует 01.07.2018 |
11) |
ГОСТ 2.113–75 «Единая система конструкторской документации. Групповые и базовые конструкторские документы» |
Действует ранее принятый стандарт |
protect.gost.ru |
Измененная редакция, Изм. № 2 |
12) |
ГОСТ 19.101–77 «Единая система программной документации. Виды программ и программных документов» (ЕСПД) |
Действует ранее принятый стандарт |
protect.gost.ru |
Измененная редакция, Изм. № 1 |
13) |
ГОСТ Р 51583–2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» |
Действует ранее принятый стандарт |
protect.gost.ru |
Переиздан в октябре 2018 года |
Комплекс стандартов на автоматизированные системы вводит глоссарий, содержит примеры оформления, описывает технологический процесс, содержит продуманную структуру этапов разработки и хорошо узнаваемые разработчиками разделы технической документации.
Своды знаний, содержащиеся в ГОСТах, основаны на результатах исследований, на международных стандартах и на практическом опыте. Даже организациям, которым не требуется следовать во всем ГОСТу, стандарты разработки технической документации будут полезны в качестве чек-листа для проверки, «все ли продумано перед созданием системы?». Применение ГОСТов позволяет снизить риски, связанные с упущениями при проектировании, позволяет выставлять разработчикам требования на понятном языке.
Среди перечисленных стандартов наибольшее внимание в статье будет уделено двум из них, регламентирующим состав и содержание документации технического проекта:
-
ГОСТ 34.201–2020 (взамен ГОСТ 34.201–89), определяющий состав документов технического проекта;
-
ГОСТ Р 59795–2021 (взамен руководящего документа РД 50–34.698–90), определяющий содержание каждого разрабатываемого документа технорабочей документации.
Основные изменения стандартов
Основополагающие в проектировании автоматизированных систем стандарты, разработанные еще в 1989–1992 годах, не подвергались пересмотру 30 лет и, естественно, утратили свою актуальность. Они уже не учитывали современных тенденций развития технологий. Например, с тех времен, когда документы отчерчивали на кульмане, в составе проектной документации было принято разрабатывать «Чертеж формы документа (видеокадра)», а для хранения данных в картотеках с полу автоматизированной обработкой формировался «Каталог базы данных». Был непонятен статус старых стандартов (ведь было принято переиздавать стандарты как минимум раз в 10 лет, но этого не происходило).
И вот, наконец-то стандарты пересмотрены, переизданы и введены в действие.
-
Кардинально изменилась ситуация неопределенности требований к содержанию технорабочей документации, возникшая с момента отмены в 2019 году методических рекомендаций РД 50–34.698–90. Теперь требования к содержанию документации регламентированы ГОСТ Р 59795–2021.
-
Стали более четкими формулировки ГОСТ 34.201–2020, введенного взамен ГОСТ 34.201–89 (который устанавливал наименование, комплектность и обозначение документов), теперь устанавливает требования к видам, наименованию, комплектности и обозначению документов. Таким образом, новые требования к наименованию и содержанию документов ГОСТ на автоматизированные системы перешли из разряда методических рекомендаций в разряд требований.
Однако общий подход к разработке комплекта технорабочей документации на автоматизированные системы не пересматривался. Структура прежних стандартов не была подвержена существенным изменениям. Из новых стандартов исключены документы, которые не актуальны для современных автоматизированных систем:
-
Ведомость машинных носителей информации (ВМ);
-
Состав выходных данных (сообщений) (В8), при этом оставлен документ «Перечень выходных сигналов (документов)» (В2);
-
Инструкция по формированию и ведению базы данных (набора данных) (И4).
Остальные 55 документов, 4 из которых — с измененными формулировками (например, вместо «Чертеж формы документа (видеокадра)» — теперь «Шаблон документа», вместо «Каталог базы данных» — «Описание базы данных»), оставлены в перечне документов по ГОСТ 34.201–2020.
Состав работ по созданию систем
Основной стандарт, определяющий последовательность работ по созданию автоматизированных систем, — это ГОСТ Р 59793–2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (принят взамен ГОСТ 34.601–90). Данным стандартом определено 8 стадий создания автоматизированных систем, но, по сложившейся практике выполнения проектов, стадии объединяются, и работы выполняются в несколько этапов, перечисленных в Таблице 2.
Таблица 2 – Стадии работ по созданию системы.
Стадия по ГОСТ Р 59793–2021 |
Стадия (этап работ) на практике |
Содержание работ |
1. Формирование требований к АС |
0) Предпроектный этап |
Заказчик самостоятельно определяет требования пользователя к системе и размещает заказ на закупку |
2. Разработка концепции АС |
1) Обследование |
Привлеченный исполнитель обследует инфраструктуру Заказчика и нормативную документацию, определяет угрозы безопасности информации, подготавливает Отчет об обследовании, Модель угроз, согласование которой может продолжаться в течение последующих стадий проекта |
3. Техническое задание |
2) Техническое задание |
Выполняется разработка и утверждение Технического задания на создание системы |
4. Эскизный проект |
3) Технорабочее проектирование |
Выполняется разработка и утверждение комплекта документации технического проекта, рабочего проекта на систему и комплекта организационно-распорядительной документации |
5. Технический проект |
||
6. Рабочая документация |
||
7. Ввод в действие |
4) Ввод в действие |
Выполняются пуско-наладочные работы, подготовка персонала, проводятся испытания системы и, при необходимости, аттестация системы по требованиям безопасности информации |
8. Сопровождение АС |
5) Эксплуатация и сопровождение |
Выполняются работы в соответствии с гарантийными обязательствами и послегарантийное обслуживание. Стадия работ продолжается до вывода системы из эксплуатации |
Для упрощения применяемой терминологии часть понятий в данной статье объединены (в случаях, где не требуется разделение понятий):
-
под «созданием системы» подразумеваются как проекты создания, так и проекты модернизации (доработки) системы;
-
под «системой» подразумеваются как автоматизированные системы (состоящие из персонала, информации, комплекса технических и программных средств автоматизации целевой деятельности), так и информационные системы (аналогично автоматизированным системам, но без персонала), системы защиты информации;
-
под «системой защиты информации» подразумеваются как, собственно, система/подсистема защиты информации в соответствии с нормативными требованиями, так и системы/подсистемы информационной безопасности (в отличие от «защиты информации», термин «информационная безопасность» часто подразумевает послабление применяемых нормативных требований).
Отдельных комментариев заслуживают стадии: 1. «Формирование требований к АС», 3. «Техническое задание», 4-6, объединенные в этап работ на практике 3) «Технорабочее проектирование». Разберем их подробнее.
Техническое задание
Может возникать путаница в обозначении того, что считается Техническим заданием (Частным техническим заданием):
-
На стадии 1. «Формирование требований к АС» для публикации на портале закупок или модернизации существующей системы подготавливается документ с требованиями к системе, называемый по сложившейся практике «Техническим заданием». Однако, документ, создаваемый на данной стадии, остается только лишь требованиями пользователя к системе, и Техническим заданием не является.
-
На стадии 3. «Техническое задание» разрабатывается Техническое задание на систему, которое является Техническим заданием по ГОСТ на автоматизированные системы.
На стадии 3. «Техническое задание» определяются требования к системе в целом. На основании требований о защите информации государственных информационных систем, значимых объектов критической информационной инфраструктуры, персональных данных, автоматизированных систем управления, утвержденные Постановлением Правительства Российской Федерации от 06.07.2015 №676 и приказами ФСТЭК от 11.02.2013 №17, от 25.12.2017 №239, от 18.02.2013 №21, от 14.03.2014 №31, одновременно с определением требований, определяются и меры защиты информации, применение которых необходимо для нейтрализации актуальных угроз, выявленных по результатам моделирования угроз безопасности информации. Меры защиты включаются в Техническое задание на систему и затем при необходимости могут уточняться в рамках проектирования.
Технорабочее проектирование
На этапе работ «Технорабочее проектирование» разрабатываются два блока документации:
-
Проектные решения (технический проект иногда называют «документацией на систему»). Данный блок описывает будущую систему в терминах принятых архитектурных и технических решений. Стадия эскизного проектирования — упрощенная версия технического проекта.
-
Рабочая документация. Этот блок содержит настройки для успешного развертывания и ввода в действие системы, эксплуатационную документацию для дальнейшей эксплуатации системы и комплект организационно-распорядительной документации.
Применяют различные подходы к проектированию, от предоставления заказчику стандартных (автоматически формируемых на основе шаблонов) документов до доскональной проработки настроек и выполняемых в системе операций (с учетом особенностей каждой площадки развертывания системы, характеристик оборудования, указанием сетевых настроек, портов подключения). Подходы к проектированию определяют состав разрабатываемой документации и описаны ниже в разделе «Состав документации».
Практика применения требований ГОСТ на автоматизированные системы
Обязательность применения требований ГОСТ
В соответствии с Федеральным законом от 29.06.2015 №162-ФЗ «О стандартизации в Российской Федерации», добровольность применения документов по стандартизации — один из принципов стандартизации (статья 4).
ГОСТ становится обязательным,
-
если это установлено Федеральным законом (в случае защиты государственной тайны или в отношении оборонной продукции (статья 6) — что не является общим случаем для применения ГОСТ на автоматизированные системы);
-
если изготовитель/исполнитель принимает на себя требования (например, требования Технического задания) о применении национального/межгосударственного стандарта (статья 26 вышеуказанного 162-ФЗ).
Есть особые случаи, в которых необходимо учитывать требования ГОСТ на автоматизированные системы: создание автоматизированных систем в защищенном исполнении, создание государственных информационных систем, защита персональных данных, защита автоматизированных систем управления технологическими процессами, обеспечение безопасности критической информационной инфраструктуры, аттестация по требованиям безопасности информации. Нормативными требованиями в таких случаях предусматривается разработка:
-
Технического задания на создание подсистемы безопасности;
-
модели угроз безопасности информации;
-
документации на систему (проектной документации);
-
рабочей (эксплуатационной) документации.
В данных случаях необходимо руководствоваться требованиями ГОСТ на автоматизированные системы, даже если в современных трактовках вышеуказанных нормативных требований к разработке документации не употребляется прямая отсылка к ним, а, например, указываются цитаты из ГОСТ Р 59793–2021:
-
документация на систему (проектные решения) должна быть «в объеме, необходимом для описания полной совокупности проектных решений, достаточном для дальнейшего выполнения работ по созданию системы»;
-
рабочая документация должна содержать «все необходимые и достаточные сведения для обеспечения выполнения работ по вводу АС в действие и ее эксплуатации, а также для поддержания уровня эксплуатационных характеристик (качества) АС в соответствии с принятыми проектными решениями».
Так, например, на необходимость учета требований ГОСТ на автоматизированные системы при создании систем указывает действующая нормативная база, в частности:
-
ГОСТ Р 51583–2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
-
Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
-
Постановление Правительства Российской Федерации от 06.07.2015 №676 (в редакции от 23.12.2021) «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
Последний из указанных нормативных актов не содержит прямого указания на ГОСТ Р 59793–2021, но содержит цитату из него, дополненную требованиями по защите информации: «Этап разработки документации на систему и ее части включает разработку, согласование и утверждение документации в объеме, необходимом для описания полной совокупности проектных решений (в том числе по защите информации) и достаточном для дальнейшего выполнения работ по созданию системы».
ГОСТы на автоматизированные системы и связанные с ними стандарты регламентируют следующие 5 основных областей требований к проектированию систем:
-
стадии проекта создания системы;
-
состав проектной документации;
-
содержание проектной документации;
-
оформление проектной документации;
-
последовательность приемки системы.
В Таблице 3 обзорно приводится, какие из этих областей требований к проектированию систем по ГОСТ на автоматизированные системы обязательны.
Таблица 3 — Обязательность отдельных областей требований к документации.
Область требований |
Обязательность |
Комментарии |
1) стадии проекта создания системы |
рекомендательный характер |
Последовательность стадий работ по ГОСТ Р 59793–2021 объединяет «лучшие практики» создания систем |
2) состав проектной документации |
рекомендательный характер |
ГОСТ 34.201–2020 содержит исчерпывающий перечень документов, из которого можно выбрать нужные по необходимости |
3) содержание проектной документации |
обязательно |
ГОСТ Р 59795–2021 устанавливает требования к содержанию документации |
4) оформление проектной документации |
рекомендательный характер |
Требования к оформлению документации установлены ЕСКД |
5) последовательность приемки системы |
обязательно |
Созданная система должна быть оформлена надлежащим образом. Общие требования к проведению испытаний установлены ГОСТ Р 59792–2021 |
Состав документации
Если Вы приступаете к разработке проектной документации по ГОСТ на автоматизированные системы (в рамках создания или модернизации системы) либо оформляете требования к системе для размещения заказа на портале закупок, необходимо определить и требования к разработке документации (состав, содержание и оформление разрабатываемой документации).
Полный состав документации, определенный в ГОСТ 34.201–2020, — избыточен. Среди предложенных документов могут быть выбраны наиболее подходящие исходя из специфики задачи. Если требования заказчика не вполне определены, я предлагаю присмотреться к одному из предложенных в Таблице 4 подходу к проектированию (1…5) — набору документации, описываемой ГОСТами на автоматизированные системы. Один из таких подходов можно выбрать и применять в качестве рекомендации, от которой можно далее отталкиваться.
Таблица 4 — Рекомендуемые наборы документации.
Наименование документа |
Код |
1 |
2 |
3 |
4 |
5 |
1) Отчет об обследовании |
— |
☑ |
☑ |
☑ |
||
2) Модель угроз безопасности информации |
— |
☑ |
☑ |
☑ |
☑ |
|
3) Концепция автоматизированной системы |
— |
☑ |
☑ |
|||
4) Техническое задание |
ТЗ |
☑ |
☑ |
☑ |
☑ |
☑ |
5) Ведомость технического проекта |
ТП |
☑ |
☑ |
☑ |
||
6) Схема структурная комплекса технических средств |
С1 |
☑ |
☑ |
☑ |
||
7) Схема функциональной структуры |
С2 |
☑ |
☑ |
☑ |
||
Пояснительная записка к техническому проекту |
П2 |
☑ |
☑ |
☑ |
☑ |
|
9) Схема автоматизации |
С3 |
☑ |
☑ |
|||
10) Описание автоматизируемых функций |
П3 |
☑ |
☑ |
|||
11) Описание информационного обеспечения системы |
П5 |
☑ |
||||
12) Описание комплекса технических средств |
П9 |
☑ |
☑ |
|||
13) Описание программного обеспечения |
ПА |
☑ |
||||
14) Схема организационной структуры |
СО |
☑ |
||||
15) Описание организационной структуры |
ПВ |
☑ |
☑ |
|||
16) План расположения |
С8 |
☑ |
☑ |
|||
17) Схема соединений внешних проводок |
С4 |
☑ |
||||
18) Таблица соединений и подключений |
С6 |
☑ |
||||
19) Чертеж установки технических средств |
СА |
☑ |
☑ |
|||
20) Программа и методика испытаний |
ПМ |
☑ |
☑ |
☑ |
☑ |
☑ |
21) Ведомость эксплуатационных документов |
ЭД |
☑ |
☑ |
☑ |
||
22) Руководство администратора (технологическая инструкция) |
И2 |
☑ |
☑ |
☑ |
☑ |
|
23) Руководство пользователя |
И3 |
☑ |
☑ |
☑ |
||
24) Инструкция по эксплуатации комплекса технических средств |
ИЭ |
☑ |
☑ |
|||
25) Формуляр |
ФО |
☑ |
||||
26) Паспорт |
ПС |
☑ |
Коды документов в Таблице 4 приведены в соответствии с ГОСТ 34.201–2020. Акты, протоколы, приказы, эскизный проект, редко разрабатываемые документы из списка 55 документов по ГОСТ 34.201–2020 не учитывались в данной таблице.
Набору 1 соответствует практическое отсутствие документации технического проекта и обоснования мер защиты на основе модели угроз (но хотя бы Техническое задание и программа испытаний должны присутствовать в каком-то виде).
Набору 2 соответствует минимальный состав документации (технический проект представлен пояснительной запиской, а эксплуатационная документация – руководством пользователя).
Набору 3 соответствует оптимальный состав документации технорабочего проекта, разрабатываемой на практике в проектах создания систем.
Набору 4 соответствует расширенный состав документации, когда технорабочий проект должен быть всесторонне проработан.
Набор 5 редко требуется в настолько широком составе, даже для аттестации систем.
Содержание документации
Требования к содержанию документации установлены ГОСТ Р 59795–2021, на который (вместо РД 50–34.698–90) следует ссылаться при определении технических требований на проектирование системы.
Разработчику технической документации необходимо вести несколько справочников, отражающих проектные характеристики, и на которых будет основываться разрабатываемая документация:
-
Справочник объектов автоматизации (объектов защиты). Должен содержать перечни физических адресов, помещений (площадок), сегментов сети, оборудования, адресов и сетевых имен.
-
Таблицы актуальных угроз, мер защиты, соответствующих им мероприятий и подсистем защиты информации.
-
Справочник функциональных требований. Должен быть четко описан переход конкретных требований к результатам. Предпроектные технические требования после запуска проекта должны превратиться в Техническое задание (внесением уточнений по результатам обследования и определения угроз), а решения технического проекта должны стать подтверждением перехода от требований «должен» к «решено»: [Технические требования (предпроектный этап)] → [Техническое задание (описывает, как должно быть)] → [Технический проект (решения, принятые при проектировании)] → [Рабочая документация (описывает реализованные решения и настройки)].
-
Номенклатурный справочник. Должен содержать принятую в рамках проекта единую терминологию, правила наименования объектов автоматизации, перечень применимых нормативных документов и требований.
-
Перечни решений и изменений. Должны содержать категории защищаемой информации, списки автоматизируемых бизнес-процессов, списки ролей и полномочий (должностных обязанностей) пользователей, списки подразделений и организаций, их роли в проекте.
Созданная система справочных данных должна лечь в основу разрабатываемой документации. Это поможет избежать типичной ошибки при проектировании, когда структура документации пере-согласовывается и переделывается многократно по ходу проекта.
На рынке стали доступны среды автоматического формирования комплектов документации по ГОСТ на автоматизированные системы, включая модель угроз по новым требованиям ФСТЭК. Такие среды опираются в своей работе на систему справочных данных по проекту. Для предприятий мелкого и среднего бизнеса подобная услуга может сэкономить время на подготовку документации, если заказчиком предъявляются только базовые требования к содержанию и оформлению документации.
Оформление документации
Стандартом оформления технической документации принято считать ЕСКД (ГОСТ 2) «Единая система конструкторской документации». Требования к тестовым документам установлены ГОСТ 2.105–2019.
Согласно ГОСТ Р 59795–2021 (строки 4-26 в Таблице 4) оформление технической документации выполняют по ГОСТ 2.105 и ГОСТ 2.106, которыми установлены требования к оформлению текстовых документов и чертежей, включая рамку по границам листа, с надписью внизу рамки по ГОСТ 2.104 и с кодом документа по ГОСТ 34.201–2020.
Ранее требованиями ГОСТ 34.602–89 указывалось, что «ТЗ на АС оформляют… без рамки, основной надписи и дополнительных граф к ней». Однако, вступившим в силу ГОСТ 34.602–2020 данная оговорка заменена на «ТЗ на АС оформляют в виде текстового документа». Таким образом, Техническое задание на систему должно оформляться аналогично технорабочему проекту, в рамке по границам листа (если в заказе на разработку документации не будет указано обратное).
Оформление документов в рамке по границам листа формата по ГОСТ 2.301 — в свое время было замечательным решением для обеспечения бумажного документооборота (всегда можно было определить принадлежность листа документа к конструкторской документации и место любого листа по уникальной комбинации кода документа и номера листа). Но с переходом к электронному документообороту требования к наличию рамок стали менее актуальными. Если заказчик разработки документации считает, что рамки по границе листа затрудняют восприятие документа, от них можно отказаться, не нарушая требований ГОСТ. Для этого в заказе на разработку документации необходимо указать: «без рамки», — например, в такой формулировке: «Документация оформляется в виде текстового документа без рамки, основной надписи и дополнительных граф к ней».
Для производства профессионально составленной документации разработчикам (техническим писателям) рекомендуется применять соответствующие ГОСТ рекомендации специализированных руководств, одним из наиболее заслуженных среди которых считается «Справочник издателя и автора» (Мильчин А.Э, Чельцова Л.К.), — шестое издание 2021 года.
Отдельных комментариев заслуживает ситуация с санкционными ограничениями и отзывом в 2022 году компанией Monotype возможности доступа на загрузку распространенных шрифтов Times New Roman, Arial с российских IP-адресов. Данное ограничение не запрещает использовать указанные шрифты на территории Российской Федерации, однако подталкивает разработчиков документации к установке и переходу к использованию шрифтов отечественного производства, из которых наибольшую известность заслужили шрифты компании «Паратайп» (Paratype):
-
PT Astra Serif – на смену Times New Roman;
-
PT Astra Sans – на смену Arial.
Из системы стандартов по информации, библиотечному и издательскому делу (ГОСТ Р 7.0.97-2016) исключены рекомендации по использованию проприетарных шрифтов из состава ОС Windows (Times New Roman, Arial, Courier New, Verdana), а в ГОСТ 2.105-2019 добавлено примечание о том, что применение таких шрифтов может привести к искажениям при отображении этих документов в других операционных системах (например, при переходе на отечественное ПО), в которых эти шрифты отсутствуют в связи с санкционными и лицензионными ограничениями.
Подытожим?
Итого, по результатам рассмотрения требований ГОСТ на автоматизированные системы, мы приходим к заключению, что эти требования обязательны к применению в перечисленных в данной статье в случаях, связанных с защитой информации. Требования содержат важные структурообразующие элементы, умелое применение которых позволит сформировать слаженную систему документации для создания и эксплуатации автоматизированных систем, систем защиты информации.
Создание автоматизированных информационных систем (АС)
1. Стадии и этапы создания автоматизированных информационных систем
2. Техническое задание на создание АИС (системы защиты информации АИС)
3. Виды документов на создание АИС (СЗИ АИС)
1. Стадии и этапы создания автоматизированных информационных систем
Выделяют следующие основные организации-участники создания АС: заказчик
(пользователь), разработчик и поставщик. Кроме того в процессе могут
участвовать генеральный проектировщик, проектировщик и строительная
организация.
Заказчик
– организация, для которой создается АС и которая обеспечивает
финансирование, приемку работ и эксплуатацию АС, а также выполнение
отдельных работ по созданию АС.
Разработчик
— организация, осуществляющая работы по созданию АС, представляя заказчику
совокупность научно-технических услуг на разных стадиях и этапах создания,
а также разрабатывая и поставляя различные программные и технические
средства АС.
Поставщик
— организация, изготавливающая и поставляющая программные и технические
средства по заказу разработчика или заказчика.
Стадии и этапы создания, виды работ на этапах создания автоматизированных систем
определяет ГОСТ 34.601-90
«Информационная технология. Комплекс стандартов на автоматизированные системы.
Автоматизированные системы. Стадии создания».
Согласно ГОСТ 34.601-90 выделяют следующие стадии создания АС:
- Формирование требований к АС;
- Разработка концепции АС;
- Эскизный проект;
- Технический проект;
- Рабочая документация;
- Ввод в действие;
- Сопровождение АС.
Техническое задание;
По ГОСТ РВ 15.004 определены такие этапы: формирование требований к АС;
разработка концепции АС; техническое задание относятся к исследованию и
обоснованию разработки, этапы эскизного проекта, технического проекта и
рабочей документации – к разработке, этап ввода в действие – к
производству, этап сопровождения АС – к эксплуатации.
Рассмотрим этапы ГОСТа РВ 15.004 более подробно.
Стадия: Исследование и обоснование разработки
В этап «Исследование и обоснование разработки» входит:
- Формирование заказчиком исходных требований к выполнению НИР, и рассмотрение их исполнителями работ
- Выбор исполнителей работ на конкурсной основе для размещения заказа;
- Разработка ТТЗ (ТЗ) на выполнение НИР;
- Выбор направления исследований;
-
Теоретические и экспериментальные исследования с применением
математического моделирования; - Обобщение и оценка результатов исследований НИР, составной части НИР;
- Приемка НИР.
Детальный анализ деятельности организации
-
На этапе детального анализа деятельности организации изучаются задачи,
обеспечивающие реализацию функций управления, организационная структура,
штаты и содержание работ по управлению организацией, а также характер
подчиненности вышестоящим органам управления. -
получения сравнительных характеристик предполагаемых к использованию
аппаратных платформ, операционных систем, СУБД, иного окружения; - разработки плана работ по обеспечению надежности информационной системы и ее тестирования.
На стадии формирование требований к АС проводится:
- обследование объекта и обоснование необходимости создания АС;
- формирование требований пользователя к АС;
-
оформление отчета о выполненной работе и заявки на разработку АС
(тактико-технического задания).
Обследование объекта и обоснование необходимости создания АС
Обследование — это изучение и диагностический анализ организационной
структуры организации, ее деятельности и существующей системы обработки
информации.
Материалы, полученные в результате обследования, используются для:
- обоснования разработки и поэтапного внедрения систем;
- составления технического задания на разработку систем;
- разработки технического и рабочего проектов систем.
Результатом этапа является документ — технико-экономическое обоснование
проекта, где четко сформулировано, что мы получим, когда получим готовый
продукт.
В документе желательно отразить не только затраты, но и выгоду проекта,
например время окупаемости проекта, ожидаемый экономический эффект (если
его удается оценить).
Технико-экономическое обоснование проекта
Примерное содержание этого документа:
- ограничения, риски, критические факторы, которые могут повлиять на успешность проекта;
-
совокупность условий, при которых предполагается эксплуатировать будущую
систему: архитектура системы, аппаратные и программные ресурсы, условия
функционирования, обслуживающий персонал и пользователи системы; -
сроки завершения отдельных этапов, форма приемки/сдачи работ,
привлекаемые ресурсы, меры по защите информации; - описание выполняемых системой функций;
- возможности развития системы;
- информационные объекты системы;
- интерфейсы и распределение функций между человеком и системой;
-
требования к программным и информационным компонентам ПО, требования
к СУБД; - что не будет реализовано в рамках проекта.
Разработка концепции АС
На этой стадии проводится:
- изучение объекта;
- проведение необходимых научно-исследовательских работ;
-
разработка вариантов концепции АС и выбор варианта концепции АС,
удовлетворяющего требованиям пользователя; - оформление отчета о выполненной работе.
Техническое задание на выполнение НИР
На этом этапе осуществляется разработка и утверждение Технического задания
на создание АС.
Техническое задание – это исходный технический документ, утверждаемый
заказчиком и устанавливающий комплекс технических требований к создаваемым
АИС, а также требования к содержанию, объему и срокам выполнения работ по
созданию АИС.
При разработке технического задания необходимо решить следующие задачи:
- установить общую цель создания ИС, определить состав подсистем и функциональных задач;
- разработать и обосновать требования, предъявляемые к подсистемам;
-
разработать и обосновать требования, предъявляемые к информационной
базе, математическому и программному обеспечению, комплексу технических
средств (включая средства связи и передачи данных); - установить общие требования к проектируемой системе;
- определить перечень задач создания системы и исполнителей;
- определить этапы создания системы и сроки их выполнения;
-
провести предварительный расчет затрат на создание системы и определить
уровень экономической эффективности ее внедрения.
ТЗ на НИР в общем случае должно состоять из следующих разделов:
- основание для выполнения НИР;
- цели и задачи НИР;
- требования к выполнению НИР;
-
тактико-технические (технические) требования к образцу, предлагаемому к
созданию (модернизации); - этапы НИР;
- требования к разрабатываемой документации;
- порядок выполнения и приемки НИР (этапов НИР);
-
требования по обеспечению сохранения государственной и военной тайны при
выполнении НИР; - технико-экономические требования;
- сроки выполнения НИР;
- исполнители НИР.
(согласно ГОСТ РВ 15.101-95
Тактико-техническое (техническое) задание на выполнение научно-исследовательских работ.)
Начало работ отсчитывается с даты подписания приказа руководителя
организации (решения, распоряжения) об открытии темы. В приказе (решении,
распоряжении) руководитель организации формирует коллектив из числа штатных
сотрудников с обязательным включением в число исполнителей работ
специалиста по защите информации.
Стадия: Раработка
В стадию «Разработка» входит:
- Разработка эскизного проекта;
- Разработка технического проекта;
- Разработка рабочей документации для изготовление опытного образца;
- Изготовление опытного образца;
- Проведение испытаний опытного образца.
Эскизный проект
На стадии эскизного проекта проводится разработка предварительных проектных
решений по системе и ее частям и разработка документации на АС и ее части.
Эскизный проект разрабатывается с целью установления принципиальных
(конструктивных, схемных и др.) решений АИС, дающих общее представление о
принципе работы и (или) устройстве АИС, когда это целесообразно сделать до
разработки технического проекта или рабочей документации.
Технический проект
Разрабатываются проектные решения по системе и ее частям, документация на АС и ее части;
осуществляется разработка и оформление документации на поставку изделий для
комплектования АС и (или) технических требований (технических заданий)
на их разработку и разработка заданий на проектирование в смежных частях
проекта объекта автоматизации.
Технический проект разрабатывается с целью выявления окончательных
технических решений, дающих полное представление
о конструкции изделия, когда это целесообразно сделать до разработки
рабочей документации.
Содержание разрабатываемого технического (техно-рабочего) проекта
-
Пояснительная записка с изложением решений по обеспечению ЗИ, составу
средств защиты информации с указанием их соответствия требованиям ТЗ. -
Описание технического, программного, информационного обеспечения и
технологии обработки (передачи) информации. -
План организационно-технических мероприятий по подготовке объекта
информатизации к внедрению средств и мер защиты информации.
Мероприятия по защите информации от утечки по техническим каналам относятся
к основным элементам проектных решений, которые включаются в
соответствующие разделы проекта, и разрабатываются одновременно с ними.
Рабочая документация
На этапе осуществляется:
- разработка рабочей документации на систему и ее части;
- разработка или адаптация программ.
Цель и содержание работ этапа заключаются в разработке РКД для изготовления
и проведения испытаний АИС, специального технологического оборудования и
оснастки, предназначенных для обеспечения эксплуатации, технического
обслуживания и ремонта АИС в процессе эксплуатации, а также программной
документации (при необходимости).
Стадия: Производство
Ввод в действие
На этапе ввода в действие осуществляется:
- подготовка объекта автоматизации к вводу АС в действие;
- подготовка персонала;
-
комплектация АС поставляемая изделиями (программными и техническими
средствами, программно-техническими комплексами, информационными
изделиями); - строительно-монтажные и пусконаладочные работы;
- проведение предварительных испытаний, опытной эксплуатации и приемочных испытаний.
Стадия: Эксплуатация
— выполняются работы в соответствии с гарантийными обязательствами и послегарантийное обслуживание.
Стадии и этапы, выполняемые организациями — участниками работ по созданию
АС, устанавливаются в договорах и техническом задании на основе настоящего
стандарта (п. 13 ГОСТ 34.601-90).
Схематически это взаимодействие можно представить в виде рисунка:
Порядок создания автоматизированных систем с защитой информации
регламентируется
ГОСТ Р 51583-2014 «Защита информации. Порядок создания
автоматизированных систем в защищенном исполнении. Общие положения.»
Для обработки информации, необходимость защиты которой определяется
законодательством Российской Федерации или решением ее обладателя, должны
создаваться автоматизированные
системы в защищенном исполнении, в
которых реализованы в соответствии с действующими нормативными правовыми
актами требования о защите информации. Реализация требований о защите в
автоматизированной системе в защищенном исполнении осуществляется системой
защиты информации, являющейся неотъемлемой составной частью
автоматизированной системы в защищенном исполнении.
Согласно ГОСТ Р 51624-2000 автоматизированная система в защищенном
исполнении – это автоматизированная система, реализующая информационную
технологию выполнения установленных функций в соответствии с требованиями
стандартов и/или иных нормативных документов по защите информации.
Система защиты информации автоматизированной системы — совокупность всех
технических, программных и программно-технических средств защиты информации
и средств контроля эффективности защиты информации.
Соответствие этапов создания АС в защищенном исполнении:
СТР-К | ГОСТ 34.601-90 |
---|---|
Предпроектная стадия | 1. Формирование требований к АС |
2. Разработка концепции АС | |
3. Техническое задание | |
Стадия проектирования | 4. Эскизный проект |
5. Технический проект | |
6. Рабочая документация | |
Стадия ввода в действие | 7. Ввод в действие |
8. Сопровождение АС |
И между ГОСТ Р 51583 и ГОСТ 34.601-90:
ГОСТ Р 51583 | ГОСТ 34.601-90 |
---|---|
Формирование требований к системе ЗИ АС | 1. Формирование требований к АС |
2. Разработка концепции АС | |
3. Техническое задание | |
Разработка (проектирование) системы ЗИ АС | 4. Эскизный проект |
5. Технический проект | |
6. Рабочая документация | |
Внедрение системы ЗИ АС. Аттестация АС на соответствие требованиям безопасности информации и ввод ее в действие | 7. Ввод в действие |
Сопровождение системы ЗИ в ходе эксплуатации АС | 8. Сопровождение АС |
Для обеспечения защиты информации, проводятся следующие мероприятия (Пункт
13 Приказа ФСТЭК России от 11.02.2013 г. № 17):
- Формирование требований к системе защиты информации АСЗИ;
- Разработка системы защиты информации;
- Внедрение системы защиты информации;
- Аттестация АС по требованиям защиты информации и ввод ее в действие;
- Обеспечение защиты информации в ходе эксплуатации аттестованной АС;
- Обеспечение защиты информации при выводе из эксплуатации аттестованной АС;
Соотношение требований приказа и ГОСТ Р 51583 – 2014 приведено в таблице:
ГОСТ Р 51583 — 2014 | Приказ ФСТЭК России № 17 |
---|---|
Формирование требований к СЗИ | Формирование требований к системе ЗИ АСЗИ |
Разработка (проектирование) системы ЗИ АСЗИ | Разработка системы защиты информации |
Внедрение системы ЗИ АСЗИ. Аттестация АСЗИ на соответствие требованиям БИ и ввод ее в действие | Внедрение системы защиты информации. Аттестация АС по требованиям защиты информации и ввод ее в действие |
Сопровождение системы ЗИ в ходе эксплуатации АСЗИ | Обеспечение ЗИ в ходе эксплуатации аттестованной АС. |
Формирование требований к защите защиты информации, содержащейся в
информационной системы, осуществляется обладателем информации (заказчиком).
Основные требования к системе защиты информации в АС:
- должна обеспечивать выполнение АС своих основных функций без существенного ухудшения характеристик последней;
- должна быть экономически целесообразной, так как стоимость системы защиты информации включается в стоимость АС;
-
должна обеспечиваться на всех этапах жизненного цикла, при всех
технологических режимах обработки информации, в том числе при проведении
ремонтных и регламентных работ; -
в систему зашиты информации должны быть заложены возможности ее
совершенствования и развития в соответствии с условиями эксплуатации и
конфигурации АС; -
должна обеспечивать в соответствии с установленными правилами
разграничение доступа к конфиденциальной информации с отвлечением
нарушителя на ложную информацию, т.е. обладать свойствами активной и
пассивной защиты; -
при взаимодействии защищаемой АС с незащищенными АС должна обеспечивать
соблюдение установленных правил разграничения доступа; -
должна позволять проводить учет и расследование случаев нарушения
безопасности информации в АС; -
не должна своим применением ухудшать экологическую обстановку, быть
сложной для пользователя, вызывать психологическое противодействие и
желание обойтись без нее.
В процессе формирования требований к СЗИ АС целесообразно найти ответы на
следующие вопросы:
- Какие меры безопасности предполагается использовать?
- Какова стоимость доступных программных и технических мер защиты?
- Насколько эффективны доступные меры защиты?
- Насколько уязвимы подсистемы СЗИ?
-
Имеется ли возможность провести анализ риска (прогнозирование возможных
последствий, которые могут вызвать выявленные угрозы и каналы утечки
информации)?
Разработка системы защиты информации информационной системы согласно Пункту
15 Приказа ФСТЭК России от 11.02.2013 г. № 17 включает в себя:
- 1. Проектирование системы защиты информации информационной системы
- 2. Разработку эксплутационной документации на систему защиты информации информационной системы
- 3. Макетирование и тестирование системы защиты информации информационной системы (при необходимости)
Типовое содержание работ в части создания системы защиты информации на
определенных в ГОСТ 34.601 стадиях и этапах создания автоматизированных
систем в защищенном исполнении определено в разделе 6 «Содержание и порядок
выполнения работ на стадиях и этапах создания автоматизированных систем в
защищенном исполнении» ГОСТ Р 51583 – 2014.
2. Техническое задание на создание АИС (системы защиты информации АИС)
Порядок разработки технического задания на создание (развитие или
модернизации) автоматизированной системы определяет
ГОСТ 34.602-89
«Информационная технология. Комплекс стандартов на автоматизированные
системы. Техническое задание на создание автоматизированной системы.»
ГОСТ 34.602-89 определяет состав и содержание разделов (подразделов) ТЗ на создание АС.
РАЗДЕЛЫ ТЕХНИЧЕСКОГО ЗАДАНИЯ |
I. ОБЩИЕ СВЕДЕНИЯ |
II. НАЗНАЧЕНИЕ И ЦЕЛИ СОЗДАНИЯ (РАЗВИТИЯ) СИСТЕМЫ |
III. ХАРАКТЕРИСТИКА ОБЪЕКТОВ АВТОМАТИЗАЦИИ |
IV. ТРЕБОВАНИЯ К СИСТЕМЕ |
V. СОСТАВ И СОДЕРЖАНИЕ РАБОТ ПО СОЗДАНИЮ СИСТЕМЫ |
VI. ПОРЯДОК КОНТРОЛЯ И ПРИЕМКИ СИСТЕМЫ |
VII. ТРЕБОВАНИЯ К СОСТАВУ И СОДЕРЖАНИЮ РАБОТ ПО ПОДГОТОВКЕ ОБЪЕКТА АВТОМАТИЗАЦИИ К ВВОДУ СИСТЕМЫ В ДЕЙСТВИЕ |
VIII. ТРЕБОВАНИЯ К ДОКУМЕНТИРОВАНИЮ |
IX. ИСТОЧНИКИ РАЗРАБОТКИ |
ПРИЛОЖЕНИЯ |
Общие требования к автоматизированной системе по ГОСТ Р 51624 – 2000 представлены на рисунке.
Функциональные требования к АС (согласно п. 5.2 ГОСТ Р 51624 – 2000):
- грифы секретности (конфиденциальности) обрабатываемой в АС информации;
- категорию (класс защищенности) АС;
- цели защиты информации;
- перечень защищаемой в АС информации и требуемые уровни эффективности ее защиты;
-
возможные технические каналы утечки информации и способы
несанкционированного доступа к информации, несанкционированных и
непреднамеренных воздействий на информацию в АС, класс защищенности АС; - задачи защиты информации в АС.
Требования к эффективности (п. 5.3 ГОСТ Р 51624 — 2000)
Требования к эффективности или гарантиям решения задач защиты информации в
АС включают:
- требования по предотвращению утечки защищаемой информации по техническим каналам;
- требования по предотвращению несанкционированного доступа к защищаемой информации;
-
требования по предотвращению несанкционированных и непреднамеренных воздействий, вызывающих разрушение, уничтожение,
искажение информации или сбои в работе средств АС; -
требования по выявлению внедренных в помещения и в технические средства специальных электронных устройств перехвата
информации; - требования по контролю функционирования системы защиты информации АС.
Технические требования
(п. 5.4 ГОСТ Р 51624 — 2000) включают требования к основным вилам
обеспечения АС (техническому и программному), к зданиям (помещениям) или
объектам, в которых АС устанавливаются, а также к средствам защиты
информации и контроля эффективности защиты информации.
Экономические требования по ЗИ (п. 5.5 ГОСТ Р 51624 — 2000) включают:
- допустимые затраты на создание АС и/или системы защиты информации в АС;
- допустимые затраты на эксплуатацию АС и/или системы защиты информации в АС.
Требования к документации (п. 5.6 ГОСТ Р 51624 — 2000)
Комплектность документации на АС устанавливается
в нормативных документах и по ГОСТ 34.201, и дополнительно включает
документы по защите информации на автоматизированную систему.
Требования к комплектности конструкторской, технологической и
эксплуатационной документации на средства защиты информации и контроля ее
эффективности.
На технические средства разрабатывают конструкторскую и эксплуатационную
документацию согласно требованиям ЕСКД.
Согласно пункту 14 Приказа ФСТЭК России от 11.02.2013 г. № 17 формирование
требований к защите информации, содержащейся в информационной системе,
осуществляется обладателем информации (заказчиком) с учетом ГОСТ Р 51583 и
ГОСТ Р 51624.
Согласно пункту 14.4 Приказа ФСТЭК России от 11.02.2013 г. № 17 требования
к системе защиты информации информационной системы включаются в техническое
задание на создание информационной системы и (или) техническое задание
(частное техническое задание) на создание системы защиты информации
информационной системы, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583
и ГОСТ Р 51624.
Автоматизированные системы в
защищенном исполнении должны создаваться в
соответствии с Техническим заданием, являющимся основным документом, на
основании которого выполняются работы, необходимые для создания
(модернизации) автоматизированной системы в защищенном исполнении в целом и
ее системы защиты информации, и осуществляется приемка этих работ
заказчиком (пункт 5.5 ГОСТ Р 51583-2014).
В соответствии с пунктом 4.4 ГОСТ Р 51624-2000 требования по защите
информации, предъявляемые к автоматизированным системам в защищенном
исполнении, задаются в Техническом задании на создание системы в
соответствии с ГОСТ 34.602 в виде отдельного подраздела Технического
задания на НИР (ОКР) «Требования по защите информации».
Итак, заказчик определяет
: техническое задание на создание
информационной системы с отдельным подразделом ТЗ на НИР (ОКР)
«требования по защите информации» и техническое задание (частное
техническое задание) на создание системы защиты информации информационной
системы.
Техническое задание на создание СЗИ АС | Частное техническое задание на создание СЗИ АС |
---|---|
Вновь создаваемые информационные системы | Модернизируемые информационные системы |
Согласно 3.13. СТР-К. Техническое (частное техническое) задание на
разработку СЗИ должно содержать:
- обоснование разработки;
-
исходные данные создаваемого (модернизируемого) объекта информатизации в
техническом, программном, информационном и организационном аспектах; - класс защищенности АС;
-
ссылку на нормативные документы, с учетом которых будет разрабатываться
СЗИ и приниматься в эксплуатацию объект информатизации; -
требования к СЗИ на основе нормативно-методических документов
и установленного класса защищенности АС; - перечень предполагаемых к использованию сертифицированных средств защиты информации;
-
обоснование проведения разработок собственных средств защиты информации,
невозможности или нецелесообразности использования имеющихся на рынке
сертифицированных средств защиты информации; - состав, содержание и сроки проведения работ по этапам разработки и внедрения;
- перечень подрядных организаций-исполнителей видов работ;
- перечень предъявляемой заказчику научно-технической продукции и документации.
Согласно пункту 3.14. СТР-К. Техническое (частное техническое) задание на
разработку СЗИ подписывается разработчиком, согласовывается со службой
безопасности организации-заказчика, подрядными организациями и утверждается
заказчиком.
Подпункт 14.4 Приказа ФСТЭК России от 11.02.2013 г. № 17 устанавливает
требования к системе защиты информации:
- цель и задачи обеспечения защиты информации в информационной системе;
- класс защищенности информационной системы;
-
перечень нормативных правовых актов, методических документов
и национальных стандартов, которым должна соответствовать информационная система; - перечень объектов защиты информационной системы;
- требования к мерам и средствам защиты, применяемым в информационной системе;
- требования к защите информации при информационном взаимодействии.
-
с иными информационными системами, в том числе с информационными системами
уполномоченного лица, а также при применении вычислительных ресурсов
(мощностей), предоставляемых уполномоченным лицом для обработки информации.
Положения приказа ФСТЭК России от 11.02.2013 г. № 17 используются при
создании государственных информационных систем (ГИС), при создании иных ИС
нужно руководствоваться положениями СТРК. По решению руководителя
организации при создании иных информационных систем могут использоваться
положения приказа ФСТЭК России № 17.
При разработке ТЗ на АС в разделе «Требования к системе» должен быть
предусмотрен подраздел «Требования по защите информации». Соответственно
содержание подраздела «требования по защите информации» в зависимости от
вида АС различается: для ГИС – согласно Приказу ФСТЭК России № 17, для иных
ИС – в соответствии с СТРК.
Согласно пункту 4.6 ГОСТ Р 51624-2000 в АС должна быть реализована система
защиты информации, выполняющая следующие функции:
- предупреждение о появлении угроз безопасности информации;
- обнаружение, нейтрализацию и локализацию воздействия угроз безопасности информации;
- управление доступом к защищаемой информации;
- восстановление системы защиты информации и защищаемой информации после воздействия угроз;
-
регистрацию событий и попыток несанкционированного доступа к защищаемой
информации и несанкционированного воздействия на нее; -
обеспечение контроля функционирования средств и системы защиты информации
и немедленное реагирование на их выход из строя.
Обеспечение ЗИ в АС достигается заданием, реализацией и контролем
выполнения требований по защите информации:
- к процессу хранения, передачи и обработки защищаемой в АС информации;
- к системе ЗИ;
- к взаимодействию АС с другими АС;
- к условиям функционирования АС;
-
к содержанию работ по созданию (модернизации) АСЗИ на различных стадиях и
этапах ее создания (модернизации); - к организациям (должностным лицам), участвующим в создании (модернизации) и эксплуатации АС;
- к документации на АС;
- к АС в целом.
Совокупность нормативных документов, регулирующих постановку технического
задания на АС:
Цели защиты информации определены ст. 16 Федеральный закон 149 – ФЗ, п. 25
Положение о ГСЗИ, п. 5.2.3 ГОСТ Р 51624 – 2000, п. 5.2 ГОСТ 51583 – 2014.
Цели защиты информации в АС должны включать:
- содержательную формулировку цели защиты;
- показатель эффективности достижения цели и требуемое его значение;
-
время актуальности каждой цели защиты информации (этапы жизненного цикла,
в течение которых цель должна достигаться).
Защита информации в информационной системе осуществляется с целью
предотвращения неправомерного доступа, уничтожения, модифицирования,
блокирования, копирования, предоставления, распространения, а также от иных
неправомерных действий в отношении защищаемой информации; соблюдение
конфиденциальности информации ограниченного доступа; реализацию права на
доступ к информации.
Целями защиты информации в информационной системе являются:
- предотвращение утечки информации по техническим каналам;
-
предотвращение несанкционированного уничтожения, искажения, копирования,
блокирования информации в системах информатизации; -
соблюдение правового режима использования массивов, программ обработки
информации, обеспечения полноты, целостности, достоверности информации в
системах обработки.
В ст. 16 Федерального закона 149 – ФЗ и п. 5.2 ГОСТ 51583 – 2014 не
предусмотрена защита информации от утечки по техническим каналам.
Примером формирования цели защиты информации согласно подпункту 5.2.3.1
ГОСТ Р 51264 – 2000 (примерная формулировка) может быть такая:
«Общей целью защиты информации в информационной системе является
предотвращение или снижение величины ущерба, наносимого владельцу и/или
пользователю системы в течение всего жизненного цикла
автоматизированной системы, вследствие реализации угроз безопасности
информации, с показателем эффективности защиты информации 0,9».
Частными целями защиты информации, обеспечивающими достижение общей цели
защиты информации в информационной системе, являются:
- предотвращение утечки информации по техническим каналам;
- предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации;
-
соблюдение правового режима использования массивов, программ обработки
информации, обеспечения полноты, целостности, достоверности информации в
системах обработки; -
сохранение возможности управления процессом обработки
и использования информации в условиях несанкционированных воздействий на
защищаемую информацию.
Задачи обеспечения защиты информации устанавливаются согласно п. 26
Положение о ГСЗИ, п.7 Приказа ФСТЭК России от 11.02.2013г. № 17, п. 5.2.6
ГОСТ Р 51624 – 2000.
Формулировка каждой задачи защиты информации в АС должна включать:
-
наименование конкретной угрозы безопасности для АС (ее компонента),
которую необходимо предотвратить (устранить) при решении задачи; - формулировку способа решения задачи;
- перечень функций, которые должны быть реализованы для решения данной задачи;
- требования к эффективности или гарантиям решения задачи;
- ограничения на ресурсы АС, выделяемые на решение данной задачи.
Формирование задачи защиты информации (примерная формулировка): «Защита
информации, содержащейся в автоматизированной системе должна обеспечивается
путем выполнения обладателем информации (заказчиком) и (или) оператором
требований к организации защиты информации, содержащейся в
автоматизированной системе, и требований к мерам защиты информации,
содержащейся в автоматизированной системе.
Система защиты информации в АС должна обеспечивать выполнение следующих
задач:
- предотвращение перехвата защищаемой информации, передаваемой по каналам связи;
-
предотвращение утечки обрабатываемой защищаемой информации за счет
побочных электромагнитных излучений и наводок; - исключение несанкционированного доступа к обрабатываемой или хранящейся в АС защищаемой информации;
-
предотвращение несанкционированных и непреднамеренных воздействии,
вызывающих разрушение, уничтожение, искажение защищаемой информации или
сбои в работе средств АС».
Каким образом обеспечивается выполнение задач защиты информации (примерная
формулировка):
«Предотвращение перехвата техническими средствами
информации, передаваемой по каналам связи, должна обеспечиваться
применением криптографических средств защиты, а также проведением
организационно-технических и режимных мероприятий. Предотвращение утечки
обрабатываемой информации за счет побочных электромагнитных излучений и
наводок должно обеспечиваться применением защищенных технических средств,
аппаратных средств защиты, средств активного противодействия,
экранированием помещений, установлением контролируемой зоны вокруг средств
информатизации и другими организационными и техническими мерами».
Вопрос о том, каким образом обеспечивается выполнение задач защиты
информации, определен в п.26 Положения о ГСЗИ.
Класс защищенности АС (категория, уровень)
Приказ ФСТЭК России от 11.02.2013 г. № 17, РД Гостехкомиссии России.
Требования к системе защиты информации определяются в зависимости от класса
защищенности (категории – АС ГТ, уровень защищенности — ИСПДн)
информационной системы и угроз безопасности информации.
Перечень объектов защиты информационной системы определяется в соответствии
с п. 24 Положение о ГСЗИ, п. 4.8 ГОСТ Р 51624 – 2000, СТР и СТР – К.
Согласно п.2.7 СТР – К СЗИ АИС должна обеспечивать защиту:
-
средств и систем АИС, в том числе информационно-вычислительные комплексы,
сети и системы, средства и системы связи и передачи данных, технические
средства приема, передачи и обработки информации (средства изготовления,
тиражирования документов и другие технические средства обработки
графической и буквенно-цифровой информации), -
программные средства (операционные системы, системы управления базами
данных, другое общесистемное и прикладное программное обеспечение),
средства защиты информации, используемые для обработки конфиденциальной
информации; -
технические средства и системы, не обрабатывающие непосредственно
конфиденциальную информацию, но размещенные в помещениях.
Согласно п. 24 Положения о ГСЗИ в интересах обеспечения защиты информации в
АИС защите подлежит:
-
Информационные ресурсы, содержащие сведения, отнесенные к
государственной или служебной тайне, представленные в виде носителей на
магнитной и оптической основе, информативных физических полей,
информативных массивов и баз данных. -
Средства и системы информатизации (……, информационно-вычислительные
комплексы, сети и системы), программные средства (операционные системы,
системы управления базами данных, другое общесистемное и прикладное
программное обеспечение), автоматизированные системы управления, системы
связи и передачи данных, технические средства приема, передачи и обработки
информации (………..смысловой и буквенно-цифровой информации), используемые
для обработки информации, содержащей сведения, отнесенные к государственной
или служебной тайне. -
Технические средства и системы, не обрабатывающие информацию, но …….,
где обрабатывается (циркулирует) информация, содержащая ….. тайне.
Требования к мерам защиты установлены п. 20, прил. 2 Приказа ФСТЭК России
от 11.02.2013 г. № 17, п. 5.3 ГОСТ Р 51583 — 2014, п. 5.3 ГОСТ Р 51624 –
2000, сборником РД (руководящих документов) ФСТЭК России.
Меры защиты информационных ресурсов АИС достаточно многочисленны:
- Идентификация и аутентификация;
- Управление доступом;
- Ограничение программной среды;
- Защита машинных носителей;
- Регистрация событий безопасности;
- Антивирусная защита;
- Обнаружение вторжений;
- Анализ защищенности;
- Обеспечение целостности ИС и информации;
- Обеспечение доступности информации;
- Защита среды виртуализации;
- Защита связи и передачи данных;
- Защита технических средств.
Согласно приказу ФСТЭК России от 11.02.2013 г. № 17 Организационные и
технические меры защиты информации, реализуемые в рамках ее системы защиты
информации, в зависимости от угроз безопасности информации, используемых
информационных технологий и структурно-функциональных характеристик должны
обеспечивать:
- идентификацию и аутентификацию субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защиту машинных носителей информации;
- регистрацию событий безопасности;
- антивирусную защиту;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности информации;
- целостность информационной системы и информации;
- доступность информации;
- защиту среды виртуализации;
- защиту технических средств;
- защиту информационной системы, ее средств, систем связи и передачи данных.
Состав мер защиты информации и их базовые наборы для соответствующих
классов защищенности информационных систем приведены в приложении № 2 к
приказу ФСТЭК России от 11.02.2013 г. № 17. Для выбора мер защиты
информации для соответствующего категории АИС ГТ применяются методические
документы, разработанные и утвержденные ФСТЭК России.
Требования к средствам защиты установлены Указом Президента Российской
Федерации от 17 марта 2008 г. № 351, п. 27 Положение о ГСЗИ, п. 5.4.5 ГОСТ
Р 51624 – 2000, п. 26 Приказа ФСТЭК России от 11.02.2013 № 17, РД ФСТЭК
России.
Требования к защите информации при информационном взаимодействии с иными
информационными системами установлены п. 27 Положения о ГСЗИ, п. 5.4.5 ГОСТ
Р 51624 – 2000, Приказами Минкомсвязи России от 23.03.2009 № 41 и от
27.12.2010 № 190, Приказом ФНС России от 13.01.2012 № ММВ-7-4/6, РД ФСТЭК
России.
Меры по защите информационной системы, ее средств, систем связи и передачи
данных должны обеспечивать защиту информации при взаимодействии
информационной системы или ее отдельных сегментов с иными информационными
системами и информационно-телекоммуникационными сетями посредством
применения архитектуры информационной системы, проектных решений по ее
системе защиты информации, направленных на обеспечение защиты информации
(Приказ ФСТЭК России от 11.02.2013 г. № 17).
Определение требований к экранированию, выполняющему функции разграничения
информационных потоков на границе защищаемой сети изложено в «Требованиях к
межсетевым экранам» 2016 год.
К организационно-режимным мерам относятся:
- контроль доступа посторонних лиц к ТС и каналам связи в КЗ участника взаимодействия;
-
обслуживание ИС, подключенных к системе взаимодействия, только лицами,
имеющими право доступа к информации, содержащейся в указанных
информационных системах; -
исключения доступа посторонних лиц к защищаемой (в т.ч. парольной и
ключевой) информации, хранящейся на используемых и отчуждаемых носителях
информации; -
учет лиц, имеющих доступ к оконечному оборудованию, обеспечивающему
криптографическую защиту каналов связи системы взаимодействия,
расположенному в КЗ участника взаимодействия, а также лиц, имеющих
возможность изменения конфигурации ИС данного участника взаимодействия,
подключенных к системе взаимодействия.
Пример раздела «Требования по защите информации»:
«Организационные — технические меры защиты информации и
сертифицированные средства защиты информации, реализуемые в
информационной системе в рамках ее системы защиты информации, должны
обеспечивать реализацию требований приложения № 2 приказа ФСТЭК России
от 11 февраля 2013 г. № 17 к составу мер защиты информации и базовому
набору для информационной системы 2 класса защищенности регионального
масштаба».
«Система защиты информации в АИС должна обеспечивать выполнение
следующих требований по идентификации и аутентификации пользователей :
-
идентификации и аутентификации пользователей, являющихся работниками организации;
-
идентификации и аутентификации устройств, в т.ч. стационарных, мобильных и портативных;
-
управление идентификаторами, в т.ч. создание, присвоение, уничтожение идентификаторов;
-
управления средствами аутентификации, в т.ч. хранение, выдача,
инициализация, блокирования средств аутентификации и принятие мер в
случае утраты и (или) компрометации средств аутентификации;
-
идентификации и аутентификации пользователей, не являющихся работниками организации;
- ……….. и т.д.
3. Система документов на создание автоматизированных систем
Система документов АС – это виды и комплектность документации,
разрабатываемых на стадиях создания автоматизированных систем. Ее
определяет ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на
автоматизированные системы. Виды, комплектность и обозначение документов
при создании автоматизированных систем.
Основные определения ГОСТ 34.201-89:
Документация на автоматизированную систему — комплекс взаимоувязанных
документов, в котором полностью описаны все решения по созданию и
функционированию системы, а также документов, подтверждающих соответствие
системы требованиям технического задания и готовность ее к эксплуатации
(функционированию).
Проектно-сметная документация на АС — часть документации на АС,
разрабатываемая для выполнения строительных и монтажных работ, связанных с
созданием АС.
Рабочая документация на АС — часть документации на АС, необходимой для
изготовления, строительства, монтажа и наладки автоматизированной системы в
целом, а также входящих в систему программно-технических,
программно-методических комплексов и компонентов технического, программного
и информационного обеспечения.
Согласно п.2.1. ГОСТ 34.201-89 перечень наименований разрабатываемых
документов и их комплектность на систему и ее части должен быть определен в
Техническом задании на создание автоматизированной системы.
ГОСТ 34.201-89 устанавливает следующие виды документов: проектно – сметная
документация и эксплуатационная документация. Проектная документация СЗИ АС
включает в себя:
- Описание системы защиты информации;
- Концепция защиты информации;
- Модель защиты информации;
- Описание интерфейса СЗИ и пользователя;
- Описание применяемых средств защиты информации;
- Описание результатов анализа и идентификации скрытых каналов передачи информации;
-
Описание таблицы соответствия формальных спецификаций и объектных кодов
версий программных компонент СЗИ.
Эксплуатационная документация СЗИ АС включает в себя:
- Руководство пользователя;
- Руководство администратора защиты информации;
- Руководство по тестированию системы защиты информации;
- Другие документы.
Рекомендуемый состав проектной документации на АИС
предпроектная стадия:
- Аналитическое обоснование необходимости создания СЗИ.
- Акт классификации АС (ПЭВМ, средств ВТ).
- Перечень устанавливаемых ОТСС и ВТСС.
- Техническое задание на создание (реконструкцию) ОИ.
стадия проектирования:
- Эскизный проект на создание (реконструкцию) ОИ.
- Технический проект на создание (реконструкцию) ОИ.
-
Описание технического, программного, информационного обеспечения и
технологии обработки (передачи) информации.
стадия ввода АИС в эксплуатацию:
- Приемо-сдаточный акт средств ЗИ.
- Акты внедрения средств ЗИ.
- Протоколы аттестационных испытаний и заключение по их результатам.
- Аттестат соответствия АИС требованиям по безопасности информации.
Перечень работ, выполняемых на стадии ввода в эксплуатацию объекта
информатизации и СЗИ:
-
Опытная эксплуатация средств защиты информации в комплексе с другими
техническими и программными средствами в целях проверки их
работоспособности в составе объекта информатизации и отработки
технологического процесса обработки (передачи) информации; -
Приемо-сдаточные испытания средств защиты информации по результатам опытной
эксплуатации с оформлением приемо-сдаточного акта, подписываемого
разработчиком (поставщиком) и заказчиком; - Аттестация объекта информатизации по требованиям безопасности информации.
Оформляемые документы:
-
Акты внедрения средств защиты информации по результатам их приемо-сдаточных
испытаний. - Протоколы аттестационных испытаний и заключение по их результатам.
-
Аттестат соответствия объекта информатизации требованиям по безопасности
информации. -
Приказ (указание, решение) о назначении лиц, ответственных за эксплуатацию
объекта информатизации. -
Приказ (указание, решение) о разрешении обработки в АС (обсуждении в ЗП)
конфиденциальной информации.
На стадии «Ввод в действие» согласно ГОСТ 34.201-89 разрабатывают следующие
организационно-распорядительные документы:
- Акт завершения работ;
- Акт приемки в опытную эксплуатацию;
- Акт приемки в промышленную эксплуатацию;
- План-график работ;
- Приказ о составе приемочной комиссии;
- Приказ о проведении работ;
- Программа работ;
- Протокол испытаний;
- Протокол согласования.
Рекомендуемый состав организационно-распорядительной документации
Оформляются приказы (указания, решения):
- на проектирование объекта информатизации и назначение ответственных исполнителей;
- на проведение работ по защите информации;
- о назначении лиц, ответственных за эксплуатацию объекта информатизации;
- на разрешение обработки в АС конфиденциальной информации.
Требования к содержанию документов на автоматизированную систему определяет
РД 50-34.698-90
«Методические указания. Информационная технология.»
Комплекс стандартов и руководящих документов на автоматизированные системы.
Автоматизированные системы. Требования к содержанию документов.
Номенклатуру дополнительной документации по защите информации на
автоматизированную систему определяет
ГОСТ Р 51624-2000 «Защита информации.
Автоматизированные информационные системы в защищенном исполнении».
Согласно ему определена следующая дополнительная документация:
- Схема первичного электропитания основных и вспомогательных технических средств;
- Схема заземления основных и вспомогательных технических средств;
- Спецификация основных и вспомогательных технических средств, программных средств;
- Руководство для абонентов АС (сети) по режимным вопросам;
-
Перечень контрольных испытаний и проверок (объем и периодичность) по
подтверждению защищенности АС; - Предписание на эксплуатацию ТС;
- Сертификат соответствия (на каждое ТС, ПС системы и СрЗИ);
- Акт категорирования средств АС и системы в целом по вопросам защиты информации;
- Акт классификации АС в части защиты от НСД к информации в системе;
- Аттестат соответствия АС требованиям НД по защите информации;
- Формуляр по защите информации (технический паспорт);
- Концепции, положения, руководства, наставления, инструкции, уставы, правила, нормы, модели (по ГОСТ Р 50600).
Структуру и содержание программы и методики аттестационных испытаний
объектов информатизации определяет Национальный стандарт Российской
Федерации ограниченного распространения ГОСТ РО 0043-004-2013 «Защита
информации. Аттестация объектов информатизации. Программа и методика
аттестационных испытаний».
Разделы документа:
- Общие положения
- Программа аттестационных испытаний объектов информатизации
- Методика аттестационных испытаний объектов информатизации
Раздел «Общие положения» состоит из:
- Сведения о наименовании объекта информатизации;
- Сведения о руководителе аттестационной комиссии и ее членах;
- Перечень НПА, НМД и ГОСТ;
- Перечень задач, решаемых в ходе аттестации;
- Описание методов проверок;
- Перечень контрольно-измерительной аппаратуры;
- Порядок действий АК и заявителя в ходе выявления нарушений.
Раздел «Программа аттестационных испытаний АС (ИС)» состоит из:
- Проверка структуры, состава и условий эксплуатации;
- Проверка правильности категорирования и классификации;
- Проверка достаточности представленных документов;
- Проверка уровня подготовки специалистов;
- Проверка выполнения требований безопасности информации к помещению;
- Проведение испытаний;
- Подготовка отчетной документации и оценка результатов испытаний;
- Подготовка протоколов эффективности принятых мер ЗИ от утечки по ТК;
- Оформление материалов испытаний и составление заключения;
- Подготовка отчетной документации и оценка результатов испытаний;
- Установление продолжительности работ по пунктам программы;
- Проведение контроля соответствия СЗИ требованиям БИ в процессе эксплуатации.
Допускается устанавливать особенности аттестации распределенной ИС на
основе результатов испытаний выделенного набора ее сегментов. Требования к
содержанию ПАИ СИРД и средств обработки речевой и видеоинформации
аналогичны.
Раздел «Методика аттестационных испытаний АС (ИС)» состоит из:
- Анализ полноты исходных данных, проверка их соответствия реальным условиям;
- Исследование технологического процесса обработки и хранения информации;
-
Проверка состояния организации работ и выполнения ОТМ по ЗИ, оценка
правильности категорирования и классификации, проверка полноты разработки
ОРД и ЭД, уровня подготовки специалистов, помещения; - Проверка АС на соответствие требованиям по ЗИ за счет утечки ПЭМИН от О(В)ТСС;
-
Проверка выполнения требований по защите АС от утечки информации за счет
возможно внедренных электронных устройств перехвата информации в ОТСС
иностранного производства; - Проверка АС на соответствие требованиям по ЗИ от НСД;
-
Проверка АС на соответствие требованиям по ЗИ от специальных программных
воздействий на нее и ее носители.
Нормативные правовые документы
-
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации,
информационных технологиях и о защите информации». -
Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах
по обеспечению информационной безопасности Российской Федерации при
использовании информационно-телекоммуникационных сетей международного
информационного обмена». -
Постановлением Совета Министров – Правительства Российской Федерации от
15 сентября 1993 г. № 912-51 «Положение о государственной системе защиты
информации в Российской Федерации от иностранных технических разведок и от
её утечки по техническим каналам». -
Постановление Правительства Российской Федерации от 1 ноября 2012 г. №
1119 «Требования к защите персональных данных при их обработке в
информационных системах персональных данных». -
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Требования о защите
информации, не составляющей государственную тайну, содержащейся в
государственных информационных системах».
Нормативные и методические документы
-
ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на
автоматизированные системы. Виды, комплектность и обозначение документов
при создании автоматизированных систем». -
ГОСТ 34.601-89 «Информационная технология. Комплекс стандартов на
автоматизированные системы. Автоматизированные системы. Стадии создания». -
ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на
автоматизированные системы. Комплекс стандартов на автоматизированные
системы. Техническое задание на создание автоматизированной системы». -
ГОСТ Р 51624-2000 «Защита информации. Автоматизированные информационные
системы в защищенном исполнении». -
ГОСТ Р 51583-2014 «Защита информации. Порядок создания
автоматизированных систем в защищенном исполнении. Общие положения». -
ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства
обеспечения безопасности. Системы менеджмента информационной безопасности.
Требования». -
ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства
обеспечения безопасности. Свод норм и правил менеджмента информационной
безопасности». -
ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационная технология. Методы и
средства обеспечения безопасности. Оценка безопасности автоматизированных
систем». -
ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства
обеспечения безопасности. Менеджмент риска информационной безопасности». -
ГОСТ Р ИСО/МЭК 21827-2010 «Информационная технология. Методы и средства
обеспечения безопасности. Проектирование систем безопасности. Модель
зрелости процесса». -
ГОСТ Р 54869 «Требования к управлению проектом для обеспечения
эффективного достижения целей проекта». -
ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности
информационных технологий. Часть 1. Введение и общая модель». -
ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности
информационных технологий. Часть 2. Функциональные требования
безопасности». -
ГОСТ Р ИСО/МЭК ТО 15446-2008 «Информационная технология. Методы и
средства обеспечения безопасности. Руководство по разработке профилей
защиты и заданий по безопасности». -
ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства
обеспечения безопасности. Методология оценки безопасности информационных
технологий». -
ГОСТ Р ИСО/МЭК 21827-2010 «Информационная технология. Методы и средства
обеспечения безопасности. Проектирование систем безопасности. Модель
зрелости процесса».
Автоматизация простыми словами – это процесс задействования машин и механизмов с целью уменьшения ручного труда и увеличения эффективности выполнения некоторых операций в бизнес-процессах компании.
Система автоматизации – это некий программно-технический комплекс, который позволяет достичь целей автоматизации.
Итак, давайте рассмотрим более подробно процесс создания своей автоматизированной системы.
1. Первое, что вам надо определить – это те процессы, которые мы собираемся автоматизировать. Возьмите бумагу и ручку, выпишите все процессы, которые вы намерены автоматизировать. Для каждого процесса укажите Название, Участников процесса, Вход (что нужно для выполнения процесса), Выход (какой результат получаем), краткую последовательность действий в процессе.
2. Далее рисуем диаграмму всех указанных процессов. Если они взаимозависимы, то соединяем их линией. Также на диаграмме цветом выделяйте те процессы, которые уже автоматизированы (т.е. эта диаграмма будет меняться в процессе внедрения автоматизации в ваш бизнес).
3. Следующий шаг – это определить роли системы. По сути, это Участники процессов, объединенные по каким-то специфическим признакам. Например, это могут быть бухгалтер, оператор, продажник и т.д. Для каждой роли выпишите какие именно функции она будет выполнять в системе. Например, администратор: создание, блокирование, редактирование пользователей; управление настройками; модерирование комментариями.
Рекомендуем изучить статью о коммуникации в автоматизированной системе.
4. На этом этапе вы определяете личные кабинеты для каждой роли. По сути вы просто можете нарисовать макеты каждой страницы, т.е. как это будет выглядеть с точки зрения пользователя. У всех пользователей интернета уже есть все базовые навыки, необходимые для рисования таких макетов. Поэтому просто сядьте и сделайте это.
5. Последний этап проектирования (с точки зрения заказчика) – это ментальная проверка как все это будет работать. Разложите макеты кабинетов на полу и попробуйте мысленно запустить все процессы. Особенно акцентируйте внимание на коммуникациях между ролями: как будут роли получать уведомления по процессам? В какой форме? Как они должны реагировать на события?
Вот пять простых шагов, которые помогут вам написать CRM систему. Важный момент – не пытайтесь сразу охватить все свои процессы. Начните с чего-то одного и постепенно внедряйте в свою систему новые процессы. Это уменьшает ваши риски и дает возможность вносить коррективы на основе обратной связи от процессов проектирования, разработки и внедрения системы.
Более подробно Как сделать АРМ для сотрудников читайте в нашей статье. В ней мы обсудим как выйти на новый уровень организации работ – работа сотрудника в личном кабинете
Наш основной продукт, конструктор CRM и личных кабинетов Falcon Space, позволяет относительно быстро создать кабинеты для каждой роли в системе с требуемым интерфейсом и бизнес-логикой.
Вы можете посмотреть различные демо веб-решений, реализованных на базе платформы.
Текст ГОСТ 34.602-2020 Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы
ГОСТ 34.602-2020
МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ
Информационные технологии
КОМПЛЕКС СТАНДАРТОВ НА АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ
Техническое задание на создание автоматизированной системы
Information technology. Set of standards for automated systems. Technical assignment for developing of automated system
МКС 35.240
01.040.35
Дата введения 2022-01-01
Предисловие
Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 «Межгосударственная система стандартизации. Основные положения» и ГОСТ 1.2 «Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены»
Сведения о стандарте
1 РАЗРАБОТАН Акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (АО «ВНИИС») и Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО ИАВЦ)
2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии
3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 22 декабря 2020 г. N 58)
За принятие проголосовали:
Краткое наименование страны по МК (ИСО 3166) 004-97 |
Код страны по МК (ИСО 3166) 004-97 |
Сокращенное наименование национального органа по стандартизации |
Армения |
АМ |
ЗАО «Национальный орган по стандартизации и метрологии» Республики Армения |
Беларусь |
BY |
Госстандарт Республики Беларусь |
Киргизия |
KG |
Кыргызстандарт |
Россия |
RU |
Росстандарт |
Узбекистан |
UZ |
Узстандарт |
Украина |
UA |
Минэкономразвития Украины |
(Поправка)
4 Приказом Федерального агентства по техническому регулированию и метрологии от 19 ноября 2021 г. N 1522-ст межгосударственный стандарт ГОСТ 34.602-2020 введен в действие в качестве национального стандарта Российской Федерации с 1 января 2022 г.
5 ВЗАМЕН ГОСТ 34.602-89
6 ИЗДАНИЕ (март 2022 г.) с Поправкой (ИУС N 3 2022 г.)
Информация о введении в действие (прекращении действия) настоящего стандарта и изменений к нему на территории указанных выше государств публикуется в указателях национальных стандартов, издаваемых в этих государствах, а также в сети Интернет на сайтах соответствующих национальных органов по стандартизации.
В случае пересмотра, изменения или отмены настоящего стандарта соответствующая информация будет опубликована на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации в каталоге «Межгосударственные стандарты»
1 Область применения
Настоящий стандарт распространяется на автоматизированные системы (АС), предназначенные для автоматизации различных видов деятельности (управление, проектирование, исследования и т.п.), включая их сочетания, и устанавливает требования к составу, содержанию, правилам оформления документа «Техническое задание на создание (развитие или модернизацию) автоматизированной системы» (далее — ТЗ на АС).
2 Нормативные ссылки
В настоящем стандарте использована нормативная ссылка на следующий межгосударственный стандарт:
ГОСТ 19.201 Единая система программной документации. Техническое задание. Требования к содержанию и оформлению
Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов и классификаторов на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации (www.easc.by) или по указателям национальных стандартов, издаваемым в государствах, указанных в предисловии, или на официальных сайтах соответствующих национальных органов по стандартизации. Если на документ дана недатированная ссылка, то следует использовать документ, действующий на текущий момент, с учетом всех внесенных в него изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то следует использовать указанную версию этого документа. Если после принятия настоящего стандарта в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение применяется без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
3 Общие положения
3.1 ТЗ на АС является основным документом, определяющим требования и порядок создания автоматизированной системы, в соответствии с которым проводится разработка АС и ее приемка.
ТЗ на другие виды работ (развитие, модернизация и т.п.) может быть оформлено в соответствии с требованиями настоящего стандарта. При этом название вида работ отражается в наименовании ТЗ.
3.2 ТЗ на АС разрабатывают на систему в целом. АС может функционировать самостоятельно или в составе другой автоматизированной системы.
3.3 В АС могут выделяться составные части (СЧ), для которых могут разрабатываться ТЗ на составные части (далее — ТЗ на СЧ).
Могут разрабатываться ТЗ на следующие составные части:
— на подсистемы АС, комплексы задач АС, функции АС и т.п.;
— на отдельные объекты АС, подлежащие автоматизации в рамках создания АС;
— на комплектующие изделия, средства технического обеспечения и программно-технические комплексы в соответствии со стандартами Единой системы конструкторской документации (ЕСКД) и Системы разработки и постановки продукции на производство (СРПП);
— на программные средства в соответствии со стандартами Единой системы программной документации (ЕСПД);
— на информационные изделия в соответствии с ГОСТ 19.201 и нормативно-технической документацией (НТД), действующей в ведомстве заказчика АС.
Примечание — В ТЗ на АС для группы взаимосвязанных объектов следует включать только общие для группы объектов требования. Специфические требования отдельного объекта следует отражать в ТЗ на СЧ.
3.4 Требования к АС в объеме, установленном настоящим стандартом, могут быть включены в задание на проектирование вновь создаваемого объекта автоматизации. В этом случае ТЗ на АС не разрабатывают.
Требования должны обладать следующими характеристиками: единичность, непротиворечивость, актуальность, выполнимость, проверяемость, однозначность.
Требования по возможности должны быть максимально детализированы.
3.5 Изменения к ТЗ на АС оформляют дополнением. Дополнение является неотъемлемой частью ТЗ на АС.
Порядок согласования и утверждения дополнения к ТЗ на АС должен быть аналогичен порядку согласования и утверждения ТЗ на АС.
4 Состав и содержание
4.1 ТЗ на АС содержит следующие обязательные разделы:
— общие сведения;
— цели и назначение создания автоматизированной системы;
— характеристика объектов автоматизации;
— требования к автоматизированной системе;
— состав и содержание работ по созданию автоматизированной системы;
— порядок разработки автоматизированной системы;
— порядок контроля и приемки автоматизированной системы;
— требования к составу и содержанию работ по подготовке объекта автоматизации к вводу автоматизированной системы в действие;
— требования к документированию;
— источники разработки.
В ТЗ на АС могут быть включены приложения.
Примечание — В случае отсутствия требований по разделу, соответствующий раздел сохраняется, и в нем приводится запись об отсутствии требований.
4.2 В зависимости от вида, назначения, специфических особенностей объекта автоматизации и условий функционирования АС допускается оформлять разделы ТЗ в виде приложений, вводить дополнительные разделы ТЗ.
Разделы ТЗ могут быть разделены на подразделы. Допускается вводить дополнительные, исключать или объединять подразделы ТЗ.
В ТЗ на СЧ не включают разделы, дублирующие содержание разделов ТЗ на АС в целом.
4.3 В разделе «Общие сведения» указывают следующее:
— полное наименование АС и ее условное обозначение;
— шифр темы (при наличии);
— наименование организации-заказчика АС, наименование организации-разработчика (при наличии сведений о ней);
— перечень документов, на основании которых создается АС, кем и когда утверждены эти документы;
— плановые сроки начала и окончания работ по созданию АС;
— общие сведения об источниках и порядке финансирования работ.
Примечание — К документам, на основании которых или в соответствии с которыми создается АС, могут относиться, например, следующие:
— договорные документы на создание АС;
— нормативно-правовые и нормативно-технические документы, регламентирующие создание АС;
— техническое задание на создание ранее разрабатывавшейся АС.
4.4 Раздел «Цели и назначение создания автоматизированной системы» состоит из следующих подразделов:
— цели создания АС;
— назначение АС.
4.4.1 В подразделе «Цели создания АС» приводят наименования и требуемые значения технических, технологических, производственно-экономических или других показателей объекта автоматизации, которые должны быть достигнуты в результате создания АС, и указывают критерии оценки достижения целей создания АС.
4.4.2 В подразделе «Назначение АС» указывают вид автоматизируемой деятельности (управление, проектирование и т.п.) применительно к объекту автоматизации в целом.
Для сложного объекта автоматизации приводится общий перечень объектов, на которых планируется использовать АС.
4.5 В разделе «Характеристика объекта автоматизации» приводят следующую информацию:
— основные сведения об объекте автоматизации или ссылки на документы, содержащие такие сведения;
— сведения об условиях эксплуатации объекта автоматизации и характеристиках окружающей среды.
Примечание — В разделе приводят основные сведения об объекте автоматизации, позволяющие однозначно его идентифицировать и сформировать правильное представление о масштабах разработки.
4.6 Раздел «Требования к автоматизированной системе» состоит из следующих подразделов:
— требования к структуре АС в целом;
— требования к функциям (задачам), выполняемым АС;
— требования к видам обеспечения АС;
— общие технические требования к АС.
Состав требований к АС, включаемых в данный раздел ТЗ на АС, устанавливают в зависимости от вида, назначения, специфических особенностей и условий функционирования конкретной автоматизированной системы. В каждом подразделе приводят ссылки на действующие НТД, определяющие требования к автоматизированным системам соответствующего вида.
4.6.1 В подразделе «Требования к структуре АС в целом» указывают следующее:
— перечень подсистем (при их наличии), их назначение и основные характеристики. Дополнительно могут быть приведены требования к числу уровней иерархии и степени централизации АС;
— требования к способам и средствам обеспечения информационного взаимодействия компонентов АС;
— требования к характеристикам взаимосвязей создаваемой АС со смежными АС, требования к интероперабельности, требования к ее совместимости, в том числе указания о способах обмена информацией;
— требования к режимам функционирования АС;
— требования по диагностированию АС;
— перспективы развития, модернизации АС.
4.6.2 В подразделе «Требования к функциям (задачам), выполняемым АС», приводят перечень функций (задач), подлежащих автоматизации для АС в целом или для каждой подсистемы (при их наличии). В перечень включаются в том числе функции (задачи), обеспечивающие взаимодействие частей АС.
Для каждой функции (задачи) должен быть указан результат ее выполнения и, при необходимости, приведены основные характеристики результата.
При необходимости дополнительно могут быть указаны следующие данные:
— временной регламент реализации каждой функции (задачи);
— требования к реализации каждой функции (задачи), к форме представления выходной информации, характеристики необходимой точности и времени выполнения, требования одновременности выполнения группы функций, достоверности выдачи результатов;
— перечень и критерии отказов для каждой функции, по которой задаются требования по надежности.
4.6.3 В подразделе «Требования к видам обеспечения АС» приводят требования к математическому, информационному, лингвистическому, программному, техническому, метрологическому, организационному, методическому и другим видам обеспечения АС.
4.6.3.1 Для математического обеспечения АС приводят требования к составу, области применения (ограничениям) и способам использования в АС математических методов и моделей, типовых алгоритмов и алгоритмов, подлежащих разработке.
4.6.3.2 Для информационного обеспечения АС приводят следующие требования:
— к составу, структуре и способам организации данных в АС;
— к информационному обмену между компонентами АС и со смежными АС;
— к информационной совместимости со смежными АС;
— по использованию действующих и по разработке новых классификаторов, справочников, форм документов;
— по применению систем управления базами данных;
— к представлению данных в АС;
— к контролю, хранению, обновлению и восстановлению данных.
4.6.3.3 Для лингвистического обеспечения АС приводят следующие требования:
— к языкам, используемым в АС, и возможности расширения набора языков (при необходимости);
— к способам организации диалога;
— к разработке и использованию словарей, тезаурусов;
— к описанию синтаксиса формализованного языка.
4.6.3.4 Для программного обеспечения АС приводят следующую информацию:
— требования к составу и видам программного обеспечения;
— требования к выбору используемого программного обеспечения;
— требования к разрабатываемому программному обеспечению;
— перечень допустимых покупных программных средств (при наличии).
4.6.3.5 Для технического обеспечения АС приводят следующие требования:
— к видам технических средств, в том числе к видам комплексов технических средств, программно-технических комплексов и других комплектующих изделий, допустимых к использованию в АС;
— к функциональным, конструктивным и эксплуатационным характеристикам средств технического обеспечения АС.
4.6.3.6 В требованиях к метрологическому обеспечению АС приводят следующую информацию:
— количественные значения показателей метрологического обеспечения;
— требования к методам (методикам) измерений и измерительного контроля параметров и их характеристик;
— требования к средствам измерений и измерительного контроля;
— требования к метрологическому обеспечению испытаний АС;
— требования к программе метрологического обеспечения АС;
— требования к метрологической совместимости технических средств АС;
— требования проведения метрологической экспертизы технической документации (при необходимости).
4.6.3.7 Для организационного обеспечения АС приводят следующие требования:
— к структуре и функциям подразделений, участвующих в функционировании АС или обеспечивающих эксплуатацию;
— к организации функционирования АС и порядку взаимодействия персонала и пользователей АС;
— к организации функционирования АС при сбоях, отказах и авариях;
— к порядку обеспечения нормативными документами, необходимыми для разработки АС.
4.6.3.8 Для методического обеспечения АС приводят следующую информацию:
— перечень применяемых при разработке и функционировании АС нормативно-технических документов (стандартов, нормативов, методик, профилей и т.п.);
— порядок и правила обеспечения разработчиков АС нормативно-технической документацией.
4.6.4 В подразделе «Общие технические требования к АС» указывают следующее:
— требования к численности и квалификации персонала и пользователей АС;
— требования к показателям назначения;
— требования к надежности;
— требования по безопасности;
— требования к эргономике и технической эстетике;
— требования к транспортабельности для подвижных АС;
— требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов АС;
— требования к защите информации от несанкционированного доступа;
— требования по сохранности информации при авариях;
— требования к защите от влияния внешних воздействий;
— требования к патентной чистоте и патентоспособности;
— требования по стандартизации и унификации;
— дополнительные требования.
4.6.4.1 В требованиях к численности и квалификации персонала и пользователей АС приводят следующее:
— требования к численности персонала и пользователей АС;
— требования к квалификации персонала и пользователей АС, порядку их подготовки и контроля знаний и навыков;
— требуемый режим работы персонала и пользователей АС.
4.6.4.2 В требованиях к показателям назначения АС приводят значения параметров, характеризующих степень соответствия АС ее назначению (при их наличии).
4.6.4.3 В требования к надежности включают:
— состав и количественные значения показателей надежности для АС в целом или ее подсистем (составных частей);
— перечень аварийных ситуаций, по которым должны быть регламентированы требования к надежности, и значения соответствующих показателей;
— требования к надежности технических средств и программного обеспечения;
— требования к методам оценки и контроля показателей надежности на разных стадиях создания АС в соответствии с действующими нормативно-техническими документами.
4.6.4.4 В требования по безопасности включают требования по обеспечению безопасности при монтаже, наладке, эксплуатации, обслуживании и ремонте технических средств АС (защита от воздействий электрического тока, электромагнитных полей и т.п.), по допустимым уровням вибрационных и шумовых нагрузок, а также по обеспечению экологической безопасности.
4.6.4.5 В требования к эргономике и технической эстетике включают следующие требования:
— эргономические требования к организации и средствам деятельности персонала и пользователей АС, в том числе к средствам отображения информации и организации рабочего места;
— требования к технической эстетике, определяющие композиционную целостность, информационную выразительность, рациональность формы и культуру производственного исполнения создаваемого изделия, в том числе реализации человеко-машинного интерфейса.
4.6.4.6 В требования к транспортабельности для подвижных АС включают конструктивные требования, обеспечивающие транспортабельность технических средств АС, а также требования к транспортным средствам, включая условия транспортирования, возможность перевозки в готовом к функционированию состоянии, необходимость защиты элементов АС от внешних воздействующих факторов при транспортировании, а также требования безопасности перевозки.
4.6.4.7 В требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов АС включают:
— условия и регламент (режим) эксплуатации, которые должны обеспечивать использование технических средств (ТС) и программно-технических средств (ПТС) АС с заданными показателями;
— требования к видам, периодичности и объему технического обслуживания, контролю технического состояния и ремонта или допустимость работы без обслуживания;
— предварительные требования к допустимым площадям для размещения персонала и технических средств АС, к параметрам сетей энергоснабжения, вентиляции, охлаждения и т.п.;
— требования к составу, размещению и условиям хранения комплекта запасных частей, инструментов и принадлежностей, а также к нормам расхода запасных частей;
— требования к регламенту обслуживания.
4.6.4.8 В требования к защите информации от несанкционированного доступа включают требования, установленные в НТД, действующей в отрасли (ведомстве) заказчика.
4.6.4.9 В требованиях по сохранности информации приводят перечень событий: аварий, отказов технических средств (в том числе — потеря питания) и т.п., при которых должна быть обеспечена сохранность информации в АС.
4.6.4.10 В требованиях к защите от внешних воздействий приводят:
— требования к радиоэлектронной защите средств АС;
— требования по стойкости, устойчивости и прочности к внешним воздействиям (среде применения).
4.6.4.11 В требованиях к патентной чистоте и патентоспособности указывают требования по патентной чистоте и патентоспособности АС и ее частей, включая требования по проведению патентных исследований.
4.6.4.12 В требования к стандартизации и унификации включают показатели, устанавливающие следующее:
— требуемую степень использования стандартных, унифицированных методов реализации функций (задач) АС, поставляемых программных средств, типовых математических методов и моделей, типовых проектных решений, унифицированных форм документов, общероссийских классификаторов и классификаторов других категорий в соответствии с областью их применения;
— требования к использованию типовых автоматизированных рабочих мест, компонентов и комплексов.
4.6.4.13 В дополнительные требования включают:
— требования к оснащению АС учебно-тренировочными средствами и документацией на них;
— требования к сервисной аппаратуре, стендам для проверки элементов АС;
— требования к АС, связанные с особыми условиями эксплуатации;
— специальные требования по усмотрению разработчика или заказчика АС.
4.7 Раздел «Состав и содержание работ по созданию автоматизированной системы» должен содержать перечень этапов работ по созданию АС и сроки их выполнения.
4.8 В разделе «Порядок разработки автоматизированной системы» приводят следующее:
— порядок организации разработки АС;
— перечень документов и исходных данных для разработки АС;
— перечень документов, предъявляемых по окончании соответствующих этапов работ;
— порядок проведения экспертизы технической документации;
— перечень макетов (при необходимости), порядок их разработки, изготовления, испытаний, необходимость разработки на них документации, программы и методик испытаний;
— порядок разработки, согласования и утверждения плана совместных работ по разработке АС;
— порядок разработки, согласования и утверждения программы работ по стандартизации;
— требования к гарантийным обязательствам разработчика;
— порядок проведения технико-экономической оценки разработки АС;
— порядок разработки, согласования и утверждения программы метрологического обеспечения, программы обеспечения надежности, программы эргономического обеспечения.
4.9 В разделе «Порядок контроля и приемки автоматизированной системы» указывают следующую информацию:
— виды, состав и методы испытаний АС и ее составных частей;
— общие требования к приемке работ, порядок согласования и утверждения приемочной документации;
— статус приемочной комиссии (государственная, межведомственная, ведомственная и др.).
Примечание — Порядок согласования и утверждения приемочной документации, а также статус приемочной комиссии указываются при необходимости.
4.10 В разделе «Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу автоматизированной системы в действие» приводят перечень мероприятий, которые необходимо осуществить при подготовке объекта автоматизации к вводу АС в действие.
В перечень мероприятий включают следующее:
— создание условий функционирования объекта автоматизации, при которых гарантируется соответствие создаваемой АС требованиям, содержащимся в ТЗ на АС;
— проведение необходимых организационно-штатных мероприятий;
— порядок обучения персонала и пользователей АС.
4.11 В разделе «Требования к документированию» приводят следующую информацию:
— перечень подлежащих разработке документов;
— вид представления и количество документов;
— требования по использованию ЕСКД и ЕСПД при разработке документов.
При отсутствии государственных стандартов, определяющих требования к документированию элементов АС, дополнительно включают требования к составу и содержанию таких документов.
4.12 В разделе «Источники разработки» должны быть перечислены документы и информационные материалы (технико-экономическое обоснование, отчеты о законченных научно-исследовательских работах, информационные материалы на отечественные, зарубежные системы-аналоги и др.), на основании которых разрабатывалось ТЗ и которые должны быть использованы при создании АС.
5 Правила оформления
5.1 Разделы и подразделы ТЗ на АС должны быть размещены в порядке, установленном в разделе 4.
5.2 ТЗ на АС оформляют в виде текстового документа.
Номера листов (страниц) проставляют начиная с первого листа, следующего за титульным листом, в верхней части листа (над текстом, посередине).
При необходимости в ТЗ на АС могут включаться схемы, рисунки, таблицы и др. иллюстративный материал.
5.3 Значения показателей, норм и требований указывают, как правило, с предельными отклонениями или максимальным и минимальным значениями. Если эти показатели, нормы, требования однозначно регламентированы НТД, в ТЗ на АС следует приводить ссылку на эти документы или их разделы, а также дополнительные требования, учитывающие особенности создаваемой АС. Если конкретные значения показателей, норм и требований не могут быть установлены в процессе разработки ТЗ на АС, в нем следует сделать запись о порядке установления и согласования этих показателей, норм и требований:
«Окончательное требование (значение) уточняется… и согласовывается …». При этом в текст ТЗ на АС изменений не вносят.
5.4 На титульном листе помещают подписи заказчика и согласующих организаций. Так как титульный лист является первым листом документа, подписи должностных лиц, участвующих в согласовании и рассмотрении проекта ТЗ на АС, помещают на последнем листе.
5.5 При необходимости на титульном листе ТЗ на АС допускается помещать установленные в отрасли отметки, например: гриф секретности, код работы, регистрационный номер ТЗ и другие отметки.
5.6 Титульный лист дополнения к ТЗ на АС оформляют аналогично титульному листу технического задания. Вместо наименования «Техническое задание» пишут «Дополнение N … к ТЗ на АС … «.
5.7 На последующих листах дополнения к ТЗ на АС помещают основание для изменения, содержание изменения и ссылки на документы, в соответствии с которыми вносятся эти изменения (при необходимости).
5.8 При изложении текста дополнения к ТЗ следует указывать номера соответствующих пунктов, подпунктов, таблиц основного ТЗ на АС и т.п. и применять слова: «заменить», «дополнить», «исключить», «изложить в новой редакции».
УДК 004:006.354 |
МКС |
35.240 |
01.040.35 |
||
Ключевые слова: информационные технологии, автоматизированные системы, техническое задание |
1.Процесс создания автоматизированной системы (АС) общее положение
1.1. Процесс создания АС представляет собой совокупность упорядоченных во времени, взаимосвязанных, и объединённых в стадии и этапы работ, выполнение которых необходимо и достаточно для создания АС, соответствующей заданным требованиям.
1.2. Стадии и этапы создания АС выделяются как части процесса создания по соображениям рационального планирования и организации работ, заканчивающихся заданным результатом.
1.3. Работы по развитию АС осуществляют по стадиям и этапам, применяемым для создания АС.
1.4. Состав и правила выполнения работ на установленных настоящим стандартом стадиях и этапах определяют в соответствующей документации организаций, участвующих в создании конкретных видов АС.
2.Стадии и этапы создания автоматизированной системы (АС)
2.1.Таблица. Стадии и этапы создания автоматизированной системы (АС)
Стадии. |
Этапы работ. |
1. Формирование требований к АС. |
1.1. Обследование объекта и обоснование необходимости создания АС. 1.2. Формирование требований пользователя к АС. 1.3. Оформление отчёта о выполненной работе и заявки на разработку АС (тактико-технического задания). |
2. Разработка концепции АС. |
2.1. Изучение объекта. 2.2. Проведение необходимых научно- исследовательских работ. 2.3. Разработка вариантов концепции АС, удовлетворяющего требованиям пользователя. 2.4. Оформление отчёта о выполненной работе. |
3. Техническое задание. |
Разработка и утверждение технического задания на создание АС. |
4. Эскизный проект. |
4.1. Разработка предварительных проектных решений по системе и её частям. 4.2. Разработка документации на АС и её части. |
5. Технический проект. |
5.1. Разработка проектных решений по системе и её частям. 5.2. Разработка документации на АС и её части. 5.3. Разработка и оформление документации на поставку изделий для комплектования АС и (или) технических требований (технических заданий) на их разработку. 5.4. Разработка заданий на проектирование в смежных частях проекта объекта автоматизации. |
6. Рабочая документация. |
6.1. Разработка рабочей документации на систему и её части. 6.2. Разработка или адаптация программ. |
7. Ввод в действие. |
7.1. Подготовка объекта автоматизации к вводу АС в действие. 7.2. Подготовка персонала. 7.3. Комплектация АС поставляемыми изделиями (программными и техническими средствами, программно-техническими комплексами, информационными изделиями). 7.4. Строительно-монтажные работы. 7.5. Пусконаладочные работы. 7.6. Проведение предварительных испытаний. 7.7. Проведение опытной эксплуатации. 7.8. Проведение приёмочных испытаний. |
8. Сопровождение АС. |
8.1. Выполнение работ в соответствии с гарантийными обязательствами. 8.2. Послегарантийное обслуживание. |
2.2. Стадии этапы, выполняемые организациями — участниками работ по созданию АС, устанавливаются в договорах и техническом задании на основе настоящего стандарта. Допускается исключить стадию «Эскизный проект» и отдельные этапы работ на всех стадиях, объединять стадии «Технический проект» и «Рабочая документация» в одну стадию «Технорабочий проект». В зависимости от специфики создаваемых АС и условий их создания допускается выполнять отдельные этапы работ до завершения предшествующих стадий, параллельное во времени выполнение этапов работ, включение новых этапов работ.
Содержание работ на каждом этапе создания АС
1.На этапе 1.1. «Обследование объекта и обоснование необходимости создания в АС» общем случае проводят:
а) сбор данных об объекте автоматизации и осуществляемых видах деятельности;
б) оценку качества функционирования объекта и осуществляемых видах деятельности, выявление проблем, решение которых возможно средствами автоматизации;
в) оценку (технико-экономической, социальной и т.д.) целесообразности создания АС.
2.На этапе 1.2. «Формирование требований пользователя к АС» проводят:
а) подготовку исходных данных для формирования требований АС (характеристика объекта автоматизации, описание требований к системе, ограничения допустимых затрат на разработку, ввод в действие и эксплуатацию, эффект, ожидаемый от системы, условия создания и функционирования системы);
б) формулировку и оформление требований пользователя к АС.
3.На этапе 1.3. «Оформление отчёта о выполненной работе и заявки на разработку АС (технико-технического задания)» проводят оформление отчета о выполненных работах на данной стадии и оформление заявки на разработку АС (тактико-технического задания) или другого заменяющего её документа с аналогичным содержанием.
4.На этапах 2.1. «Изучение объекта» и 2.2. «Проведение научно-исследовательских работ» организация-разработчик проводит детальное изучение объекта автоматизации и необходимые научно-исследовательские работы (НИР), связанные с поиском путей и оценкой возможности реализации требований пользователя, оформляют и утверждают отчёты о НИР.
5.На этапе 2.3. «Разработка вариантов концепции АС и выбор варианта концепции АС, удовлетворяющего требованиям пользователя» в общем случае, проводят разработку альтернативных вариантов концепции создаваемой АС и планов их реализации; оценку необходимых ресурсов на их реализацию и обеспечение функционирования; оценку преимуществ и недостатков каждого варианта; определение порядка оценки качества и условий приёмки системы; оценку эффектов, получаемых от системы.
6.На этапе 2.4. «Оформление отчёта о выполненной работе» подготавливают и оформляют отчет, содержащий описание выполненных работ на стадии описания и обоснования предлагаемого варианта концепции системы.
7.На этапе 3.1. «Разработка и утверждение технического задания на создание АС» проводят разработку, оформление, согласование и утверждение технического задания на АС и, при необходимости, технических заданий на части АС.
8.На этапе 4.1. «Разработка предварительных проектных решений по системе и её частям» определяются: функции АС; функции подсистем, их цели и эффекты; состав комплексов задач и отдельных задач; концепция информационной базы, её укрупнённая структура; функции системы управления базой данных; состав вычислительной системы; функции и параметры основных программных средств.
9.На этапе 5.1. «Разработка проектных решений по системе и её частям» обеспечивает разработку общих решений по системе и её частям, функционально-алгоритмической структуре системы, по функциям персонала и организационной структуре, по структуре технических средств, по алгоритмам решения задач и применяемым языкам, по организации и ведению информационной базы, системе классификации и кодирования информации, по программному обеспечению.
10.На этапах 4.2. и 5.2. «Разработка документации на АС и её части» проводят разработку, оформление, согласование и утверждение документации в объёме, необходимом для описания полной совокупности принятых проектных решений и достаточном для дальнейшего выполнения работ по созданию АС. Виды документов — по ГОСТ 34.201.
11.На этапе 5.3. «Разработка и оформление документации на поставку изделий для комплектования АС и (или) технических требований (технических заданий) на их разработку» проводят: подготовку и оформление документации на поставку изделий для комплектования АС; определение технических требований и составление ТЗ на разработку изделий, не изготовляемых серийно.
12.На этапе 5.4 «Разработка заданий на проектирование в смежных частях проекта объекта автоматизации» осуществляют разработку, оформление, согласование и утверждение заданий на проектирование в смежных частях проекта объекта автоматизации для проведения строительных, электротехнических, санитарно- технических и других подготовительных работ, связанных с созданием АС.
13.На этапе 6.1 «Разработка рабочей документации на систему и её части» осуществляют разработку рабочей документации, содержащей все необходимые и достаточные сведения для обеспечения выполнения работ по вводу АС в действие и её эксплуатации, а также для поддержания уровня эксплуатационных характеристик (качества) системы в соответствии с принятыми проектными решениями, её оформление, согласование и утверждение. Виды документов по ГОСТ 34.201.
14.На этапе 6.2 «Разработка или адаптация программ» проводят разработку программ и программных средств системы, выбор, адаптацию и (или) привязку приобретаемых программных средств, разработку программной документации в соответствии с ГОСТ 19.101.
15.На этапе 7.1 «Подготовка объекта автоматизации к вводу АС в действие» проводят работы по организационной подготовке объекта автоматизации к вводу АС в действие, в том числе: реализацию проектных решений по организационной структуре АС; обеспечение подразделений объекта управления инструктивно-методическими материалами; внедрение классификаторов информации.
16.На этапе 7.2 «Подготовка персонала» проводят обучение персонала и проверку его способности обеспечить функционирование АС.
17.На этапе 7.3 «Комплектация АС поставляемыми изделиями (программными и техническими средствами, программно-техническими комплексами, информационными изделиями)» обеспечивают получение комплектующих изделий серийного и единичного производства, материалов и монтажных изделий. Проводят входной контроль их качества.
18.На этапе 7.4 «Строительно-монтажные работы» проводят: выполнение работ по строительству специализированных зданий (помещений) для размещения технических средств и персонала АС; сооружение кабельных каналов; выполнение работ по монтажу технических средств и линий связи; испытание смонтированных технических средств; сдачу технических средств для проведения пусконаладочных работ.
19.На этапе 7.5 «Пусконаладочные работы» проводят автономную наладку технических и программных средств, загрузку информации в базу данных и проверку системы её ведения; комплексную наладку всех средств системы.
20.На этапе 7.6 «Проведение предварительных испытаний» осуществляют:
а) испытания АС на работоспособность и соответствие техническому заданию в соответствии с программой и методикой предварительных испытаний;
б) устранение неисправностей и внесение изменений в документацию на АС, в том числе эксплуатационную в соответствии с протоколом испытаний;
в) оформление акта о приёмке АС в опытную эксплуатацию.
21.На этапе 7.7 «Проведение опытной эксплуатации» проводят: опытную эксплуатацию АС; анализ результатов опытной эксплуатации АС; доработку (при необходимости) программного обеспечения АС; дополнительную наладку (при необходимости) технических средств АС; оформление акта о завершении опытной эксплуатации.
22.На этапе 7.8 «Проведение приёмочных испытаний» проводят:
а) испытания на соответствие техническому заданию в соответствии с программой и методикой приёмочных испытаний;
б) анализ результатов испытания АС и устранение недостатков, выявленных при испытаниях;
в) оформление акта о приёмке АС в постоянную эксплуатацию.
23.На этапе 8.1 «Выполнение работ в соответствии с гарантийными обязательствами» осуществляются работы по устранению недостатков, выявленных при эксплуатации АС в течении установленных гарантийных сроков, внесению необходимых изменений в документацию по АС.
24.На этапе 8.2 «Послегарантийное обслуживание» осуществляют работы по:
а) анализу функционирования системы;
б) выявлению отклонений фактических эксплуатационных характеристик АС от проектных значений;
в) установлению причин этих отклонений;
г) устранению выявленных недостатков и обеспечению стабильности эксплуатационных характеристик АС;
д) внесению необходимых изменений в документацию на АС.
Перечень организаций, участвующих в работах по созданию АС
1.Организация-заказчик (пользователь), для которой создаются АС и которая обеспечивает финансирование, приемку работ и эксплуатацию АС, а также выполнение отдельных работ по созданию АС.
2.Организация-разработчик, которая осуществляет работы по созданию АС, представляет заказчику совокупность научно-технических услуг на разных стадиях и этапах создания, а также разрабатывает и поставляет различные программные и технические средства АС.
3.Организация-поставщик, которая изготавливает и поставляет программные и технические средства по заказу разработчика или заказчика.
4.Организация-генпроектировщик объекта автоматизации.
5.Организации-проектировщики различных частей проекта объекта автоматизации для проведения строительных, электротехнических, санитарно-технических и других подготовительных работ, связанных с созданием АС.
6.Организации строительные, монтажные, наладочные и другие.
Примечания:
а) в зависимости от условий создания АС возможны различные совмещения функций заказчика, разработчика, поставщика и других организаций, участвующих в работах по созданию АС;
б) стадии и этапы выполняемых ими работ по созданию АС определяются на основании настоящего стандарта.