Стандатризация программных средств
Информатизация России. Рынок программных средств. Основные задачи стандартизации, сертификации и лицензирования в сфере информатизации. Совокупность инженерных методов и средств создания программного обеспечения. Жизненный цикл программного обеспечения.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | лекция |
Язык | русский |
Дата добавления | 09.03.2009 |
Размер файла | 352,8 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
GOSIP определяет и описывает общую совокуп-ность протоколов обмена данными, которые позволяют системам, разработанным различными поставщиками, взаимодействовать между собой, а пользователям раз-личных, прикладных программ этих систем обмениваться информацией.
Сейчас в мире уже доступен широкий набор изде-лий, реализующих протоколы ВОС. Например, почти каждый основной разработчик компьютеров в США, в том числе фирма IBM, объявили о производстве совмес-тимых с GOSIP изделий.
Все протоколы, на которые ссылается GOSIP, облада-ют многими общими характеристиками. К ним относятся:
* широкая применимость (общее использование не только службами отдельной страны, но и на все-мирной основе);
* доступность (реализации либо уже существуют, либо появятся в ближайшее время);
* стабильность (протоколы технически "замороже-ны" и в предсказуемом будущем их изменений не предвидится);
* эффективность (протоколы могут удовлетворять общим потребностям федеральных служб).
В России работы по проблеме открытых систем ве-дутся рядом ведущих институтов Минсвязи России, Гос-стандарта России и Российской академии наук. Одним из результатов этих работ является создание Государствен-ного профиля взаимосвязи открытых систем - "ГОСПРОФИЛЬ ВОС России" основные положения кото-рого будут рассмотрены далее.
Национальная (государственная) стандартизация в сфере информатизации
Основные принципы организации работ по стандартизации в России
Работы по стандартизации в России осуществляют-ся на основе принятого в 1995 году Закона Российской Федерации "О стандартизации" и комплекса стандартов Государственной системы стандартизации.
К нормативным документам по стандартизации, действующим на территории Российской Федерации, от-носятся:
* государственные стандарты Российской Федера-ции;
* применяемые в установленном порядке междуна-родные (региональные) стандарты, правила, нормы и рекомендации по стандартизации;
* общероссийские классификаторы технико-экономической информации;
* стандарты отраслей;
* стандарты предприятий;
* стандарты научно-технических, инженерных об-ществ и других общественных объединений.
В соответствии с действующими нормативными документами стандартизация должна основываться на стремлении всех заинтересованных сторон, разрабаты-вающих, изготавливающих и потребляющих продукцию, к достижению взаимного согласия.
Государственные стандарты разрабатываются на продукцию, работы и услуги, имеющие межотраслевое значение. Требования, устанавливаемые государствен-ными стандартами для обеспечения безопасности про-дукции, работ и услуг, для охраны окружающей среды, жизни, здоровья и имущества, для обеспечения техни-ческой и информационной совместимости, взаимозаме-няемости продукции, единства методов контроля и единства маркировки, а также другие требования, установленные законодательством Российской Федера-ции, являются обязательными для соблюдения государ-ственными органами управления, субъектами хозяй-ственной деятельности. Иные требования государ-ственных стандартов к продукции, работам и услугам подлежат обязательному соблюдению субъектами хозяйственной деятельности в силу договора либо в том случае, если об этом указывается в технической доку-ментации изготовителя (поставщика) продукции или исполнителя работ и услуг.
Общее руководство работами по стандартизации в Российской Федерации возложено на Госстандарт Рос-сии. В его ведении, в частности, находятся согласование и утверждение проектов стандартов на средства и си-стемы информатизации.
Вся практическая работа по координации стан-дартизации в сфере информатизации, разработке и согла-сованию с Госстандартом России проектов стандартов в сфере информатизации, а также вводу стандартов в действие после утверждения возложена на Минсвязи России.
Основные направления работ по стандартизации в сфере информатизации
Зарубежные страны, используя накопленный миро-вой опыт в области информационных технологий в лице Международной организации по стандартизации (ИСО) и разработав свои государственные профили взаимосвя-зи открытых систем на базе стандартов ИСО, получили, по экспертным оценкам, экономический эффект в 5$ на каждый затраченный на стандартизацию 1$.
Специалистами было подсчитано, что каждый рубль, вложенный в работу по стандартизации в нашей стране, может приносить в области стандартизации информационных технологий эффект порядка 10 руб.
Двукратное значение российского экономического эффекта объясняется тем, что не требуется дополнитель-ных затрат на переделку ранее разработанных в России информационных технологий под мировой уровень вви-ду практического отсутствия собственных разработок. Другое дело в ведущих зарубежных странах: к концу 80-х годов в каждой из стран было наработано огромное количество технических и программных средств, сетей, си-стем, частично совместимых с эталонной моделью ВОС ИСО. Поэтому потребовались значительные капитало-вложения на доработку, переделку и на разработку соот-ветствующих приспособлений существующих информа-ционных технологий применительно к эталонной модели ВОС ИСО.
В России фонд действующих государственных стандартов в области информационных технологий включает более 300 стандартов, которые охватывают основные аспекты разработки информационных систем. Однако следует отметить, что по отдельным группам стандартов отсутствует комплексность охвата объек-тов стандартизации, а по ряду групп действующие стан-дарты требуют пересмотра с учетом современных требо-ваний.
Особого внимания требует расширение примене-ния международных стандартов. Так, по состоянию на 1998 год по различным направлениям информационных технологий и смежных областей (вычислительная техни-ка, системы связи и передачи данных, радиоэлектронные средства, открытые системы, программная инженерия и др.) в России действовали свыше 700 государственных стандартов, обеспечивающих применение в стране около 400 международных стандартов. Это составляет всего 25% от общего числа международных стандартов ИСО, МЭК, МККТ, МККР, актуальных для применения в данной области.
Программой по стандартизации в сфере информа-тизаци предусматривается сотрудничество с международными организациями по стандартизации при проведении работ по трем приори-тетным для Российской Федерации направлениям стан-дартизации информационных технологий, краткие сведе-ния о которых мы приводим низке.
Направления 1-го приоритета
* Языки программирования и программный интер-фейс. Участие России в разработке международных стандартов по данной тематике позволяет поддерживать те направления российской математической школы, ко-торые имеют традиционно устойчивую позицию, а также разрабатывать новые языки для перспективных направ-лений программирования.
* Языки описания документов. Стандартизация в данной области позволяет обеспечить необходимую нормативную базу, поддерживающую создание, хране-ние и обращение документов в открытых системах, включая элементы доступа при поиске информации.
* Программная инженерия. Данное направление стандартизации представляется особо важным для Рос-сии в ближайшей перспективе. В сочетании с сертифика-цией и внедрением систем качества, соответствующих требованиям международных стандартов, участие в раз-работке и применении этой группы стандартов дает оте-чественным разработчикам, а также изготовителям и по-ставщикам программных средств возможность повысить качество и конкурентоспособность своей продукции как на внутреннем, так и на внешнем рынках.
* Сервисы управления данными. Данное направление является перспективным в плане создания и развития отечественных систем распределенных баз данных и формирования национальных информационных ресур-сов федерального, регионального и местного уровней в структуре Единого информационного пространства России.
* Работа в сетях, и соответствующие соединения.
Работы в данном направлении позволят стандартизовать функции, необходимые для установления и управления информационным обменом через сети и физические ин-терфейсы.
* Безопасность информационных технологий. Рабо-ты в области безопасности информационных технологий позволяют создать комплект стандартов, поддержи-вающих методы и средства обеспечения безопасности, в первую очередь на уровне личности и различных обще-ственных групп. Данное направление является одним из важнейших с учетом бурного роста информационного обмена между компонентами всех уровней и перспекти-вы развития Российской и Глобальной информационной инфраструктуры, включая Интернет.
* Терминология. Это направление предполагает разработку терминологии для информационных техно-логий и связанных областей.
Направления 2-го приоритета
* Сбор данных и системы идентификации. Работы в данной области позволяют создать комплект стандар-тов, поддерживающих разработку идентификационных карт и соответствующих устройств для использования в межотраслевых приложениях и в международном обмене (например, как платежное средство в банковском деле), а также методы и средства для процесса автоматической идентификации и сбора данных, в частности с использо-ванием штрихкодов.
* Мультимедиа и представление информации. Стан-дартизация в данной области позволяет обеспечить не-обходимую нормативную базу, поддерживающую коди-рованное представление, обработку и обмен аудио, изображениями, мультимедиа и гипермедиа информаци-ей для разнообразных приложений.
* Пользовательский интерфейс. Работы в данной области позволяют создать комплект стандартов, под-держивающих пользовательский интерфейс для интерак-тивной деятельности в локальных и распределенных сре-дах с использованием аудио, изображений, мультимедиа и гипермедиа информации, включая специальные ин-терфейсы для людей, имеющих физические недостатки или работающих в специфических условиях.
* Офисное оборудование. Стандартизация в данной области позволяет обеспечить необходимую норма-тивную базу, поддерживающую адекватный уровень требований к эксплуатационным характеристикам и ме-тодам тестирования офисного оборудования (принтеры, копировальное оборудование, цифровые сканеры, фак-симильное оборудование и их комбинации).
* Кодированные наборы символов. Стандартизация в данной области позволяет обеспечить необходимую нормативную базу, поддерживающую множества графи-ческих символов и их кодированное представление для обеспечения одно- и многоязыковых функций при рабо-те с информацией (интернационализация).
Направления 3-го приоритета
* Среды для информационного обмена. Работы в данной области включают стандарты, поддерживающие требования к оптическим и магнитным носителям дан-ных и соответствующим устройствам на их основе, обес-печивающим хранение и обмен данными в системах об-работки информации.
* Геоинформационные технологии. Предусматри-вают развитие системы стандартов, направленных на повышение качества электронных карт и соответствие их требованиям международных стандартов, на сокра-щение трудоемкости и сроков изготовления электронных карт для создания предпосылок совместимости раз-личных геоинформационных систем и в перспективе создания национальной базы геоинформационных данных.
* Информационные технологии в охране здоровья.
Для Российской Федерации это направление представ-ляется одним из приоритетных, особенно если иметь в виду невысокий уровень здоровья и продолжитель-ности жизни, а также проблемы, связанные с малой плотностью населения и низкой обеспеченностью врача-ми вне больших городов.
Завершая рассмотрение приведенных выше направ-лений стандартизации, необходимо отметить, что их реализация в первую очередь ориентирована на устране-ние имеющегося разрыва между базами стандартов ин-формационных технологий в России и в ведущих странах мира.
Работы по стандартизации, проводимые Минсвязи России
Стандартизация элементов информационных технологий и компонентов информационной инфраструктуры
Общеизвестно, что без стандартизации элементов информационных технологий и компонентов информа-ционной инфраструктуры невозможна всеобщность и эффективность информатизации и решение проблем ин-теграции информационной среды. Поэтому министерством на протяжении последних десяти лет систематиче-ски проводились НИОКР по проблеме стандартизации информационных технологий. Эти работы, включенные в основные направления деятельности министерства, как правило, проводились его головными организациями по стандартизации с привлечением в качестве соисполните-лей других организаций и ведомств.
С 1993 г. по настоящее время подведомственные Минсвязи России предприятия разработали 171 ГОСТ Р, из которых 160 ГОСТ Р утверждены Госстандартом России.
В 1997 г. предприятиями Госкомсвязи России сов-местно со специалистами Российской академии наук и Госстандарта России разработана первая версия ГОС-ПРОФИЛЯ ВОС России, которая была рассмотрена и одобрена Коллегией Госкомсвязи России. Коллегия по-становила разработать вторую версию ГОСПРОФИЛЯ ВОС России и Программу стандартизации на 1999-2000 гг. Вторая версия ГОСПРОФИЛЯ ВОС России была разработана в 1998г.
Предприятия министерства совместно со специа-листами Госстандарта России и других ведомств опти-мизировали процесс стандартизации и разработали:
* Концепцию комплексной стандартизации в об-ласти информационных технологий;
* Программы комплексной стандартизации в об-ласти информатизации на период 1993-1995 гг., на период 1996-1998 гг. и на период 1999-2000 гг., содержащие соответственно 772, 980 и 1019 стан-дартов;
* Аннотированную базу данных международных стандартов в области информатизации;
* Полнотекстовую базу государственных стандар-тов России (ГОСТ Р), разработанных на базе меж-дународных стандартов. Выпущена на CD-ROM;
* Ежегодные государственные и отраслевые планы стандартизации в области информатизации;
* Сформировали информационный фонд государ-ственных и международных стандартов, их проек-тов (ПМС) и дополнений (на бумажных и магнит-ных носителях).
Предприятия Минсвязи России ведут работы по стандартизации в рамках Технического комитета "Информационные технологии" (ТК 22). При выполне-нии работ по проблеме "Открытые информационные си-стемы" в области стандартизации информационных тех-нологий предприятия министерства активно участвуют в работе международных форумов, конференций, всесо-юзных симпозиумов, семинаров, сессий и секций САНИ РАН, МИИТ, Российской академии Госслужбы, Мин-обороны и др.
Основные положения государ-ственного профиля взаимосвязи открытых систем россии (госпрофиль вос)
Одним из действенных элементов практической реализации государственной политики информатизации средствами стандартизации по предотвращению про-никновения на российский рынок несовместимых ин-формационных технологий и обеспечения выхода России в мировое информационное пространство является соз-дание Государственного профиля взаимосвязи открытых систем России (ГОСПРОФИЛЬ ВОС) в виде соответ-ствующего структурированного комплекса нормативных документов на основе базовых международных стандар-тов и международных стандартизованных профилей.
Государственный профиль взаимосвязи открытых систем России (ГОСПРОФИЛЬ ВОС, версии 1 и 2) был разработан Госкомсвязи России на основе анализа и систематизации более 500 базовых и функциональ-ных международных стандартов, "Правительствен-ных профилей взаимосвязи открытых систем" (GOSIP) различных стран и объединений, в первую очередь GOSIP США, с учетом особенностей состояния и по-требностей развития информатизации в Российской Федерации.
Объединенные в ГОСПРОФИЛЕ ВОС протоколы ВОС устраняют зависимость пользователей от отдель-ного поставщика при покупке новых сетевых изделий и услуг и содействуют взаимодействию в среде изделий раз-личных поставщиков.
Поскольку ГОСПРОФИЛЬ ВОС имеет дело с функциональными возможностями обмена данными, а не с конкретной конфигурацией, то на функциональные возможности ГОСПРОФИЛЯ ВОС не налагается ника-ких ограничений со стороны технических, программных средств или операционной системы. Это означает, что ГОСПРОФИЛЬ ВОС может быть применим ко всем ти-пам систем и во всех функциональных средах. Размеры системы не имеют значения для ГОСПРОФИЛЯ ВОС; не имеет значения также используемая коммуникационная среда.
ГОСПРОФИЛЬ ВОС обеспечивает две основные возможности.
Во-первых, он позволяет пользователям запраши-вать стандартные прикладные программы, функциони-рующие через стандартные сети.
Во-вторых, ГОСПРОФИЛЬ ВОС обеспечивает на-дежные услуги между оконечными пользователями, пользуясь которыми пользователи могут записать свои собственные прикладные программы.
Существенным фактором является то, что ГОС-ПРОФИЛЬ ВОС преднамеренно ориентирован на обес-печение общего набора функций, которые могут исполь-зоваться почти в любой системе. Стандартные сети мо-гут быть объединены для создания крупной, соответ-ствующей ГОСПРОФИЛЮ ВОС, интерсети. В целом, с учетом изложенного выше, ГОСПРОФИЛЬ ВОС в об-щем случае применим к любой среде обработки данных.
В целом можно сказать, что принятие ГОСПРО-ФИЛЯ ВОС будет означать, что пользователи получат более высокую степень контроля над долгосрочным планированием. Прогнозы по стоимости и ресурсам на будущее могут быть даны с большой достоверностью. Это может повысить общую эффективность работы пользователей госструктур и крупных объединений, даст им возможность в большей степени сосредоточиться на приоритетах долгосрочных программ по информатиза-ции.
Лекция 7. Сертификация средств информатизации в Российской Федерации. Обязательная сертификация. Добровольная сертификация. Основные понятия и термины в области сертификации
В первой главе было дано определение собственно понятию сертификация и понятию сертификат соот-ветствия. Ниже приводятся еще несколько терминов, знание которых необходимо для понимания сущности процедуры сертификации.
Система сертификации - система, располагающая собственными правилами процедуры и управления для проведения сертификации.
Орган по сертификации - орган, проводящий сер-тификацию соответствия. Орган по сертификации может сам проводить испытания или же осуществлять надзор за этой деятельностью, проводимой по его поручению дру-гими органами.
Испытательная лаборатория - лаборатория (центр), который проводит испытания в процессе сертифи-кации.
Аккредитация (испытательной лаборатории или органа по сертификации) - процедура, посредством ко-торой уполномоченный в соответствии с законодатель-ными актами Российской Федерации орган официально признает возможность выполнения испытательной ла-бораторией или органом по сертификации конкретных работ в заявленной области.
Знак соответствия (в области сертификации) - защищенный в установленном порядке знак, применяе-мый или выданный в соответствии с правилами системы сертификации, указывающий, что обеспечивается необ-ходимая уверенность в том, что данная продукция, про-цесс или услуга соответствует конкретному стандарту или другому нормативному документу.
Технические условия (ТУ) - документ, устанавли-вающий технические требования, которым должна удо-влетворять продукция, процесс или услуга. ТУ могут быть стандартом, частью стандарта или самостоятель-ным документом.
В Законе "О сертификации продукции и услуг" определены два вида сертификации: обязательная и доб-ровольная. Обязательной сертификации подлежит про-дукция, включенная в перечни, определяемые соответ-ствующими нормативными документами.
Организационная структура системы сертифика-ции в России включает: государственный (на-циональный) орган по сертификации, ведомственные органы по управлению сертификацией продукции опре-деленных классов, а также испытательные центры (лаборатории). Основными функциями государственно-го органа по сертификации являются организация, коор-динация, научно-методическое, информационное и нор-мативно-техническое обеспечение работ по испытаниям и сертификации, а также аккредитация центров сертифи-кационных испытаний в соответствии с полномочиями национального органа по сертификации. Ведомствен-ные органы сертификации выполняют те же функции в ограниченном объеме для конкретных видов про-дукции.
Национальным органом по сертификации продукции в Российской Федерации является Госстандарт России, который осуществляет следующие функции:
* организует ведение обязательной сертификации продукции по поручению органов законодательной или исполнительной власти;
* организует и финансирует разработку, а также утверждает основополагающие нормативно-технические и методические документы системы сертификации;
* утверждает документы, устанавливающие по-рядок сертификации конкретных видов продук-ции;
* проводит аккредитацию испытательных центров (лабораторий) совместно с ведомственными орга-нами по сертификации и выдает аттестат аккреди-тации;
* признает иностранные сертификаты соответ-ствия, осуществляет взаимодействие с соответ-ствующими уполномоченными органами других стран и международных организаций по вопросам сертификации;
* регистрирует и аннулирует сертификаты соответ-ствия и сертификационные лицензии, рассматри-вает спорные вопросы, возникающие в процессе сертификации;
* организует периодическую публикацию инфор-мации по сертификации.
Основой сертификации продукции в Российской Федерации является Система сертификации ГОСТ Р Госстандарта России. Этой системой, в частности, опре-деляются правила создания и регистрации ведомствен-ных систем сертификации для конкретных классов про-дукции.
Организация работ по сертификации средств и систем информатизации в российской федерации
В соответствии с действующими законодательными и нормативными документами сертификация средств информатизации проводится в Российской Федерации в следующих основных направлениях:
* обязательная сертификация средств информати-зации на соответствие требованиям электромаг-нитной совместимости, а также требованиям, обес-печивающим безопасность жизни, здоровья, иму-щества потребителей и охрану среды обитания;
* обязательная сертификация средств защиты ин-формации;
* добровольная сертификация функциональных па-раметров средств и систем информатизации, по но-менклатуре и характеристикам, устанавливаемым отраслевыми (фирменными) стандартами, и учиты-вающим различные аспекты применения аппарату-ры и программного обеспечения. Рассмотрим основные особенности выделенных на-правлений сертификации в сфере информатизации.
Обязательная сертификация по требованиям электромагнитной совместимости и параметрам безопасности
В соответствии с действующими законодательными и нормативными документами выполнение работ по сер-тификации средств информатизации в данном направлении возложено на Госстандарт России. В 1994 году Гос-стандарт России ввел в действие нормативный документ "Номенклатура продукции и услуг, подлежащих обяза-тельной сертификации в Российской Федерации". Этот документ ежегодно пересматривается и уточняется с уче-том практики, условий торговли, производства и тен-денций научно-технического развития.
Указанным документом к продукции, подлежащей обязательной сертификации в рассматриваемом направ-лении, отнесены следующие средства информатизации:
* вычислительные машины и комплексы;
* персональные ЭВМ;
* устройства внешней памяти, ввода-вывода и от-ображения информации;
* устройства подготовки и телеобработки данных.
Поскольку основу сертификации по параметрам безопасности составляют общие требования к оборудо-ванию, остановимся подробнее на специфической для средств информатизации характеристике - электромаг-нитной совместимости.
Обеспечение электромагнитной совместимости за-ключается в выполнении требований по допустимым уровням электромагнитных помех, создаваемых функ-ционирующими средствами, и требований к помехоустой-чивости технических средств при воздействии внешних электромагнитных помех.
Невыполнение требований электромагнитной со-вместимости приводит к неэффективному использова-нию радиочастотного спектра, являющегося хотя и не расходуемым, но ограниченным ресурсом, к различным нарушениям в работе технических средств, а в ряде слу-чаев и к аварийным ситуациям.
Сертификация средств информатизации по требо-ваниям электромагнитной совместимости и параметрам безопасности возложена на Госстандарт России и прово-дится органами (центрами) сертификации, аккредито-ванными Госстандартом в рамках Системы сертифика-ции ГОСТ Р.
Вы, вероятно, не раз встречали в рекламных объяв-лениях по продаже компьютеров фразу "Товар сертифи-цирован". Иногда в рекламе указывается и регистраци-онный номер сертификата соответствия, например, "Сертификат соответствия № РОСС RU.ME67.B00373". Речь в этих случаях идет именно о сертификации по тре-бованиям электромагнитной совместимости и парамет-рам безопасности.
Для получения подобного сертификата изготови-тель или поставщик технических средств информатиза-ции должен обратиться в аккредитованный Госстандар-том России орган сертификации, представив комплект документов, определяемый правилами сертификации. Орган сертификации организует проведение соответ-ствующих испытаний (проверок) и при положительном результате испытаний выдает сертификат соответствия. В тексте сертификата указываются конкретные виды требований, по которым проведены испытания, и соот-ветствующие им нормативные документы.
Необходимо иметь в виду, что сертификат соот-ветствия по требованиям электромагнитной совмести-мости и параметрам безопасности является необходи-мым, но в ряде случаев недостаточным условием полно-ты сертификации средств информатизации.
Это объясняется тем, что данный сертификат соот-ветствия практически не затрагивает функциональных характеристик объекта и соответствия их современным требованиям. Такой сертификат дает вам только опреде-ленную уверенность в том, что предлагаемое оборудова-ние не создает недопустимого уровня помех и безопасно в эксплуатации. Упрощенно говоря, объект может не выполнять ряда возложенных на него, согласно имеющейся документации, функций или выполнять их некачественно, но, в полном соответствии с установлен-ными правилами, может получить сертификат по элек-тромагнитной совместимости и безопасности.
Сертификация средств информатизации по функ-циональным характеристикам будет рассмотрена нами в следующих разделах.
Обязательная сертификация средств защиты информации
Законом "Об информации, информатизации и за-щите информации" определено, что информационные ресурсы, то есть отдельные документы или массивы до-кументов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и за-щите, как всякое материальное имущество собственника. При этом собственнику предоставляется право само-стоятельно, в пределах своей компетенции, устанавли-вать режим защиты информационных ресурсов и досту-па к ним.
Российская Федерация и ее субъекты являются соб-ственниками информационных ресурсов, создаваемых за счет средств федерального бюджета и бюджетов субъек-тов Российской Федерации.
Законом "Об информации, информатизации и защи-те информации" введено также понятие документиро-ванной информации с ограниченным доступом, которая подразделяется на информацию, отнесенную к государ-ственной тайне, и конфиденциальную (то есть представ-ляющую коммерческую, личную, служебную и другие тайны).
В соответствии с положениями этого закона соб-ственник информационных ресурсов, содержащих госу-дарственную тайну, вправе распоряжаться этой соб-ственностью только с разрешения соответствующих ор-ганов государственной власти.
Таким образом, законодательно определяется не-которая категория информации, которая требует опре-деленных ограничений в ее использовании, а сама ин-формация требует защиты.
Целями защиты информации упомянутый Закон определяет:
* предотвращение утечки, хищения, утраты, иска-жения, подделки информации;
* предотвращение угроз безопасности личности, общества, государства;
* предотвращение несанкционированных действий по уничтожению, модификации, искажению, копи-рованию, блокированию информации;
* предотвращение других форм незаконного вме-шательства в информационные ресурсы и инфор-мационные системы, обеспечение правового режи-ма документированной информации как объекта собственности;
* защиту конституционных прав граждан на сохра-нение личной тайны и конфиденциальности персо-нальных данных, имеющихся в информационных системах;
* сохранение государственной тайны, конфиденци-альности документированной информации в соот-ветствии с законодательством;
* обеспечение прав субъектов в информационных процессах и при разработке, производстве и приме-нении информационных систем, технологий и средств их обеспечения.
Государство, владея информацией, представляющей национальное достояние или содержащей сведения огра-ниченного доступа, неправомерное обращение с которой может нанести ущерб ее собственнику, изыскивает спе-циальные меры, обеспечивающие контроль ее использова-ния и качества защиты. Одной из таких мер является сертификация средств защиты информации.
Необходимость сертификации средств защиты, применяемых при обработке информации, составляю-щей государственную тайну, закреплены в Законе Рос-сийской Федерации "О государственной тайне". Серти-фикации подлежат защищенные технические, программ-но-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства контроля эффективности защиты. Обязатель-ной сертификации подлежат средства, в том числе и ино-странного производства, предназначенные для обработ-ки информации с ограниченным доступом, и прежде все-го составляющей государственную тайну, а также ис-пользующиеся в управлении экологически опасными объектами, вооружением и военной техникой и средства их защиты. Наличие у владельца информационной си-стемы сертифицированных средств обработки информа-ции является гарантией надежности ее защиты и дает ему преимущества при осуществлении страхования.
Порядок сертификации средств защиты информа-ции в Российской Федерации и ее учреждениях за рубе-жом установлен Положением "О сертификации средств защиты информации", утвержденным Постановлением Правительства Российской Федерации от 26 июня 1995 го-да № 608 (текст этого Положения приводится во второй части книги). Это Положение определяет области дея-тельности и сферу компетенции различных государ-ственных органов при сертификации средств защиты информации. Основной объем работ по сертификации средств защиты информации в пределах Российской Фе-дерации возлагается на Гостехкомиссию России и Феде-ральное агентство правительственной связи и информа-ции (ФАПСИ). Координация работ по организации сертификации этой продукции возложена на Межве-домственную комиссию по защите государственной тайны.
Мы думаем, что на роли и общих задачах ФАПСИ здесь нет необходимости останавливаться подробно, по-скольку они, в допустимых пределах, достаточно широ-ко освещаются в печати. А вот название такого государ-ственного органа, как Гостехкомиссия России, некото-рым из наших читателей, возможно, незнакомо.
Государственная техническая комиссия при Пре-зиденте Российской Федерации (Гостехкомиссия Рос-сии) является федеральным органом исполнительной власти, осуществляющим межотраслевую координа-цию и функциональное регулирование деятельности по обеспечению защиты информации некриптографи-ческими методами.
Непосредственное подчинение Президенту Россий-ской Федерации обеспечивает независимость Гостехкомиссии России от региональных, ведомственных и кор-поративных влияний, гарантирует соответствие ее дея-тельности высшим государственным интересам. Гостех-комиссия России - коллегиальный орган. В ее состав входят министры, председатели государственных коми-тетов, первые заместители (заместители) этих руководи-телей. Решения Гостехкомиссии России являются обяза-тельными для исполнения всеми органами государствен-ного управления, предприятиями, организациями и уч-реждениями независимо от их организационно-правовой формы и формы собственности, которые по роду своей деятельности обладают информацией, составляющей го-сударственную или служебную тайну.
Директивными документами, в частности уже упо-минавшимся Положением "О сертификации средств за-щиты информации" установлено, что:
В ведении Гостехкомиссии России нахо-дится сертификация программных и тех-нических средств защиты информации, не использующих методы криптографии (шифрования), а в ведении ФАПСИ - сертификация средств защиты информа-ции, использующих эти методы.
В соответствии с установленным распределением сфер деятельности Гостехкомиссии России и ФАПСИ в Российской Федерации созданы и функционируют две системы сертификации средств защиты инфор-мации:
* "Система сертификации средств защиты инфор-мации по требованиям безопасности информа-ции", разработанная Гостехкомиссией России и зарегистрированная Госстандартом за № РОСС RU.OOOI.OIBHOO;
* "Система сертификации средств криптографи-ческой защиты информации (СКЗИ)", разработан-ная ФАПСИ и зарегистрированная Госстандартом за № РОСС RU.OOO 1.030001.
Эти системы сертификации технических и про-граммных средств направлены на защиту интересов го-сударства и государственного информационного ресур-са, а также интересов и прав собственников и владельцев информации -- предпринимателей и граждан России, потребителей продукции и услуг от недобросовестной работы исполнителей.
Добровольная сертификация по функциональным параметрам
Добровольная сертификация применяется для средств информатизации, не подлежащих в соответствии с законодательными актами Российской Федерации обя-зательной сертификации, и проводится по требованиям, на соответствие которым законодательными актами Российской Федерации не предусмотрено проведение обязательной сертификации.
Добровольная сертификация проводится для удо-стоверения качества средств и систем информатизации с целью повышения их конкурентоспособности, расширения сферы использования и получения дополнительных эконо-мических преимуществ.
В общем случае упрощенную схему добровольной сертификации можно представить следующим образом. Необходимость добровольной сертификации обычно определяет разработчик или поставщик средств ин-форматизации, руководствуясь при этом указан-ными выше соображениями. Разработчик или постав-щик обращается в аккредитованный в установленном порядке сертификационный центр и финансирует проведение работ по сертификации. Совокупность и значения показателей качества, по которым проводит-ся сертификация, формируются совместно заявителем и сертификационным центром. При положительных ре-зультатах испытаний средств информатизации, пред-ставленных для сертификации, заявитель получает сер-тификат соответствия, который используется, например, для рекламы при взаимодействии с потенциальным пользователем или потребителем. Последние не имеют непосредственных контактов с сертифика-ционным центром. В случае выявления недостатков в сертифицированном изделии они обращаются не-посредственно к поставщику, который обязан обеспе-чить доработку и повторные сертификационные испы-тания.
В соответствии с действующим законодательством добровольная сертификация средств информатизации может проводиться как в уже упоминавшейся нами Си-стеме сертификации ГОСТ Р, так и в других системах сертификации, зарегистрированных Госстандартом Рос-сии в установленном порядке.
Основные принципы организации систем сертифи-кации средств информатизации и ведения процедуры сертификации мы рассмотрим в следующем разделе на примере Системы добровольной сертификации средств и систем в сфере информатизации "Росинфосерт", яв-ляющейся одним из важнейших инструментов проведе-ния единой государственной научно-технической поли-тики в сфере информатизации России.
Лекция 8. Лицензирование деятельности в сфере информатизации
Общие принципы организа-ции работ по лицензированию деятельности в сфере информатизации в Российской Федерации
Предметные области лицензи-руемой деятельности. Виды деятельности в области защиты информации, подлежащих лицензированию ФАПСИ. Лицензирование деятельно-сти по международному информационному обмену.
Предметные области лицензируемой деятельности
Мы уже отмечали выше, что в соответствии с при-нятой терминологией "информатизация" как предметная область представляет собой организационный социаль-но-экономический и научно-технический процесс созда-ния условий для удовлетворения информационных по-требностей, базирующийся на массовом применении но-вых информационных технологий. В интересах госу-дарства и граждан отдельные виды предприниматель-ской деятельности в области информатизации целесооб-разно ограничить, т. е. на определенных условиях ввести разрешительную систему (лицензирование).
Лицензирование должно ограничивать следующие виды деятельности:
* создание и применение информационных техно-логий, включая программы для ЭВМ и другие ком-поненты средств информатизации;
* формирование информационных ресурсов на основе использования современных информацион-ных технологий;
* оказание услуг по информационному обеспе-чению потребителей информационных ресурсов при соблюдении требований безопасности для го-сударства, организаций, граждан, необходимых для предотвращения и ликвидации техногенных, ин-формационных и экономических угроз и их послед-ствий в сфере информатизации.
За рубежом большое внимание уделяется вопросам защиты государственных информационных ресурсов, где обязательному лицензированию подлежат виды дея-тельности по защите информации и информационных ресурсов, организации доступа к базам данных и сетям передачи данных. Кроме того, лицензируется предостав-ление услуг в части использования программных про-дуктов.
Принятый в России Закон "О лицензировании от-дельных видов деятельности" не распространяется на отношения, возникающие в связи с использованием ре-зультатов интеллектуальной деятельности. Поэтому в настоящее время разрешительная система на определен-ных условиях для вышеперечисленных видов деятель-ности регламентируется законодательством, регули-рующим сертификацию, патентным законодательством, законами об авторском праве и смежных правах, а также законом, определяющим участие в международном ин-формационном обмене.
Проблема лицензирования отдельных элементов деятельности в сфере информатизации поставлена в Законе "Об информации, информатизации и защите инфор-мации":
* в п. 4 ст. 7 указано, что для решения проблемы качественного формирования государственных ин-формационных ресурсов необходимо разработать и внедрить в практику порядок лицензирования дея-тельности организаций, специализирующихся на формировании государственных информационных ресурсов на основе договоров с соответствующими органами власти;
* в п. 4 ст. 11 указано, что осуществление лицензи-онной деятельности в области работы с персональ-ными данными в связи с особенностями этой дея-тельности нуждается в дополнительном правовом регулировании;
* в п. 3 ст. 19 указано, что организации, выполняю-щие работы в области проектирования, производ-ства средств защиты информации и обработки пер-сональных данных, должны получать лицензию на этот вид деятельности.
Указанными статьями установлено, что порядок лицензирования определяется законодательством Рос-сийской Федерации.
В тех случаях, когда разрешение на использование технических решений (изобретений, ноу-хау) дается не государством, а коллективным или индивидуаль-ным субъектом - собственником или, по поручению последнего, владельцем технического решения, приме-няется такая юридическая форма, как лицензионный договор.
Рассмотрим специфику выделения трех вышепере-численных видов деятельности предметной области ин-форматизации, которая вызывает необходимость в ли-цензировании.
Лицензирование деятельности в области создания и применения информационных технологий
Для продукции серийного и массового производ-ства в области информатизации важное значение имеет Закон "О сертификации продукции и услуг". Он пред-усматривает лицензирование деятельности, связанной с маркированием продукции и услуг знаком соответствия этой продукции и услуг государственным стандартам. Этот Закон устанавливает обязательную регистрацию продукции и услуг в Государственном реестре продукции и услуг, а также обязанности Госстандарта России по установлению порядка лицензирования и ведения ука-занного Реестра.
Защита и порядок использования программ для ЭВМ и баз данных, относимых к авторским произведе-ниям, регулируется Законом "Об авторском праве и смежных правах", а также Законом "О правовой охране программ для ЭВМ и баз данных".
В тех случаях, когда осуществляется управление имущественными правами на коллективной основе, ког-да имущественные права на программу для ЭВМ или ба-зу данных, созданных в порядке выполнения служебных обязанностей, осуществляются работодателем, а также когда эти объекты отнесены к общественному достоя-нию, применяются нормы ст. 45 Закона "Об авторском праве и смежных правах". Полномочия на коллективное управление имущественными правами передаются непо-средственно обладателями авторских и смежных прав добровольно на основе письменных договоров, которые, не являются авторскими договорами.
Пункт 3 ст. 45 Закона "Об авторском праве и смеж-ных правах" предусматривает, что организация, управляющая имущественными правами на коллективной основе, предоставляет лицензии пользователям на соот-ветствующие способы использования произведений и объектов смежных прав.
В настоящее время в Законе "Об охране программ для ЭВМ и баз данных" нет соответствующей нормы, которая бы развивала это общее положение Закона "Об авторском праве и смежных правах". Закон "Об охране программ для ЭВМ и баз данных" вообще не говорит о лицензировании. Этот закон различает автор-ский договор и договор лицензионный.
Государство в лице определенных своих органов ли-цензирует деятельность в области создания и применения информационных технологий и иных средств информати-зации в тех случаях, когда эта деятельность сопряжена с обеспечением информационной безопасности и когда госу-дарство обязано принять меры к защите государственной тайны, личной тайны граждан, служебной тайны, к за-щите персональной информации или к защите конфиден-циальной коммерческой информации в системе государ-ственного аппарата.
Для решения вопросов создания и применения инфор-мационных технологий имеет важное значение Закон "О федеральных органах правительственной связи и ин-формации", который предусматривает право федераль-ных органов правительственной связи и информации осуществлять лицензирование и сертификацию систем и комплексов телекоммуникаций высших органов госу-дарственной власти РФ, а также закрытых систем и ком-плексов телекоммуникаций органов государственной власти субъектов РФ, центральных органов федеральной исполнительной власти, организаций, предприятий, бан-ков и других учреждений, расположенных на территории РФ, независимо от их ведомственной принадлежности и формы собственности.
С проблемой разработки и пользования информа-ционными технологиями связана область обмена (экспорта и импорта) этой продукции. Право на экспорт технологий, связанных с обеспечением информационной безопасности страны, должно находиться под контролем государства. В этом случае должна идти речь о порядке лицензирования экспорта.
Лицензирование деятельности в области формирования и ведения информационных ресурсов
В этой области на уровне закона регулируются правила лицензирования проведения работ, связанных со сведениями, составляющими государственную тайну. Ст. 27 Закона "О государственной тайне" устанавливает, что лицензия на проведение указанных работ выдается на основании результатов специальной экспертизы и при определенных условиях.
"Положение о лицензировании деятельности пред-приятий, учреждений и организаций по проведению ра-бот, связанных с использованием сведений, составляю-щих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тай-ны", утвержденное Постановлением Правительства Рос-сийской Федерации от 15 апреля 1995 года № 333, уста-навливает порядок лицензирования в вышеназванной области.
Деятельность по международному информацион-ному обмену в части государственных информационных ресурсов, которые вывозятся за пределы Российской Фе-дерации, или документированной информации для пополнения государственных информационных ресурсов, которая ввозится на территорию Российской Федерации, подлежит лицензированию согласно Закону "Об участии в международном информационном обмене" (ст. 18), по-рядок лицензирования определяется "Положением о ли-цензировании деятельности по международному инфор-мационному обмену", утвержденным Постановлением Правительства РФ от 3 июня 1998 года № 564.
Лицензирование услуг по информационному обеспечению потребителей информационных ресурсов
Данные виды деятельности связаны с предоставле-нием информации пользователям в соответствии с их правовым статусом и с категориями информации по доступу.
Очевидно, что обработка и предоставление инфор-мации с ограниченным доступом, если она осу-ществляется не собственником информации или не госу-дарственной организацией в соответствии с ее компетен-цией, потребует лицензии. Это, например, может касать-ся ведения кадастров, каталогов, любой мониторинговой деятельности.
Такой вид услуг, как сбор, обработка и предостав-ление информации о гражданах - персональной инфор-мации - не в целях ее статистического учета и анализа также требует лицензии, если это не предусмотрено пря-мо правовым статусом лица, осуществляющего эту дея-тельность.
Согласно статье 24 Конституции РФ сбор, хране-ние и распространение информации о частной жизни лица без его согласия не допускается. Принципиальным является то, что формируемые базы персональных дан-ных должны строго соответствовать целям сбора и ис-пользоваться исключительно в интересах конкретного лица при оказании ему услуг различного характера. Ли-цензирующий орган должен установить минимально не-обходимый для оказания услуг объем персональных данных, необходимость защиты информации, некоторые технологические аспекты ее сбора и актуализации, а также проконтролировать выполнение обязательств по целевому использованию информации персонального характера. В настоящее время в Госдуме РФ готовится законопроект "Об информации персонального характе-ра", принятие которого позволит установить порядок лицензирования данного вида услуг.
Проведенный анализ предметных областей деятель-ности в сфере информатизации позволяет выделить в ка-честве основных направлений работ по лицензированию деятельности в сфере информатизации защиту информа-ции и международный информационный обмен, к рассмот-рению которых мы и переходим.
Лицензирование деятельности в области защиты информации
Закон "Об информации, информатизации и защите информации" устанавливает общие правовые требова-ния к организации защиты информации с ограниченным доступом в процессе ее обработки, хранения и циркуля-ции в технических устройствах и информационных и те-лекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по за-щите конфиденциальной информации. Следует подчерк-нуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.
Кроме того, Закон определяет на государственно-правовом уровне электронную цифровую подпись как средство защиты информации от несанкционированного искажения или подмены, а также как средство подтверж-дения подлинности отправителя и получателя информа-ции. В соответствии со статьей 5 "юридическая сила до-кумента, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и те-лекоммуникационных систем, может подтверждаться электронной цифровой подписью". При этом "юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования".
Статья 19 Закона "Об информации, информатиза-ции и защите информации" определяет обязательность получения лицензий для организаций, осуществляющих проектирование и производство средств защиты инфор-мации.
Важно отметить, что в соответствии с п. 3 статьи 21 контроль за соблюдением требований к защите инфор-мации, за эксплуатацией специальных средств защиты информации, а также обеспечение организационных мер защиты информационных систем, обрабатывающих ин-формацию с ограниченным доступом, в негосударствен-ных структурах возлагается на органы государственной власти.
Таким образом, система государственного лицен-зирования деятельности в области защиты информации в Российской Федерации является составной частью го-сударственной системы защиты информации.
Действующими нормативно-правовыми документа-ми в качестве основных государственных органов по ли-цензированию деятельности в области защиты информа-ции определены Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) и Федеральное агентство правительственной связи и информации (ФАПСИ).
Обязательное государственное лицензирование деятельности в области защиты информации криптогра-фическими методами, а также в области выявления элек-тронных устройств перехвата информации в технических средствах и помещениях государственных структур вве-дено Постановлением Правительства РФ от 24 декабря 1994 года № 1418 "О лицензировании отдельных видов деятельности". Данное постановление распространяет механизм обязательного лицензирования на все виды деятельности в области криптографической защиты ин-формации, независимо от ее характера и степени секрет-ности, на все субъекты этой деятельности, независимо от их организационно-правовой формы, включая и физиче-ских лиц.
Подобные документы
Изучение основных видов угроз программного обеспечения. Выявление наиболее эффективных средств и методов защиты программного обеспечения. Анализ их достоинств и недостатков. Описания особенностей лицензирования и патентования программного обеспечения.
курсовая работа [67,9 K], добавлен 29.05.2013Жизненный цикл информационных систем. Процессы документирования и управления конфигурацией. Использование каскадного и спирального подходов к построению ИС. Их преимущества и недостатки. Процесс разработки программного обеспечения по каскадной схеме.
презентация [350,6 K], добавлен 09.11.2015Возможности среды программирования delphi при разработке приложения с визуальным интерфейсом. Отладка программных модулей с использованием специализированных программных средств. Тестирование программного обеспечения. Оптимизация программного кода.
курсовая работа [974,0 K], добавлен 21.12.2016Программное обеспечение как продукт. Основные характеристик качества программного средства. Основные понятия и показатели надежности программных средств. Дестабилизирующие факторы и методы обеспечения надежности функционирования программных средств.
лекция [370,1 K], добавлен 22.03.2014Критерии оценки эффективности и качества создания программных средств. Роль трудоемкости и длительности создания программных средств в определении эффективности их создания. Требования к качеству, суммарные затраты на разработку программного средства.
реферат [26,7 K], добавлен 10.10.2014Этапы тестирования при испытаниях надежности программных средств. Комплексирование модулей и отладка автономных групп программ в статике без взаимодействия с другими компонентами. Испытания главного конструктора. Жизненный цикл программного средства.
презентация [339,6 K], добавлен 22.03.2014Жизненный цикл программного обеспечения - непрерывный процесс, который начинается с принятия решения о необходимости создания ПО и заканчивается при полном изъятия его из эксплуатации. Подход к определению жизненного цикла ПО Райли, по Леману и по Боэму.
реферат [39,1 K], добавлен 11.01.2009Характеристика программных средств, использованных при разработке сайта. Параметры аппаратных средств для демонстрации ПП. Особенности архитектуры программного обеспечения. Анализ модели жизненного цикла программного продукта. Построение Gant-диаграммы.
курсовая работа [886,9 K], добавлен 30.05.2015Основные задачи национального органа по стандартизации в России. Структура Федерального агентства по техническому регулированию и метрологии. Характеристика международных организаций по стандартизации программных средств и информационных технологий.
презентация [258,0 K], добавлен 27.12.2013Разработка программных и аппаратных компонентов для проведения информатизации объекта. Выбор конфигурации рабочих станций. Комплектация персонального компьютера и сервера для обеспечения обработки информации. Схема лицензирования программного обеспечения.
курсовая работа [2,5 M], добавлен 20.12.2012