Билеты с ответами - Типы и функции технической документации

ВОПРОС №1:
Типы и функции технической документации
развитие любой продукции проистекает следующим образом:
• заказчик и разработчик решают, что и зачем они собираются создать;
• разработчик создает, а заказчик принимает продукцию;
• результат передается пользователю для целевого применения.
Исходя из этого техническую документацию можно условно разделить на два типа: документацию разработки и документацию продукции. Документацией разработки обмениваются друг с другом непосредственные участники этой деятельности. Документацию продукции передают пользователю, чтобы он мог применять программу или автоматизированную систему по назначению. Некоторые стандарты выделяют еще третий тип: документацию управления проектом, но это документы скорее организационно-распорядительного, чем технического характера, и здесь мы их рассматривать не будем.
Очевидная функция технической документации — сохранение и передача всевозможных сведений технического характера. Из этих соображений техническая документация должна быть как можно более понятной, информативной, удобной и т. п.
Другая важная функция технической документации нормативная. Техническая документация при должном ее оформлении (например, в качестве приложения к договору на создание программы или автоматизированной системы) фиксирует взаимные обязательства участников разработки. Госты серий 19 и 34 в значительной мере направлены на то, чтобы техническая документация эффективно работала в этом качестве.

Создание автоматизированной системы – сложный, длительный и трудоемкий процесс, участники которого связаны разнообразными договорными, информационными, финансовыми и иными отношениями. Для регламентации этих отношений и создания атмосферы доверия и взаимопонимания между юридическими, должностными и физическими лицами, участвующими в создании АС, создана система правил и нормативов, определяющих права, обязанности и ответственность всех участников обсуждаемого процесса.
Нормативной базой будем называть совокупность законов и подзаконных актов, регламентирующих отношения между участниками процесса создания автоматизированной системы, а также отношения между этими участниками и третьими лицами, возникшие как следствие участия в процессе создания АС (В качестве примеров отношений между участниками процесса создания АС и третьими лицами можно привести отношения с налоговыми органами, а также отношения с владельцами интеллектуальной и иной собственности, используемой при создании АС.). Нормативная база создания АС должна обладать следующими свойствами:
– документальность – все обязательные для исполнения положения нормативной базы оформляются в виде документов и вводятся в действие органами (учреждениями), наделенными соответствующими полномочиями;
– юридическая значимость – срок действия документов, входящих в нормативную базу, охватывает период действия договоров между участниками создания АС;
– непротиворечивость – положения нормативной базы не содержат взаимоисключающих положений и указаний;
– иерархичность – положения нормативной базы, содержащиеся в документах, введенных в действие нижестоящим органом (учреждением), не могут отменять или подменять положения документов, введенных в действие вышестоящим органом (учреждением);
– однозначность – положения нормативной базы не допускают различных толкований и одинаково интерпретируются всеми участниками процесса создания АС;
– полнота и целостность – положения нормативной базы взаимно дополняют друг друга и охватывают все аспекты отношений между участниками процесса создания АС.

ВОПРОС №2:
Парадигма безопасности опирается на следующие базовые понятия: «актив», «собственник», «злоумышленник», «угроза», «уязвимость», «риск», «политика безопасности», «управление безопасностью», «мониторинг».
ПАРАДИГМА — исходная концептуальная схема, модель постановки проблем и их решения, методов исследования, господствующих в течение определенного исторического периода в научном сообществе.
Фундаментальным, как отмечается в ГОСТ ISO 15408 «Общие критерии», является взаимное соотношение понятий «актив», «уязвимость», «угроза».
Под «угрозой» следует понимать потенциальную возможность нанесения ущерба каким-либо заранее известным злоумышленнику способом.
«Уязвимость» — это слабость в системе мер защиты, которую угроза может преодолеть.
Под «риском» подразумевается сочетание вероятности нанесения ущерба путем преодоления системы защиты с использованием уязвимостей и тяжести этого ущерба.). Пересечение этих трех порождает понятие «риск».
Минимизация рисков осуществляется с помощью разработки схемы поведения, так называемой «политики безопасности» и управления ею. Управление работами по реализации политики безопасности — это и есть управление рисками.
Существующие стандарты по-разному определяют понятие «актив». Согласно СТБ 34.101.х (ISO 15408 «Общие критерии»), под активом понимается значимая для собственника информация, обрабатываемая в информационной системе. В соответствии с созданным в США и получившим в последнее время широкое распространение стандартом OCTAVE, в активы входят: информация; информационные системы; программное обеспечение; технические (аппаратные) средства; персона. (Для банковской организации в это понятие следует дополнительно включить финансы.) Данная интерпретация понятия «актив» представляется наиболее предпочтительной.
В конечном итоге качество активов определяет эффективность выполнения организацией своей «миссии», то есть достижения ее главных целей и задач.
Как говорит известная пословица, дьявол прячется в мелочах. Применительно к нашему случаю более частные моменты определяют суть и современный вид проблемы информационной безопасности. И главное тут — оторванность, автономность предлагаемых общественности мер защиты, а значит и отсутствие каких-либо методик интегральной оценки уровня безопасности.
Вместе с тем в системе защиты выделяются следующие группы мер защиты, реализация которых позволяет решить эту проблему:
• правовые, устанавливающие юридические нормы владения, управления и ответственности при обладании активами;
• организационные, определяющие порядок работ по обеспечению безопасности всех субъектов;
• административные, регламентирующие доступ субъектов к активам;
• программные, реализующие в программной среде политику безопасности путем выполнения специальных настроек на оборудовании;
• технические, реализующие политику безопасности техническими средствами.
При этом управление безопасностью предполагает согласованное решение задач собственно управления, финансирования, управления рисками, обучения и контроля знаний, а также аудита (мониторинга). Взаимодействие угроз, активов и системы защиты поясняет рисунок.
Совершенно очевидно, что ущерб (т.е. реализация уязвимости) может наступить только в том случае, если субъект угроз сможет реализовать имеющиеся в мерах защиты уязвимости.
Также ясно, что пренебрежение какой-либо группой мер защиты существенно повышает риски безопасности.
В заключение отметим, что все эти группы мер защиты должны быть применимы на каждом из семи известных уровней структурирования информационного комплекса организации, начиная с физической защиты зданий и оборудования и заканчивая бизнес-процессами организации.
ВОПРОС №3:
Качество - совокупность характеристик объекта, относящихся к его способности удовлетворить установленные и предполагаемые потребности.
Требования к качеству – выражение определенных потребностей или их перевод в набор количественно или качественно установленных требований к характеристикам объекта, чтобы дать возможность их реализации и проверки.
Управление качеством – методы и виды деятельности оперативного характера, используемые для выполнения требований к качеству.
Система качества – совокупность организационной структуры, методик, процессов и ресурсов, необходимых для осуществления общего руководства качеством. [ИСО 8402]
Программа качества – документ, регламентирующий конкретные меры в области качества, ресурсы и последовательность деятельности, относящейся к специфической продукции, проекту или контракту.
1. НАЗНАЧЕНИЕ ЕСПД
1.1. Единая система программной документации - комплекс государственных стандартов, устанавливающих взаимоувязанные правила разработки, оформления и обращения программ и программной документации.
1.2. В стандартах ЕСПД устанавливают требования, регламентирующие разработку сопровождение, изготовление и эксплуатацию программ, что обеспечивает возможность:
- унификации программных изделий для взаимного обмена программами и применения ранее разработанных программ в новых разработках;
- снижения трудоемкости и повышения эффективности разработки, сопровождения, изготовления и эксплуатации программных изделий;
- автоматизации изготовления и хранения программной документации.
Сопровождение программы включает анализ функционирования, развитие и совершенствование программы, а также внесение изменений в нее с целью устранения ошибок.
2. ОБЛАСТЬ РАСПРОСТРАНЕНИЯ И СОСТАВ ЕСПД
2.1. Правила и положения, установленные в стандартах ЕСПД, распространяются на программы и программную документацию для вычислительных машин, комплексов и систем независимо от их назначения и области применения.
2.2. В состав ЕСПД входят:
- основополагающие и организационно-методические стандарты;
- стандарты, определяющие формы и содержание программных документов, применяемых при обработке данных;
- стандарты, обеспечивающие автоматизацию разработки программных документов.
2.3. Разработка организационно-методической документации, определяющей и регламентирующей деятельность организаций по разработке, сопровождению и эксплуатации программ, должна проводиться на основе стандартов ЕСПД.
3. КЛАССИФИКАЦИЯ И ОБОЗНАЧЕНИЕ СТАНДАРТОВ ЕСПД
3.1. Стандарты ЕСПД подразделяют на группы, приведенные в таблице.
Код группы Наименование группы
0 Общие положения
1 Основополагающие стандарты
2 Правила выполнения документации разработки
3 Правила выполнения документации изготовления
4 Правила выполнения документации сопровождения
5 Правила выполнения эксплуатационной документации
6 Правила обращения программной документации
7 Резервные группы
8
9 Прочие стандарты
3.2. Обозначения стандартов ЕСПД строят по классификационному признаку.
В обозначение стандарта ЕСПД должны входить:
- цифры 19, присвоенные классу стандартов ЕСПД;
- одна цифра (после точки), обозначающая код классификационной группы стандартов, указанной в п. 3.1;
- двузначное число, определяющее порядковый номер стандарта в группе;
- двузначное число (после тире), указывающее год регистрации стандарта.
ВИДЫ ДОКУМЕНТОВ:

ВОПРОС №4:
Содержание и сфера применения
Комплекс стандартов на автоматизированные системы (КСАС, ГОСТ 34.*) — основополагающий набор нормативно-технических документов для всех отечественных системных интеграторов, особенно, участвующих в выполнении государственных заказов. Практически все работы по созданию автоматизированных систем для государственного и крупного коммерческого заказчика в нашей стране сопровождаются выпуском технической документации в соответствии с этими стандартами.
КСАС невозможно рассматривать в качестве учебника по проектированию, реализации или документированию автоматизированных систем, однако, в него заложено вполне определенное представление об автоматизированной системе и наиболее важных аспектах ее существования. Так, в КСАС определены:
• понятие автоматизированной системы;
• классификация автоматизированных систем;
• терминология, описывающая различные части системы и взаимосвязи между ними;
• стадии создания автоматизированной системы и их основные результаты;
• требования к составу и содержанию системной технической документации.
Стандарты КСАС касаются только документации на автоматизированные системы как таковые. В отношении документации на программные компоненты систем разработчикам предлагается соблюдать требования ЕСПД, а в отношении документации на технические средства — ЕСКД.
Состав нормативно-технических документов
Обозначение Наименование
ГОСТ 34.003-90 Информационная технология.
Комплекс стандартов на автоматизированные системы.
Автоматизированные системы. Термины и определения
ГОСТ 34.201-89 Информационная технология.
Комплекс стандартов на автоматизированные системы.
Виды, комплектность и обозначение документов при создании автоматизированных систем
ГОСТ 34.601-90 Информационная технология.
Комплекс стандартов на автоматизированные системы.
Автоматизированные системы. Стадии создания
ГОСТ 34.602-89 Информационная технология.
Комплекс стандартов на автоматизированные системы.
Техническое задание на создание автоматизированной системы
РД 50-34.698-90 Методические указания.
Информационная технология.
Комплекс стандартов и руководящих документов на автоматизированные системы.
Автоматизированные системы требования к содержанию документов
ВОПРОС №5:
СТАДИИ И ЭТАПЫ СОЗДАНИЯ АС
Автоматизированная система: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
2.1. Стадии и этапы создания АС в общем случае приведены в таблице.
Стадии Этапы работ
1. Формирование требований к АС 1.1. Обследование объекта и обоснование необходимости создания АС.
1.2. Формирование требований пользователя к АС.
1.3. Оформление отчёта о выполненной работе и заявки на разработку АС (тактико-технического задания)
2. Разработка концепции АС. 2.1. Изучение объекта.
2.2. Проведение необходимых научно-исследовательских работ.
2.3. Разработка вариантов концепции АС, удовлетворяющего требованиям пользователя.
2.4. Оформление отчёта о выполненной работе.
3. Техническое задание. Разработка и утверждение технического задания на создание АС.
4. Эскизный проект. 4.1. Разработка предварительных проектных решений по системе и её частям.
4.2. Разработка документации наАС и её части.
5. Технический проект. 5.1. Разработка проектных решений по системе и её частям.
5.2. Разработка документации наАС и её части.
5.3. Разработка и оформление документации на поставку изделий для комплектования АС и (или) технических требований (технических заданий) на их разработку.
5.4. Разработка заданий на проектирование в смежных частях проекта объекта автоматизации.
6. Рабочая документация. 6.1. Разработка рабочей документации на систему и её части.
6.2. Разработка или адаптация программ.
7. Ввод в действие. 7.1. Подготовка объекта автоматизации к вводу АС в действие.
7.2. Подготовка персонала.
7.3. Комплектация АС поставляемыми изделиями (программными и техническими средствами, программно-техническими комплексами, информационными изделиями).
7.4. Строительно-монтажные работы.
7.5. Пусконаладочные работы.
7.6. Проведение предварительных испытаний.
7.7. Проведение опытной эксплуатации.
7.8. Проведение приёмочных испытаний.
8. Сопровождение АС 8.1. Выполнение работ в соответствии с гарантийными обязательствами.
8.2. Послегарантийное обслуживание.

Комплекс стандартов на автоматизированные системы (ГОСТ 34):
Комплекс стандартов ГОСТ 34 рассчитан на взаимодействие заказчика и разработчика. Аналогично ISO 12207 предусмотрено, что заказчик может разрабатывать АС для себя сам (если создаст для этого специализированное подразделение).
Формулировки ГОСТ 34 не ориентированы на столь явное и, в известном смысле, симметричное отражение действий обеих сторон, как ISO 12207.
Стандарт ГОСТ 34 в основном уделяет внимание содержанию проектных документов, распределение действий между сторонами обычно делается отталкиваясь от этого содержания.
ГОСТ 34.601-90 :Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания
Комплекс стандартов:

ВОПРОС №7:
Проектирование на современном уровне и синтез КСИБ
Типовая структура комплексной системы защиты информации; методы и методики проектирования;
Подходы к оценке эффективности КСЗИ
Эффективность КСЗИ оценивается как на этапе разработки, так и в процессе эксплуатации. В оценке эффективности КСЗИ, в зависимости от используемых показателей и способов их получения, можно выделить три подхода:
• классический;
• официальный;
• экспериментальный.
Классический подход
Под классическим подходом к оценке эффективности понимается использование критериев эффективности, полученных с помощью показателей эффективности. Значения показателей эффективности получаются путем моделирования или вычисляются по характеристикам реальной ИС. Такой подход используется при разработке и модернизации КСЗИ. Однако возможности классических методов комплексного оценивания эффективности применительно к КСЗИ ограничены в силу ряда причин.
Высокая степень неопределенности исходных данных, сложность формализации процессов функционирования, отсутствие общепризнанных методик расчета показателей эффективности и выбора критериев оптимальности создают значительные трудности для применения классических методов оценки эффективности.
ВОПРОС №8:
Официальный подход
Большую практическую значимость имеет подход к определению эффективности КСЗИ, который условно можно назвать официальным. Политика безопасности информационных технологий проводится государством и должна опираться на нормативные акты. В этих документах необходимо определить требования к защищенности информации различных категорий конфиденциальности и важности.
Требования могут задаваться перечнем механизмов защиты информации, которые необходимо иметь в ИС, чтобы она соответствовала определенному классу защиты. Используя такие документы, можно оценить эффективность КСЗИ. В этом случае критерием эффективности КСЗИ является ее класс защищенности.
Несомненным достоинством таких классификаторов (стандартов) является простота использования. Основным недостатком официального подхода к определению эффективности систем защиты является то, что не определяется эффективность конкретного механизма защиты, а констатируется лишь факт его наличия или отсутствия. Этот недостаток в какой-то мере компенсируется заданием в некоторых документах достаточно подробных требований к этим механизмам защиты.

ВОПРОС №9:
Экспериментальный подход
Под экспериментальным подходом понимается организация процесса определения эффективности существующих КСЗИ путем попыток преодоления защитных механизмов системы специалистами, выступающими в роли злоумышленников.
Такие исследования проводятся следующим образом. В качестве условного злоумышленника выбирается один или несколько специалистов в области информационной борьбы наивысшей квалификации. Составляется план проведения эксперимента. В нем определяются очередность и материально-техническое обеспечение проведения экспериментов по определению слабых звеньев в системе защиты. При этом могут моделироваться действия злоумышленников, соответствующие различным моделям поведения нарушителей: от неквалифицированного злоумышленника, не имеющего официального статуса в исследуемой ИС, до высококвалифицированного сотрудника службы безопасности.
Служба безопасности до момента преодоления защиты «злоумышленниками» должна ввести в КСЗИ новые механизмы защиты (изменить старые), чтобы избежать «взлома» системы защиты.
Такой подход к оценке эффективности позволяет получать объективные данные о возможностях существующих КСЗИ, но требует высокой квалификации исполнителей и больших материальных и временных затрат. Для проведения экспериментов необходимо иметь самое современное оборудование (средства инженерно-технической разведки, аппаратно-программные и испытательные комплексы (стенды) и т. п.)