Стандатризация программных средств

Стандартизация элементов информационных технологий и компонентов информационной инфраструктуры

Общеизвестно, что без стандартизации элементов информационных технологий и компонентов информа-ционной инфраструктуры невозможна всеобщность и эффективность информатизации и решение проблем ин-теграции информационной среды. Поэтому министерством на протяжении последних десяти лет систематиче-ски проводились НИОКР по проблеме стандартизации информационных технологий. Эти работы, включенные в основные направления деятельности министерства, как правило, проводились его головными организациями по стандартизации с привлечением в качестве соисполните-лей других организаций и ведомств.

С 1993 г. по настоящее время подведомственные Минсвязи России предприятия разработали 171 ГОСТ Р, из которых 160 ГОСТ Р утверждены Госстандартом России.

В 1997 г. предприятиями Госкомсвязи России сов-местно со специалистами Российской академии наук и Госстандарта России разработана первая версия ГОС-ПРОФИЛЯ ВОС России, которая была рассмотрена и одобрена Коллегией Госкомсвязи России. Коллегия по-становила разработать вторую версию ГОСПРОФИЛЯ ВОС России и Программу стандартизации на 1999-2000 гг. Вторая версия ГОСПРОФИЛЯ ВОС России была разработана в 1998г.

Предприятия министерства совместно со специа-листами Госстандарта России и других ведомств опти-мизировали процесс стандартизации и разработали:

* Концепцию комплексной стандартизации в об-ласти информационных технологий;

* Программы комплексной стандартизации в об-ласти информатизации на период 1993-1995 гг., на период 1996-1998 гг. и на период 1999-2000 гг., содержащие соответственно 772, 980 и 1019 стан-дартов;

* Аннотированную базу данных международных стандартов в области информатизации;

* Полнотекстовую базу государственных стандар-тов России (ГОСТ Р), разработанных на базе меж-дународных стандартов. Выпущена на CD-ROM;

* Ежегодные государственные и отраслевые планы стандартизации в области информатизации;

* Сформировали информационный фонд государ-ственных и международных стандартов, их проек-тов (ПМС) и дополнений (на бумажных и магнит-ных носителях).

Предприятия Минсвязи России ведут работы по стандартизации в рамках Технического комитета "Информационные технологии" (ТК 22). При выполне-нии работ по проблеме "Открытые информационные си-стемы" в области стандартизации информационных тех-нологий предприятия министерства активно участвуют в работе международных форумов, конференций, всесо-юзных симпозиумов, семинаров, сессий и секций САНИ РАН, МИИТ, Российской академии Госслужбы, Мин-обороны и др.

Основные положения государ-ственного профиля взаимосвязи открытых систем россии (госпрофиль вос)

Одним из действенных элементов практической реализации государственной политики информатизации средствами стандартизации по предотвращению про-никновения на российский рынок несовместимых ин-формационных технологий и обеспечения выхода России в мировое информационное пространство является соз-дание Государственного профиля взаимосвязи открытых систем России (ГОСПРОФИЛЬ ВОС) в виде соответ-ствующего структурированного комплекса нормативных документов на основе базовых международных стандар-тов и международных стандартизованных профилей.

Государственный профиль взаимосвязи открытых систем России (ГОСПРОФИЛЬ ВОС, версии 1 и 2) был разработан Госкомсвязи России на основе анализа и систематизации более 500 базовых и функциональ-ных международных стандартов, "Правительствен-ных профилей взаимосвязи открытых систем" (GOSIP) различных стран и объединений, в первую очередь GOSIP США, с учетом особенностей состояния и по-требностей развития информатизации в Российской Федерации.

Объединенные в ГОСПРОФИЛЕ ВОС протоколы ВОС устраняют зависимость пользователей от отдель-ного поставщика при покупке новых сетевых изделий и услуг и содействуют взаимодействию в среде изделий раз-личных поставщиков.

Поскольку ГОСПРОФИЛЬ ВОС имеет дело с функциональными возможностями обмена данными, а не с конкретной конфигурацией, то на функциональные возможности ГОСПРОФИЛЯ ВОС не налагается ника-ких ограничений со стороны технических, программных средств или операционной системы. Это означает, что ГОСПРОФИЛЬ ВОС может быть применим ко всем ти-пам систем и во всех функциональных средах. Размеры системы не имеют значения для ГОСПРОФИЛЯ ВОС; не имеет значения также используемая коммуникационная среда.

ГОСПРОФИЛЬ ВОС обеспечивает две основные возможности.

Во-первых, он позволяет пользователям запраши-вать стандартные прикладные программы, функциони-рующие через стандартные сети.

Во-вторых, ГОСПРОФИЛЬ ВОС обеспечивает на-дежные услуги между оконечными пользователями, пользуясь которыми пользователи могут записать свои собственные прикладные программы.

Существенным фактором является то, что ГОС-ПРОФИЛЬ ВОС преднамеренно ориентирован на обес-печение общего набора функций, которые могут исполь-зоваться почти в любой системе. Стандартные сети мо-гут быть объединены для создания крупной, соответ-ствующей ГОСПРОФИЛЮ ВОС, интерсети. В целом, с учетом изложенного выше, ГОСПРОФИЛЬ ВОС в об-щем случае применим к любой среде обработки данных.

В целом можно сказать, что принятие ГОСПРО-ФИЛЯ ВОС будет означать, что пользователи получат более высокую степень контроля над долгосрочным планированием. Прогнозы по стоимости и ресурсам на будущее могут быть даны с большой достоверностью. Это может повысить общую эффективность работы пользователей госструктур и крупных объединений, даст им возможность в большей степени сосредоточиться на приоритетах долгосрочных программ по информатиза-ции.

Лекция 7. Сертификация средств информатизации в Российской Федерации. Обязательная сертификация. Добровольная сертификация. Основные понятия и термины в области сертификации

В первой главе было дано определение собственно понятию сертификация и понятию сертификат соот-ветствия. Ниже приводятся еще несколько терминов, знание которых необходимо для понимания сущности процедуры сертификации.

Система сертификации - система, располагающая собственными правилами процедуры и управления для проведения сертификации.

Орган по сертификации - орган, проводящий сер-тификацию соответствия. Орган по сертификации может сам проводить испытания или же осуществлять надзор за этой деятельностью, проводимой по его поручению дру-гими органами.

Испытательная лаборатория - лаборатория (центр), который проводит испытания в процессе сертифи-кации.

Аккредитация (испытательной лаборатории или органа по сертификации) - процедура, посредством ко-торой уполномоченный в соответствии с законодатель-ными актами Российской Федерации орган официально признает возможность выполнения испытательной ла-бораторией или органом по сертификации конкретных работ в заявленной области.

Знак соответствия (в области сертификации) - защищенный в установленном порядке знак, применяе-мый или выданный в соответствии с правилами системы сертификации, указывающий, что обеспечивается необ-ходимая уверенность в том, что данная продукция, про-цесс или услуга соответствует конкретному стандарту или другому нормативному документу.

Технические условия (ТУ) - документ, устанавли-вающий технические требования, которым должна удо-влетворять продукция, процесс или услуга. ТУ могут быть стандартом, частью стандарта или самостоятель-ным документом.

В Законе "О сертификации продукции и услуг" определены два вида сертификации: обязательная и доб-ровольная. Обязательной сертификации подлежит про-дукция, включенная в перечни, определяемые соответ-ствующими нормативными документами.

Организационная структура системы сертифика-ции в России включает: государственный (на-циональный) орган по сертификации, ведомственные органы по управлению сертификацией продукции опре-деленных классов, а также испытательные центры (лаборатории). Основными функциями государственно-го органа по сертификации являются организация, коор-динация, научно-методическое, информационное и нор-мативно-техническое обеспечение работ по испытаниям и сертификации, а также аккредитация центров сертифи-кационных испытаний в соответствии с полномочиями национального органа по сертификации. Ведомствен-ные органы сертификации выполняют те же функции в ограниченном объеме для конкретных видов про-дукции.

Национальным органом по сертификации продукции в Российской Федерации является Госстандарт России, который осуществляет следующие функции:

* организует ведение обязательной сертификации продукции по поручению органов законодательной или исполнительной власти;

* организует и финансирует разработку, а также утверждает основополагающие нормативно-технические и методические документы системы сертификации;

* утверждает документы, устанавливающие по-рядок сертификации конкретных видов продук-ции;

* проводит аккредитацию испытательных центров (лабораторий) совместно с ведомственными орга-нами по сертификации и выдает аттестат аккреди-тации;

* признает иностранные сертификаты соответ-ствия, осуществляет взаимодействие с соответ-ствующими уполномоченными органами других стран и международных организаций по вопросам сертификации;

* регистрирует и аннулирует сертификаты соответ-ствия и сертификационные лицензии, рассматри-вает спорные вопросы, возникающие в процессе сертификации;

* организует периодическую публикацию инфор-мации по сертификации.

Основой сертификации продукции в Российской Федерации является Система сертификации ГОСТ Р Госстандарта России. Этой системой, в частности, опре-деляются правила создания и регистрации ведомствен-ных систем сертификации для конкретных классов про-дукции.

Организация работ по сертификации средств и систем информатизации в российской федерации

В соответствии с действующими законодательными и нормативными документами сертификация средств информатизации проводится в Российской Федерации в следующих основных направлениях:

* обязательная сертификация средств информати-зации на соответствие требованиям электромаг-нитной совместимости, а также требованиям, обес-печивающим безопасность жизни, здоровья, иму-щества потребителей и охрану среды обитания;

* обязательная сертификация средств защиты ин-формации;

* добровольная сертификация функциональных па-раметров средств и систем информатизации, по но-менклатуре и характеристикам, устанавливаемым отраслевыми (фирменными) стандартами, и учиты-вающим различные аспекты применения аппарату-ры и программного обеспечения. Рассмотрим основные особенности выделенных на-правлений сертификации в сфере информатизации.

Обязательная сертификация по требованиям электромагнитной совместимости и параметрам безопасности

В соответствии с действующими законодательными и нормативными документами выполнение работ по сер-тификации средств информатизации в данном направлении возложено на Госстандарт России. В 1994 году Гос-стандарт России ввел в действие нормативный документ "Номенклатура продукции и услуг, подлежащих обяза-тельной сертификации в Российской Федерации". Этот документ ежегодно пересматривается и уточняется с уче-том практики, условий торговли, производства и тен-денций научно-технического развития.

Указанным документом к продукции, подлежащей обязательной сертификации в рассматриваемом направ-лении, отнесены следующие средства информатизации:

* вычислительные машины и комплексы;

* персональные ЭВМ;

* устройства внешней памяти, ввода-вывода и от-ображения информации;

* устройства подготовки и телеобработки данных.

Поскольку основу сертификации по параметрам безопасности составляют общие требования к оборудо-ванию, остановимся подробнее на специфической для средств информатизации характеристике - электромаг-нитной совместимости.

Обеспечение электромагнитной совместимости за-ключается в выполнении требований по допустимым уровням электромагнитных помех, создаваемых функ-ционирующими средствами, и требований к помехоустой-чивости технических средств при воздействии внешних электромагнитных помех.

Невыполнение требований электромагнитной со-вместимости приводит к неэффективному использова-нию радиочастотного спектра, являющегося хотя и не расходуемым, но ограниченным ресурсом, к различным нарушениям в работе технических средств, а в ряде слу-чаев и к аварийным ситуациям.

Сертификация средств информатизации по требо-ваниям электромагнитной совместимости и параметрам безопасности возложена на Госстандарт России и прово-дится органами (центрами) сертификации, аккредито-ванными Госстандартом в рамках Системы сертифика-ции ГОСТ Р.

Вы, вероятно, не раз встречали в рекламных объяв-лениях по продаже компьютеров фразу "Товар сертифи-цирован". Иногда в рекламе указывается и регистраци-онный номер сертификата соответствия, например, "Сертификат соответствия № РОСС RU.ME67.B00373". Речь в этих случаях идет именно о сертификации по тре-бованиям электромагнитной совместимости и парамет-рам безопасности.

Для получения подобного сертификата изготови-тель или поставщик технических средств информатиза-ции должен обратиться в аккредитованный Госстандар-том России орган сертификации, представив комплект документов, определяемый правилами сертификации. Орган сертификации организует проведение соответ-ствующих испытаний (проверок) и при положительном результате испытаний выдает сертификат соответствия. В тексте сертификата указываются конкретные виды требований, по которым проведены испытания, и соот-ветствующие им нормативные документы.

Необходимо иметь в виду, что сертификат соот-ветствия по требованиям электромагнитной совмести-мости и параметрам безопасности является необходи-мым, но в ряде случаев недостаточным условием полно-ты сертификации средств информатизации.

Это объясняется тем, что данный сертификат соот-ветствия практически не затрагивает функциональных характеристик объекта и соответствия их современным требованиям. Такой сертификат дает вам только опреде-ленную уверенность в том, что предлагаемое оборудова-ние не создает недопустимого уровня помех и безопасно в эксплуатации. Упрощенно говоря, объект может не выполнять ряда возложенных на него, согласно имеющейся документации, функций или выполнять их некачественно, но, в полном соответствии с установлен-ными правилами, может получить сертификат по элек-тромагнитной совместимости и безопасности.

Сертификация средств информатизации по функ-циональным характеристикам будет рассмотрена нами в следующих разделах.

Обязательная сертификация средств защиты информации

Законом "Об информации, информатизации и за-щите информации" определено, что информационные ресурсы, то есть отдельные документы или массивы до-кументов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и за-щите, как всякое материальное имущество собственника. При этом собственнику предоставляется право само-стоятельно, в пределах своей компетенции, устанавли-вать режим защиты информационных ресурсов и досту-па к ним.

Российская Федерация и ее субъекты являются соб-ственниками информационных ресурсов, создаваемых за счет средств федерального бюджета и бюджетов субъек-тов Российской Федерации.

Законом "Об информации, информатизации и защи-те информации" введено также понятие документиро-ванной информации с ограниченным доступом, которая подразделяется на информацию, отнесенную к государ-ственной тайне, и конфиденциальную (то есть представ-ляющую коммерческую, личную, служебную и другие тайны).

В соответствии с положениями этого закона соб-ственник информационных ресурсов, содержащих госу-дарственную тайну, вправе распоряжаться этой соб-ственностью только с разрешения соответствующих ор-ганов государственной власти.

Таким образом, законодательно определяется не-которая категория информации, которая требует опре-деленных ограничений в ее использовании, а сама ин-формация требует защиты.

Целями защиты информации упомянутый Закон определяет:

* предотвращение утечки, хищения, утраты, иска-жения, подделки информации;

* предотвращение угроз безопасности личности, общества, государства;

* предотвращение несанкционированных действий по уничтожению, модификации, искажению, копи-рованию, блокированию информации;

* предотвращение других форм незаконного вме-шательства в информационные ресурсы и инфор-мационные системы, обеспечение правового режи-ма документированной информации как объекта собственности;

* защиту конституционных прав граждан на сохра-нение личной тайны и конфиденциальности персо-нальных данных, имеющихся в информационных системах;

* сохранение государственной тайны, конфиденци-альности документированной информации в соот-ветствии с законодательством;

* обеспечение прав субъектов в информационных процессах и при разработке, производстве и приме-нении информационных систем, технологий и средств их обеспечения.

Государство, владея информацией, представляющей национальное достояние или содержащей сведения огра-ниченного доступа, неправомерное обращение с которой может нанести ущерб ее собственнику, изыскивает спе-циальные меры, обеспечивающие контроль ее использова-ния и качества защиты. Одной из таких мер является сертификация средств защиты информации.

Необходимость сертификации средств защиты, применяемых при обработке информации, составляю-щей государственную тайну, закреплены в Законе Рос-сийской Федерации "О государственной тайне". Серти-фикации подлежат защищенные технические, программ-но-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства контроля эффективности защиты. Обязатель-ной сертификации подлежат средства, в том числе и ино-странного производства, предназначенные для обработ-ки информации с ограниченным доступом, и прежде все-го составляющей государственную тайну, а также ис-пользующиеся в управлении экологически опасными объектами, вооружением и военной техникой и средства их защиты. Наличие у владельца информационной си-стемы сертифицированных средств обработки информа-ции является гарантией надежности ее защиты и дает ему преимущества при осуществлении страхования.

Порядок сертификации средств защиты информа-ции в Российской Федерации и ее учреждениях за рубе-жом установлен Положением "О сертификации средств защиты информации", утвержденным Постановлением Правительства Российской Федерации от 26 июня 1995 го-да № 608 (текст этого Положения приводится во второй части книги). Это Положение определяет области дея-тельности и сферу компетенции различных государ-ственных органов при сертификации средств защиты информации. Основной объем работ по сертификации средств защиты информации в пределах Российской Фе-дерации возлагается на Гостехкомиссию России и Феде-ральное агентство правительственной связи и информа-ции (ФАПСИ). Координация работ по организации сертификации этой продукции возложена на Межве-домственную комиссию по защите государственной тайны.

Мы думаем, что на роли и общих задачах ФАПСИ здесь нет необходимости останавливаться подробно, по-скольку они, в допустимых пределах, достаточно широ-ко освещаются в печати. А вот название такого государ-ственного органа, как Гостехкомиссия России, некото-рым из наших читателей, возможно, незнакомо.

Государственная техническая комиссия при Пре-зиденте Российской Федерации (Гостехкомиссия Рос-сии) является федеральным органом исполнительной власти, осуществляющим межотраслевую координа-цию и функциональное регулирование деятельности по обеспечению защиты информации некриптографи-ческими методами.

Непосредственное подчинение Президенту Россий-ской Федерации обеспечивает независимость Гостехкомиссии России от региональных, ведомственных и кор-поративных влияний, гарантирует соответствие ее дея-тельности высшим государственным интересам. Гостех-комиссия России - коллегиальный орган. В ее состав входят министры, председатели государственных коми-тетов, первые заместители (заместители) этих руководи-телей. Решения Гостехкомиссии России являются обяза-тельными для исполнения всеми органами государствен-ного управления, предприятиями, организациями и уч-реждениями независимо от их организационно-правовой формы и формы собственности, которые по роду своей деятельности обладают информацией, составляющей го-сударственную или служебную тайну.

Директивными документами, в частности уже упо-минавшимся Положением "О сертификации средств за-щиты информации" установлено, что:

В ведении Гостехкомиссии России нахо-дится сертификация программных и тех-нических средств защиты информации, не использующих методы криптографии (шифрования), а в ведении ФАПСИ - сертификация средств защиты информа-ции, использующих эти методы.

В соответствии с установленным распределением сфер деятельности Гостехкомиссии России и ФАПСИ в Российской Федерации созданы и функционируют две системы сертификации средств защиты инфор-мации:

* "Система сертификации средств защиты инфор-мации по требованиям безопасности информа-ции", разработанная Гостехкомиссией России и зарегистрированная Госстандартом за № РОСС RU.OOOI.OIBHOO;

* "Система сертификации средств криптографи-ческой защиты информации (СКЗИ)", разработан-ная ФАПСИ и зарегистрированная Госстандартом за № РОСС RU.OOO 1.030001.

Эти системы сертификации технических и про-граммных средств направлены на защиту интересов го-сударства и государственного информационного ресур-са, а также интересов и прав собственников и владельцев информации -- предпринимателей и граждан России, потребителей продукции и услуг от недобросовестной работы исполнителей.

Добровольная сертификация по функциональным параметрам

Добровольная сертификация применяется для средств информатизации, не подлежащих в соответствии с законодательными актами Российской Федерации обя-зательной сертификации, и проводится по требованиям, на соответствие которым законодательными актами Российской Федерации не предусмотрено проведение обязательной сертификации.

Добровольная сертификация проводится для удо-стоверения качества средств и систем информатизации с целью повышения их конкурентоспособности, расширения сферы использования и получения дополнительных эконо-мических преимуществ.

В общем случае упрощенную схему добровольной сертификации можно представить следующим образом. Необходимость добровольной сертификации обычно определяет разработчик или поставщик средств ин-форматизации, руководствуясь при этом указан-ными выше соображениями. Разработчик или постав-щик обращается в аккредитованный в установленном порядке сертификационный центр и финансирует проведение работ по сертификации. Совокупность и значения показателей качества, по которым проводит-ся сертификация, формируются совместно заявителем и сертификационным центром. При положительных ре-зультатах испытаний средств информатизации, пред-ставленных для сертификации, заявитель получает сер-тификат соответствия, который используется, например, для рекламы при взаимодействии с потенциальным пользователем или потребителем. Последние не имеют непосредственных контактов с сертифика-ционным центром. В случае выявления недостатков в сертифицированном изделии они обращаются не-посредственно к поставщику, который обязан обеспе-чить доработку и повторные сертификационные испы-тания.

В соответствии с действующим законодательством добровольная сертификация средств информатизации может проводиться как в уже упоминавшейся нами Си-стеме сертификации ГОСТ Р, так и в других системах сертификации, зарегистрированных Госстандартом Рос-сии в установленном порядке.

Основные принципы организации систем сертифи-кации средств информатизации и ведения процедуры сертификации мы рассмотрим в следующем разделе на примере Системы добровольной сертификации средств и систем в сфере информатизации "Росинфосерт", яв-ляющейся одним из важнейших инструментов проведе-ния единой государственной научно-технической поли-тики в сфере информатизации России.

Лекция 8. Лицензирование деятельности в сфере информатизации

Общие принципы организа-ции работ по лицензированию деятельности в сфере информатизации в Российской Федерации