- •Общие положения (по стандартизации, метрологии, сертификации, инструментариям )
- •2. Стандарт гост рв 51987 «информационная технология. Комплекс стандартов на автоматизированные системы. Требования и показатели качества функционирования информационных систем»
- •1 Область применения
- •Общие положения.
- •3. Методы оценки качества функционирования информационных систем
- •Информационная технология – Процессы жизненного цикла программных средств исо/мэк 12207:2007 (Процессы жц программного обеспечения)
- •G) процессы повторного применения программных средств — три процесса (5.2.2.2.3 и 7.3)
- •F) процесс квалификационного тестирования программных средств.
- •5.2.2.2.2 Процессы поддержки программных средств
- •H) процесс решения проблем в программных средствах.
- •5.2.2.2.3 Процессы повторного применения программных средств
- •5. Методы оценки стандартизованных процессов в жизненном цикле систем
- •6. Стандарт гост 34.602—89 «информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»
- •7. Методические указания рд 50-680-88, 50-682-89
- •8. Стандарты по разработке программного обеспечения
- •9. Стандарты по тестированию и оценке качества программного обеспечения
- •10. Методы оценки качества программного обеспечения
- •11. Стандарты по документации
- •Гост р 6.30-2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов
- •Гост р 50922-2006. Защита информации. Основные термины и определения
- •Гост 6.10.4-84. Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения
- •12. Стандарты по системам менеджмента качества 9001, 90003 и безопасности 17799
- •4.1 Общие требования
- •5.1 Обязательства руководства
- •5.2 Ориентация на потребителя
- •5.3 Политика в области качества
- •5.4 Планирование
- •5.6 Анализ со стороны руководства
- •5.6.2 Входные данные для анализа
- •4.2 Требования документации
- •4.2.1 Общее
- •4.2.2 Руководство по качеству
- •4.2.3 Контроль документов
- •Управление информационной безопасностью - 17799
- •13. Оценка результативности процессов системы менеджмента качества (смк)
- •14. Основные положения по сертификации. 15. Методы сертификации.
- •15. Основные положения по сертификации
Общие положения.
5.1 Основными функциями ИС являются сбор, обработка, хранение и представление требуемой информации для ее последующего применения. Именно выходная информация является главным продуктом функционирования ИС. Соответственно – процессы функционирования ИС должны быть направлены на обеспечение качества выходной информации.
5.2 Требования к ИС должны формироваться с учетом целей и функций системы, условий использования ИС в системе, потенциальных угроз информации, реальных проектных и эксплуатационных ресурсов и существующих ограничений, функциональных возможностей источников информации, требований по эффективному воздействию на управляемые объекты, а также требований и условий взаимодействия с другими системами.
5.3 В общем случае основной целью функционирования ИС является удовлетворение потребностей в обеспечении надежного и своевременного представления полной, достоверной и конфиденциальной информации. Степень выполнения данных потребностей в различных условиях эксплуатации системы, в том числе потенциально опасных, характеризуется понятием качества функционирования ИС с точки зрения ее конечного пользователя. Безопасность информации является одним из необходимых условий достижения требуемого качества функционирования ИС. Она определяется состоянием защищенности ИС от различных угроз, и в итоге - способностью ИС обеспечить конкретному пользователю доступность, целостность и конфиденциальность требуемой информации в системе. Вместе с тем расходование общих ресурсов ИС должно базироваться на системном подходе к обеспечению эффективности ИС. Таким образом, формируемые требования к качеству функционирования ИС должны быть направлены на достижение цели применения системы при ограничениях на допустимые затраты и достигаемый уровень безопасности информации. При этом должно учитываться, что системные требования к качеству функционирования ИС и обеспечению безопасности информации в ИС являются взаимосвязанными:
− требования к надежности и своевременности представления информации (требования качества) характеризуют доступность информации (требование безопасности);
− требования к полноте и достоверности используемой информации (требования качества) характеризуют ее целостность (требование безопасности);
− требования к защищенности от НСД и сохранению конфиденциальности информации, а также к безошибочности действий должностных лиц, к защищенности ИС от опасных программно-технических воздействий являются непосредственно требованиями безопасности.
5.4 Степень реализации цели функционирования ИС зависит от совокупности объективных и субъективных факторов, воздействующих на перерабатываемую информацию. Классификация данных факторов – по ГОСТ Р 51275.
Качество функционирования ИС с учетом факторов, воздействующих на информацию, определяется уровнями целостности системы и ее составных компонентов. Уровни целостности должны устанавливаться в ТЗ, оцениваться и, при необходимости, уточняться при проектировании и разработке и контролироваться при производстве и эксплуатации системы. Характеристики качества функционирования ИС, приведенные ниже, должны оцениваться и контролироваться с помощью показателей, формируемых в зависимости от угроз, возможностей их возникновения и сценариев их возникновения и сценариев из потенциальной реализации с учетом специфики ИС.
Таблица 1. Основные характеристики качества функционирования ИС, соотнесенные с потенциальными угрозами информации
Возможные последствия реализации потенциальных угроз информации |
Характеристики качества функционирования ИС |
Ухудшение качества представления требуемой информации: - из-за нарушения доступности информации вследствие ненадежности ПТК; - из-за нарушения срока представления требуемой информации по запросу или при принудительной выдаче |
Характеристики качества процессов представления требуемой информации: - надежность представления запрашиваемой информации как принудительно выдаваемой информации (выполнения технологических операций); - своевременность представления запрашиваемой или выдаваемой принудительно информации (выполнения технологических операций) |
Ухудшение качества используемой информации: - из-за непредставления части необходимой информации вследствие неполноты ее отражения в ИС; - из-за потери актуальности информации на момент ее использования; - из-за наличия ошибок в информации, пропущенных или допущенных при контроле; - из-за некорректности функциональной обработки информации; - из-за нарушения конфиденциальности информации
|
Характеристики качества используемой информации: - полнота используемой информации; - актуальность используемой информации ; - безошибочность информации после контроля; - корректность обработки информации; - конфиденциальность информации;
|
Нарушение безопасности функционирования ИС: - из-за наличия ошибок, допускаемых должностными лицами; - из-за возможных опасных программно-технических воздействий (дефектов ПО, закладок, вирусов, целенаправленных атак на ресурсы ИС); - из-за несанкционированного доступа к ресурсам ИС; |
Характеристики безопасности функционирования: - безошибочность действий должностных лиц; - защищенность ИС от опасных программно-технических воздействий; - защищенность ИС от НСД; |
Примечания:
|
|
6.2.2 В ТЗ на разработку ИС и/или в постановках функциональных задач должны быть установлены системные требования к качеству процессов представления запрашиваемой (выдаваемой принудительно) выходной информации и выполнения задаваемых критичных технологических операций. Оцениваемые значения показателей, характеризующих надежность и своевременность представления информации и/или выполнения технологических операций должны быть не хуже задаваемых.
Рекомендуется использовать следующие типовые формулировки требований:
− «средняя наработка на отказ или сбой ПТС объекта Тар должна бть не менее Тнар зад» - задают для всех ПТС и/или ПТК в целом;
− «среднее время восстановления объекта после отказа или сбоя Твос должно быть не более Твос зад» - задают для всех ПТС и/или ПТК в целом;
− «коэффициент готовности объекта Кг должен быть не менее Кг зад» - задают для всех ПТС и ПТК в целом;
− «вероятность надежного представления Рнад и/или доведения запрашиваемой (выдаваемой принудительно) выходной информации в течение заданного периода Тзад функционирования ИС должна быть не ниже Рнад зад» - Тзад и Рнад зад задает заказчик;
− «вероятность надежного выполнения технологических операций Рнад в течение заданного периода Тзад функционирования ИС должна быть не ниже Рнад зад» - Тзад и Рнад зад задает заказчик. Длительность задаваемого периода Тзад выбирают исходя из того, что за это время должны быть решены конкретные задачи системы. При этом непредставление требуемой информации или невыполнение критичной технологической операции в данный период может привести к недопустимому ущербу;
− «среднее время реакции системы при обработке запроса и/или доведении информации i-го типа (перечисляются все различающиеся по требованиям ко времени реакции и/или доведения типы информации с привязкой к выполняемым функциональным задачам, источникам и получателям) Тполн i должно быть не более Тзад i» (эта формулировка применяется, когда заказчик использует критерий своевременности по среднему времени реакции системы) или
- «вероятность своевременной обработки информации i-го типа Рсв i(Tзад i) за заданное время Tзад i должна быть не ниже Рсв зад i» (эта формулировка применяется, когда заказчик использует вероятностный критерий своевременности при функционировании ИС в режиме жесткого реального времени относительно данного типа информации) - Tзад i и Рсв зад i задает заказчик;
− «среднее время выполнения конкретных технологических операций Тполн должно быть не более Тзад» или при функционировании ИС в режиме жесткого реального времени «вероятность выполнения конкретных технологических операций Рсв(Tзад) за заданное время Tзад должна быть не ниже Рсв зад» - Tзад и Рсв зад задает заказчик.
В конструкторской документации должны быть отражены:
− средние времена обработки запросов в автономном режиме;
− технологии обработки запросов для каждого из типов информации;
− возможности прерывания (с относительным или абсолютным приоритетом) начатой обработки и дообработки с места прерывания;
− возможности отказов в обработке и потерь запросов;
− первоначальное распределение запросов по приоритетным уровням (если в системе реализована приоритетная обработка запросов или передача информации) или алгоритмы динамической настройки технологических параметров обработки.
В постановках функциональных задач должны быть отражены пределы интенсивностей и направления информационных потоков, в том числе запросов для ввода в ИС входной информации, для решения функциональных задач, представления и передачи выходной информации в приложении к различным периодам эксплуатации ИС.