Корпоративные информационные системы и ГОСТы
Информационная система предназначена для своевременного обеспечения людей надлежащей информацией, то есть для удовлетворения конкретных информационных потребностей в рамках определённой предметной области, при этом результатом функционирования информационных систем является информационная продукция: документы, базы данных и услуги. В настоящее время информационная продукция рассматривается как производственный ресурс, становясь на один уровень с финансами, материалами, энергией и др. Специфика информации как производственного ресурса состоит в том, что данные, преобразованные в форму, которая является значимой для предприятия, позволяют обеспечивать эффективное управление ими. На текущий момент широко востребована информационная продукция в просвещении, пропагандисткой области жизни общества и государства, а также на идеологических «фронтах» различного масштаба.
1. Информационная система, определение и вид
Информационная система (или ИС) – это система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые и т.д.), которые обеспечивают и распространяют информацию (ISO/IEC 2382:2015).
Понятие информационной системы в широком смысле подразумевает, что её неотъемлемыми компонентами являются данные, техническое и программное обеспечение, а также персонал и организационное обеспечение. В федеральном законе Российской Федерации «Об информации, информационных технологиях и о защите информации» под информационной системой подразумевается совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств.
Информационные системы в более узком смысле ограничены составом ее данных, программами и аппаратным обеспечением. Интеграция этих компонентов позволяет автоматизировать процессы управления информацией и целенаправленной деятельности конечных пользователей, направленной на получение, модификацию и хранение информации.
Российский стандарт ГОСТ РВ 51987 подразумевает под информационной системой «автоматизированную систему (далее – АС), результатом функционирования которой является представление выходной информации для последующего использования».
ГОСТ Р 53622-2009 использует термин информационно-вычислительная система для обозначения совокупности данных или баз данных, систем управления базами данных и прикладных программ, функционирующих на вычислительных средствах как единое целое для решения определённых задач.
Информационные системы на практике могут различаться друг от друга по типам объектов, характером и объемом решаемых задач и рядом других признаков. Поэтому понятие информационной системы интерпретируют по-разному, в зависимости от контекста. Общепринятой классификации информационных систем пока не существует, поэтому их можно разделить по различным критериям. Задача любой классификации подобных систем состоит в создании неких удобных образов, позволяющих, например, при выборе систем ограничиться определенным классом или типом. Типовая наиболее часто применяемая на практике классификация информационных систем приведена в таблице 1.
Табл. 1. Классификация информационных систем
Признак классификации |
Типы информационных систем |
по архитектуре(степени распределённой) |
настольные распределенные файл-сервисные клиент-сервисные |
по степени автоматизации |
автоматизированные автоматические |
по характеру обработки данных |
информационно-справочные (поисковые) по обработке данных (решающие) |
по сфере применения |
экономические медицинские географические |
по масштабности |
персональная групповая корпоративная |
Информационная система в деятельности компании рассматривается как программное обеспечение, реализующее её деловую стратегию и бизнес-процессы. Желательной целью является создание и развертывание единой корпоративной информационной системы (далее – КИС), удовлетворяющей информационные потребности всех сотрудников, служб и подразделений организации.
2. ГОСТы и корпоративные информационные системы
Корпоративная информационная система автоматизирует все бизнес-процессы предприятия или их значительную часть, достигая полной информационной согласованности, безизбыточности и прозрачности. Они могут поддерживать территориально разнесенные узлы и иметь иерархическую структуру из нескольких уровней. Для таких систем характерна архитектура клиент-сервер со специализацией серверов или же многоуровневая архитектура. При их разработке могут также использоваться серверы баз данных, используемые при разработке групповых информационных систем [1].
В России проектирование и создание автоматизированных информационных систем, включая корпоративные, использование информационных технологий и средств защиты информации в процессе создания информационных ресурсов и эксплуатации ИС регламентируется нормативными документами Российской Федерации и локальными нормативными документами организации. В группу нормативных документов РФ входят стандарты.
Государственный стандарт – это нормативно-правовой документ, в соответствии требованиям которого производится стандартизация производственных процессов и оказания услуг. Согласно нормам действующего закона РФ от 29.06.2015 №162-ФЗ «О стандартизации в Российской Федерации», добровольность применения документов по стандартизации является один из принципов стандартизации в РФ (статья 4). Область создания и эксплуатации автоматизированных информационных систем, использование информационных технологий и информации регламентируется в настоящее время в РФ комплексом различных видов стандартов:
-
национальные стандарты России и региональные стандарты. Национальный стандарт РФ (ГОСТ Р) утверждает Росстандарт РФ, а разрабатывают их в рамках технических комитетов (ТК) при Росстандарте. Межгосударственный стандарт (ГОСТ) – региональный стандарт, принятый Межгосударственным советом по стандартизации, метрологии и сертификации Содружества Независимых Государств. На территории Евразийского экономического союза, как и на территории СНГ, межгосударственные стандарты применяются с соблюдением принципа добровольности. Аббревиатура данных стандартов:
-
национальный стандарт России – ГОСТ Р;
-
межгосударственный стандарт стран СНГ – ГОСТ.
-
Для государственных учреждений соблюдение этих стандартов в области создания автоматизированных информационных систем, использования информационных технологий и информации обязательно, для коммерческих организаций – носит рекомендательный характер. Тем не менее, ряд требований ГОСТов в этой области является обязательным для соблюдения и применения всеми организациями независимо от их формы собственности, в том числе в вопросах защиты информации и информационной безопасности;
-
международные стандарты, на сегодня в РФ в основном востребованы международные стандарты в области безопасности ИС;
-
отраслевые стандарты, в частности, при построении информационных систем в финансовой сфере применяются стандарты Центрального Банка России «Обеспечение информационной безопасности организаций банковской системы РФ» (СТО БР ИББС-1.0-2006), информационные системы топливно-энергетического комплекса требуют ссылки на ОСТы Газпрома и т.д.
В настоящей статье рассматривается применение в КИС первой из вышеуказанных групп стандартов – это национальные стандарты России ГОСТ Р и межгосударственные ГОСТы. В чем заключаются положительная составляющая применения разработанных и утвержденных в ГОСТах норм на автоматизированные информационные системы для их разработчиков и пользователей?
Во-первых, комплекс стандартов на автоматизированные информационные системы вводит словарь (глоссарий) узкоспециализированных терминов этой области деятельности; содержит примеры оформления, описывает технологический процесс, содержит продуманную структуру этапов разработки и хорошо узнаваемые разработчиками разделы технической документации, все это способствует унификации процессов и этапов разработки и создания ИС; структурированию теоретических, профессиональных знаний для IT-специалистов, работающих в сфере информационных систем и технологий, развитию их практических/ прикладных навыков и умений.
Во-вторых, своды знаний, содержащиеся в ГОСТах, основаны на результатах исследований, на международных стандартах и на практическом опыте. Даже организациям, которым не требуется следовать во всем ГОСТу, стандарты разработки технической документации будут полезны в качестве списка для проверки, «все ли продумано перед созданием системы?». Применение ГОСТов позволяет снизить риски, связанные с упущениями при проектировании, позволяет выставлять разработчикам требования на понятном языке.
В-третьих, своды требований по технической и документальной регламентации, включенные в ГОСТы, направлены на исполнение и соблюдение разработчиками и пользователями информационных систем законодательства РФ по информационной безопасности и защите информации автоматизированных информационных систем. Основными определяющими законодательными документами РФ, на исполнение которых направлены меры обеспечения информационной безопасности и защиты информации в информационных системах, в настоящее время являются [2]:
-
Федеральный Закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
-
Федеральный Закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».
-
Федеральный Закон от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
-
Федеральный Закон от 21 июля 1993 г. № 5485-1 «О государственной тайне».
-
Федеральный Закон от 26 июля 2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры РФ».
Действующие в РФ ГОСТы по разработке и созданию автоматизированных систем подразделяются на два вида:
-
ГОСТ 34-й серии относится к разработке автоматизированных систем.
-
ГОСТ 19-й серии относится к разработке программного обеспечения.
В 2022 году произошло обновление старых стандартов в рамках новой серии национальных и межгосударственных стандартов на автоматизированные системы. Основные наиболее существенные изменения в составе ГОСТов и подходах к стандартизации автоматизированных систем с 2022 года можно свести к следующему:
-
кардинально изменилась ситуация неопределенности требований к содержанию технической рабочей документации, возникшая с момента отмены в 2019 году методических рекомендаций РД 50-34.698-90. Теперь требования к содержанию документации регламентированы ГОСТ Р 59795-2021;
-
стали более четкими формулировки ГОСТ 34.201-2020, введенного взамен ГОСТа 34.201-89, который ранее устанавливал наименование, комплектность и обозначение документов. Теперь новый стандарт устанавливает требования к видам, наименованию, комплектности и обозначению документов. Таким образом, новые требования к наименованию и содержанию документов ГОСТа 34.201–2020 на автоматизированные системы перешли из разряда методических рекомендаций в разряд требований.
Анализ изменений в составе ГОСТов действующих с 2022 года на автоматизированные системы представлен…
Литературный источник
Черемухина Ю.Ю. ГОСТы в корпоративных информационных системах // Корпоративные информационные системы. – 2022. – №1(17). – С. 41-53. – URL: https://corpinfosys.ru/archive/issue-17/193-2022-17-statestandard.
Автор: stepanovdandcorpinfosys