Стандартизация, сертификация и управление качеством программного обеспечения

Федеральное агентство связи Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования «Поволжский государственный университет телекоммуникаций и информатики» Кафедра экономических и информационных систем КОНСПЕКТ ЛЕКЦИЙ ПО УЧЕБНОЙ ДИСЦИПЛИНЕ «СТАНДАРТИЗАЦИЯ, СЕРТИФИКАЦИЯ И УПРАВЛЕНИЕ КАЧЕСТВОМ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ» Самара, 2012 УДК 004.413 Ольховая О.Н. – к.э.н., доцент кафедры «Экономические и информационные системы» ФГОБУ ВПО ПГУТИ Стандартизация, сертификация и управление качеством программного обеспечения. Конспект лекций. – Самара.: ФГОБУ ВПО ПГУТИ, 2012. – 94 с. Конспект лекций по стандартизации, сертификации и управлению качеством программного обеспечения предназначен для студентов вузов, обучающихся по направлению 080500 («Бизнес-информатика»). Основной целью дисциплины является ознакомление студентов со современными Российскими и международными стандартами в области организации разработки, эксплуатации и оценки качества информационных продуктов и услуг, принципами их применения на практике и практическим опытом разработки информационных продуктов; ознакомление студентов с современными технологиями проектирования, разработки и анализа структур и функций информационных продуктов и технологий, а также технологиями тестирования и эксплуатации информационных продуктов. Используя представленный конспект лекций при подготовке к любой форме контроля, студенты смогут в сжатые сроки систематизировать знания по данному предмету, сформулировать план ответов на вопросы экзаменатора. Рецензент: Матвеева Е.А. – к.т.н., доцент, профессор кафедры «Экономические и информационные системы» ФГОБУ ВПО ПГУТИ Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования «Поволжский государственный университет телекоммуникаций и информатики» © Ольховая О.Н., 2012 2 Содержание Содержание ................................................................................................ 3 Список сокращений и обозначений ...................................................... 5 Введение ..................................................................................................... 6 Лекция 1 ..................................................................................................... 7 Тема 1. Сущность процесса информатизации и основные положения государственной политики в сфере информатизации ............................. 7 Тестовое задание для самоконтроля ............................................................ 13 Лекция 2 ................................................................................................... 15 Тема 1. Информатизация России. Рынок программных средств............... 15 Тестовое задание для самоконтроля ............................................................ 19 Лекция 3 ................................................................................................... 21 Тема 1. Основные задачи стандартизации, сертификации и лицензирования в сфере информатизации .................................................. 21 Тестовое задание для самоконтроля ............................................................ 28 Лекция 4 ................................................................................................... 33 Тема 1. Основные понятия и термины в области стандартизации ............ 33 Тестовое задание для самоконтроля ............................................................ 35 Лекция 5 ................................................................................................... 37 Тема 1. Международная национальная стандартизация в сфере информатизации.............................................................................................. 37 Раздел 1.1. Международные органы стандартизации...................................... 37 Раздел 1.2. Международная стандартизация и проблемы информационной совместимости................................................................................................. 39 Раздел 1.3. Основные принципы организации работ по стандартизации в России.............................................................................................................. 42 Тестовое задание для самоконтроля ............................................................ 44 Лекция 6 ................................................................................................... 47 Тема 1. Основные направления работ по стандартизации в сфере информатизации ............................................................................................ 47 Раздел 1.1. Основные направления работ.................................................... 47 Раздел 1.2. Работы по стандартизации, проводимые Минсвязи России ... 51 Раздел 1.3. Основные положения государственного профиля взаимосвязи открытых систем России............................................................................... 52 Тестовое задание для самоконтроля ............................................................ 54 Лекция 7 ................................................................................................... 56 Тема 1. Сертификация средств информатизации в Российской Федерации... 56 Раздел 1.1. Основные понятия и термины в области сертификации ......... 56 Раздел 1.2. Организация работ по сертификации средств и систем информатизации в Российской Федерации ................................................. 58 Раздел 1.3. Обязательная сертификация средств защиты информации .... 60 Раздел 1.4. Добровольная сертификация по функциональным параметрам .. 64 Тестовое задание для самоконтроля ............................................................ 66 3 Лекция 8 ................................................................................................... 69 Тема 1. Лицензирование деятельности в сфере информатизации ............. 69 Раздел 1.1. Общие принципы организации работ по лицензированию деятельности в сфере информатизации ....................................................... 69 Раздел 1.2. Лицензирование деятельности в области создания и применения информационных технологий ................................................. 71 Раздел 1.3. Лицензирование деятельности в области формирования и ведения информационных ресурсов ............................................................ 73 Раздел 1.4. Лицензирование услуг по информационному обеспечению потребителей информационных ресурсов................................................... 73 Раздел 1.5. Лицензирование деятельности в области защиты информации... 74 Раздел 1.6. Лицензирование деятельности по международному информационному обмену............................................................................ 79 Тестовое задание для самоконтроля ............................................................ 87 Заключение .............................................................................................. 90 Список литературы................................................................................ 91 Глоссарий ................................................................................................. 92 4 Список сокращений и обозначений АИС – автоматизированная информационная система ИИС – интеллектуальная информационная система ИСУ – информационная система управления ИСУП – информационная система управления предприятием ИТ – информационные технологии КИС – корпоративная информационная система ПО – программное обеспечение ПС – программное средство СППР – система поддержки принятия решений ЭИС – экономическая информационная система ЭЭС – экономическая экспертная система 5 Введение Увеличивающая в мировом масштабе конкуренция среди организаций разработчиков программного обеспечения (ПО), повышения требований конечного пользователя к качеству и надежности программных средств привело их разработчиков к пониманию важности вопросов стандартизации. Для того чтобы поддерживать конкурентоспособность своей организации, разработчики должны применять все более эффективные, рентабельные методы, технологии, инструментальные средства, способствующие постоянному повышению качества и более совершенному удовлетворению потребителей ПО. Требования потребителей часто включаются в технические условия или неформализованные требования, описанные на некотором вербальном языке. Однако технические условия и неформализованные требования сами по себе не гарантируют их удовлетворение в конечном продукте, так как в настоящее время существует проблема выработки приемлемых требований к программному продукту, а также ряд других проблем, возникающих в процессе разработки конечного продукта. Это соображение привело к разработке стандартов, руководств, руководящих документов, относящихся к системам качества и дополняющих релевантные требования к ПО, установленные в технических требованиях. Курс «Стандартизация, сертификация и управление качеством программного обеспечения» предназначен для студентов, обучающихся по специальности «Бизнесинформатика». Данный курс описывает современные типовые подходы к разработке ПО и содержит теоретические основы и практические рекомендации по проектированию и разработке программных продуктов. 6 Лекция 1 Тема 1. Сущность процесса информатизации и основные положения государственной политики в сфере информатизации В последние десятилетия мир переживает переход от "индустриального общества" к "обществу информационному". Происходит кардинальная смена способов производства, мировоззрения людей, межгосударственных отношений. Уровень развития информационного пространства общества решающим образом влияет на экономику, обороноспособность и политику. От этого уровня в значительной степени зависит поведение людей, формирование общественно-политических движений и социальная стабильность. Целями информатизации во всем мире и в том числе в России являются наиболее полное удовлетворение информационных потребностей общества во всех сферах деятельности, улучшение условий жизни населения, повышение эффективности общественного производства, содействие стабилизации социально- политических отношений в государстве на основе внедрения средств вычислительной техники и телекоммуникаций. Как известно, во всех развитых странах удовлетворение всех основных социальных и индивидуальных потребностей осуществляется за счет распространения и использования информационных ресурсов общества, обеспечения доступа к ним посредством современных информационных технологий и развитой информационно-коммуникационной структуры. Информационные ресурсы, инфраструктуры и технологии в совокупности образуют интегрированную информационную среду (ИС) общества. Развитая информационная среда служит технологическим базисом формирования единого информационного пространства России как целостного федеративного государства, обеспечивающим включение российских регионов в социально-экономическую, политическую и культурную жизнь страны, последовательное 7 вхождение России в Европейскую и глобальную информационную инфраструктуру. Она является необходимым условием гибкого и эффективного управления жизнью общества. Процессами формирования ИС — процессами информатизации — в России стали серьезно заниматься с начала 90-х годов. Вначале Комитет при Президенте РФ по политике информатизации, а в настоящее время в результате ряда структурных реорганизаций Минсвязи России возглавляет работы по организации этих процессов, координации действий научных и конструкторских организаций. Несмотря на сложности, обусловленные переходной экономикой, быстрым развитием отечественного рынка информационных, компьютерных и телекоммуникационных технологий, государственная политика информатизации приобрела в настоящее время концептуальную целостность. Созданы важные правовые, организационные и экономические условия для развития информационной и коммуникационной инфраструктуры, системы распространения и использования информационных ресурсов. Существенное внимание уделяется разработке законодательства в этой области. Так, в сентябре 1992 года принят Закон "О правовой охране программ для электронных машин и баз данных", в ноябре 1994 года - Закон "Об обязательном экземпляре документов", в феврале 1995 года - Закон "Об информации, информатизации и защите информации", в июне 1996 года - Закон "Об участии в международном информационном обмене". По проблемам информатизации выпущено большое количество указов Президента РФ, постановлений Правительства РФ, а также руководящих и организационно-методических материалов различных государственных организаций. Здесь нам представляется полезным остановиться на основных элементах понятийного аппарата информатизации, введенных в упомянутых выше, нормативно-правовых документах. Прежде всего дадим определение собственно термину "информатизация". В Законе "Об информации, информатизации и защите информации" это понятие определено следующим образом: Информатизация - организационный социально- 8 экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов. В этом Федеральном законе используется еще несколько понятий: информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления; документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать; информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации; информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы; информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах); информация о гражданах (персональные данные) сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность; конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации; собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами; владелец информационных ресурсов, информационных 9 систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом; пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею. Закон "Об информации, информатизации и защите информации" определяет основные направления государственной политики в сфере информатизации. В связи с важностью этих вопросов приведем соответствующие формулировки закона полностью. Основными направлениями государственной политики в сфере информатизации являются: • обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы; • формирование и защита государственных информационных ресурсов; создание и развитие федеральных и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве Российской Федерации; • создание условий для качественного и эффективного информационного обеспечения граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений на основе государственных информационных ресурсов; • обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информатизации; • содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий, средств их обеспечения; • формирование и осуществление единой научнотехнической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития информационных технологий; • поддержка проектов и программ информатизации; • создание и совершенствование системы привлечения 10 инвестиций и механизма стимулирования разработки и реализации проектов информатизации; • развитие законодательства в сфере информационных процессов, информатизации и защиты информации. В "Концепции формирования и развития единого информационного пространства России и соответствующих государственных информационных ресурсов", одобренной решением Президента РФ в 1995 году, отмечено, что имеющиеся проблемы информатизации России можно решить только путем формирования единого информационного пространства России. Это понятие определено в Концепции так: Единое информационное пространство представляет собой совокупность баз и банков данных, технологий их ведения и использования, информационно-телекоммуникационных систем и сетей, функционирующих на основе единых принципов и по общим правилам, обеспечивающим информационное взаимодействие организаций и граждан, а также удовлетворение их информационных потребностей. Иными словами, единое информационное пространство складывается из следующих главных компонентов: • информационные ресурсы, содержащие данные, сведения и знания, зафиксированные на соответствующих носителях информации; • организационные структуры, обеспечивающие функционирование и развитие единого информационного пространства, в частности сбор, обработку, хранение, распространение, поиск и передачу информации; • средства информационного взаимодействия граждан и организаций, обеспечивающие им доступ к информационным ресурсам на основе соответствующих информационных технологий, включающие программно-технические средства и организационно-нормативные документы. Организационные структуры и средства информационного взаимодействия образуют информационную инфраструктуру. Целями формирования и развития единого информационного пространства России являются: 11 • обеспечение прав граждан на информацию, провозглашенных Конституцией Российской Федерации; • создание и поддержание необходимого для устойчивого развития общества уровня информационного потенциала; • повышение согласованности решений, принимаемых федеральными органами государственной власти, органами власти субъектов Федерации и органами местного самоуправления; • повышение уровня правосознания граждан путем предоставления им свободного доступа к правовым и нормативным документам, определяющим их права, обязанности и возможности; • предоставление возможности контроля со стороны граждан и общественных организаций за деятельностью федеральных органов государственной власти, органов власти субъектов Федерации и органов местного самоуправления; • повышение деловой и общественной активности граждан путем предоставления равной с государственными структурами возможности; • интеграция с мировым информационным пространством. Развитие информационной инфраструктуры России во многом определяется современным уровнем развития отечественной индустрии информатизации. Основными задачами государственной политики в области индустрии информатизации являются: • создание отечественных современных информационных технологий и развитие производства средств для их реализации; • развитие отечественного производства современных систем и средств связи, телекоммуникационных сетей; • содействие внедрению информационных технологий, используемых в зарубежных информационных системах национального и транснационального масштаба; • подготовка квалифицированных кадров для работы в области информатизации. Рассмотрев основные понятия, связанные с процессом информатизации, и принципы организации этого процесса в России, перейдем к краткому 12 анализу современного состояния информатизации России и ее перспективам. Тестовое задание для самоконтроля № Вопросы - от «индустриального общества» к «обществу информационному» - от «информационного общества» к «индустриальному обществу» - от «индустриального производства» к «информационному производству» Информационные ресурсы, - интегральную инфраструктуры и технологии в информационную среду совокупности образуют: общества - комплекс информационных систем - итерацию в информационное общество Процессами информатизации в - 1990-х годах России стали серьёзно заниматься - 1980-х годах в: - с 2000 года Организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов. Что это? Сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Что это? Зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Что это? Процессы сбора, обработки, накопления, хранения, поиска и распространения информации. Какие это процессы? Организационно - упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы. Что это? Отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). В последние десятилетия мир переживает переход: 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 13 № 1.10 1.11 1.12 Вопросы Что это? Сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Что это? Документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Что это? Информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами. Что это? 14 Лекция 2 Тема 1. Информатизация России. Рынок программных средств Во многом благодаря последовательной реализации рассмотренных в предыдущем разделе основных принципов государственной политики в сфере информатизации показатели развития информационной среды российского общества выглядят достойно, хотя по ряду из них Россия существенно уступает США и другим развитым странам. Информационные ресурсы России являются громадным по объему, стоимости и сложности комплексом, включающим несколько миллионов баз данных, электронных информационных массивов библиотечных и архивных фондов. В последнее время быстро растет количество российских сайтов в Интернете, ежегодно их число удваивается. Однако нельзя не отметить, что по показателю доступности информационных ресурсов наша страна отстает от развитых стран. Сегодня в большинстве крупных городов России эффективно функционируют провайдеры — организации, обеспечивающие пользователям доступ в Интернет. Широко используется бесплатное (некоммерческое) обслуживание пользователей. Быстро расширяется и рынок сетевой коммерческой информации (сведения о компаниях, товарных рынках, рынке ценных бумаг, объектах инвестиций). Это означает серьезный шаг по пути к информационной экономике. Бурному развитию процессов информатизации и, соответственно, отечественных территориальных компьютерных сетей и информационных систем различного рода в первой половине 90-х годов в значительной мере способствовало как ускорение развития инфраструктуры связи, так и определенное насыщение страны персональными компьютерами. В настоящее время отечественные сетевые структуры (при отставании на 1-2 года) развиваются в направлениях, по которым идут США, Великобритания, Германия, Франция. 15 Разумеется, развитие ИС требует постоянного совершенствования научно-технической и технологической базы этого развития. Эту базу составляют прежде всего критические информационные, компьютерные и телекоммуникационные технологии. Термин "критические" технологии применительно к информации означает, что именно их уровень и масштабы применения определяют эффективность достижения главных целей информатизации. К этим технологиям прежде всего следует отнести: • многопроцессорные ЭВМ с параллельной структурой; • вычислительные системы на базе нейрокомпьютеров, транспьютеров и оптических ЭВМ; • системы распознавания и синтеза речи, текста и изображений; • системы искусственного интеллекта и виртуальной реальности; • информационно - телекоммуникационные системы; • системы математического моделирования. В ближайшем будущем важнейшими задачами политики информатизации будут селективная государственная поддержка приоритетных технологий, в том числе фундаментальных и прикладных научных исследований, стимулирование использования конкурентоспособных отечественных технологий в различных финансируемых из госбюджета проектах и программах. Что касается российского информационного рынка, то его главная отличительная черта состоит в его неоднородности по регионам страны. Это связано, естественно, с географическим положением регионов, неравномерностью их социально-экономического развития, направленностью экономической деятельности и т. д. Развитие рынка по традиции идет от центра к регионам. Кроме того, слабость правового регулирования рынка также накладывает серьезные ограничения на его развитие. Необходимо отметить развитие сферы домашнего потребления компьютеров, которая быстро растет, и в ближайшие годы количество домашних компьютеров может 16 составить до половины всего парка ПК, что вызовет резкое повышение спроса на информационные продукты и услуги (до 60—70% в общем объеме продаж). Трудно переоценить социальное значение этой тенденции. Российская культурная среда оказывает непосредственное воздействие на процессы информатизации. Имеется ряд благоприятных для этого развития социальнодемографических характеристик, в частности высокий процент городских жителей (в 1994 г. в России было 75% горожан, что выше, чем в целом по Европе). Другой важный индикатор — высокий процент молодых, 15—16-летних людей, активных, способных и желающих осваивать компьютерный мир. Однако сегодня работают и тормозящие факторы: неразвитые информационные потребности населения и неготовность общества жить в условиях открытого общества. Мировое информационное развитие ускоряет движение России по пути демократических преобразований общества и государства. Уже можно говорить о формировании в России новой информационно-правовой реальности. Права и свободы граждан переместились в фокус общественного внимания. Именно в сфере создания, распространения и потребления информации приобретают наиболее острые черты проблемы взаимоотношения государства и общества, социальных институтов и граждан, открытости информации. Сегодня информационное право следует рассматривать как главный инструмент демократического развития страны. Политика информатизации должна быть ориентирована и на решение главных задач информационной политики: • обеспечение широкого, свободного доступа к информационным ресурсам; • обеспечение граждан общественно значимой и востребуемой информацией; • подготовка человека к жизни и работе в грядущем информационном веке. В различных странах движение процессов информатизации осуществляется и оценивается по-разному. Дело не только в том, что исходные пункты движения для разных стран различаются по уровню развития информационной среды или 17 по возможностям инвестирования в нее. Эти факторы обусловлены неравномерностью мирового экономического развития. Различные стратегии формирования информационного общества обусловлены общими закономерностями экономического и политического развития. Если в США доминирует прагматический подход, то европейские страны на первый план выдвигают социальную и гуманитарную составляющие информатизации. Зарубежный опыт свидетельствует, что структурные изменения в мировой экономике, интернационализация общественной жизни - источники перемен в традиционном политическом ландшафте. Информатизация усиливает эти изменения. Сказанное имеет важное значение для осмысления движения России к развитому информационному обществу. Прежде всего надо понять, что это постепенный и длительный процесс. Сегодняшнее отставание России вызвано прежде всего структурой ее реального сектора, где преобладает производство сырья, энергии и неконкурентоспособной продукции обрабатывающей промышленности. Доминирование в экономике России реликтовых технологических укладов, неразвитость инфраструктуры, отсутствие полнокровной национальной компьютерной сети, наконец, низкий уровень информационных потребностей в обществе, обусловленный низким уровнем качества жизни, - таковы принципиальные преграды на пути нашей страны к информационному обществу. Именно поэтому наше общество должно нащупать свой путь преодоления этих преград, не повторяя в общем американский, европейский, японский или даже латиноамериканский пути, и определяемый особенностями ее политического, социального, экономического и культурного развития. Собственный путь предполагает тщательно продуманную стратегию, основу которой должна составить интеграция экономической, технологической, информационной и культурной политики, рассчитанная, по крайней мере на жизнь одного поколения. Россия непосредственно взаимодействует со всеми субъектами в современной системе международных политических, экономических и культурных 18 отношений. И это взаимодействие в глобальной системе мировых информационных связей будет усиливаться. Тестовое задание для самоконтроля № 2.1 2.2 Вопросы Сегодня в большинстве крупных городов России эффективно функционируют … – организации, обеспечивающие пользователям доступ в Интернет. Термин «…» технологии применительно к информации означает, что именно их уровень и масштабы применения определяют эффективность достижения главных целей информатизации. К «критическим» технологиям относятся: 2.3 2.4 Какие социально-демографические благоприятные характеристики влияют на развитие процессов информатизации Отметьте тормозящие факторы на процессы информатизации: 2.5 2.6 Политика информатизации должна быть ориентирована на решение главных задач информационной 19 Определите термин Определите термин - системы распознавания и синтеза речи, текста и изображений - системы искусственного интеллекта и виртуальной реальности - информационные системы управления предприятием - высокий процент городских жителей - высокий процент молодых, 1516-летних людей, активных, способных и желающих осваивать компьютерный мир - высокий процент деловых людей - неразвитые информационные потребности населения - неготовность общества жить в условиях открытого общества - высокий процент молодых, 1516-летних людей, активных, способных и желающих осваивать компьютерный мир - обеспечение широкого, свободного доступа к информационным ресурсам № Вопросы политики: 2.7 Зарубежный опыт свидетельствует, что структурные изменения в мировой экономике, интернационализация общественной жизни - источники перемен в традиционном … ландшафте. 20 - обеспечение граждан общественно значимой и востребуемой информацией - подготовка к гражданской обороне Определите термин Лекция 3 Тема 1. Основные задачи стандартизации, сертификации и лицензирования в сфере информатизации Переходя к рассмотрению таких понятий, как "стандартизация", "сертификация" и "лицензирование" в сфере информатизации, отметим, что эти термины часто путают даже некоторые специалисты, занимающиеся разработками в области информационных технологий. Поэтому здесь нам представляется целесообразным дать определения этим понятиям и рассмотреть объекты и взаимосвязи соответствующих им процессов. Определение термина "стандартизация" прошло длительный эволюционный путь. Представление людей о стандартизации формировалось в процессе развития науки и техники, совершенствования форм и методов производства. С расширением экономических связей на национальном и международном уровнях уточнение этого термина происходило параллельно с развитием самой стандартизации и отражало на различных этапах достигнутый уровень ее развития. В документах Международной организации по стандартизации (ИСО) термин стандартизация определяется следующим образом: Стандартизация - деятельность, заключающаяся в нахождении решений для повторяющихся задач в сферах науки, техники и экономики, направленная на достижения оптимальной степени упорядочения в определенной области. В общем, эта деятельность проявляется в процессах разработки, опубликования и применения стандартов. Это определение отражает все многообразие стандартизации, характеризует ее как активную деятельность, направленную на упорядочение не только в технике, но и в других областях, предусматривает обязательное участие в ней всех заинтересованных сторон, подчеркивает, что стандартизация - это не механический отбор устоявшихся 21 характеристик, а выбор или разработка наиболее оптимальных решений, рассчитанных не только на сегодняшний уровень науки и техники, но и учитывающих тенденции и направления технического прогресса. Важный результат стандартизации — улучшение соответствия продукции или услуг их функциональному назначению. Стандартизация увязывает технические нормы и требования к взаимообмениваемой продукции, гарантирует ее технический уровень, надежность, долговечность и качество, создает необходимые предпосылки для углубления и расширения специализации и кооперирования производства, активно воздействует на экономию всех видов природных, материальных и энергетических ресурсов, а также приводит к постепенному выравниванию уровней технических норм и требований в национальных стандартах и доведению их до высших мировых научно-технических образцов. В дальнейшем, говоря о стандартизации и сертификации, мы будем использовать также понятие совместимость, которое определяется следующим образом: Совместимость - пригодность изделий или их систем к совместному использованию при определенных условиях для выполнения соответствующих требований, которая не вызывает при этом нежелательных последствий. Правовые основы стандартизации, обязательные для всех государственных органов управления, объектов хозяйственной деятельности и общественных объединений Российской Федерации, определены Законом "О стандартизации", принятым в 1993 году. Общее руководство работами по стандартизации в Российской Федерации возложено на Госстандарт России. Возрастание роли информатизации, расширение областей применения средств информатизации и повышение ответственности решаемых с их помощью задач обусловливают в настоящее время резкое повышение требований к качеству систем и средств информатизации. Качество средств и систем информатизации сегодня определяется: • качеством элементной базы средств информатизации; 22 • их безопасностью; • совместимостью с другими средствами; • уровнем помех; • степенью экологичности; • функциональными характеристиками; • устойчивостью к внешним воздействиям; • надежностью; • конструкцией; • параметрами электропитания; • соответствием принципам открытых систем. Некоторые из этих характеристик вам, вероятно, знакомы, другие, возможно, понятны интуитивно. Более подробно мы остановимся на них в следующей главе. Здесь мы лишь подчеркнем, что именно соответствие этих характеристик современным требованиям и определяет интегральные показатели качества средств и систем информатизации. В связи с этим Основной задачей работ по стандартизации в сфере информатизации является создание нормативной базы, отражающей современный научно-технический уровень и тенденции развития средств и систем информатизации. Непосредственное выполнение и координация этих работ возложены на Минсвязи России. Применительно к информатизации стандартизация заключается в определении требований к средствам, системам, процессам и др., излагаемым в соответствующим образом утвержденных документах (стандартах), обязательных для применения в установленной для них области действия. По мере развития информационной индустрии и совершенствования рыночных механизмов в России информационные системы, их компоненты и результаты их функционирования все в большей степени (по объемам и номенклатуре) становятся товарными продуктами. В результате для потребителя становится все более актуальной проблема определения соответствия средств и систем информатизации установленным требованиям. Действительно, в стране может быть принято много замечательных стандартов, но как вы в 23 качестве потребителя сможете убедиться, что продукция или услуга действительно им соответствуют? Решению этой проблемы призваны способствовать процессы сертификации продукции и услуг, к рассмотрению которых мы и переходим. Сертификация. Рынок средств и систем информатизации в россии сейчас настолько разнообразен, что в подавляющем большинстве случаев потребитель не в состоянии самостоятельно убедиться в соответствии приобретаемой им продукции установленным на государственном уровне нормам и правилам. Положение усугубляется тем обстоятельством, что российский рынок заполнен импортными изделиями. Для этих изделий производители и поставщики в лучшем случае декларируют соответствие отдельным зарубежным стандартам, о содержании которых у вас, как правило, нет никакой информации. В результате вы, например, можете приобрести оборудование, являющееся опасным для обслуживающего персонала по поражению электрическим током или создающее большие электромагнитные помехи, нарушающие работу соседних устройств. На бытовом уровне логичным путем решения этой проблемы является обращение к некоторому третьему лицу, являющемуся специалистом в данной области и заведомо независимому от поставщика продукции, которое может дать заключение о соответствии продукции установленным требованиям. На государственном уровне аналогичная процедура называется сертификацией. Сертификация — процедура, выполняемая третьей стороной, независимой от изготовителя (продавца) и потребителя продукции или услуг, по подтверждению соответствия этих продукции или услуг установленным требованиям. Результатом выполнения процедуры сертификации является так называемый сертификат соответствия. Сертификат соответствия — документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям. Общие правовые основы сертификации продукции и 24 услуг в Российской Федерации установлены Законом "О сертификации продукции и услуг", где определены права и ответственность в области сертификации органов государственного управления, а также изготовителей (продавцов, исполнителей) и других участников сертификации. В этом Законе, в частности, указано, что сертификация проводится в целях: • создания условий для деятельности предприятий, учреждений, организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле; • содействия потребителям в компетентном выборе продукции; • защиты потребителя от недобросовестности изготовителя (продавца, исполнителя); • контроля безопасности продукции для окружающей среды, жизни, здоровья и имущества; • подтверждения показателей качества продукции, заявленных изготовителем. Сертификация средств и систем информатизации является элементом общей системы сертификации продукции в Российской Федерации. Основными целями сертификации средств информатизации, информационных технологий и услуг являются: • защита пользователей средств и систем информатизации от приобретения средств и систем, в том числе импортных, которые представляют опасность для жизни, здоровья, имущества, а также для окружающей среды; • обеспечение разработчиков систем, а также широкого круга пользователей этих систем достоверной информацией о состоянии отечественного и зарубежного рынков средств информатизации, телекоммуникаций, информационных технологий и услуг; • обеспечение информационного обмена между государственными системами информатизации (налоговая служба, правоохранительные органы, службы управления трудом и 25 занятостью, образование, здравоохранение и др.); • обеспечение условий для информационного взаимодействия субъектов негосударственной принадлежности с субъектами государственной принадлежности; • содействие повышению научно-технического уровня и конкурентоспособности отечественных систем информатизации, информационных технологий и услуг; • содействие созданию условий для вхождения России в мировое информационное пространство. Необходимо отметить, что сертификация средств информатизации не только обеспечивает удовлетворение интересов потребителя, но приносит определенные выгоды и изготовителю (поставщику) продукции. Так, в частности, сертификация способствует расширению рынка сбыта (распространению продукции в тех районах, где потребителю неизвестна репутация фирмы) и обеспечивает подтверждение качества продукции фирмы по сравнению с продукцией конкурентов. С точки зрения организации торговых взаимосвязей сертификация способствует созданию доверительных отношений между производителями (поставщиками) и потребителями продукции. Необходимо иметь в виду, что только имеющее место и объективно подтвержденное качество конкретных видов отечественной информационной продукции и средств информатизации может сделать их конкурентоспособными и реально обеспечить спрос на них. Говоря о сертификации, нельзя не отметить ее тесную взаимосвязь со стандартизацией в сфере информатизации. Во-первых, как уже говорилось выше, суть процедуры сертификации заключается в подтверждении соответствия средств информатизации установленным требованиям. Документами, содержащими эти требования, являются стандарты, разрабатываемые в процессе стандартизации. Во-вторых, собственно процедура сертификации регламентируется действующими нормативными документами (стандартами). Таким образом, основой сертификации являются результаты стандартизации. В нормативную базу сертификации средств и систем информатизации, информационных 26 технологий и услуг включаются три группы документов: • нормативные документы на объекты сертификации, где устанавливаются характеристики объектов, подтверждаемые при сертификации; • нормативные документы на методы испытаний для оценки характеристик объектов сертификации; • нормативные документы, регламентирующие процедуры сертификации. В целом стандартизация вместе с сертификацией образуют единый процесс управления качеством средств, систем и технологий в области информатизации, одной из основных целей которого является защита интересов потребителя. Лицензирование. Основным отличием процесса лицензирования от процесса сертификации является состав категорий, по отношению к которым они применяются. В процессе лицензирования фигурируют такие категории, как "деятельность" (подразумеваются виды или направления деятельности) и "субъект" (физическое лицо, предприятие, организация или иное юридическое лицо). В соответствии с действующим законодательством в Российской Федерации отдельные виды деятельности осуществляются предприятиями, организациями и учреждениями независимо от организационно-правовой формы, а также физическими лицами, осуществляющими предпринимательскую деятельность без образования юридического лица, на основании лицензии — специального разрешения органов, уполномоченных на ведение лицензирования. Лицензия является официальным документом, который разрешает осуществление указанного в нем вида деятельности в течение установленного срока, а также определяет условия его осуществления. Основу нормативно-правовой базы лицензирования в сфере информатизации составляют Законы "О лицензировании отдельных видов деятельности", "Об информации, информатизации и защите информации" и "Об участии в международном информационном обмене". 27 Общие принципы лицензирования видов деятельности в сфере информатизации России можно сформулировать следующим образом: • Целью лицензирования является защита интересов государства и граждан от неумышленного или сознательного некачественного выполнения работ, соответствующих определенным видам деятельности в сфере информатизации. • Виды деятельности в сфере информатизации, подлежащие лицензированию, а также органы, осуществляющие лицензирование конкретных видов деятельности в различных областях информатизации, определены рядом нормативных документов. • Право на осуществление деятельности, подлежащей лицензированию, может получить субъект, отвечающий определенным критериям, которые заранее определяются правилами проведения лицензирования и являющимися их неотъемлемой частью требованиями к предприятию-заявителю. Таким образом, субъектом лицензирования становится лишь то физическое или юридическое лицо, которое представляет все необходимые и правильно оформленные документы и удовлетворяет соответствующим требованиям. За органом, уполномоченным на проведение лицензионной деятельности, закрепляется право на осуществление контроля за деятельностью лицензиата. Тестовое задание для самоконтроля № 3.1 3.2 Вопросы … - деятельность, заключающаяся в нахождении решений для повторяющихся задач в сферах науки, техники и экономики, направленная на достижения оптимальной степени упорядочения в определенной области. Важный результат стандартизации – улучшение … продукции или услуг их функциональному назначению. 28 Определите термин Определите термин № 3.3 3.4 3.5 3.6 Вопросы … – пригодность изделий или их систем к совместному использованию при определенных условиях для выполнения соответствующих требований, которая не вызывает при этом нежелательных последствий. Правовые основы стандартизации, обязательные для всех государственных органов управления, объектов хозяйственной деятельности и общественных объединений Российской Федерации, определены Законом «О стандартизации», принятым в: Качество средств и систем информатизации сегодня определяется: Основной задачей работ по стандартизации в сфере информатизации является создание … … , отражающей современный научно-технический уровень и тенденции развития средств и систем информатизации. Основной задачей работ по стандартизации в сфере информатизации является 3.7 29 Определите термин - 1993 году - 1998 году - 2000 году - качеством элементной базы средств информатизации - их безопасностью - совместимостью с другими средствами - архитектурой нормативной базы - создание нормативной базы, отражающей современный научно-технический уровень и тенденции развития средств и систем информатизации - подготовка квалифицированных кадров для работы в области информатизации. Рассмотрев основные понятия, связанные с процессом информатизации, и принципы организации этого процесса в России, перейдем к краткому анализу современного состояния информатизации России и ее перспективам - повышение деловой и № 3.8 3.9 3.10 Вопросы Применительно к информатизации стандартизация заключается в определении требований к средствам, системам, процессам и др., излагаемым в, соответствующим образом, … , обязательных для применения в установленной для них области действия. … – процедура, выполняемая третьей стороной, независимой от изготовителя (продавца) и потребителя продукции или услуг, по подтверждению соответствия этих продукции или услуг установленным требованиям. Сертификат … – документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям. Общие правовые основы сертификации продукции и услуг в Российской Федерации установлены Законом «О сертификации продукции и услуг». В этом Законе, указано, что сертификация проводится в целях: 3.11 3.12 Общие правовые основы сертификации продукции и услуг в Российской Федерации 30 общественной активности граждан путем предоставления равной с государственными структурами возможности Определите термин Определите термин соответствия Определите термин - создания условий для деятельности предприятий, учреждений, организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле + содействия потребителям в компетентном выборе продукции - создания нормативной базы, отражающей современный научно-технический уровень и тенденции развития средств и систем информатизации + подтверждения показателей качества продукции, заявленных изготовителем № Вопросы установлены Законом «О сертификации продукции и услуг». В этом Законе, указано, что сертификация проводится в целях: Основными целями сертификации средств информатизации, информационных технологий и услуг являются: 3.13 В нормативную базу сертификации средств и систем информатизации, информационных технологий и услуг включаются три группы документов: 3.14 31 + содействия потребителям в компетентном выборе продукции - повышения деловой и общественной активности граждан путем предоставления равной с государственными структурами возможности - защита пользователей средств и систем информатизации от приобретения средств и систем, в том числе импортных, которые представляют опасность для жизни, здоровья, имущества, а также для окружающей среды - обеспечение разработчиков систем, а также широкого круга пользователей этих систем достоверной информацией о состоянии отечественного и зарубежного рынков средств информатизации, телекоммуникаций, информационных технологий и услуг - повышение уровня правосознания граждан путем предоставления им свободного доступа к правовым и нормативным документам, определяющим их права, обязанности и возможности + нормативные документы на объекты сертификации, где устанавливаются характеристики объектов, подтверждаемые при сертификации - организационные структуры, обеспечивающие функционирование и развитие единого информационного пространства, в частности сбор, обработку, хранение, распространение, поиск и передачу информации - информационные технологии № Вопросы В нормативную базу сертификации средств и систем информатизации, информационных технологий и услуг включаются три группы документов: 3.15 32 - нормативные документы на методы испытаний для оценки характеристик объектов сертификации - средства информационного взаимодействия граждан и организаций, обеспечивающие им доступ к информационным ресурсам на основе соответствующих информационных технологий, включающие программно-технические средства и организационнонормативные документы - функциональное обеспечение Лекция 4 Тема 1. Основные понятия и термины в области стандартизации Национальная стандартизация. Международная стандартизация. Международные органы стандартизации. Проблемы информационной совместимости. Основные направления работ по стандартизации в сфере информатизации. Основные положения Государственного профиля взаимосвязи открытых систем России (ГОСПРОФИЛЬ ВОС). Для успешной деятельности в области стандартизации, как и в любой другой области науки и техники, необходима точная, обоснованная терминология. Поэтому в начале лекции, посвященной стандартизации, нам представляется целесообразным дать определения некоторым терминам, которые в дальнейшем будут использоваться. Стандарт. Международная организация по стандартизации (ИСО) приняла следующее определение: Стандарт - документ, составленный в сотрудничестве и с согласия или общего одобрения всех заинтересованных в этом сторон, основанный на использовании обобщенных результатов науки, техники и практического опыта, направленный на достижение оптимальной пользы для общества и утвержденный органом, занимающимся стандартизацией. Это определение включает лишь наиболее общие, характерные виды, в которые может быть воплощен стандарт, и указывает пути применения этого понятия. В России принята формулировка термина "стандарт", отражающая специфику стандартизации в нашей стране: Стандарт нормативно-технический документ, устанавливающий требования к продукции, правила, обеспечивающие ее разработку, производство и эксплуатацию, а также требования к другим объектам стандартизации. Стандарт может быть разработан как на материальные объекты (продукцию, эталоны, образцовые вещества и т.п.), так и на нормы, правила, требования к объектам организационнометодического и общественного характера. 33 Унификация - рациональное ограничение характеристик и (или) номенклатуры объектов материального производства, в результате которого повышается их взаимозаменяемость, совместимость и конструктивно-технологическое подобие, сокращаются затраты в производстве и эксплуатации. В зависимости от масштабов работы по стандартизации она может быть национальной и международной. Национальная стандартизация - это работа по стандартизации в масштабах одной страны. Международная стандартизация - это работа по стандартизации, в которой принимают участие несколько (два и более) суверенных государств. Результатом работы по международной стандартизации являются международные стандарты или рекомендации по стандартизации, используемые странами-участницами или прямо, или при создании или пересмотре национальных стандартов. При этом международная стандартизация может осуществляться в рамках двусторонних соглашений между двумя странами, многосторонних соглашений стран, относящихся к определенному региону или объединенных взаимными экономическими связями. Наиболее широкой по своим масштабам является международная стандартизация, осуществляемая международными организациями и в первую очередь в рамках Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК). Национальный стандарт - документ, принятый национальным органом по стандартизации. Основная его функция согласно статусу этого органа или законам государства заключается в разработке и(или) опубликовании национальных стандартов и(или) утверждении стандартов, подготовленных другими органами. Во всех странах мира национальные стандарты утверждаются на государственном уровне. Международный стандарт - стандарт, принятый международным органом, занимающимся стандартизацией. Среди таких органов наиболее представительными являются Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК). 34 В них входят соответственно 90 и 43 страны. Тестовое задание для самоконтроля № 4.1 4.2 4.3 4.4 4.5 Вопросы Международная организация по стандартизации (ИСО) приняла следующее определение: … - документ, составленный в сотрудничестве и с согласия или общего одобрения всех заинтересованных в этом сторон, основанный на использовании обобщенных результатов науки, техники и практического опыта, направленный на достижение оптимальной пользы для общества и утвержденный органом, занимающимся стандартизацией. В России принята формулировка, отражающая специфику стандартизации в нашей стране: … - нормативно-технический документ, устанавливающий требования к продукции, правила, обеспечивающие ее разработку, производство и эксплуатацию, а также требования к другим объектам стандартизации. … – рациональное ограничение характеристик и (или) номенклатуры объектов материального производства, в результате которого повышается их взаимозаменяемость, совместимость и конструктивнотехнологическое подобие, сокращаются затраты в производстве и эксплуатации. В зависимости от масштабов работы по стандартизации она может быть национальной и … . В зависимости от масштабов работы по стандартизации она может быть … и международной. 35 Определите термин Определите термин Определите термин Определите термин Определите термин № 4.6 4.7 4.8 4.9 Вопросы … стандартизация - это работа по стандартизации в масштабах одной страны. … стандартизация - это работа по стандартизации, в которой принимают участие несколько (два и более) суверенных государств. … … - документ, принятый национальным органом по стандартизации. Основная его функция согласно статусу этого органа или законам государства заключается в разработке и(или) опубликовании национальных стандартов и(или) утверждении стандартов, подготовленных другими органами. … … - стандарт, принятый международным органом, занимающимся стандартизацией. Среди таких органов наиболее представительными являются Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК). В них входят соответственно 90 и 43 страны. 36 Определите термин Определите термин Определите термин Определите термин Лекция 5 Тема 1. Международная национальная стандартизация в сфере информатизации Раздел 1.1. Международные органы стандартизации Известно более 300 международных и региональных организаций, занимающихся разработкой и публикацией стандартов (правил, норм, рекомендаций и т.п.) в различных областях науки, техники, внешнеторговых и экономических отношений стран мира. Приведем перечень наиболее известных организаций по разработке и применению международных стандартов в области информатизации. Международная организация по стандартизации (ИСО) - всемирная организация, ответственная за разработку международных стандартов путем координации деятельности участвующих национальных органов стандартизации из 90 стран мира. Стандарты ИСО разрабатываются в несколько этапов. Исходный документ представляется в виде проекта комитета ПРК (Committee Draft - CD). В рамках технического комитета (ТК) ИСО ПРК проходит, как правило, несколько стадий обсуждения и голосования, после чего документ приобретает статус проекта международного стандарта - ПМС (Draft International Standard - DIS). После одной или нескольких стадий обсуждения и голосования ПМС представляется в центральный секретариат ИСО для утверждения в качестве международного стандарта (International Standard). Задачи стандартизации в области информационной технологии в рамках ИСО решаются в рамках созданного в 1987 г. Совместного технического комитета СТК1 "Информационные технологии", в сферу деятельности которого входит стандартизация в области микроэлектроники, вычислительной техники, средств связи и передачи данных, включая стандартизацию технологии и оборудования. Этими вопросами занимаются несколько подкомитетов (ПК) СТК1, в 37 основном ПК6 "Передача данных и обмен информацией между системами", ПК21 "Взаимосвязь открытых систем, управление данными и открытая распределенная обработка", ПК2 "Наборы знаков и кодирование информации", ПК7 "Программная инженерия", ПК 18 "Обработка документов и соответствующие коммуникации", ПК22 "Языки программирования, их среды и системные программные интерфейсы", ПК24 "Машинная графика и обработка изображений", ПК25 "Взаимосвязь оборудования информационных технологий", ПК29 "Кодирование аудио-, видео-, мультимедиа и гипермедиа информации" и ПКЗО "Открытый электронный обмен данными". В общей сложности к концу 1997 г. силами перечисленных технических подкомитетов СТК1 разработано свыше 1000 международных стандартов и дополнений к ним. Определенный вклад в стандартизацию некоторых аспектов вычислительных сетей вносит Международная электротехническая комиссия (МЭК), которая несет ответственность за стандартизацию в области электротехники, включая вопросы взаимосвязи и интерфейсов оборудования определенных видов. Стандарты МЭК издаются под названием "Публикации". Вопросы стандартизации в рассматриваемой области решаются в рамках нескольких технических комитетов МЭК. В частности, ТК83 "Оборудование информационных технологий", созданный в 1985 г., до 1987 г. занимался в МЭК стандартизацией некоторых аспектов локальных вычислительных сетей (общие характеристики, классификация, руководство по планированию и установке и др.). В 1987 г. ТК83 вошел в состав ИСО/МЭК СТК1 в виде ПК83 с сохранением своего названия и функций, а в 1989 г. его функции были переданы вновь образованному ПК25 СТК1. Международный союз электросвязи (МСЭ) создан в 1965 г. (вначале как Международный телеграфный союз) с задачей разработки международных стандартов (называемых в МСЭ "Рекомендациями") в области радио- и проводных линий связи, телеграфии, телефонии, передачи данных, программ звукового и телевизионного вещания, мультимедийных служб, то есть практически по всем вопросам электросвязи. 38 До 28 февраля 1993 г. в состав МСЭ входили три комитета: Международный консультативный комитет по телеграфии и телефонии (МККТТ), Международный консультационный комитет по радиосвязи (МККР). Институт инженеров по электротехнике и радиоэлектронике (IEEE) - профессиональный орган представителей инженеров США и других стран -разрабатывает значительное число рабочих документов в некоторых областях стандартизации, в частности в области локальных вычислительных сетей. Ассоциация электронной промышленности (EIA), США, внесла заметный вклад в разработку и стандартизацию интерфейсов систем передачи данных. Стандарты EIA издаются под названием "Рекомендуемые стандарты" (Recommended Standards - RS). Американский национальный институт по стандартизации (ANSI) разработал ряд стандартов по протоколам управления звеном данных, которые легли в основу многих стандартов ИСО. Из фирменных разработок следует выделить документы фирмы IBM по протоколам управления звеном данных и по концепции сетевой архитектуры системы SNA, которые стали фактически стандартами для промышленности средств передачи и обработки данных и послужили основой международных стандартов ИСО. Раздел 1.2. Международная стандартизация и проблемы информационной совместимости Началом процесса информационной совместимости явилось, вопервых, появление достаточного количества вычислительных машин и, во-вторых, развитие целого ряда сетевых архитектур и проблем взаимосвязи между ними. Исторически складывалось так, что каждая страна и даже фирма развивали свою собственную сетевую концепцию. Хотя в основу каждой из них были положены одни и те же принципы, они оказывались несовместимы друг с другом. Каждая отрасль развивала свои собственные протоколы 39 и форматы обмена данными, например различные архитектуры обмена документами: архитектура учрежденческих документов (ODA), архитектура банковских документов (система SWIFT), архитектура документов в торговле, промышленности и на транспорте (система EDIFACT) и др. Несмотря на то, что специфика каждой отрасли отражалась лишь на небольшой доле соответствующих протоколов, их независимое развитие привело к тому, что они оказались во многом несовместимы между собой. Точно так же форматы и структуры файлов в различных системах оказывались полностью несовместимы, хотя имелась практическая потребность их объединения в один крупный прикладной процесс. Полное или частичное отсутствие взаимодействующих конфигураций стало общей проблемой. В начале 70-х годов с ростом знаний о вычислительных сетях возможности и проблемы их использования стали очевидны. К концу 70-х годов отсутствие взаимодействия и совместимости между различными машинами стало острой проблемой в коммуникационной сфере. Пользователи были "замкнуты" на конкретные решения поставщиков, стоимость разработки собственного программного обеспечения была очень высокой, небольшие поставщики не могли конкурировать на всемирном рынке изделий и т.п. Для обеспечения взаимодействия между любыми двумя машинами в 70-х годах необходимо было разрабатывать специализированные интерфейсы; с ростом числа машин число необходимых интерфейсов возросло до неприемлемо высокого уровня. Кроме того, на начальном этапе развития информационных технологий многие небольшие изменения, модификации или расширения сети (например, замена телеграфного канала связи на телефонный) приводили к необходимости существенных переделок остальной части сети замене целых устройств, адаптеров или разработке новых программ. В конце 70-х годов Международная организация по стандартизации (ИСО) начала разработку общей базовой эталонной модели, которая затем получила статус международного стандарта ИСО 7498. В последующие годы к этому стандарту был разработан ряд дополнений, которые в 40 1993 г. вошли во второе расширенное издание ИСО/МЭК 74981. В эталонной модели все многочисленные функции сети были подразделены на группы, где каждая группа функций была отделена от другой группы стандартными интерфейсами и получила относительную независимость таким образом, что отдельное изменение или модификация сети должны были приводить лишь к изменениям в рамках ограниченной группы функций, не затрагивая остальной части сети. Независимо от ИСО Международный консультативный комитет по телеграфии и телефонии (МККТТ) начал работы по стандартизации взаимодействия на основе электросвязи. В связи с потребностями в определяемых и поддерживаемых на общем уровне коммуникационных связных возможностей работы быстро продвигались в направлении набора соглашений, также основанных на архитектуре взаимосвязи открытых систем (ВОС). Существо архитектуры открытых систем состоит в использовании стандартных интерфейсов между разнородными аппаратными и программными компонентами систем. Для поставщиков и пользователей систем и сетей ВОС дает существенные выгоды, которые могут быть реализованы через правительственные (государственные) профили ВОС. Под профилем здесь понимается набор согласованных между собой базовых стандартов. Общеизвестно, что на любом национальном рынке крупнейшим пользователем, как правило, является правительство, которое проявляет такой же большой интерес к открытым системам, как и крупные корпорации-пользователи. Правительственные профили взаимосвязи открытых систем (Government Open Systems Interconnection Profile GOSIP) возникли в результате появившихся потребностей упростить и облегчить процесс ассимиляции технологии ВОС в федеральных правительственных службах. Федеральные службы могут иметь сотни разнообразных промежуточных систем, частично или полностью не взаимодействующих между собой. Образованная в результате 41 неоднородная среда может проявить сильную несовместимость с точки зрения оборудования, программного обеспечения данных и коммуникационных возможностей. Эта несовместимость может привести к неэффективности, низкой производительности, большим затратам. Это как раз те проблемы, которые должен решить GOSIP. GOSIP определяет и описывает общую совокупность протоколов обмена данными, которые позволяют системам, разработанным различными поставщиками, взаимодействовать между собой, а пользователям различных, прикладных программ этих систем обмениваться информацией. Сейчас в мире уже доступен широкий набор изделий, реализующих протоколы ВОС. Например, почти каждый основной разработчик компьютеров в США, в том числе фирма IBM, объявили о производстве совместимых с GOSIP изделий. Все протоколы, на которые ссылается GOSIP, обладают многими общими характеристиками. К ним относятся: • широкая применимость (общее использование не только службами отдельной страны, но и на всемирной основе); • доступность (реализации либо уже существуют, либо появятся в ближайшее время); • стабильность (протоколы технически "заморожены" и в предсказуемом будущем их изменений не предвидится); • эффективность (протоколы могут удовлетворять общим потребностям федеральных служб). В России работы по проблеме открытых систем ведутся рядом ведущих институтов Минсвязи России, Госстандарта России и Российской академии наук. Одним из результатов этих работ является создание Государственного профиля взаимосвязи открытых систем - "ГОСПРОФИЛЬ ВОС России" основные положения которого будут рассмотрены далее. Раздел 1.3. Основные принципы организации работ по стандартизации в России Работы по стандартизации в России осуществляются на основе принятого в 1995 году Закона Российской Федерации "О 42 стандартизации" и комплекса стандартов Государственной системы стандартизации. К нормативным документам по стандартизации, действующим на территории Российской Федерации, относятся: • государственные стандарты Российской Федерации; • применяемые в установленном порядке международные (региональные) стандарты, правила, нормы и рекомендации по стандартизации; • общероссийские классификаторы техникоэкономической информации; • стандарты отраслей; • стандарты предприятий; • стандарты научно-технических, инженерных обществ и других общественных объединений. В соответствии с действующими нормативными документами стандартизация должна основываться на стремлении всех заинтересованных сторон, разрабатывающих, изготавливающих и потребляющих продукцию, к достижению взаимного согласия. Государственные стандарты разрабатываются на продукцию, работы и услуги, имеющие межотраслевое значение. Требования, устанавливаемые государственными стандартами для обеспечения безопасности продукции, работ и услуг, для охраны окружающей среды, жизни, здоровья и имущества, для обеспечения технической и информационной совместимости, взаимозаменяемости продукции, единства методов контроля и единства маркировки, а также другие требования, установленные законодательством Российской Федерации, являются обязательными для соблюдения государственными органами управления, субъектами хозяйственной деятельности. Иные требования государственных стандартов к продукции, работам и услугам подлежат обязательному соблюдению субъектами хозяйственной деятельности в силу договора либо в том случае, если об этом указывается в технической документации изготовителя (поставщика) продукции или исполнителя работ и услуг. Общее руководство работами по стандартизации в Российской Федерации возложено на Госстандарт России. В его 43 ведении, в частности, находятся согласование и утверждение проектов стандартов на средства и системы информатизации. Вся практическая работа по координации стандартизации в сфере информатизации, разработке и согласованию с Госстандартом России проектов стандартов в сфере информатизации, а также вводу стандартов в действие после утверждения возложена на Минсвязи России. Тестовое задание для самоконтроля № 5.1 5.2 5.3 5.4 5.5 Вопрос Ответы … … … … - всемирная организация, ответственная за разработку международных стандартов путем координации деятельности участвующих национальных органов стандартизации из 90 стран мира. Задачи стандартизации в области информационной технологии в рамках ИСО решаются в рамках созданного в 1987 г. Совместного технического комитета, в сферу деятельности которого входит стандартизация в области: Американский национальный институт по стандартизации (ANSI) разработал ряд стандартов по протоколам управления звеном данных, которые легли в основу следующего стандарта: Существо архитектуры открытых систем состоит в использовании стандартных … между разнородными аппаратными и программными компонентами систем. Существо архитектуры открытых систем состоит в использовании стандартных интерфейсов между разнородными … и … компонентами систем. 44 Определите термин - микроэлектроники - вычислительной техники - нанотехнологии + ИСО - IEEE - ANSI Определите термин Определите термин № 5.6 5.7 5.8 5.9 5.10 5.11 5.12 Вопрос Ответы Все протоколы, на которые ссылается GOSIP, обладают многими общими характеристиками. К ним относятся: К нормативным документам по стандартизации, действующим на территории Российской Федерации, относятся: К нормативным документам по стандартизации, действующим на территории Российской Федерации, относятся: … … … … - всемирная организация, ответственная за разработку международных стандартов путем координации деятельности участвующих национальных органов стандартизации из 90 стран мира. Задачи стандартизации в области информационной технологии в рамках ИСО решаются в рамках созданного в 1987 г. Совместного технического комитета, в сферу деятельности которого входит стандартизация в области: Американский национальный институт по стандартизации (ANSI) разработал ряд стандартов по протоколам управления звеном данных, которые легли в основу следующего стандарта: Существо архитектуры открытых систем состоит в использовании стандартных … между разнородными аппаратными и программными компонентами систем. 45 - широкая применимость (общее использование не только службами отдельной страны, но и на всемирной основе) - доступность (реализации либо уже существуют, либо появятся в ближайшее время) - государственные стандарты Российской Федерации - применяемые в установленном порядке международные (региональные) стандарты, правила, нормы и рекомендации по стандартизации - стандарты предприятий - стандарты научно-технических, инженерных обществ и других общественных объединений Определите термин - микроэлектроники - вычислительной техники - нанотехнологии + ИСО - IEEE - ANSI Определите термин № 5.13 5.14 5.15 5.16 Вопрос Ответы Существо архитектуры открытых систем состоит в использовании стандартных интерфейсов между разнородными … и … компонентами систем. Все протоколы, на которые ссылается GOSIP, обладают многими общими характеристиками. К ним относятся: К нормативным документам по стандартизации, действующим на территории Российской Федерации, относятся: Задачи стандартизации в области информационной технологии в рамках ИСО решаются в рамках созданного в 1987 г. Совместного технического комитета, в сферу деятельности которого входит стандартизация в области: 46 Определите термин - широкая применимость (общее использование не только службами отдельной страны, но и на всемирной основе) - доступность (реализации либо уже существуют, либо появятся в ближайшее время) - государственные стандарты Российской Федерации - применяемые в установленном порядке международные (региональные) стандарты, правила, нормы и рекомендации по стандартизации - микроэлектроники - вычислительной техники - нанотехнологии Лекция 6 Тема 1. Основные направления работ по стандартизации в сфере информатизации Раздел 1.1. Основные направления работ Зарубежные страны, используя накопленный мировой опыт в области информационных технологий в лице Международной организации по стандартизации (ИСО) и разработав свои государственные профили взаимосвязи открытых систем на базе стандартов ИСО, получили, по экспертным оценкам, экономический эффект в 5$ на каждый затраченный на стандартизацию 1$. Специалистами было подсчитано, что каждый рубль, вложенный в работу по стандартизации в нашей стране, может приносить в области стандартизации информационных технологий эффект порядка 10 руб. Двукратное значение российского экономического эффекта объясняется тем, что не требуется дополнительных затрат на переделку ранее разработанных в России информационных технологий под мировой уровень ввиду практического отсутствия собственных разработок. Другое дело в ведущих зарубежных странах: к концу 80-х годов в каждой из стран было наработано огромное количество технических и программных средств, сетей, систем, частично совместимых с эталонной моделью ВОС ИСО. Поэтому потребовались значительные капиталовложения на доработку, переделку и на разработку соответствующих приспособлений существующих информационных технологий применительно к эталонной модели ВОС ИСО. В России фонд действующих государственных стандартов в области информационных технологий включает более 300 стандартов, которые охватывают основные аспекты разработки информационных систем. Однако следует отметить, что по отдельным группам стандартов отсутствует комплексность охвата объектов стандартизации, а по ряду групп действующие стандарты требуют пересмотра с учетом 47 современных требований. Особого внимания требует расширение применения международных стандартов. Так, по состоянию на 1998 год по различным направлениям информационных технологий и смежных областей (вычислительная техника, системы связи и передачи данных, радиоэлектронные средства, открытые системы, программная инженерия и др.) в России действовали свыше 700 государственных стандартов, обеспечивающих применение в стране около 400 международных стандартов. Это составляет всего 25% от общего числа международных стандартов ИСО, МЭК, МККТ, МККР, актуальных для применения в данной области. Программой по стандартизации в сфере информатизаци предусматривается сотрудничество с международными организациями по стандартизации при проведении работ по трем приоритетным для Российской Федерации направлениям стандартизации информационных технологий, краткие сведения о которых мы приводим низке. Направления 1-го приоритета • Языки программирования и программный интерфейс. Участие России в разработке международных стандартов по данной тематике позволяет поддерживать те направления российской математической школы, которые имеют традиционно устойчивую позицию, а также разрабатывать новые языки для перспективных направлений программирования. • Языки описания документов. Стандартизация в данной области позволяет обеспечить необходимую нормативную базу, поддерживающую создание, хранение и обращение документов в открытых системах, включая элементы доступа при поиске информации. • Программная инженерия. Данное направление стандартизации представляется особо важным для России в ближайшей перспективе. В сочетании с сертификацией и внедрением систем качества, соответствующих требованиям международных стандартов, участие в разработке и применении этой группы стандартов дает отечественным разработчикам, а также изготовителям и поставщикам программных средств 48 возможность повысить качество и конкурентоспособность своей продукции как на внутреннем, так и на внешнем рынках. • Сервисы управления данными. Данное направление является перспективным в плане создания и развития отечественных систем распределенных баз данных и формирования национальных информационных ресурсов федерального, регионального и местного уровней в структуре Единого информационного пространства России. • Работа в сетях, и соответствующие соединения. Работы в данном направлении позволят стандартизовать функции, необходимые для установления и управления информационным обменом через сети и физические интерфейсы. • Безопасность информационных технологий. Работы в области безопасности информационных технологий позволяют создать комплект стандартов, поддерживающих методы и средства обеспечения безопасности, в первую очередь на уровне личности и различных общественных групп. Данное направление является одним из важнейших с учетом бурного роста информационного обмена между компонентами всех уровней и перспективы развития Российской и Глобальной информационной инфраструктуры, включая Интернет. • Терминология. Это направление предполагает разработку терминологии для информационных технологий и связанных областей. Направления 2-го приоритета • Сбор данных и системы идентификации. Работы в данной области позволяют создать комплект стандартов, поддерживающих разработку идентификационных карт и соответствующих устройств для использования в межотраслевых приложениях и в международном обмене (например, как платежное средство в банковском деле), а также методы и средства для процесса автоматической идентификации и сбора данных, в частности с использованием штрихкодов. • Мультимедиа и представление информации. Стандартизация в данной области позволяет обеспечить необходимую нормативную базу, поддерживающую кодированное представление, обработку и обмен аудио, изображениями, 49 мультимедиа и гипермедиа информацией для разнообразных приложений. • Пользовательский интерфейс. Работы в данной области позволяют создать комплект стандартов, поддерживающих пользовательский интерфейс для интерактивной деятельности в локальных и распределенных средах с использованием аудио, изображений, мультимедиа и гипермедиа информации, включая специальные интерфейсы для людей, имеющих физические недостатки или работающих в специфических условиях. • Офисное оборудование. Стандартизация в данной области позволяет обеспечить необходимую нормативную базу, поддерживающую адекватный уровень требований к эксплуатационным характеристикам и методам тестирования офисного оборудования (принтеры, копировальное оборудование, цифровые сканеры, факсимильное оборудование и их комбинации). • Кодированные наборы символов. Стандартизация в данной области позволяет обеспечить необходимую нормативную базу, поддерживающую множества графических символов и их кодированное представление для обеспечения одно- и многоязыковых функций при работе с информацией (интернационализация). Направления 3-го приоритета • Среды для информационного обмена. Работы в данной области включают стандарты, поддерживающие требования к оптическим и магнитным носителям данных и соответствующим устройствам на их основе, обеспечивающим хранение и обмен данными в системах обработки информации. • Геоинформационные технологии. Предусматривают развитие системы стандартов, направленных на повышение качества электронных карт и соответствие их требованиям международных стандартов, на сокращение трудоемкости и сроков изготовления электронных карт для создания предпосылок совместимости различных геоинформационных систем и в перспективе создания национальной базы геоинформационных данных. • Информационные технологии в охране здоровья. 50 Для Российской Федерации это направление представляется одним из приоритетных, особенно если иметь в виду невысокий уровень здоровья и продолжительности жизни, а также проблемы, связанные с малой плотностью населения и низкой обеспеченностью врачами вне больших городов. Завершая рассмотрение приведенных выше направлений стандартизации, необходимо отметить, что их реализация в первую очередь ориентирована на устранение имеющегося разрыва между базами стандартов информационных технологий в России и в ведущих странах мира. Раздел 1.2. Работы по стандартизации, проводимые Минсвязи России Общеизвестно, что без стандартизации элементов информационных технологий и компонентов информационной инфраструктуры невозможна всеобщность и эффективность информатизации и решение проблем интеграции информационной среды. Поэтому министерством на протяжении последних десяти лет систематически проводились НИОКР по проблеме стандартизации информационных технологий. Эти работы, включенные в основные направления деятельности министерства, как правило, проводились его головными организациями по стандартизации с привлечением в качестве соисполнителей других организаций и ведомств. С 1993 г. по настоящее время подведомственные Минсвязи России предприятия разработали 171 ГОСТ Р, из которых 160 ГОСТ Р утверждены Госстандартом России. В 1997 г. предприятиями Госкомсвязи России совместно со специалистами Российской академии наук и Госстандарта России разработана первая версия ГОСПРОФИЛЯ ВОС России, которая была рассмотрена и одобрена Коллегией Госкомсвязи России. Коллегия постановила разработать вторую версию ГОСПРОФИЛЯ ВОС России и Программу стандартизации на 1999-2000 гг. Вторая версия ГОСПРОФИЛЯ ВОС России была разработана в 1998г. Предприятия министерства совместно со специалистами 51 Госстандарта России и других ведомств оптимизировали процесс стандартизации и разработали: • Концепцию комплексной стандартизации в области информационных технологий; • Программы комплексной стандартизации в области информатизации на период 1993-1995 гг., на период 1996-1998 гг. и на период 1999-2000 гг., содержащие соответственно 772, 980 и 1019 стандартов; • Аннотированную базу данных международных стандартов в области информатизации; • Полнотекстовую базу государственных стандартов России (ГОСТ Р), разработанных на базе международных стандартов. Выпущена на CD-ROM; • Ежегодные государственные и отраслевые планы стандартизации в области информатизации; • Сформировали информационный фонд государственных и международных стандартов, их проектов (ПМС) и дополнений (на бумажных и магнитных носителях). Предприятия Минсвязи России ведут работы по стандартизации в рамках Технического комитета "Информационные технологии" (ТК 22). При выполнении работ по проблеме "Открытые информационные системы" в области стандартизации информационных технологий предприятия министерства активно участвуют в работе международных форумов, конференций, всесоюзных симпозиумов, семинаров, сессий и секций САНИ РАН, МИИТ, Российской академии Госслужбы, Минобороны и др. Раздел 1.3. Основные положения государственного профиля взаимосвязи открытых систем России Одним из действенных элементов практической реализации государственной политики информатизации средствами стандартизации по предотвращению проникновения на российский рынок несовместимых информационных технологий и обеспечения выхода России в мировое информационное пространство является создание 52 Государственного профиля взаимосвязи открытых систем России (ГОСПРОФИЛЬ ВОС) в виде соответствующего структурированного комплекса нормативных документов на основе базовых международных стандартов и международных стандартизованных профилей. Государственный профиль взаимосвязи открытых систем России (ГОСПРОФИЛЬ ВОС, версии 1 и 2) был разработан Госкомсвязи России на основе анализа и систематизации более 500 базовых и функциональных международных стандартов, "Правительственных профилей взаимосвязи открытых систем" (GOSIP) различных стран и объединений, в первую очередь GOSIP США, с учетом особенностей состояния и потребностей развития информатизации в Российской Федерации. Объединенные в ГОСПРОФИЛЕ ВОС протоколы ВОС устраняют зависимость пользователей от отдельного поставщика при покупке новых сетевых изделий и услуг и содействуют взаимодействию в среде изделий различных поставщиков. Поскольку ГОСПРОФИЛЬ ВОС имеет дело с функциональными возможностями обмена данными, а не с конкретной конфигурацией, то на функциональные возможности ГОСПРОФИЛЯ ВОС не налагается никаких ограничений со стороны технических, программных средств или операционной системы. Это означает, что ГОСПРОФИЛЬ ВОС может быть применим ко всем типам систем и во всех функциональных средах. Размеры системы не имеют значения для ГОСПРОФИЛЯ ВОС; не имеет значения также используемая коммуникационная среда. ГОСПРОФИЛЬ ВОС обеспечивает две основные возможности. Во-первых, он позволяет пользователям запрашивать стандартные прикладные программы, функционирующие через стандартные сети. Во-вторых, ГОСПРОФИЛЬ ВОС обеспечивает надежные услуги между оконечными пользователями, пользуясь которыми пользователи могут записать свои собственные прикладные программы. 53 Существенным фактором является то, что ГОСПРОФИЛЬ ВОС преднамеренно ориентирован на обеспечение общего набора функций, которые могут использоваться почти в любой системе. Стандартные сети могут быть объединены для создания крупной, соответствующей ГОСПРОФИЛЮ ВОС, интерсети. В целом, с учетом изложенного выше, ГОСПРОФИЛЬ ВОС в общем случае применим к любой среде обработки данных. В целом можно сказать, что принятие ГОСПРОФИЛЯ ВОС будет означать, что пользователи получат более высокую степень контроля над долгосрочным планированием. Прогнозы по стоимости и ресурсам на будущее могут быть даны с большой достоверностью. Это может повысить общую эффективность работы пользователей госструктур и крупных объединений, даст им возможность в большей степени сосредоточиться на приоритетах долгосрочных программ по информатизации. Тестовое задание для самоконтроля № 6.1 6.2 6.3 Вопрос Ответы По скольким приоритетным для Российской Федерации направлениям стандартизации информационных технологий предусматривается сотрудничество с международными организациями по стандартизации при проведении работ? К первому приоритетному для Российской Федерации направлению стандартизации информационных технологий относится: Ко второму приоритетному для Российской Федерации направлению стандартизации информационных технологий относится: 54 -3 -4 -5 - языки программирования и программный интерфейс + языки описания документов - сбор данных и системы идентификации - мультимедиа и представление информации - программная инженерия - сервисы управления данными - пользовательский интерфейс - офисное оборудование № 6.4 6.5 6.6 6.7 Вопрос Ответы К третьему приоритетному для Российской Федерации направлению стандартизации информационных технологий относится: … … и программный интерфейс. Участие России в разработке международных стандартов по данной тематике позволяет поддерживать те направления российской математической школы, которые имеют традиционно устойчивую позицию, а также разрабатывать новые языки для перспективных направлений программирования. Языки … … . Стандартизация в данной области позволяет обеспечить необходимую нормативную базу, поддерживающую создание, хранение и обращение документов в открытых системах, включая элементы доступа при поиске информации. … … . Данное направление стандартизации представляется особо важным для России в ближайшей перспективе. В сочетании с сертификацией и внедрением систем качества, соответствующих требованиям международных стандартов, участие в разработке и применении этой группы стандартов дает отечественным разработчикам, а также изготовителям и поставщикам программных средств возможность повысить качество и конкурентоспособность своей продукции как на внутреннем, так и на внешнем рынках. 55 - геоинформационные технологии - информационные технологии в охране здоровья - программная инженерия - сервисы управления данными Определите термин Определите термин Определите термин Лекция 7 Тема 1. Сертификация средств информатизации в Российской Федерации Раздел 1.1. Основные понятия и термины в области сертификации В первой главе было дано определение собственно понятию сертификация и понятию сертификат соответствия. Ниже приводятся еще несколько терминов, знание которых необходимо для понимания сущности процедуры сертификации. Система сертификации - система, располагающая собственными правилами процедуры и управления для проведения сертификации. Орган по сертификации - орган, проводящий сертификацию соответствия. Орган по сертификации может сам проводить испытания или же осуществлять надзор за этой деятельностью, проводимой по его поручению другими органами. Испытательная лаборатория - лаборатория (центр), который проводит испытания в процессе сертификации. Аккредитация (испытательной лаборатории или органа по сертификации) - процедура, посредством которой уполномоченный в соответствии с законодательными актами Российской Федерации орган официально признает возможность выполнения испытательной лабораторией или органом по сертификации конкретных работ в заявленной области. Знак соответствия (в области сертификации) защищенный в установленном порядке знак, применяемый или выданный в соответствии с правилами системы сертификации, указывающий, что обеспечивается необходимая уверенность в том, что данная продукция, процесс или услуга соответствует конкретному стандарту или другому нормативному документу. Технические условия (ТУ) - документ, устанавливающий технические требования, которым должна удовлетворять продукция, процесс или услуга. ТУ могут быть 56 стандартом, частью стандарта или самостоятельным документом. В Законе "О сертификации продукции и услуг" определены два вида сертификации: обязательная и добровольная. Обязательной сертификации подлежит продукция, включенная в перечни, определяемые соответствующими нормативными документами. Организационная структура системы сертификации в России включает: государственный (национальный) орган по сертификации, ведомственные органы по управлению сертификацией продукции определенных классов, а также испытательные центры (лаборатории). Основными функциями государственного органа по сертификации являются организация, координация, научно-методическое, информационное и нормативно-техническое обеспечение работ по испытаниям и сертификации, а также аккредитация центров сертификационных испытаний в соответствии с полномочиями национального органа по сертификации. Ведомственные органы сертификации выполняют те же функции в ограниченном объеме для конкретных видов продукции. Национальным органом по сертификации продукции в Российской Федерации является Госстандарт России, который осуществляет следующие функции: • организует ведение обязательной сертификации продукции по поручению органов законодательной или исполнительной власти; • организует и финансирует разработку, а также утверждает основополагающие нормативно-технические и методические документы системы сертификации; • утверждает документы, устанавливающие порядок сертификации конкретных видов продукции; • проводит аккредитацию испытательных центров (лабораторий) совместно с ведомственными органами по сертификации и выдает аттестат аккредитации; • признает иностранные сертификаты соответствия, осуществляет взаимодействие с соответствующими уполномоченными органами других стран и международных организаций по вопросам сертификации; 57 • регистрирует и аннулирует сертификаты соответствия и сертификационные лицензии, рассматривает спорные вопросы, возникающие в процессе сертификации; • организует периодическую публикацию информации по сертификации. Основой сертификации продукции в Российской Федерации является Система сертификации ГОСТ Р Госстандарта России. Этой системой, в частности, определяются правила создания и регистрации ведомственных систем сертификации для конкретных классов продукции. Раздел 1.2. Организация работ по сертификации средств и систем информатизации в Российской Федерации В соответствии с действующими законодательными и нормативными документами сертификация средств информатизации проводится в Российской Федерации в следующих основных направлениях: • обязательная сертификация средств информатизации на соответствие требованиям электромагнитной совместимости, а также требованиям, обеспечивающим безопасность жизни, здоровья, имущества потребителей и охрану среды обитания; • обязательная сертификация средств защиты информации; • добровольная сертификация функциональных параметров средств и систем информатизации, по номенклатуре и характеристикам, устанавливаемым отраслевыми (фирменными) стандартами, и учитывающим различные аспекты применения аппаратуры и программного обеспечения. Рассмотрим основные особенности выделенных направлений сертификации в сфере информатизации. В соответствии с действующими законодательными и нормативными документами выполнение работ по сертификации средств информатизации в данном направлении возложено на Госстандарт России. В 1994 году Госстандарт России ввел в действие нормативный документ "Номенклатура 58 продукции и услуг, подлежащих обязательной сертификации в Российской Федерации". Этот документ ежегодно пересматривается и уточняется с учетом практики, условий торговли, производства и тенденций научно-технического развития. Указанным документом к продукции, подлежащей обязательной сертификации в рассматриваемом направлении, отнесены следующие средства информатизации: • вычислительные машины и комплексы; • персональные ЭВМ; • устройства внешней памяти, ввода-вывода и отображения информации; • устройства подготовки и телеобработки данных. Поскольку основу сертификации по параметрам безопасности составляют общие требования к оборудованию, остановимся подробнее на специфической для средств информатизации характеристике электромагнитной совместимости. Обеспечение электромагнитной совместимости заключается в выполнении требований по допустимым уровням электромагнитных помех, создаваемых функционирующими средствами, и требований к помехоустойчивости технических средств при воздействии внешних электромагнитных помех. Невыполнение требований электромагнитной совместимости приводит к неэффективному использованию радиочастотного спектра, являющегося хотя и не расходуемым, но ограниченным ресурсом, к различным нарушениям в работе технических средств, а в ряде случаев и к аварийным ситуациям. Сертификация средств информатизации по требованиям электромагнитной совместимости и параметрам безопасности возложена на Госстандарт России и проводится органами (центрами) сертификации, аккредитованными Госстандартом в рамках Системы сертификации ГОСТ Р. Вы, вероятно, не раз встречали в рекламных объявлениях по продаже компьютеров фразу "Товар сертифицирован". Иногда в рекламе указывается и регистрационный номер сертификата соответствия, например, "Сертификат соответствия № РОСС RU.ME67.B00373". Речь в этих случаях 59 идет именно о сертификации по требованиям электромагнитной совместимости и параметрам безопасности. Для получения подобного сертификата изготовитель или поставщик технических средств информатизации должен обратиться в аккредитованный Госстандартом России орган сертификации, представив комплект документов, определяемый правилами сертификации. Орган сертификации организует проведение соответствующих испытаний (проверок) и при положительном результате испытаний выдает сертификат соответствия. В тексте сертификата указываются конкретные виды требований, по которым проведены испытания, и соответствующие им нормативные документы. Необходимо иметь в виду, что сертификат соответствия по требованиям электромагнитной совместимости и параметрам безопасности является необходимым, но в ряде случаев недостаточным условием полноты сертификации средств информатизации. Это объясняется тем, что данный сертификат соответствия практически не затрагивает функциональных характеристик объекта и соответствия их современным требованиям. Такой сертификат дает вам только определенную уверенность в том, что предлагаемое оборудование не создает недопустимого уровня помех и безопасно в эксплуатации. Упрощенно говоря, объект может не выполнять ряда возложенных на него, согласно имеющейся документации, функций или выполнять их некачественно, но, в полном соответствии с установленными правилами, может получить сертификат по электромагнитной совместимости и безопасности. Сертификация средств информатизации по функциональным характеристикам будет рассмотрена нами в следующих разделах. Раздел 1.3. Обязательная сертификация средств защиты информации Законом "Об информации, информатизации и защите информации" определено, что информационные ресурсы, то 60 есть отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно, в пределах своей компетенции, устанавливать режим защиты информационных ресурсов и доступа к ним. Российская Федерация и ее субъекты являются собственниками информационных ресурсов, создаваемых за счет средств федерального бюджета и бюджетов субъектов Российской Федерации. Законом "Об информации, информатизации и защите информации" введено также понятие документированной информации с ограниченным доступом, которая подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (то есть представляющую коммерческую, личную, служебную и другие тайны). В соответствии с положениями этого закона собственник информационных ресурсов, содержащих государственную тайну, вправе распоряжаться этой собственностью только с разрешения соответствующих органов государственной власти. Таким образом, законодательно определяется некоторая категория информации, которая требует определенных ограничений в ее использовании, а сама информация требует защиты. Целями защиты информации упомянутый Закон определяет: • предотвращение утечки, хищения, утраты, искажения, подделки информации; • предотвращение угроз безопасности личности, общества, государства; • предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; • предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной 61 информации как объекта собственности; • защиту конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; • сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; • обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения. Государство, владея информацией, представляющей национальное достояние или содержащей сведения ограниченного доступа, неправомерное обращение с которой может нанести ущерб ее собственнику, изыскивает специальные меры, обеспечивающие контроль ее использования и качества защиты. Одной из таких мер является сертификация средств защиты информации. Необходимость сертификации средств защиты, применяемых при обработке информации, составляющей государственную тайну, закреплены в Законе Российской Федерации "О государственной тайне". Сертификации подлежат защищенные технические, программно-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства контроля эффективности защиты. Обязательной сертификации подлежат средства, в том числе и иностранного производства, предназначенные для обработки информации с ограниченным доступом, и прежде всего составляющей государственную тайну, а также использующиеся в управлении экологически опасными объектами, вооружением и военной техникой и средства их защиты. Наличие у владельца информационной системы сертифицированных средств обработки информации является гарантией надежности ее защиты и дает ему преимущества при осуществлении страхования. Порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом установлен Положением "О сертификации средств защиты информации", утвержденным Постановлением Правительства 62 Российской Федерации от 26 июня 1995 года № 608 (текст этого Положения приводится во второй части книги). Это Положение определяет области деятельности и сферу компетенции различных государственных органов при сертификации средств защиты информации. Основной объем работ по сертификации средств защиты информации в пределах Российской Федерации возлагается на Гостехкомиссию России и Федеральное агентство правительственной связи и информации (ФАПСИ). Координация работ по организации сертификации этой продукции возложена на Межведомственную комиссию по защите государственной тайны. Мы думаем, что на роли и общих задачах ФАПСИ здесь нет необходимости останавливаться подробно, поскольку они, в допустимых пределах, достаточно широко освещаются в печати. А вот название такого государственного органа, как Гостехкомиссия России, некоторым из наших читателей, возможно, незнакомо. Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) является федеральным органом исполнительной власти, осуществляющим межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты информации некриптографическими методами. Непосредственное подчинение Президенту Российской Федерации обеспечивает независимость Гостехкомиссии России от региональных, ведомственных и корпоративных влияний, гарантирует соответствие ее деятельности высшим государственным интересам. Гостехкомиссия России коллегиальный орган. В ее состав входят министры, председатели государственных комитетов, первые заместители (заместители) этих руководителей. Решения Гостехкомиссии России являются обязательными для исполнения всеми органами государственного управления, предприятиями, организациями и учреждениями независимо от их организационно-правовой формы и формы собственности, которые по роду своей деятельности обладают информацией, составляющей государственную или служебную тайну. Директивными документами, в частности уже упо- 63 минавшимся Положением "О сертификации средств защиты информации" установлено, что: В ведении Гостехкомиссии России находится сертификация программных и технических средств защиты информации, не использующих методы криптографии (шифрования), а в ведении ФАПСИ - сертификация средств защиты информации, использующих эти методы. В соответствии с установленным распределением сфер деятельности Гостехкомиссии России и ФАПСИ в Российской Федерации созданы и функционируют две системы сертификации средств защиты информации: • "Система сертификации средств защиты информации по требованиям безопасности информации", разработанная Гостехкомиссией России и зарегистрированная Госстандартом за № РОСС RU.OOOI.OIBHOO; • "Система сертификации средств криптографической защиты информации (СКЗИ)", разработанная ФАПСИ и зарегистрированная Госстандартом за № РОСС RU.OOO 1.030001. Эти системы сертификации технических и программных средств направлены на защиту интересов государства и государственного информационного ресурса, а также интересов и прав собственников и владельцев информации — предпринимателей и граждан России, потребителей продукции и услуг от недобросовестной работы исполнителей. Раздел 1.4. Добровольная сертификация по функциональным параметрам Добровольная сертификация применяется для средств информатизации, не подлежащих в соответствии с законодательными актами Российской Федерации обязательной сертификации, и проводится по требованиям, на соответствие которым законодательными актами Российской Федерации не предусмотрено проведение обязательной сертификации. Добровольная сертификация проводится для удостоверения качества средств и систем информатизации с 64 целью повышения их конкурентоспособности, расширения сферы использования и получения дополнительных экономических преимуществ. В общем случае упрощенную схему добровольной сертификации можно представить следующим образом. Необходимость добровольной сертификации обычно определяет разработчик или поставщик средств информатизации, руководствуясь при этом указанными выше соображениями. Разработчик или поставщик обращается в аккредитованный в установленном порядке сертификационный центр и финансирует проведение работ по сертификации. Совокупность и значения показателей качества, по которым проводится сертификация, формируются совместно заявителем и сертификационным центром. При положительных результатах испытаний средств информатизации, представленных для сертификации, заявитель получает сертификат соответствия, который используется, например, для рекламы при взаимодействии с потенциальным пользователем или потребителем. Последние не имеют непосредственных контактов с сертификационным центром. В случае выявления недостатков в сертифицированном изделии они обращаются непосредственно к поставщику, который обязан обеспечить доработку и повторные сертификационные испытания. В соответствии с действующим законодательством добровольная сертификация средств информатизации может проводиться как в уже упоминавшейся нами Системе сертификации ГОСТ Р, так и в других системах сертификации, зарегистрированных Госстандартом России в установленном порядке. Основные принципы организации систем сертификации средств информатизации и ведения процедуры сертификации мы рассмотрим в следующем разделе на примере Системы добровольной сертификации средств и систем в сфере информатизации "Росинфосерт", являющейся одним из важнейших инструментов проведения единой государственной научно-технической политики в сфере информатизации России. 65 Тестовое задание для самоконтроля № 7.1 7.2 7.3 7.4 7.5 7.6 Вопрос Ответы Система … - система, располагающая собственными правилами процедуры и управления для проведения сертификации. Орган по … - орган, проводящий сертификацию соответствия. Орган по сертификации может сам проводить испытания или же осуществлять надзор за этой деятельностью, проводимой по его поручению другими органами. … … - лаборатория (центр), который проводит испытания в процессе сертификации. … - процедура, посредством которой уполномоченный в соответствии с законодательными актами Российской Федерации орган официально признает возможность выполнения испытательной лабораторией или органом по сертификации конкретных работ в заявленной области. Знак … (в области сертификации) защищенный в установленном порядке знак, применяемый или выданный в соответствии с правилами системы сертификации, указывающий, что обеспечивается необходимая уверенность в том, что данная продукция, процесс или услуга соответствует конкретному стандарту или другому нормативному документу. … … - документ, устанавливающий технические требования, которым должна удовлетворять продукция, процесс или услуга. Они могут быть стандартом, частью стандарта или 66 Определите термин Определите термин Определите термин Определите термин Определите термин Определите термин № 7.7 Вопрос Ответы самостоятельным документом. В Законе «О сертификации продукции и услуг» определены два вида сертификации: Национальным органом по сертификации продукции в Российской Федерации является Госстандарт России, который осуществляет следующие функции: 7.8 7.9 7.10 7.11 7.12 В соответствии с действующими законодательными и нормативными документами сертификация средств информатизации проводится в Российской Федерации в следующих основных направлениях: В соответствии с действующими законодательными и нормативными документами сертификация средств информатизации проводится в Российской Федерации в следующих основных направлениях: … сертификация средств информатизации на соответствие требованиям электромагнитной совместимости, а также требованиям, обеспечивающим безопасность жизни, здоровья, имущества потребителей и охрану среды обитания. … сертификация функциональных параметров средств и систем информатизации, по номенклатуре и характеристикам, устанавливаемым отраслевыми (фирменными) стандартами, и 67 - обязательная - добровольная - необязательная - организует ведение обязательной сертификации продукции по поручению органов законодательной или исполнительной власти - организует и финансирует разработку, а также утверждает основополагающие нормативнотехнические и методические документы системы сертификации + обязательная сертификация + обязательная сертификация - - обязательная сертификация - добровольная сертификация Определите термин Определите термин № 7.13 Вопрос Ответы учитывающим различные аспекты применения аппаратуры и программного обеспечения. Рассмотрим основные особенности выделенных направлений сертификации в сфере информатизации. Нормативный документ «Номенклатура продукции и услуг, подлежащих обязательной сертификации в Российской Федерации», подлежащей обязательной сертификации в рассматриваемом направлении, отнесены следующие средства информатизации: Целями защиты информации Закон «Об информации, информатизации и защите информации» определяет: 7.14 Целями защиты информации Закон «Об информации, информатизации и защите информации» определяет: 7.15 7.16 Система … - система, располагающая собственными правилами процедуры и управления для проведения сертификации. 68 - вычислительные машины и комплексы - персональные ЭВМ + предотвращение утечки, хищения, утраты, искажения, подделки информации + предотвращение угроз безопасности личности, общества, государства - защиту конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах - сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством Определите термин Лекция 8 Тема 1. Лицензирование деятельности в сфере информатизации Раздел 1.1. Общие принципы организации работ по лицензированию деятельности в сфере информатизации Предметные области лицензируемой деятельности. Виды деятельности в области защиты информации, подлежащих лицензированию ФАПСИ. Лицензирование деятельности по международному информационному обмену. Мы уже отмечали выше, что в соответствии с принятой терминологией "информатизация" как предметная область представляет собой организационный социально-экономический и научно-технический процесс создания условий для удовлетворения информационных потребностей, базирующийся на массовом применении новых информационных технологий. В интересах государства и граждан отдельные виды предпринимательской деятельности в области информатизации целесообразно ограничить, т. е. на определенных условиях ввести разрешительную систему (лицензирование). Лицензирование должно ограничивать следующие виды деятельности: • создание и применение информационных технологий, включая программы для ЭВМ и другие компоненты средств информатизации; • формирование информационных ресурсов на основе использования современных информационных технологий; • оказание услуг по информационному обеспечению потребителей информационных ресурсов при соблюдении требований безопасности для государства, организаций, граждан, необходимых для предотвращения и ликвидации техногенных, информационных и экономических угроз и их последствий в сфере информатизации. За рубежом большое внимание уделяется вопросам защиты государственных информационных ресурсов, где обязательному лицензированию подлежат виды деятельности по защите информации и информационных ресурсов, организации 69 доступа к базам данных и сетям передачи данных. Кроме того, лицензируется предоставление услуг в части использования программных продуктов. Принятый в России Закон "О лицензировании отдельных видов деятельности" не распространяется на отношения, возникающие в связи с использованием результатов интеллектуальной деятельности. Поэтому в настоящее время разрешительная система на определенных условиях для вышеперечисленных видов деятельности регламентируется законодательством, регулирующим сертификацию, патентным законодательством, законами об авторском праве и смежных правах, а также законом, определяющим участие в международном информационном обмене. Проблема лицензирования отдельных элементов деятельности в сфере информатизации поставлена в Законе "Об информации, информатизации и защите информации": • в п. 4 ст. 7 указано, что для решения проблемы качественного формирования государственных информационных ресурсов необходимо разработать и внедрить в практику порядок лицензирования деятельности организаций, специализирующихся на формировании государственных информационных ресурсов на основе договоров с соответствующими органами власти; • в п. 4 ст. 11 указано, что осуществление лицензионной деятельности в области работы с персональными данными в связи с особенностями этой деятельности нуждается в дополнительном правовом регулировании; • в п. 3 ст. 19 указано, что организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, должны получать лицензию на этот вид деятельности. Указанными статьями установлено, что порядок лицензирования определяется законодательством Российской Федерации. В тех случаях, когда разрешение на использование технических решений (изобретений, ноу-хау) дается не государством, а коллективным или индивидуальным субъектом - собственником или, по поручению последнего, владельцем 70 технического решения, применяется такая юридическая форма, как лицензионный договор. Рассмотрим специфику выделения трех вышеперечисленных видов деятельности предметной области информатизации, которая вызывает необходимость в лицензировании. Раздел 1.2. Лицензирование деятельности в области создания и применения информационных технологий Для продукции серийного и массового производства в области информатизации важное значение имеет Закон "О сертификации продукции и услуг". Он предусматривает лицензирование деятельности, связанной с маркированием продукции и услуг знаком соответствия этой продукции и услуг государственным стандартам. Этот Закон устанавливает обязательную регистрацию продукции и услуг в Государственном реестре продукции и услуг, а также обязанности Госстандарта России по установлению порядка лицензирования и ведения указанного Реестра. Защита и порядок использования программ для ЭВМ и баз данных, относимых к авторским произведениям, регулируется Законом "Об авторском праве и смежных правах", а также Законом "О правовой охране программ для ЭВМ и баз данных". В тех случаях, когда осуществляется управление имущественными правами на коллективной основе, когда имущественные права на программу для ЭВМ или базу данных, созданных в порядке выполнения служебных обязанностей, осуществляются работодателем, а также когда эти объекты отнесены к общественному достоянию, применяются нормы ст. 45 Закона "Об авторском праве и смежных правах". Полномочия на коллективное управление имущественными правами передаются непосредственно обладателями авторских и смежных прав добровольно на основе письменных договоров, которые, не являются авторскими договорами. Пункт 3 ст. 45 Закона "Об авторском праве и смежных правах" предусматривает, что организация, управляющая 71 имущественными правами на коллективной основе, предоставляет лицензии пользователям на соответствующие способы использования произведений и объектов смежных прав. В настоящее время в Законе "Об охране программ для ЭВМ и баз данных" нет соответствующей нормы, которая бы развивала это общее положение Закона "Об авторском праве и смежных правах". Закон "Об охране программ для ЭВМ и баз данных" вообще не говорит о лицензировании. Этот закон различает авторский договор и договор лицензионный. Государство в лице определенных своих органов лицензирует деятельность в области создания и применения информационных технологий и иных средств информатизации в тех случаях, когда эта деятельность сопряжена с обеспечением информационной безопасности и когда государство обязано принять меры к защите государственной тайны, личной тайны граждан, служебной тайны, к защите персональной информации или к защите конфиденциальной коммерческой информации в системе государственного аппарата. Для решения вопросов создания и применения информационных технологий имеет важное значение Закон "О федеральных органах правительственной связи и информации", который предусматривает право федеральных органов правительственной связи и информации осуществлять лицензирование и сертификацию систем и комплексов телекоммуникаций высших органов государственной власти РФ, а также закрытых систем и комплексов телекоммуникаций органов государственной власти субъектов РФ, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и других учреждений, расположенных на территории РФ, независимо от их ведомственной принадлежности и формы собственности. С проблемой разработки и пользования информационными технологиями связана область обмена (экспорта и импорта) этой продукции. Право на экспорт технологий, связанных с обеспечением информационной безопасности страны, должно находиться под контролем государства. В этом случае должна идти речь о порядке лицензирования экспорта. 72 Раздел 1.3. Лицензирование деятельности в области формирования и ведения информационных ресурсов В этой области на уровне закона регулируются правила лицензирования проведения работ, связанных со сведениями, составляющими государственную тайну. Ст. 27 Закона "О государственной тайне" устанавливает, что лицензия на проведение указанных работ выдается на основании результатов специальной экспертизы и при определенных условиях. "Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны", утвержденное Постановлением Правительства Российской Федерации от 15 апреля 1995 года № 333, устанавливает порядок лицензирования в вышеназванной области. Деятельность по международному информационному обмену в части государственных информационных ресурсов, которые вывозятся за пределы Российской Федерации, или документированной информации для пополнения государственных информационных ресурсов, которая ввозится на территорию Российской Федерации, подлежит лицензированию согласно Закону "Об участии в международном информационном обмене" (ст. 18), порядок лицензирования определяется "Положением о лицензировании деятельности по международному информационному обмену", утвержденным Постановлением Правительства РФ от 3 июня 1998 года № 564. Раздел 1.4. Лицензирование услуг по информационному обеспечению потребителей информационных ресурсов Данные виды деятельности связаны с предоставлением информации пользователям в соответствии с их правовым статусом и с категориями информации по доступу. Очевидно, что обработка и предоставление информации 73 с ограниченным доступом, если она осуществляется не собственником информации или не государственной организацией в соответствии с ее компетенцией, потребует лицензии. Это, например, может касаться ведения кадастров, каталогов, любой мониторинговой деятельности. Такой вид услуг, как сбор, обработка и предоставление информации о гражданах - персональной информации - не в целях ее статистического учета и анализа также требует лицензии, если это не предусмотрено прямо правовым статусом лица, осуществляющего эту деятельность. Согласно статье 24 Конституции РФ сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается. Принципиальным является то, что формируемые базы персональных данных должны строго соответствовать целям сбора и использоваться исключительно в интересах конкретного лица при оказании ему услуг различного характера. Лицензирующий орган должен установить минимально необходимый для оказания услуг объем персональных данных, необходимость защиты информации, некоторые технологические аспекты ее сбора и актуализации, а также проконтролировать выполнение обязательств по целевому использованию информации персонального характера. В настоящее время в Госдуме РФ готовится законопроект "Об информации персонального характера", принятие которого позволит установить порядок лицензирования данного вида услуг. Проведенный анализ предметных областей деятельности в сфере информатизации позволяет выделить в качестве основных направлений работ по лицензированию деятельности в сфере информатизации защиту информации и международный информационный обмен, к рассмотрению которых мы и переходим. Раздел 1.5. Лицензирование деятельности в области защиты информации Закон "Об информации, информатизации и защите информации" устанавливает общие правовые требования к 74 организации защиты информации с ограниченным доступом в процессе ее обработки, хранения и циркуляции в технических устройствах и информационных и телекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по защите конфиденциальной информации. Следует подчеркнуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается. Кроме того, Закон определяет на государственноправовом уровне электронную цифровую подпись как средство защиты информации от несанкционированного искажения или подмены, а также как средство подтверждения подлинности отправителя и получателя информации. В соответствии со статьей 5 "юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью". При этом "юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования". Статья 19 Закона "Об информации, информатизации и защите информации" определяет обязательность получения лицензий для организаций, осуществляющих проектирование и производство средств защиты информации. Важно отметить, что в соответствии с п. 3 статьи 21 контроль за соблюдением требований к защите информации, за эксплуатацией специальных средств защиты информации, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом, в негосударственных структурах возлагается на органы государственной власти. Таким образом, система государственного лицензирования деятельности в области защиты информации в Российской Федерации является составной частью государственной системы защиты информации. Действующими нормативно-правовыми документа- 75 ми в качестве основных государственных органов по лицензированию деятельности в области защиты информации определены Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) и Федеральное агентство правительственной связи и информации (ФАПСИ). Обязательное государственное лицензирование деятельности в области защиты информации криптографическими методами, а также в области выявления электронных устройств перехвата информации в технических средствах и помещениях государственных структур введено Постановлением Правительства РФ от 24 декабря 1994 года № 1418 "О лицензировании отдельных видов деятельности". Данное постановление распространяет механизм обязательного лицензирования на все виды деятельности в области криптографической защиты информации, независимо от ее характера и степени секретности, на все субъекты этой деятельности, независимо от их организационно-правовой формы, включая и физических лиц. Указ Президента Российской Федерации от 3 апреля 1995 года № 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" запрещает любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования информации, без лицензии ФАПСИ. Постановлением Правительства РФ от 15 апреля 1995 года № 333 "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" устанавливается, что лицензия на право деятельности по проведению работ, связанных с использованием сведений, составляющих государственную тайну, с созданием средств защиты информации и оказанием услуг по защите государственной тайны, может быть выдана 76 предприятию или организации, независимо от формы его собственности, исключительно на основании результатов специальной экспертизы заявителя, в ходе которой будет установлено наличие на данном предприятии всех необходимых условий для сохранения доверенных ему секретных сведений, и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну. Сферы компетенции Гостехкомиссии России и ФАПСИ, а также практический механизм лицензирования определены в "Положении о государственном лицензировании деятельности в области защиты информации", которое утверждено 27 апреля 1994 года совместным решением Гостехкомиссии России и ФАПСИ. Этим положением, в частности, определены следующие перечни видов деятельности в области защиты информации, подлежащих лицензированию Гостехкомиссией России и ФАПСИ. Перечень видов деятельности в области защиты информации, подлежащих лицензированию Гостехкомиссией России: • Сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств по требованиям безопасности, программных средств защиты информации, программных средств контроля защищенности информации. • Аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, технических средств приема, передачи и обработки подлежащей защите информации, технических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также помещений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных документов по безопасности информации и контроль защищенности информации в этих 77 системах, технических средствах и помещениях. • Разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации. • Проведение специсследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ. • Проектирование объектов в защищенном исполнении. • Подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне. Перечень видов деятельности в области защиты информации, подлежащих лицензированию ФАПСИ: Деятельность названных выше организаций по лицензированию в области защиты информации осуществляется на основании следующих принципов: • Соответствия действующим российским законодательным и нормативным актам. • Обеспечения надежной защиты информации, составляющей государственную тайну, или иной конфиденциальной информации. • Дифференцированного подхода к отдельным видам деятельности и средствам защиты. • Наложения на лицензиата обязательств по выполнению требований Российского законодательства и иных нормативных актов в области защиты информации. • Соответствия заявителей и лицензиатов требованиям по профессиональной подготовке, нормативно-методической, технической и технологической оснащенности, режимным требованиям, проверяемым в ходе проведения обязательной экспертизы заявителей и постоянного контроля за деятельностью лицензиатов. • Четкой регламентации предоставляемых лицензиату прав и полномочий, а также механизма его взаимодействия с Гостехкомиссией и ФАПСИ. 78 • Централизации выдачи, учета, приостановления и отзыва лицензий и сертификатов. • Доступности и открытости систем лицензирования и сертификации в рамках вышеперечисленных принципов. Собственно лицензирование деятельности в области защиты информации включает следующие действия: • выдачу лицензий - рассмотрение заявления на лицензирование, оформление и выдачу лицензий, переоформление лицензий; • проведение специальной экспертизы заявителя; •проведение аттестации руководителя предприятия или лиц, уполномоченных им для руководства лицензируемой деятельностью; • проведение технической экспертизы изделий. В заключение рассмотрения вопроса о лицензировании деятельности в области защиты информации необходимо подчеркнуть следующие обстоятельства: • Лицензирование в области защиты информации является обязательным. Здесь необходимо иметь в виду, что для занятия деятельностью в области защиты информации необходимо получение права на ее осуществление. Конкретные виды деятельности вводятся в виде перечисления в соответствующих нормативных актах. • Деятельность в области защиты информации физических и юридических лиц, не прошедших лицензирование, запрещена. Субъекты, не получившие право на осуществление деятельности в области защиты информации и продолжающие ее осуществлять, нарушая установленный порядок, занимаются тем самым противоправной деятельностью. В отношении таких субъектов могут быть применены санкции, предусмотренные действующим законодательством. Раздел 1.6. Лицензирование деятельности по международному информационному обмену Согласно ст. 18 Закона "Об участии в международном информационном обмене" одним из видов лицензирования в 79 области связи и информатизации в Российской Федерации является лицензирование деятельности по международному информационному обмену. Деятельность по международному информационному обмену включает: • сбор, обработку, хранение и передачу информации, а также использование документированной информации и информационных ресурсов при международном информационном обмене; • создание документированной информации и информационных продуктов для целей международного информационного обмена; • получение документированной информации, информационных ресурсов, информационных продуктов; • оказание информационных услуг. Целью лицензирования деятельности по международному информационному обмену является предотвращение незаконного вывоза за пределы территории Российской Федерации государственных информационных ресурсов и обеспечение контроля за использованием средств федерального бюджета и средств бюджетов субъектов Российской Федерации, выделяемых для пополнения государственных информационных ресурсов. Объектами международного информационного обмена являются: документированная информация, информационные ресурсы, информационные продукты, информационные услуги и средства международного информационного обмена. Объектами международного информационного обмена по вышеуказанному Закону являются только информационные ресурсы государственной собственности, произведенное или приобретаемые за бюджетные средства. Следовательно, отношения по оформлению лицензии на международный информационный обмен затрагивает группу субъектов, в числе которых не только лицензиар — орган, выдающий лицензию; лицензиат — лицо, получающее лицензию, но орган, в ведении которого находятся государственные информационные ресурсы и который представляет государство как собственника. Таким образом, 80 включение физического лица, действующего без образования юридического лица, в число лицензиаров на международный информационный обмен требует предварительного договора будущего лицензиара с соответствующим органом государственной власти. Основанием для осуществления лицензирования деятельности в области международного информационного обмена должно быть согласие и органа государственной власти на кандидатуру лицензиата, подтвержденное письменно и, как правило, договором. Субъектами международного информационного обмена могут являться: • Российская Федерация; • субъекты Российской Федерации; • органы государственной власти и органы местного самоуправления; • физические и юридические лица Российской Федерации; • физические и юридические лица иностранных государств; • лица без гражданства. В соответствии с "Положением о лицензировании деятельности по международному информационному обмену", утвержденному Постановлением Правительства РФ от 03 июля 1998 года № 564, федеральным органом исполнительной власти, уполномоченным на ведение лицензионной деятельности по международному обмену федеральными информационными ресурсами и информационными ресурсами, находящимися в совместном ведении Российской Федерации и субъектов Российской Федерации, определен Государственный комитет Российской Федерации по связи и информатизации (как мы уже отмечали, его правопреемником являлся Государственный комитет Российской Федерации по телекоммуникациям, в настоящее время - Министерство Российской Федерации по связи и информатизации), а лицензирование деятелъности по международному информационному обмену информационными ресурсами субъектов Российской Федерации уполномочены осуществлять органы исполнительной власти субъектов 81 Российской Федерации. Методическое обеспечение лицензирования деятельности по международному информационному обмену осуществляет Минсвязи России. Порядок взаимодействия Минсвязи России с органами исполнительной власти субъектов Российской Федерации включает: • организацию разработки методического обеспечения, в том числе лицензионных требований и условий (рекомендуемых); • установление структуры записи "Сводного реестра выданных, зарегистрированных, приостановленных и аннулированных лицензий" и структуры номера лицензии, присваиваемого лицензионными органами субъектов Российской Федерации; • организацию изготовления бланков лицензий и определение организации - изготовителя этих бланков; • выработку согласованной политики по проведению инспекционных проверок и контроля за выполнением лицензиатами условий, необходимых для осуществления деятельности по международному информационному обмену; • проведение анализа лицензионной деятельности и совместную разработку мер по ее совершенствованию. Минсвязи России разработало общие требования к заявителям и определило лицензионные условия, необходимые для осуществления деятельности по международному информационному обмену, а также установило форму описания имеющихся у заявителя информационных ресурсов и аппаратно-программных средств, структуру записи "Сводного реестра выданных, зарегистрированных, приостановленных и аннулированных лицензий" и структуру номера лицензии, присваиваемого лицензионными органами субъектов Российской Федерации. Лицензионные органы субъектов Российской Федерации: - в пределах своих полномочий с учетом особенностей и видов вывозимых и ввозимых информационных ресурсов, а также организационных процедур, определяющих их 82 ввоз/вывоз, могут вносить изменения, дополнения и уточнения лицензионных условий и требований к заявителям; - по итогам лицензионной деятельности ежеквартально направляют в Минсвязи России информацию о выданных, зарегистрированных, приостановленных и аннулированных лицензиях по международному информационному обмену в соответствии со структурой записи Сводного реестра. Минсвязи России обобщает замечания и предложения по совершенствованию лицензионной деятельности и по согласованию с органами исполнительной власти субъектов Российской Федерации, направившими замечания и предложения, вносит в Правительство Российской Федерации предложения по разработке федерального законодательства и внесению изменений в нормативные акты. Об указанных действиях министерство информирует все лицензионные органы. В соответствии с Законом "Об участии в международном информационном обмене" и во исполнение Постановления Правительства Российской Федерации от 03.06.98 № 564 "Об утверждении Положения о лицензировании деятельности по международному информационному обмену" Минсвязи России разработало и внедрило ряд нормативно-правовых документов, в том числе: • методические рекомендации по осуществлению лицензионной деятельности по международному информационному обмену лицензионными органами субъектов Российской Федерации; • методику проведения экспертизы, устанавливающей наличие у заявителя условий, необходимых для осуществления деятельности по международному информационному обмену. В соответствии с вышеуказанными Законом и постановлением Правительства Российской Федерации мэром г. Москвы издано распоряжение "О лицензировании деятельности по международному информационному обмену" от 31 декабря 1998 года № 1331-РМ, в котором ставятся конкретные задачи Московской лицензионной палате о проведении необходимых организационных мероприятий по созданию (на уровне субъекта Российской Федерации) органа лицензирования 83 деятельности по международному информационному обмену. В соответствии с Методическими рекомендациями по осуществлению лицензионной деятельности по международному информационному обмену лицензионными органами субъектов Российской Федерации, утвержденными приказом Госкомсвязи России от 10 июля 1998 года, заявителями на получение лицензии могут быть учреждения и предприятия культуры, науки, образования и иных сфер деятельности, а также коммерческие организации, осуществляющие свою деятельность с использованием информационных ресурсов, находящихся в ведении субъектов Российской Федерации, и за счет (с привлечением) средств бюджетов субъектов Российской Федерации. Согласно плану разработки организационных материалов по лицензионной работе по международному информационному обмену осуществлена постановка задачи на разработку информационной системы федерального уровня по ведению "Сводного реестра выданных, приостановленных и аннулированных лицензий". В настоящее время Федеральным унитарным государственным предприятием Московский научноисследовательский центр реализуется проект "Разработка организационно-методического и программно-аппаратного обеспечения системы лицензирования в сфере информатизации". В проекте разрабатываются материалы по организационно-методическому обеспечению лицензирования деятельности по международному информационному обмену и программно-аппаратные средства по ведению "Сводного реестра выданных, приостановленных и аннулированных лицензий" федерального уровня, которые являются компонентами системы лицензирования деятельности по международному информационному обмену. Разработка материалов по организационно-методическому обеспечению лицензирования деятельности по международному информационному обмену включает совершенствование действующих и создание дополнительных документов на основе анализа опыта лицензионной деятельности по международному 84 информационному обмену, в том числе: • совершенствование Положения о лицензировании деятельности по международному информационному обмену, Методики проведения экспертизы, устанавливающей наличие у заявителя условий, необходимых для осуществления деятельности по международному информационному обмену, Временного порядка организации и проведения работ по государственному надзору за деятельностью по международному информационному обмену и контролю за деятельностью лицензиатов, Порядка взаимодействия Госкомсвязи России с органами исполнительной власти субъектов Российской Федерации по вопросам лицензирования в сфере информатизации ; • разработку Сборника законодательных и нормативноправовых актов, предназначенного для лицензионных органов Российской Федерации и предприятий, занимающихся международным информационным обменом, содержащего перечень законов Российской Федерации, которыми необходимо руководствоваться при осуществлении деятельности по международному информационному обмену, условия лицензирования и требования к лицензиату, формы регистрационных и учетно-отчетных документов и инструкции по их заполнению и другие документы; • разработку Сборника организационно-методических документов по организации и проведению лицензионной деятельности по международному информационному обмену для субъектов Российской Федерации; • разработку информационных материалов по состоянию и изменениям в организационно-правовых документах, регламентирующих лицензионную деятельность, и обеспечение этими материалами лицензиаров и лицензиатов. Документы по организационно-методическому обеспечению лицензионной деятельности по международному информационному обмену разрабатываются и совершенствуются на базе имеющихся аналогов конкретных документов и анализа сведений о деятельности существующих федеральных и региональных органов лицензирования. Разработка программно-аппаратных средств ведения 85 "Сводного реестра выданных, приостановленных и аннулированных лицензий" предусматривает создание программно-аппаратного комплекса (автоматизированной информационной системы - АИС), обеспечивающей ведение указанного реестра и взаимодействие в телекоммуникационном режиме с лицензионными органами субъектов Российской Федерации. Разработка данной системы осуществляется как путем адаптации существующих пакетов прикладных программ и систем управления базами данных к задачам, решаемым АИС, так и разработкой оригинальных прикладных программ для решения задач АИС. Организационно-методическое обеспечение лицензионной деятельности унифицирует процедуры лицензионной деятельности и создает условия для автоматизации этой деятельности и для обмена информацией по вопросам лицензирования между федеральными и региональными лицензионными органами. Автоматизированная система по ведению Сводного реестра создаст условия для повышения производительности труда специалистов по лицензированию. На первом этапе (первый год после внедрения) документы по организационно-методическому обеспечению лицензионной деятельности по международному информационному обмену и автоматизированная система по ведению "Сводного реестра выданных, приостановленных и аннулированных лицензий" будут находиться в опытной эксплуатации. На втором этапе (второй год эксплуатации) документы по организационно-методическому обеспечению лицензионной деятельности по международному информационному обмену и автоматизированная система по ведению Сводного реестра после устранения выявленных на этапе опытной эксплуатации недостатков могут распространяться на коммерческой основе. В результате функционирования данной системы будет предотвращаться незаконный вывоз за пределы территории Российской Федерации государственных информационных ресурсов и осуществляться государственное регулирование 86 деятельности по ввозу документированной информации, что сэкономит государственные средства, затрачиваемые на создание государственных информационных ресурсов и на их пополнение. Тестовое задание для самоконтроля № Вопрос Ответы Лицензирование должно ограничивать следующие виды деятельности: 8.1 8.2 Сферы компетенции Гостехкомиссии России и ФАПСИ, а также практический механизм … определены в «Положении о государственном лицензировании деятельности в области защиты информации», которое утверждено 27 апреля 1994 года совместным решением Гостехкомиссии России и ФАПСИ. Перечислите виды деятельности в области защиты информации, подлежащих лицензированию Гостехкомиссией России: 8.3 87 - создание и применение информационных технологий, включая программы для ЭВМ и другие компоненты средств информатизации - формирование информационных ресурсов на основе использования современных информационных технологий Определите термин - сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств по требованиям безопасности, программных средств защиты информации, программных средств контроля защищенности информации № Вопрос Ответы Деятельность ФАПСИ по лицензированию в области защиты информации осуществляется на основании следующих принципов: 8.4 Деятельность ФАПСИ по лицензированию в области защиты информации осуществляется на основании следующих принципов: 8.5 8.6 Собственно лицензирование деятельности в области защиты информации включает следующие 88 - аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, технических средств приема, передачи и обработки подлежащей защите информации, технических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также помещений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных документов по безопасности информации и контроль защищенности информации в этих системах, технических средствах и помещениях + соответствия действующим российским законодательным и нормативным актам + обеспечения надежной защиты информации, составляющей государственную тайну, или иной конфиденциальной информации - дифференцированного подхода к отдельным видам деятельности и средствам защиты - наложения на лицензиата обязательств по выполнению требований Российского законодательства и иных нормативных актов в области защиты информации - выдачу лицензий рассмотрение заявления на лицензирование, оформление и № Вопрос Ответы действия: Деятельность по международному информационному обмену включает: 8.7 8.8 8.9 Объектами международного информационного обмена являются: Субъектами международного информационного обмена могут являться: 89 выдачу лицензий, переоформление лицензий - проведение специальной экспертизы заявителя - сбор, обработку, хранение и передачу информации, а также использование документированной информации и информационных ресурсов при международном информационном обмене - создание документированной информации и информационных продуктов для целей международного информационного обмена - документированная информация - информационные ресурсы - информационные продукты - органы государственной власти и органы местного самоуправления - физические и юридические лица Российской Федерации Заключение Основной задачей сегодняшнего дня в области информационных технологий является совершенствование качества программных средств. Чрезвычайно актуальными стали проблемы: − аппаратная сложность опережает наше умение конструировать программное обеспечение, не используются полностью потенциальные возможности компьютерной техники; − наше умение строить программы отстает от требований к новым программам. Ключом к решению этих проблем является грамотная организация процесса создания программного обеспечения. Знакомство с основными принципами, моделями и методами при разработке сложных программных продуктов, основанных на разработанных международных стандартах, способствует созданию качественных программных продуктов, конкурентоспособных на рынке программных средств. 90 Список литературы 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. А.М. Вендров. Проектирование программного обеспечения экономических информационных систем. Учебник. М.: «Финансы и статистика». 2000. - 339 с. А.М. Вендров. Практикум по проектированию программного обеспечения экомических информационных систем. М.: «Финансы и статистика». 2002. -190 с. Практические аспекты информатизации. Стандартизация, сертификация и лицензирование. Справочная книга руководителя. Под редакцией Л.Д. Реймана. М.: 2000. -259с. В.В. Липаев. Качество программных средств. Методические рекомендации. М.: «Янус-К». 2002. – 298с. В.В. Липаев, А.И. Потапов. Оценка затрат на разработку программных средств. М.: Финансы и статистика. 1988. С.А. Орлов. Технологии разработки программного обеспечения. Учебник для вузов. М., Санкт-Петербург: «Питер». 2002. ГОСТ Р ИСО 9127 – 94 «Системы обработки информации. Документация пользователя и информация на упаковке потребительских программных пакетов». ГОСТ 34601 – 90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания». ГОСТ 34601 – 89. «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы». ГОСТ 34601 – 92. «Информационная технология. Виды испытаний автоматизированных систем». 91 Глоссарий Аккредитация (испытательной лаборатории или органа по сертификации) - процедура, посредством которой уполномоченный в соответствии с законодательными актами Российской Федерации орган официально признает возможность выполнения испытательной лабораторией или органом по сертификации конкретных работ в заявленной области. Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом. Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Знак соответствия (в области сертификации) - защищенный в установленном порядке знак, применяемый или выданный в соответствии с правилами системы сертификации, указывающий, что обеспечивается необходимая уверенность в том, что данная продукция, процесс или услуга соответствует конкретному стандарту или другому нормативному документу. Информационная система - организационно - упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы. Информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации. Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления 92 Информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Испытательная лаборатория - лаборатория (центр), который проводит испытания в процессе сертификации. Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Международная организация по стандартизации (ИСО) всемирная организация, ответственная за разработку международных стандартов путем координации деятельности участвующих национальных органов стандартизации из 90 стран мира. Международный стандарт - стандарт, принятый международным органом, занимающимся стандартизацией. Национальный стандарт - документ, принятый национальным органом по стандартизации. Основная его функция согласно статусу этого органа или законам государства заключается в разработке и(или) опубликовании национальных стандартов и(или) утверждении стандартов, подготовленных другими органами. Во всех странах мира национальные стандарты утверждаются на государственном уровне. Орган по сертификации - орган, проводящий сертификацию соответствия. Орган по сертификации может сам проводить испытания или же осуществлять надзор за этой деятельностью, проводимой по его поручению другими органами. Пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею. Сертификат соответствия — документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям. Сертификация — процедура, выполняемая третьей стороной, независимой от изготовителя (продавца) и потребителя продукции или 93 услуг, по подтверждению соответствия этих продукции или услуг установленным требованиям. Система сертификации - система, располагающая собственными правилами процедуры и управления для проведения сертификации. Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами. Совместимость - пригодность изделий или их систем к совместному использованию при определенных условиях для выполнения соответствующих требований, которая не вызывает при этом нежелательных последствий. Стандартизация - деятельность, заключающаяся в нахождении решений для повторяющихся задач в сферах науки, техники и экономики, направленная на достижения оптимальной степени упорядочения в определенной области. Технические условия (ТУ) - документ, устанавливающий технические требования, которым должна удовлетворять продукция, процесс или услуга. ТУ могут быть стандартом, частью стандарта или самостоятельным документом. 94