Отчет об обследовании гост 34

Судьба требований ГОСТ 34 серии в проектах информационной безопасности

Отчет об обследовании гост 34

Зенин Николай Николаевич, главный архитектор проектов компании Angara Technologies Group.

1 Введение

Данная статья призвана прояснить основные особенности применения отечественных стандартов на разработку документации технического проекта.

К 2020 году складывается впечатление, что требование «проектировать по ГОСТу» постепенно становится все менее обязательным, а замены ГОСТ 34 серии государственным регулятором не предлагается.

Поэтому при формировании требований к разработке технической документации, принятии решения о содержании и оформлении проектной документации возникает вопрос: «Какими стандартами следует руководствоваться?».

На этот и другие вопросы отвечает автор статьи с 12-летним опытом формирования требований и разработки комплектов проектной документации на создание и модернизацию систем защиты информации, информационных систем в государственных органах, организациях различных направлений деятельности (ТЭК, финансовая сфера, системные интеграторы).

1.2 Терминология

Для упрощения применяемой терминологии часть понятий в данной статье объединены (в случаях, где не требуется разделение понятий):

  • под «созданием системы» автор подразумевает как проекты создания, так и проекты модернизации (доработки) системы;
  • под «системой» автор подразумевает как автоматизированные системы (состоящие из персонала, информации, комплекса технических и программных средств автоматизации целевой деятельности), так и информационные системы (аналогично автоматизированным системам, но без персонала), системы защиты информации;
  • под «системой защиты информации» автор подразумевает как, собственно, систему/подсистему защиты информации в соответствии с нормативными требованиями, так и системы/подсистемы информационной безопасности (в отличие от «защиты информации», термин «информационная безопасность» часто подразумевает послабление применяемых нормативных требований).

1.3 Состав работ по созданию систем

Основным стандартом, определяющим последовательность работ по созданию автоматизированных систем, является ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания», введенный в действие с 01.01.

1992 взамен предыдущего принятого Госстандартом СССР ГОСТа 1986 года и с тех пор так и не подвергавшийся обновлению. Стандартом ГОСТ 34.

601-90 определено 8 стадий создания автоматизированных систем, но, по сложившейся практике выполнения проектов, стадии объединяются, и работы выполняются в 3-6 этапов:

  • Предпроектный этап. На данном этапе Заказчик самостоятельно определяет технические требования к системе и размещает заказ на закупку. Этапу соответствует стадия 1. Формирование требованиям к АС (согласно ГОСТ 34.601-90).
  • Этап «Обследование». На данном этапе привлеченный исполнитель обследует инфраструктуру Заказчика и нормативную документацию, определяет угрозы безопасности информации, подготавливает Отчет об обследовании, Модель угроз, комплект организационно-распорядительной документации (согласование которой может продолжаться в течение последующих стадий проекта). Этапу соответствует стадия 2. Разработка концепции АС (согласно ГОСТ 34.601-90).
  • Этап «Техническое задание». На данном этапе выполняется разработка и утверждение технического задания на создание системы, что соответствует стадии 3. Техническое задание по ГОСТ 34.601-90. Часто этапы «Обследование» и «Техническое задание» объединяют в один этап.
  • Этап «Технорабочее проектирование». На данном этапе исполнитель разрабатывает комплект документации технического проекта, рабочей документации (включая эксплуатационную документацию), программу и методику испытаний. Этапу соответствуют стадии 4. Эскизный проект, 5. Технический проект, 6. Рабочая документация (согласно ГОСТ 34.601-90).
  • Этап «Ввод в действие». На данном этапе выполняются пуско-наладочные работы, подготовка персонала, проводятся испытания системы и, при необходимости, аттестация системы по требованиям безопасности информации. Этапу соответствует стадия 7. Ввод в действие (согласно ГОСТ 34.601-90).
  • Этап «Эксплуатация и сопровождение». На данном этапе выполняются работы в соответствии с гарантийными обязательствами и послегарантийное обслуживание. Этап продолжается до вывода системы из эксплуатации. Этапу соответствует стадия 8. Сопровождение АС (согласно ГОСТ 34.601-90).

Отдельных комментариев в терминах настоящей статьи заслуживает этап «Технорабочее проектирование». На этом этапе разрабатываются два важных блока документации:

  • Проектные решения (технический проект иногда называют «документацией на систему», документацией стадии «П»). Данный блок описывает будущую систему в терминах принятых архитектурных и технических решений. Предварительную стадию эскизного проектирования автор статьи умышленно пропустил, поскольку она является упрощенной версией стадии «П».
  • Рабочая документация. Данный блок содержит настройки для успешного развертывания и ввода в действие системы, а также эксплуатационную документацию (для дальнейшей эксплуатации системы).

1.4 Состав ГОСТов 34 серии

Под основными стандартами разработки технической документации на автоматизированные системы понимаются:

  • ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированных систем»;
  • ГОСТ 34.602-89 «Техническое задание на создание автоматизированной системы»;
  • ГОСТ 34.603-92 «Виды испытаний автоматизированных систем»;
  • «Автоматизированные системы. Требования документов»;
  • ЕСКД (ГОСТ 2) «Единая система конструкторской документации»;
  • ЕСПД (ГОСТ 19) «Единая система программной документации».

Первые 3 стандарта, руководящий документ (РД) и ранее рассмотренный ГОСТ 34.601-90 образуют «костяк» требований ГОСТ 34 серии. Состав документов технического проекта определен стандартом ГОСТ 34.201-89 (действующий). отдельных документов (Технического задания, Программы и методики испытаний) определены ГОСТ 34.602-89 и ГОСТ 34.603-92 соответственно (действующие).

каждого разрабатываемого документа технорабочей документации ранее определялось руководящим документом РД 50-34.

698-90, и наступил бы его 30-летний юбилей, однако действие данного документа на территории Российской Федерации было отменено Приказом Федерального агентства по техническому регулированию и метрологии (Росстандарта) от 12.02.2019 №216, а нового руководящего документа взамен РД (на момент его отмены) не предложено.

Источник: https://cisoclub.ru/sudba-trebovanij-gost-34-serii-v-proektah-informaczionnoj-bezopasnosti/

Гост 34.602-89

Отчет об обследовании гост 34

ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. Комплекс стандартов на автоматизированные системы
Information technology. Set of standards for automated systems. Technical directions for developing of automated system
ОКСТУ 0034

Дата введения с 01.01.1990г.

      Настоящий стандарт распространяется на автоматизированные системы (АС) для автоматизации различных видов деятельности (управление, проектирование, исследование и т. п.), включая их сочетания, и устанавливает состав, содержание, правила оформления документа «Техническое задание на создание (развитие или модернизацию) системы» (далее – ТЗ на АС).

      Рекомендуемый порядок разработки, согласования и утверждения ТЗ на АС приведен в приложении 1.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. ТЗ на АС является основным документом, определяющим требования и порядок создания (развития или модернизации – далее создания) автоматизированной системы, в соответствии с которым проводится разработка АС и ее приемка при вводе в действие.

1.2. ТЗ на АС разрабатывают на систему в целом, предназначенную для работы самостоятельно или в составе другой системы.

      Дополнительно могут быть разработаны ТЗ на части АС:

  • на подсистемы АС, комплексы задач АС и т. п. в соответствии с требованиями настоящего стандарта;
  • на комплектующие средства технического обеспечения и программно-технические комплексы в соответствии со стандартами ЕСКД и СРПП;
  • на программные средства в соответствии со стандартами ЕСПД;
  • на информационные изделия в соответствии с ГОСТ 19.201 и НТД, действующей в ведомстве заказчика АС.

Примечание. В ТЗ на АСУ для группы взаимосвязанных объектов следует включать только общие для группы объектов требования. Специфические требования отдельного объекта управления следует отражать в ТЗ на АСУ этого объекта.

1.3. Требования к АС в объеме, установленном настоящим стандартом, могут быть включены в задание на проектирование вновь создаваемого объекта автоматизации. В этом случае ТЗ на АС не разрабатывают.

1.4. Включаемые в ТЗ на АС требования должны соответствовать современному уровню развития науки и техники и не уступать аналогичным требованиям, предъявляемым к лучшим современным отечественным и зарубежным аналогам. Задаваемые в ТЗ на АС требования не должны ограничивать разработчика системы в поиске и реализации наиболее эффективных технических, технико-экономических и других решений.

1.5. ТЗ на АС разрабатывают на основании исходных данных в том числе содержащихся в итоговой документации стадии «Исследование и обоснование создания АС», установленной ГОСТ 24.601.

1.6. В ТЗ на АС включают только те требования, которые дополняют требования к системам данного вида (АСУ, САПР, АСНИ и т. д.), содержащиеся в действующих НТД, и определяются спецификой конкретного объекта, для которого создается система.

1.7. Изменения к ТЗ на АС оформляют дополнением или подписанным заказчиком и разработчиком протоколом. Дополнение или указанный протокол являются неотъемлемой частью ТЗ на АС. На титульном листе ТЗ на АС должна быть запись «Действует с … ».

2. СОСТАВ И СОДЕРЖАНИЕ

2.1. ТЗ на АС содержит следующие разделы, которые могут быть разделены на подразделы:

  • 1) общие сведения;
  • 2) назначение и цели создания (развития) системы;
  • 3) характеристика объектов автоматизации;
  • 4) требования к системе;
  • 5) состав и содержание работ по созданию системы;
  • 6) порядок контроля и приемки системы;
  • 7) требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие;
  • 8) требования к документированию;
  • 9) источники разработки.

      В ТЗ на АС могут включаться приложения.

2.2. В зависимости от вида, назначения, специфических особенностей объекта автоматизации и условий функционирования системы допускается оформлять разделы ТЗ в виде приложений, вводить дополнительные, исключать или объединять подразделы ТЗ.

      В ТЗ на части системы не включают разделы, дублирующие содержание разделов ТЗ на АС в целом.

2.3. В разделе «Общие сведения» указывают:

  • 1) полное наименование системы и ее условное обозначение;
  • 2) шифр темы или шифр (номер) договора;
  • 3) наименование предприятий (объединений) разработчика и заказчика (пользователя) системы и их реквизиты;
  • 4) перечень документов, на основании которых создается система, кем и когда утверждены эти документы;
  • 5) плановые сроки начала и окончания работы по созданию системы;
  • 6) сведения об источниках и порядке финансирования работ;
  • 7) порядок оформления и предъявления заказчику результатов работ по созданию системы (ее частей), по изготовлению и наладке отдельных средств (технических, программных, информационных) и программно-технических (программно-методических) комплексов системы.

2.4. Раздел «Назначение и цели создания (развития) системы» состоит из подразделов:

  • 1) назначение системы;
  • 2) цели создания системы.

2.4.1. В подразделе «Назначение системы» указывают вид автоматизируемой деятельности (управление, проектирование и т. п.) и перечень объектов автоматизации (объектов), на которых предполагается ее использовать.

      Для АСУ дополнительно указывают перечень автоматизируемых органов (пунктов) управления и управляемых объектов.

2.4.2. В подразделе «Цели создания системы» приводят наименования и требуемые значения технических, технологических, производственно-экономических или других показателей объекта автоматизации, которые должны быть достигнуты в результате создания АС, и указывают критерии оценки достижения целей создания системы.

2.5. В разделе «Характеристики объекта автоматизации» приводят:

  • 1) краткие сведения об объекте автоматизации или ссылки на документы, содержащие такую информацию;
  • 2) сведения об условиях эксплуатации объекта автоматизации и характеристиках окружающей среды.

Примечание: Для САПР в разделе дополнительно приводят основные параметры и характеристики объектов проектирования.

2.6. Раздел «Требования к системе» состоит из следующих подразделов:

  • 1) требования к системе в целом;
  • 2) требования к функциям (задачам), выполняемым системой;
  • 3) требования к видам обеспечения.

      Состав требований к системе, включаемых в данный раздел ТЗ на АС, устанавливают в зависимости от вида, назначения, специфических особенностей и условий функционирования конкретной системы. В каждом подразделе приводят ссылки на действующие НТД, определяющие требования к системам соответствующего вида.

2.6.1. В подразделе «Требования к системе в целом» указывают:

  • требования к структуре и функционированию системы;
  • требования к численности и квалификации персонала системы и режиму его работы;
  • показатели назначения;
  • требования к надежности;
  • требования безопасности;
  • требования к эргономике и технической эстетике;
  • требования к транспортабельности для подвижных АС;
  • требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов системы;
  • требования к защите информации от несанкционированного доступа;
  • требования по сохранности информации при авариях;
  • требования к защите от влияния внешних воздействий;
  • требования к патентной чистоте;
  • требования по стандартизации и унификации;
  • дополнительные требования.

2.6.1.1. В требованиях к структуре и функционированию системы приводят:

  • 1) перечень подсистем, их назначение и основные характеристики, требования к числу уровней иерархии и степени централизации системы;
  • 2) требования к способам и средствам связи для информационного обмена между компонентами системы;
  • 3) требования к характеристикам взаимосвязей создаваемой системы со смежными системами, требования к ее совместимости, в том числе указания о способах обмена информацией (автоматически, пересылкой документов, по телефону и т. п.);
  • 4) требования к режимам функционирования системы;
  • 5) требования по диагностированию системы;
  • 6) перспективы развития, модернизации системы.

2.6.1.2. В требованиях к численности и квалификации персонала на АС приводят:

  • требования к численности персонала (пользователей) АС;
  • требования к квалификации персонала, порядку его подготовки и контроля знаний и навыков;
  • требуемый режим работы персонала АС.

2.6.1.3. В требованиях к показателям назначения АС приводят значения параметров, характеризующие степень соответствия системы ее назначению.

      Для АСУ указывают:

  • степень приспособляемости системы к изменению процессов и методов управления, к отклонениям параметров объекта управления;
  • допустимые пределы модернизации и развития системы;
  • вероятностно-временные характеристики, при которых сохраняется целевое назначение системы.

2.6.1.4. В требования к надежности включают:

  • 1) состав и количественные значения показателей надежности для системы в целом или ее подсистем;
  • 2) перечень аварийных ситуаций, по которым должны быть регламентированы требования к надежности, и значения соответствующих показателей;
  • 3) требования к надежности технических средств и программного обеспечения;
  • 4) требования к методам оценки и контроля показателей надежности на разных стадиях создания системы в соответствии с действующими нормативно-техническими документами.

2.6.1.5. В требования по безопасности включают требования по обеспечению безопасности при монтаже, наладке, эксплуатации, обслуживании и ремонте технических средств системы (защита от воздействий электрического тока, электромагнитных полей, акустических шумов и т. п.), по допустимым уровням освещенности, вибрационных и шумовых нагрузок.

2.6.1.6. В требования по эргономике и технической эстетике включают показатели АС, задающие необходимое качество взаимодействия человека с машиной и комфортность условий работы персонала.

2.6.1.7. Для подвижных АС в требования к транспортабельности включают конструктивные требования, обеспечивающие транспортабельность технических средств системы, а также требования к транспортным средствам.

2.6.1.8. В требования к эксплуатации, техническому обслуживанию, ремонту и хранению включают:

  • 1) условия и регламент (режим) эксплуатации, которые должны обеспечивать использование технических средств (ТС) системы с заданными техническими показателями, в том числе виды и периодичность обслуживания ТС системы или допустимость работы без обслуживания;
  • 2) предварительные требования к допустимым площадям для размещения персонала и ТС системы, к параметрам сетей энергоснабжения и т. п.;
  • 3) требования по количеству, квалификации обслуживающего персонала и режимам его работы;
  • 4) требования к составу, размещению и условиям хранения комплекта запасных изделий и приборов;
  • 5) требования к регламенту обслуживания.

2.6.9. В требования к защите информации от несанкционированного доступа включают требования, установленные в НТД, действующей в отрасли (ведомстве) заказчика.

2.6.1.10. В требованиях по сохранности информации приводят перечень событий: аварий, отказов технических средств (в том числе – потеря питания) и т. п., при которых должна быть обеспечена сохранность информации в системе.

Источник: http://ani-studio.narod.ru/BOX/Flash/Study/Automation/HTML-Themes/DOCs/GOST34.602-89.htm

Судьба требований ГОСТ 34-й серии в проектах по информационной безопасности

Отчет об обследовании гост 34

Что в 2020 году подразумевает требование «проектировать по ГОСТу», становится ли оно менее обязательным? Что делать, если государственный регулятор не предлагает замену для ГОСТов 34-й серии? И вообще, какими стандартами стоит руководствоваться при оформлении проектной документации? Отвечает Николай Зенин, специалист с 12-летним опытом формирования таких требований.

Проблематика

К 2020 году складывается впечатление, что требование «проектировать по ГОСТу» постепенно становится всё менее обязательным, а замены для ГОСТов 34-й серии государственным регулятором не предлагается.

Поэтому при формировании требований к разработке технических документов, принятии решения о содержании и оформлении проектной документации возникает вопрос: «какими стандартами следует руководствоваться?».

На этот и другие вопросы отвечает специалист с 12-летним опытом формирования требований и разработки комплектов проектной документации на создание и модернизацию систем защиты информации, информационных систем в государственных органах, организациях различных направлений деятельности (ТЭК, финансовая сфера, системные интеграторы).

Терминология

Для упрощения применяемой терминологии часть понятий в данной статье объединена (в случаях, где не требуется их разделение):

  • под «созданием системы» автор подразумевает проекты как собственно создания, так и модернизации (доработки) системы;
  • говоря «система», автор имеет в виду как автоматизированные (состоящие из персонала, информации, комплекса технических и программных средств автоматизации целевой деятельности), так и информационные комплексы (аналогичные автоматизированным, но без персонала), а также системы защиты информации;
  • под «системой защиты информации» автор подразумевает как собственно систему или подсистему защиты информации в соответствии с нормативными требованиями, так и систему либо подсистему информационной безопасности (в отличие от «защиты информации», термин «информационная безопасность» часто подразумевает ослабление применяемых нормативных требований).

Состав работ по созданию систем

Основным стандартом, определяющим последовательность работ по созданию автоматизированных систем, является ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания», введённый в действие с 01.01.

1992 взамен предыдущего принятого Госстандартом СССР ГОСТа 1986 года и с тех пор так и не подвергавшийся обновлению. Стандартом ГОСТ 34.

601-90 определено 8 стадий создания автоматизированных систем, но по сложившейся практике выполнения проектов эти стадии объединяются, и работы выполняются в 3-6 этапов:

  1. Предпроектный этап. На данном этапе заказчики самостоятельно определяют технические требования к системе и размещают заказы на закупку. Ему соответствует стадия 1 «Формирование требований к АС» (согласно ГОСТ 34.601-90).
  2. Обследование. На этом этапе привлечённый исполнитель обследует инфраструктуру заказчика и нормативную документацию, определяет угрозы безопасности информации, подготавливает отчёт об обследовании, модель угроз и комплект организационно-распорядительной документации (согласование которой может продолжаться в течение последующих стадий проекта). Этапу соответствует стадия 2 «Разработка концепции АС» (согласно ГОСТ 34.601-90).
  3. Техническое задание. На данном этапе выполняется разработка и утверждение технического задания на создание системы, что соответствует стадии 3 «Техническое задание» по ГОСТ 34.601-90. Часто этапы «Обследование» и «Техническое задание» объединяют.
  4. Технорабочее проектирование. На этом этапе исполнитель разрабатывает комплект документации технического проекта, рабочей документации (включая эксплуатационную), программу и методику испытаний. Этапу соответствуют стадия 4 «Эскизный проект», стадия 5 «Технический проект» и стадия 6 «Рабочая документация» (согласно ГОСТ 34.601-90).
  5. Ввод в действие. На данном этапе выполняются пусконаладочные работы, подготовка персонала, проводятся испытания системы и — при необходимости — аттестация системы по требованиям безопасности информации. Ему соответствует стадия 7 «Ввод в действие» (согласно ГОСТ 34.601-90).
  6. Эксплуатация и сопровождение. На этом этапе выполняются работы в соответствии с гарантийными обязательствами, а также послегарантийное обслуживание. Этап продолжается до вывода системы из эксплуатации. Ему соответствует стадия 8 «Сопровождение АС» (согласно ГОСТ 34.601-90).

Отдельных комментариев в рамках настоящей статьи заслуживает этап «Технорабочее проектирование». На нём разрабатываются два важных блока документации:

  • Проектные решения (технический проект иногда называют «документацией на систему», документацией стадии «П»). Данный блок описывает будущую систему в терминах принятых архитектурных и технических решений. Предварительную стадию эскизного проектирования автор статьи умышленно пропустил, поскольку она является упрощённой версией стадии «П».
  • Рабочая документация. Данный блок содержит настройки для успешного развёртывания системы и её ввода в действие, а также эксплуатационную документацию (для дальнейшего применения системы по назначению).

Состав ГОСТов 34-й серии

Под основными стандартами разработки технической документации на автоматизированные системы понимаются:

  1. ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированных систем»;
  2. ГОСТ 34.602-89 «Техническое задание на создание автоматизированной системы»;
  3. ГОСТ 34.603-92 «Виды испытаний автоматизированных систем»;
  4. РД 50-34.698-90 «Автоматизированные системы. Требования документов»;
  5. ЕСКД (ГОСТ 2) «Единая система конструкторской документации»;
  6. ЕСПД (ГОСТ 19) «Единая система программной документации».

Первые три стандарта, руководящий документ (РД) и ранее рассмотренный ГОСТ 34.601-90 образуют «костяк» требований ГОСТов 34-й серии. Состав документов технического проекта определён стандартом ГОСТ 34.201-89 (действующий). отдельных документов (технического задания, программы и методики испытаний) определены ГОСТ 34.602-89 и ГОСТ 34.603-92 соответственно (действующие).

каждого разрабатываемого документа технорабочей документации ранее определялось руководящим документом РД 50-34.

698-90, и наступил бы его 30-летний юбилей, но действие данного документа на территории Российской Федерации было отменено приказом Федерального агентства по техническому регулированию и метрологии (Росстандарта) от 12.02.2019 №216, а нового руководящего документа взамен РД (на момент его отмены) не предложено.

Источник: https://www.anti-malware.ru/practice/methods/GOST-requirements-34th-series-in-information-security-projects

Вопросы юристу
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: