Требования к документации и стандартизации корпоративных информационных систем

Оптимизация корпоративной информационной системы во многом зависит от учета всех требований к документации и стандартизации. Это дает существенную экономию финансовых ресурсов и продляет жизненный цикл самой системы.

Различают эксплуатационную, проектную документацию и документацию по сопровождению и развитию КИС. Эксплуатационная документация содержит инструкции, написанные кратко и лаконично. Проектная документация подробно характеризует архитектуру информационной и программной составляющей, а также ее программно-техническую реализацию. Документация по сопровождению и развитию формируется из технологической, методологической и организационной составляющих разработки корпоративной информационной системы.

Наряду с документацией существует еще и спецификация как регламентирование отношений между заказчиком и исполнителем. При создании каждой подсистемы КИС проводится разработка высокоуровневых структурных схем и спецификаций. Важным элементом является логическая полнота спецификации и невозможность различных толкований ее основных положений.

Стандартизация корпоративных информационных систем проводится на базе корпоративных стандартов. Они формируют целевую бизнес-систему, жизненное пространство информационных моделей корпоративной системы, необходимые требования и ограничения по реализации.

Применение корпоративных стандартов позволяет проводить в дальнейшем любые модификации созданной системы без опасения нарушить ее функциональную целостность.

Несмотря на то, что в отечественной практике нет системного подхода к разработке корпоративных информационных систем, выбор и практическая реализация стандартов является важнейшей проблемой. Проблемная и технологическая направленность корпоративных стандартов позволяет оптимизировать большинство архитектурных и программных решений.

Современные зарубежные корпоративные стандарты нами уже были рассмотрены, следует упомянуть о существовании ряда неплохих отечественных стандартов, к сожалению, безнадежно устаревших и поэтому применяющихся очень редко. К ним относятся стандарты на автоматизированные системы, выпущенные Государственным комитетом стандартизации и метрологии СССР в 1989–1990 гг. под общим названием «Комплекс стандартов и руководящих документов на автоматизированные системы» (ГОСТ 34.201-89, ГОСТ 34.602-89, РД 50-682-89, РД 50-680-88, ГОСТ 34.601-90, ГОСТ 34.401-90, РД 50-34.698-90, ГОСТ 34.003-90, Р 50-34.119-90). К примеру, ГОСТ 34.201-89 определяет виды, комплектность и обозначение документов при создании АС по стадиям: «Техническое задание», «Эскизный проект», «Технический проект», «Рабочая документация», «Ввод в действие». ГОСТ 34.602-89 описывает состав, содержание и правила оформления документа «Техническое задание на создание (развитие или модернизацию) системы». ГОСТ 34.601-90 регламентирует стадии и этапы создания автоматизированной системы («Формирование требований и разработка концепции АС», «Техническое задание», «Эскизный проект», «Технический проект», «Рабочая документация», «Ввод в действие», «Сопровождение автоматизированной системы»). В ГОСТе 34.003-90 рассматриваются термины и определения, приводятся методические указания и рекомендации, в числе которых Р 50-34.119-90. Данным ГОСТом определяется состав и структура локальных вычислительных сетей автоматизированных систем проектирования и изготовления и автоматизированных учрежденческих информационных систем.

Отечественные стандарты формируют ряд используемых терминов, основной из них – определение автоматизированной системы. «Автоматизированная система – это система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных задач». В зависимости от вида управляемого объекта автоматизированные системы управления разделяют на: автоматизированные системы управления технологическими процессами (АСУ ТП) и автоматизированные системы управления предприятием (АСУП). Могут быть и другие разновидности автоматизированных систем управления.

Защита информации

Информация является изначально слабозащищенным ресурсом и поэтому представляется чрезвычайно важным принимать повышенные меры ее защиты, обеспечивая полный комплекс обеспечения информационной безопасности. На общегосударственном уровне защита информации должна обеспечиваться в соответствии с концепцией национальной безопасности Российской Федерации, сформулированной в Федеральном законе «Об информации, информатизации и защите информации» [127].

В Законе защита информации предусматривается по ряду направлений: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение угрозы безопасности личности, общества, государства; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах при разработке, производстве и применении информационных систем, технологий, а также средств их обеспечения.

При этом защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб собственнику, владельцу, пользователю и иному лицу. Наряду с этим, защита информации распространяется и на сведения, отнесенные к государственной тайне, на конфиденциальную документированную информацию и в отношении персональной информации.

На федеральном уровне принимаются следующие меры для обеспечения информационной безопасности: осуществляется формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, устанавливается баланс между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения, совершенствуется законодательство РФ в сфере обеспечения информационной безопасности, координируется деятельность органов государственной власти по обеспечению безопасности в информационной среде, защищаются государственные информационные ресурсы на оборонных предприятиях, развиваются отечественные телекоммуникационные и информационные средства, совершенствуется информационная структура развития новых информационных технологий, унифицируются средства поиска, сбора, хранения, обработки и анализа информации для вхождения в глобальную информационную инфраструктуру.

Персональная информация также может быть защищена законом. Проектом соответствующего закона определен характер персональной информации. Персональные данные – это документированная информация, относящаяся к конкретному человеку, которая может быть отождествлена с конкретным человеком. К примеру, личные характеристики, сведения о семейном положении, состоянии здоровья, социальном положении, образовании, навыках, профессии, служебном и финансовом положении, коммерческой деятельности. Конечно, данная информация может храниться в базах данных, но всеобщий доступ может быть только к таким данным, как: фамилия, имя, отчество, год и место рождения, адрес, номер домашнего телефона гражданина.

Конфиденциальная информация может храниться в органах государственной власти, местного самоуправления, а также у юридических и физических лиц (исключительно при наличии лицензии). При этом указанные структуры обязаны: получать персональные данные непосредственно от субъекта или из других источников только при его согласии, за исключением случаев, установленных законом; обеспечивать конфиденциальность, сохранность и достоверность персональных данных, проводить их актуализацию, документально определять порядок работы с ними, а также сообщать субъекту по его требованию информацию о наличии его персональных данных.

Вопросы информационной безопасности государства оговариваются в «Концепции национальной безопасности Российской Федерации», создаваемой в соответствии с указом президента РФ от 17.12.1997 г. К их числу относятся следующие: выявление, оценка и прогнозирование источников угроз информационной безопасности; разработка государственной политики обеспечения информационной безопасности, комплекса мероприятий и механизмов ее реализации; разработка нормативно-правовой базы обеспечения информационной безопасности, координация деятельности органов государственной власти и управления, а также предприятий по обеспечению информационной безопасности; развитие системы обеспечения информационной безопасности, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и ликвидации последствий ее нарушения; обеспечение активного участия России в процессах создания и использования глобальных информационных сетей и систем.

Различают три пути предотвращения угрозы информационной безопасности: правовые, программно-технические и организационно-экономические. Правовые методы заключаются в разработке комплекса нормативно-правовых актов и положений, регламентирующих информационные отношения в обществе. Программно-технические методы состоят из предотвращения утечки обрабатываемой информации путем исключения несанкционированного к ней доступа, предотвращения специальных воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе информационных систем, выявления внедренных программных или аппаратных закладных устройств, исключение перехвата информации техническими средствами. Организационно-экономические методы формируют и обеспечивают функционирование систем защиты секретной и конфиденциальной информации, их сертификацию и лицензирование, стандартизацию способов и средств защиты информации, контроль над действием персонала защищенных информационных систем.

Группа программно-технических методов, касающихся защиты информационных систем от внешнего воздействия путем внедрения вирусов рассматривается в параграфе «Использование антивирусных программных продуктов». Меры безопасности во время работы с глобальной сетью Интернет рассматриваются как необходимая составная часть коммуникационных программных продуктов – браузеров.

Не нашли, что искали? Воспользуйтесь поиском: