Стандатризация программных средств

РАЗРАБОТКА И СТАНДАРТИЗАЦИЯ ПРОГРАММНЫХ СРЕДСТВ

И ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

 

Курс лекций

2006 г.

ВВЕДЕНИЕ

ТЕМА 1. РОЛЬ СТАНДАРТИЗАЦИИ, СЕРТИФИКАЦИИ И ЛИЦЕНЗИРОВАНИЯ В ПРОЦЕССЕ ИНФОРМАТИЗАЦИИ

ЛЕКЦИЯ 1. Сущность процесса информатизации и основные положения государственной политики в сфере информатизации

ЛЕКЦИЯ 2. Информатизация России. Рынок программных средств

ЛЕКЦИЯ 3. Основные задачи стандартизации, сертификации и лицензирования в сфере информатизации

ЛЕКЦИИ 4-6. Состояние и перспективы стандартизации информационных технологий в Российской Федерации

ЛЕКЦИЯ 7. Сертификация средств информатизации в Российской Федерации. Основные понятия и термины в области сертификации

ЛЕКЦИЯ 8. Лицензирование деятельности в сфере информатизации

ТЕМА 2. РАЗРАБОТКА ПРОГРАММНЫХ СРЕДСТВ И ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

ЛЕКЦИЯ 9. Программная инженерия как совокупность инженерных методов и средств создания программного обеспечения

ЛЕКЦИЯ 10. Жизненный цикл программного обеспечения

ЛЕКЦИЯ 11. Модели и стадии ЖЦ ПО

ЛЕКЦИЯ 12. Понятие метода и технологии проектирования ПО

ЛЕКЦИЯ 13. Сущность структурного подхода. Методы документирования ПО

ЛЕКЦИЯ 14. Моделирование потоков данных (процессов)

ЛЕКЦИЯ 15. Моделирование данных

ТЕМА 3. КАЧЕСТВО ПРОГРАММНЫХ СРЕДСТВ

ЛЕКЦИЯ 16. Основные понятия качества программных средств

ЛЕКЦИЯ 17. Ресурсы для жизненного цикла сложных программных средств

ЛЕКЦИЯ 18. Стандарты, регламентирующие качество программных средств

ЛЕКЦИЯ 19. Характеристики качества баз данных

ЛЕКЦИЯ 20. Модели оценки характеристик качества и надежности ПО

ЗАКЛЮЧЕНИЕ

БИБЛИОГРАФИЯ

ПРИЛОЖЕНИЕ

О стандарте пользовательского интерфейса для диалоговых ИТ

ВВЕДЕНИЕ

Основной задачей сегодняшнего дня в области информационных технологий является совершенствование качества программных средств. Чрезвычайно актуальными стали проблемы:

·аппаратная сложность опережает наше умение конструировать программное обеспечение, не используются полностью потенциальные возможности компьютерной техники;

·наше умение строить программы отстает от требований к новым программам.

Ключом к решению этих проблем является грамотная организация процесса создания программного обеспечения. Знакомство с основными принципами, моделями и методами при разработке сложных программных продуктов, основанных на разработанных международных стандартах, способствует созданию качественных программных продуктов, конкурентоспособных на рынке программных средств.

Тема 1. РОЛЬ СТАНДАРТИЗАЦИИ, СЕРТИФИКАЦИИ И ЛИЦЕНЗИРОВАНИЯ В ПРОЦЕССЕ ИНФОРМАТИЗАЦИИ

  Лекция 1. Сущность процесса информа­тизации и основные положения государственной политики в сфе­ре информатизации

Основные понятия. Задачи государственной политики в области индустрии информатизации.

В последние десятилетия мир переживает переход от "индустриального общества" к "обществу информа­ционному". Происходит кардинальная смена способов производства, мировоззрения людей, межгосударствен­ных отношений. Уровень развития информационного пространства общества решающим образом влияет на экономику, обороноспособность и политику. От этого уровня в значительной степени зависит поведение людей, формирование общественно-политических движений и социальная стабильность.

Целями информатизации во всем мире и в том числе в России являются наиболее полное удовлетво­рение информационных потребностей общества во всех сферах деятельности, улучшение условий жизни на­селения, повышение эффективности общественного про­изводства, содействие стабилизации социально- политических отношений в государстве на основе внед­рения средств вычислительной техники и телекоммуни­каций.

Как известно, во всех развитых странах удовлет­ворение всех основных социальных и индивидуальных потребностей осуществляется за счет распространения и использования информационных ресурсов общества, обеспечения доступа к ним посредством современных информационных технологий и развитой информацион­но-коммуникационной структуры.

Информационные ресурсы, инфраструктуры и технологии в совокупности образуют интегрирован­ную информационную среду (ИС) общества. Развитая информационная среда служит технологическим ба­зисом формирования единого информационного про­странства России как целостного федеративного госу­дарства, обеспечивающим включение российских ре­гионов в социально-экономическую, политическую и культурную жизнь страны, последовательное вхож­дение России в Европейскую и глобальную информа­ционную инфраструктуру. Она является необходимым условием гибкого и эффективного управления жизнью общества.

Процессами формирования ИС — процессами ин­форматизации — в России стали серьезно заниматься с начала 90-х годов. Вначале Комитет при Президенте РФ по политике информатизации, а в настоящее время в ре­зультате ряда структурных реорганизаций Минсвязи России возглавляет работы по организации этих процессов, координации действий научных и конструкторских организаций.

Несмотря на сложности, обусловленные переход­ной экономикой, быстрым развитием отечественного рынка информационных, компьютерных и телекомму­никационных технологий, государственная политика информатизации приобрела в настоящее время концеп­туальную целостность. Созданы важные правовые, ор­ганизационные и экономические условия для развития информационной и коммуникационной инфраструкту­ры, системы распространения и использования инфор­мационных ресурсов. Существенное внимание уделяется разработке законодательства в этой области. Так, в сен­тябре 1992 года принят Закон "О правовой охране про­грамм для электронных машин и баз данных", в ноябре 1994 года - Закон "Об обязательном экземпляре доку­ментов", в феврале 1995 года - Закон "Об информации, информатизации и защите информации", в июне 1996 го­да - Закон "Об участии в международном информаци­онном обмене". По проблемам информатизации выпу­щено большое количество указов Президента РФ, постановлений Правительства РФ, а также руководящих и организационно-методических материалов различных государственных организаций. Здесь нам представляется полезным остановиться на основных элементах понятийного аппарата информа­тизации, введенных в упомянутых выше, нормативно-правовых документах.

Прежде всего дадим определение собственно тер­мину "информатизация". В Законе "Об информации, ин­форматизации и защите информации" это понятие опре­делено следующим образом:

Информатизация - организационный со­циально-экономический и научно-технический процесс создания оптималь­ных условий для удовлетворения инфор­мационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправле­ния, организаций, общественных объеди­нений на основе формирования и использования информационных ресурсов.

В этом Федеральном законе используется еще несколько понятий:

информация - сведения о лицах, предметах, фак­тах, событиях, явлениях и процессах независимо от фор­мы их представления;

документированная информация (документ) - за­фиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

информационные процессы - процессы сбора, обра­ботки, накопления, хранения, поиска и распространения информации;

информационная система - организационно - упорядоченная совокупность документов (массивов доку­ментов) и информационных технологий, в том числе с использованием средств вычислительной техники и свя­зи, реализующих информационные процессы;

информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информацион­ных системах);

информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его лич­ность;

конфиденциальная информация - документирован­ная информация, доступ к которой ограничивается в со­ответствии с законодательством Российской Федерации;

собственник информационных ресурсов, информаци­онных систем, технологий и средств их обеспечения - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объ­ектами;

владелец информационных ресурсов, информацион­ных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование ука­занными объектами и реализующий полномочия распо­ряжения в пределах, установленных законом;

пользователь (потребитель) информации - субъ­ект, обращающийся к информационной системе или по­среднику за получением необходимой ему информации и пользующийся ею.

Закон "Об информации, информатизации и защите информации" определяет основные направления госу­дарственной политики в сфере информатизации. В связи с важностью этих вопросов приведем соответствующие формулировки закона полностью.

Основными направлениями государственной полити­ки в сфере информатизации являются:

• обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;

• формирование и защита государственных инфор­мационных ресурсов; создание и развитие феде­ральных и региональных информационных систем и сетей, обеспечение их совместимости и взаимо­действия в едином информационном пространстве Российской Федерации;

• создание условий для качественного и эффек­тивного информационного обеспечения граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объ­единений на основе государственных информаци­онных ресурсов;

• обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информати­зации;

• содействие формированию рынка информацион­ных ресурсов, услуг, информационных систем, тех­нологий, средств их обеспечения;

• формирование и осуществление единой науч­но-технической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития информационных техно­логий;

• поддержка проектов и программ информатиза­ции;

• создание и совершенствование системы привлече­ния инвестиций и механизма стимулирования разра­ботки и реализации проектов информатизации;

• развитие законодательства в сфере информаци­онных процессов, информатизации и защиты ин­формации.

В "Концепции формирования и развития единого ин­формационного пространства России и соответствую­щих государственных информационных ресурсов", одоб­ренной решением Президента РФ в 1995 году, отмечено, что имеющиеся проблемы информатизации России мож­но решить только путем формирования единого информационного пространства России. Это понятие опреде­лено в Концепции так:

Единое информационное пространство представляет собой совокупность баз и банков данных, технологий их ведения и использования, информационно-теле­коммуникационных систем и сетей, функ­ционирующих на основе единых принци­пов и по общим правилам, обеспечи­вающим информационное взаимодействие организаций и граждан, а также удовлет­ворение их информационных потребно­стей.

Иными словами, единое информационное простран­ство складывается из следующих главных компо­нентов:

• информационные ресурсы, содержащие данные, сведения и знания, зафиксированные на соответствующих носителях информации;

• организационные структуры, обеспечивающие функционирование и развитие единого информационного пространства, в частности сбор, обработку, хранение, распространение, поиск и передачу информации;

• средства информационного взаимодействия граждан и организаций, обеспечивающие им доступ к информационным ресурсам на основе соответ­ствующих информационных технологий, вклю­чающие программно-технические средства и орга­низационно-нормативные документы.

Организационные структуры и средства информа­ционного взаимодействия образуют информационную инфраструктуру.

Целями формирования и развития единого информа­ционного пространства России являются:

• обеспечение прав граждан на информацию, про­возглашенных Конституцией Российской Федера­ции;

• создание и поддержание необходимого для устойчивого развития общества уровня информа­ционного потенциала;

• повышение согласованности решений, прини­маемых федеральными органами государственной власти, органами власти субъектов Федерации и органами местного самоуправления;

• повышение уровня правосознания граждан путем предоставления им свободного доступа к правовым и нормативным документам, определяющим их права, обязанности и возможности;

• предоставление возможности контроля со сторо­ны граждан и общественных организаций за дея­тельностью федеральных органов государственной власти, органов власти субъектов Федерации и ор­ганов местного самоуправления;

• повышение деловой и общественной активности граждан путем предоставления равной с государ­ственными структурами возможности;

• интеграция с мировым информационным про­странством. Развитие информационной инфраструктуры России во многом определяется современным уровнем развития отечественной индустрии информатизации.

Основными задачами государственной политики в области индустрии информатизации являются:

• создание отечественных современных информа­ционных технологий и развитие производства средств для их реализации;

• развитие отечественного производства современ­ных систем и средств связи, телекоммуникацион­ных сетей;

• содействие внедрению информационных техноло­гий, используемых в зарубежных информационных системах национального и транснационального масштаба;

• подготовка квалифицированных кадров для ра­боты в области информатизации. Рассмотрев основные понятия, связанные с процес­сом информатизации, и принципы организации этого процесса в России, перейдем к краткому анализу совре­менного состояния информатизации России и ее пер­спективам.

  Лекция 2. Информатизация России. Рынок программных средств

Развитие рынка в программных средств в России. Критические информационные, компьютерные и теле­коммуникационные технологии.

Во многом благодаря последовательной реализации рассмотренных в предыдущем разделе основных принци­пов государственной политики в сфере информатизации показатели развития информационной среды российского общества выглядят достойно, хотя по ряду из них Россия существенно уступает США и другим развитым странам.

Информационные ресурсы России являются гро­мадным по объему, стоимости и сложности комплексом, включающим несколько миллионов баз данных, элек­тронных информационных массивов библиотечных и архивных фондов. В последнее время быстро растет ко­личество российских сайтов в Интернете, ежегодно их число удваивается. Однако нельзя не отметить, что по показателю доступности информационных ресурсов на­ша страна отстает от развитых стран.

Сегодня в большинстве крупных городов России эффективно функционируют провайдеры — организа­ции, обеспечивающие пользователям доступ в Интернет. Широко используется бесплатное (некоммерческое) об­служивание пользователей. Быстро расширяется и рынок сетевой коммерческой информации (сведения о компа­ниях, товарных рынках, рынке ценных бумаг, объектах инвестиций). Это означает серьезный шаг по пути к ин­формационной экономике.

Бурному развитию процессов информатизации и, соответственно, отечественных территориальных ком­пьютерных сетей и информационных систем различного рода в первой половине 90-х годов в значительной мере способствовало как ускорение развития инфраструктуры связи, так и определенное насыщение страны персональ­ными компьютерами.

В настоящее время отечественные сетевые струк­туры (при отставании на 1-2 года) развиваются в на­правлениях, по которым идут США, Великобритания, Германия, Франция.

Разумеется, развитие ИС требует постоянного со­вершенствования научно-технической и технологической базы этого развития. Эту базу составляют прежде всего критические информационные, компьютерные и теле­коммуникационные технологии.

Термин "критические" технологии приме­нительно к информации означает, что именно их уровень и масштабы примене­ния определяют эффективность достиже­ния главных целей информатизации.

К этим технологиям прежде всего следует от­нести:

• многопроцессорные ЭВМ с параллельной струк­турой;

• вычислительные системы на базе нейрокомпьютеров, транспьютеров и оптических ЭВМ;

• системы распознавания и синтеза речи, текста и изображений;

• системы искусственного интеллекта и виртуаль­ной реальности;

• информационно - телекоммуникационные системы;

• системы математического моделирования.

В ближайшем будущем важнейшими задачами политики информатиза­ции будут селективная государственная поддержка при­оритетных технологий, в том числе фундаментальных и прикладных научных исследований, стимулирование ис­пользования конкурентоспособных отечественных тех­нологий в различных финансируемых из госбюджета про­ектах и программах.

Что касается российского информационного рын­ка, то его главная отличительная черта состоит в его не­однородности по регионам страны. Это связано, есте­ственно, с географическим положением регионов, неравномерностью их социально-экономического развития, направленностью экономической деятельности и т. д.

Развитие рынка по традиции идет от центра к регионам. Кроме того, слабость правового регулирования рынка также накладывает серьезные ограничения на его раз­витие.

Необходимо отметить развитие сферы домашнего потребления компьютеров, которая быстро растет, и в ближайшие годы количество домашних компьютеров может составить до половины всего парка ПК, что вы­зовет резкое повышение спроса на информационные продукты и услуги (до 60—70% в общем объеме продаж). Трудно переоценить социальное значение этой тен­денции.

Российская культурная среда оказывает непосредственное воздействие на процессы информа­тизации. Имеется ряд благоприятных для этого развития социально-демографических характеристик, в частности высокий процент городских жителей (в 1994 г. в России было 75% горожан, что выше, чем в целом по Европе). Другой важный индикатор — высо­кий процент молодых, 15—16-летних людей, активных, способных и желающих осваивать компьютерный мир. Однако сегодня работают и тормозящие факторы: неразвитые информационные потребности населения и неготовность общества жить в условиях открытого общества.

Мировое информационное развитие ускоряет дви­жение России по пути демократических преобразований общества и государства. Уже можно говорить о форми­ровании в России новой информационно-правовой ре­альности. Права и свободы граждан переместились в фокус общественного внимания. Именно в сфере созда­ния, распространения и потребления информации при­обретают наиболее острые черты проблемы взаимоот­ношения государства и общества, социальных институ­тов и граждан, открытости информации. Сегодня информационное право следует рассматривать как главный инструмент демократического развития страны.

Политика информатизации должна быть ориентирована и на решение главных задач инфор­мационной политики:

• обеспечение широкого, свободного доступа к ин­формационным ресурсам;

• обеспечение граждан общественно значимой и востребуемой информацией;

• подготовка человека к жизни и работе в гряду­щем информационном веке.

В различных странах движение процессов инфор­матизации осуществляется и оценивается по-разному. Дело не только в том, что исходные пункты движения для разных стран различаются по уровню развития ин­формационной среды или по возможностям инвестиро­вания в нее. Эти факторы обусловлены неравномерно­стью мирового экономического развития. Различные стратегии формирования информационного общества обусловлены общими закономерностями экономическо­го и политического развития. Если в США доминирует прагматический подход, то европейские страны на пер­вый план выдвигают социальную и гуманитарную со­ставляющие информатизации.

Зарубежный опыт свидетельствует, что структур­ные изменения в мировой экономике, интернационали­зация общественной жизни - источники перемен в тра­диционном политическом ландшафте. Информатизация усиливает эти изменения.

Сказанное имеет важное значение для осмысления движения России к развитому информационному общест­ву. Прежде всего надо понять, что это постепенный и длительный процесс. Сегодняшнее отставание России вы­звано прежде всего структурой ее реального сектора, где преобладает производство сырья, энергии и неконкуренто­способной продукции обрабатывающей промышленности. Доминирование в экономике России реликтовых техноло­гических укладов, неразвитость инфраструктуры, отсут­ствие полнокровной национальной компьютерной сети, наконец, низкий уровень информационных потребностей в обществе, обусловленный низким уровнем качества жизни, - таковы принципиальные преграды на пути на­шей страны к информационному обществу. Именно по­этому наше общество должно нащупать свой путь преодо­ления этих преград, не повторяя в общем американский, европейский, японский или даже латиноамериканский пу­ти, и определяемый особенностями ее политического, со­циального, экономического и культурного развития.

Собственный путь предполагает тщательно проду­манную стратегию, основу которой должна составить интеграция экономической, технологической, информа­ционной и культурной политики, рассчитанная, по край­ней мере на жизнь одного поколения. Россия непосред­ственно взаимодействует со всеми субъектами в совре­менной системе международных политических, эконо­мических и культурных отношений. И это взаимодей­ствие в глобальной системе мировых информационных связей будет усиливаться.

Лекция 3. Основные задачи стандарти­зации, сертификации и лицензи­рования в сфере информатизации

Стандартизация. Основные задачи работ по стандартиза­ции в сфере информатизации. Сертификация. Основными целями сертификации.

Переходя к рассмотрению таких понятий, как "стандартизация", "сертификация" и "лицензирование" в сфере информатизации, отметим, что эти термины часто путают даже некоторые специалисты, занимающиеся раз­работками в области информационных технологий. По­этому здесь нам представляется целесообразным дать определения этим понятиям и рассмотреть объекты и вза­имосвязи соответствующих им процессов.

Определение термина "стандартизация" прошло длительный эволюционный путь. Представление людей о стандартизации формировалось в процессе развития науки и техники, совершенствования форм и методов производства. С расширением экономических связей на национальном и международном уровнях уточнение это­го термина происходило параллельно с развитием самой стандартизации и отражало на различных этапах до­стигнутый уровень ее развития.

В документах Международной организации по стандартизации (ИСО) термин стандартизация опреде­ляется следующим образом:

Стандартизация - деятельность, заклю­чающаяся в нахождении решений для по­вторяющихся задач в сферах науки, техники и экономики, направленная на достижения оптимальной степени упорядочения в опре­деленной области. В общем, эта деятель­ность проявляется в процессах разработки, опубликования и применения стандартов.

Это определение отражает все многообразие стан­дартизации, характеризует ее как активную деятельность, направленную на упорядочение не только в тех­нике, но и в других областях, предусматривает обяза­тельное участие в ней всех заинтересованных сторон, подчеркивает, что стандартизация - это не механиче­ский отбор устоявшихся характеристик, а выбор или разработка наиболее оптимальных решений, рассчитан­ных не только на сегодняшний уровень науки и техники, но и учитывающих тенденции и направления техниче­ского прогресса.

Важный результат стандартизации — улучшение соответствия продукции или услуг их функциональному назначению. Стандартизация увязывает технические нормы и требования к взаимообмениваемой продукции, гарантирует ее технический уровень, надежность, долго­вечность и качество, создает необходимые предпосылки для углубления и расширения специализации и коопери­рования производства, активно воздействует на эконо­мию всех видов природных, материальных и энергетиче­ских ресурсов, а также приводит к постепенному вырав­ниванию уровней технических норм и требований в национальных стандартах и доведению их до высших мировых научно-технических образцов.

В дальнейшем, говоря о стандартизации и сертифи­кации, мы будем использовать также понятие совмести­мость, которое определяется следующим образом:

Совместимость - пригодность изделий или их систем к совместному использова­нию при определенных условиях для вы­полнения соответствующих требований, которая не вызывает при этом нежела­тельных последствий.

Правовые основы стандартизации, обязательные для всех государственных органов управления, объектов хозяйственной деятельности и общественных объеди­нений Российской Федерации, определены Законом "О стандартизации", принятым в 1993 году. Общее ру­ководство работами по стандартизации в Российской Федерации возложено на Госстандарт России.

Возрастание роли информатизации, расширение об­ластей применения средств информатизации и повышение ответственности решаемых с их помощью задач обуслов­ливают в настоящее время резкое повышение требований к качеству систем и средств информатизации.

Качество средств и систем информатизации сегод­ня определяется:

• качеством элементной базы средств информати­зации;

• их безопасностью;

• совместимостью с другими средствами;

• уровнем помех;

• степенью экологичности;

• функциональными характеристиками;

• устойчивостью к внешним воздействиям;

• надежностью;

• конструкцией;

• параметрами электропитания;

• соответствием принципам открытых систем.

Некоторые из этих характеристик вам, вероятно, знакомы, другие, возможно, понятны интуитивно. Более подробно мы остановимся на них в следующей главе. Здесь мы лишь подчеркнем, что именно соответствие этих характеристик современным требованиям и опреде­ляет интегральные показатели качества средств и систем информатизации. В связи с этим

Основной задачей работ по стандартиза­ции в сфере информатизации является соз­дание нормативной базы, отражающей современный научно-технический уровень и тенденции развития средств и систем информатизации.

Непосредственное выполнение и координация этих работ возложены на Минсвязи России.

Применительно к информатизации стандартизация заключается в определении требований к средствам, си­стемам, процессам и др., излагаемым в соответствую­щим образом утвержденных документах (стандартах), обязательных для применения в установленной для них области действия.

По мере развития информационной индустрии и совершенствования рыночных механизмов в России ин­формационные системы, их компоненты и результаты их функционирования все в большей степени (по объемам и номенклатуре) становятся товарными продуктами. В ре­зультате для потребителя становится все более актуаль­ной проблема определения соответствия средств и си­стем информатизации установленным требованиям. Действительно, в стране может быть принято много за­мечательных стандартов, но как вы в качестве потреби­теля сможете убедиться, что продукция или услуга действительно им соответствуют? Решению этой пробле­мы призваны способствовать процессы сертификации продукции и услуг, к рассмотрению которых мы и переходим.

Сертификация. Рынок средств и систем информатизации в россии сейчас настолько разнообразен, что в подавляющем большинстве случаев потребитель не в состоянии само­стоятельно убедиться в соответствии приобретаемой им продукции установленным на государственном уровне нормам и правилам. Положение усугубляется тем обстоя­тельством, что российский рынок заполнен импортными изделиями. Для этих изделий производители и постав­щики в лучшем случае декларируют соответствие от­дельным зарубежным стандартам, о содержании кото­рых у вас, как правило, нет никакой информации. В ре­зультате вы, например, можете приобрести оборудова­ние, являющееся опасным для обслуживающего персо­нала по поражению электрическим током или создающее большие электромагнитные помехи, нарушающие рабо­ту соседних устройств.

На бытовом уровне логичным путем решения этой проблемы является обращение к некоторому третьему лицу, являющемуся специалистом в данной области и заведомо независимому от поставщика продукции, ко­торое может дать заключение о соответствии продукции установленным требованиям. На государственном уров­не аналогичная процедура называется сертификацией.

Сертификация — процедура, выполняемая третьей стороной, независимой от изгото­вителя (продавца) и потребителя продук­ции или услуг, по подтверждению соот­ветствия этих продукции или услуг уста­новленным требованиям.

Результатом выполнения процедуры сертифика­ции является так называемый сертификат соответ­ствия.

Сертификат соответствия — документ, выданный по правилам системы сертифи­кации для подтверждения соответствия сертифицированной продукции установленным требованиям.

Общие правовые основы сертификации продукции и услуг в Российской Федерации установлены Законом "О сертификации продукции и услуг", где определены права и ответственность в области сертификации орга­нов государственного управления, а также изготовите­лей (продавцов, исполнителей) и других участников сер­тификации.

В этом Законе, в частности, указано, что сертификация проводится в целях:

• создания условий для деятельности предприятий, учреждений, организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономи­ческом, научно-техническом сотрудничестве и меж­дународной торговле;

• содействия потребителям в компетентном выборе продукции;

• защиты потребителя от недобросовестности изго­товителя (продавца, исполнителя);

• контроля безопасности продукции для окружаю­щей среды, жизни, здоровья и имущества;

• подтверждения показателей качества продукции, заявленных изготовителем.

Сертификация средств и систем информатизации является элементом общей системы сертификации про­дукции в Российской Федерации.

Основными целями сертификации средств информатизации, информацион­ных технологий и услуг являются:

• защита пользователей средств и систем информа­тизации от приобретения средств и систем, в том числе импортных, которые представляют опасность для жизни, здоровья, имущества, а также для окру­жающей среды;

• обеспечение разработчиков систем, а также ши­рокого круга пользователей этих систем достовер­ной информацией о состоянии отечественного и за­рубежного рынков средств информатизации, теле­коммуникаций, информационных технологий и услуг;

• обеспечение информационного обмена между го­сударственными системами информатизации (налоговая служба, правоохранительные органы, службы управления трудом и занятостью, образо­вание, здравоохранение и др.);

• обеспечение условий для информационного вза­имодействия субъектов негосударственной принад­лежности с субъектами государственной принад­лежности;

• содействие повышению научно-технического уровня и конкурентоспособности отечественных систем информатизации, информационных техно­логий и услуг;

• содействие созданию условий для вхождения Рос­сии в мировое информационное пространство. Необходимо отметить, что сертификация средств информатизации не только обеспечивает удовлетворение интересов потребителя, но приносит определенные выго­ды и изготовителю (поставщику) продукции. Так, в частности, сертификация способствует расширению рынка сбыта (распространению продукции в тех райо­нах, где потребителю неизвестна репутация фирмы) и обеспечивает подтверждение качества продукции фирмы по сравнению с продукцией конкурентов. С точки зрения организации торговых взаимосвязей сертификация спо­собствует созданию доверительных отношений между производителями (поставщиками) и потребителями про­дукции. Необходимо иметь в виду, что только имеющее место и объективно подтвержденное качество конкрет­ных видов отечественной информационной продукции и средств информатизации может сделать их конкуренто­способными и реально обеспечить спрос на них.

Говоря о сертификации, нельзя не отметить ее тес­ную взаимосвязь со стандартизацией в сфере информати­зации.

Во-первых, как уже говорилось выше, суть проце­дуры сертификации заключается в подтверждении соот­ветствия средств информатизации установленным тре­бованиям. Документами, содержащими эти требования, являются стандарты, разрабатываемые в процессе стан­дартизации.

Во-вторых, собственно процедура сертификации регламентируется действующими нормативными доку­ментами (стандартами).

Таким образом, основой сертификации являются результаты стандартизации. В нормативную базу сер­тификации средств и систем информатизации, информа­ционных технологий и услуг включаются три группы до­кументов:

• нормативные документы на объекты сертифика­ции, где устанавливаются характеристики объек­тов, подтверждаемые при сертификации;

• нормативные документы на методы испыта­ний для оценки характеристик объектов сертифи­кации;

• нормативные документы, регламентирующие процедуры сертификации.

В целом стандартизация вместе с сертификацией образуют единый процесс управления качеством средств, систем и технологий в области информатизации, одной из основных целей которого является защита интересов потребителя.

Лицензирование. Основным отличием процесса лицензирования от процесса сертификации является состав категорий, по отношению к которым они применяются. В процессе ли­цензирования фигурируют такие категории, как "деятельность" (подразумеваются виды или направления деятельности) и "субъект" (физическое лицо, предприя­тие, организация или иное юридическое лицо).

В соответствии с действующим законодатель­ством в Российской Федерации отдельные виды деятель­ности осуществляются предприятиями, организациями и учреждениями независимо от организационно-правовой формы, а также физическими лицами, осуществляющими предпринимательскую деятельность без образования юридического лица, на основании лицензии — специального разрешения органов, уполномоченных на ведение лицензи­рования.

Лицензия является официальным документом, ко­торый разрешает осуществление указанного в нем вида деятельности в течение установленного срока, а также определяет условия его осуществления.

Основу нормативно-правовой базы лицензирования в сфере информатизации составляют Законы "О лицен­зировании отдельных видов деятельности", "Об ин­формации, информатизации и защите информации" и "Об участии в международном информационном обмене".

Общие принципы лицензирования видов деятель­ности в сфере информатизации России можно сформу­лировать следующим образом:

• Целью лицензирования является защита интере­сов государства и граждан от неумышленного или сознательного некачественного выполнения работ, соответствующих определенным видам деятель­ности в сфере информатизации.

• Виды деятельности в сфере информатизации, подлежащие лицензированию, а также органы, осуществляющие лицензирование конкретных ви­дов деятельности в различных областях информа­тизации, определены рядом нормативных докумен­тов.

• Право на осуществление деятельности, подлежа­щей лицензированию, может получить субъект, от­вечающий определенным критериям, которые за­ранее определяются правилами проведения лицен­зирования и являющимися их неотъемлемой частью требованиями к предприятию-заявителю. Таким образом, субъектом лицензирования становится лишь то физическое или юридическое лицо, кото­рое представляет все необходимые и правильно оформленные документы и удовлетворяет соответ­ствующим требованиям.

За органом, уполномоченным на проведение ли­цензионной деятельности, закрепляется право на осуществление контроля за деятельностью лицен­зиата.

Лекции 4-6. Состояние и перспективы стандартизации информационных техно­логий в Российской Федерации

Основные понятия и термины в области стандартизации

Национальная стандартизация. Международная стандартизация. Международные органы стан­дартизации. Проблемы информационной совместимости. Основные направления работ по стандартизации в сфере инфор­матизации. Основные положения Государ­ственного профиля взаимосвязи открытых систем России (ГОСПРОФИЛЬ ВОС).

Для успешной деятельности в области стандартиза­ции, как и в любой другой области науки и техники, не­обходима точная, обоснованная терминология. Поэтому в начале лекции, посвященной стандартизации, нам пред­ставляется целесообразным дать определения некоторым терминам, которые в дальнейшем будут использоваться.

Стандарт. Международная организация по стан­дартизации (ИСО) приняла следующее определение:

Стандарт - документ, составленный в сотрудни­честве и с согласия или общего одобрения всех заинтере­сованных в этом сторон, основанный на использовании обобщенных результатов науки, техники и практическо­го опыта, направленный на достижение оптимальной пользы для общества и утвержденный органом, зани­мающимся стандартизацией.

Это определение включает лишь наиболее общие, характерные виды, в которые может быть воплощен стандарт, и указывает пути применения этого понятия.

В России принята формулировка термина "стандарт", отражающая специфику стандартизации в нашей стране:

Стандарт - нормативно-технический до­кумент, устанавливающий требования к продукции, правила, обеспечивающие ее разработку, производство и эксплуата­цию, а также требования к другим объек­там стандартизации.

Стандарт может быть разработан как на матери­альные объекты (продукцию, эталоны, образцовые ве­щества и т.п.), так и на нормы, правила, требования к объектам организационно-методического и обществен­ного характера.

Унификация - рациональное ограничение характе­ристик и (или) номенклатуры объектов материального производства, в результате которого повышается их вза­имозаменяемость, совместимость и конструктивно-технологическое подобие, сокращаются затраты в про­изводстве и эксплуатации.

В зависимости от масштабов работы по стандар­тизации она может быть национальной и междуна­родной.

Национальная стандартизация - это работа по стандартизации в масштабах одной страны.

Международная стандартизация - это работа по стандартизации, в которой принимают участие несколь­ко (два и более) суверенных государств. Результатом ра­боты по международной стандартизации являются меж­дународные стандарты или рекомендации по стандарти­зации, используемые странами-участницами или прямо, или при создании или пересмотре национальных стан­дартов.

При этом международная стандартизация может осуществляться в рамках двусторонних соглашений между двумя странами, многосторонних соглашений стран, относящихся к определенному региону или объ­единенных взаимными экономическими связями. Наибо­лее широкой по своим масштабам является междуна­родная стандартизация, осуществляемая международ­ными организациями и в первую очередь в рамках Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

Национальный стандарт - документ, принятый национальным органом по стандартизации. Основная его функция согласно статусу этого органа или законам государства заключается в разработке и(или) опублико­вании национальных стандартов и(или) утверждении стандартов, подготовленных другими органами. Во всех странах мира национальные стандарты утверждаются на государственном уровне.

Международный стандарт - стандарт, принятый международным органом, занимающимся стандартиза­цией.

Среди таких органов наиболее представительными являются Международная организация по стандартиза­ции (ИСО) и Международная электротехническая ко­миссия (МЭК). В них входят соответственно 90 и 43 страны.

Международная стандартизация в сфере информатизации Международные органы стандартизации

Известно более 300 международных и региональ­ных организаций, занимающихся разработкой и публи­кацией стандартов (правил, норм, рекомендаций и т.п.) в различных областях науки, техники, внешнеторговых и экономических отношений стран мира.

Приведем перечень наиболее известных организа­ций по разработке и применению международных стан­дартов в области информатизации.

Международная организация по стандартизации (ИСО) - всемирная организация, ответственная за раз­работку международных стандартов путем координации деятельности участвующих национальных органов стан­дартизации из 90 стран мира.

Стандарты ИСО разрабатываются в несколько этапов. Исходный документ представляется в виде про­екта комитета - ПРК (Committee Draft - CD). В рам­ках технического комитета (ТК) ИСО ПРК проходит, как правило, несколько стадий обсуждения и голосова­ния, после чего документ приобретает статус проекта международного стандарта - ПМС (Draft International Standard - DIS). После одной или нескольких стадий обсуждения и голосования ПМС представляется в цент­ральный секретариат ИСО для утверждения в качестве международного стандарта (International Standard).

Задачи стандартизации в области информационной технологии в рамках ИСО решаются в рамках созданно­го в 1987 г. Совместного технического комитета - СТК1 "Информационные технологии", в сферу деятельности которого входит стандартизация в области микроэлек­троники, вычислительной техники, средств связи и пере­дачи данных, включая стандартизацию технологии и оборудования. Этими вопросами занимаются несколько подкомитетов (ПК) СТК1, в основном ПК6 "Передача данных и обмен информацией между системами", ПК21 "Взаимосвязь открытых систем, управление данными и открытая распределенная обработка", ПК2 "Наборы знаков и кодирование информации", ПК7 "Програм­мная инженерия", ПК 18 "Обработка документов и соот­ветствующие коммуникации", ПК22 "Языки програм­мирования, их среды и системные программные интер­фейсы", ПК24 "Машинная графика и обработка изоб­ражений", ПК25 "Взаимосвязь оборудования информа­ционных технологий", ПК29 "Кодирование аудио-, видео-, мультимедиа и гипермедиа информации" и ПКЗО "Открытый электронный обмен данными".

В общей сложности к концу 1997 г. силами пере­численных технических подкомитетов СТК1 разработа­но свыше 1000 международных стандартов и дополнений к ним.

Определенный вклад в стандартизацию некоторых аспектов вычислительных сетей вносит Международная электротехническая комиссия (МЭК), которая несет от­ветственность за стандартизацию в области электротех­ники, включая вопросы взаимосвязи и интерфейсов обо­рудования определенных видов. Стандарты МЭК изда­ются под названием "Публикации". Вопросы стандарти­зации в рассматриваемой области решаются в рамках нескольких технических комитетов МЭК. В частности, ТК83 "Оборудование информационных технологий", созданный в 1985 г., до 1987 г. занимался в МЭК стан­дартизацией некоторых аспектов локальных вычисли­тельных сетей (общие характеристики, классификация, руководство по планированию и установке и др.). В 1987 г. ТК83 вошел в состав ИСО/МЭК СТК1 в виде ПК83 с со­хранением своего названия и функций, а в 1989 г. его функции были переданы вновь образованному ПК25 СТК1.

Международный союз электросвязи (МСЭ) создан в 1965 г. (вначале как Международный телеграфный союз) с задачей разработки международных стандартов (называемых в МСЭ "Рекомендациями") в области ра­дио- и проводных линий связи, телеграфии, телефонии, передачи данных, программ звукового и телевизионного вещания, мультимедийных служб, то есть практически по всем вопросам электросвязи.

До 28 февраля 1993 г. в состав МСЭ входили три комитета: Международный консультативный коми­тет по телеграфии и телефонии (МККТТ), Международный консультационный комитет по радиосвязи (МККР).

Институт инженеров по электротехнике и радио­электронике (IEEE) - профессиональный орган пред­ставителей инженеров США и других стран -разраба­тывает значительное число рабочих документов в неко­торых областях стандартизации, в частности в области локальных вычислительных сетей.

Ассоциация электронной промышленности (EIA), США, внесла заметный вклад в разработку и стандарти­зацию интерфейсов систем передачи данных. Стандарты EIA издаются под названием "Рекомендуемые стандар­ты" (Recommended Standards - RS).

Американский национальный институт по стандар­тизации (ANSI) разработал ряд стандартов по протоко­лам управления звеном данных, которые легли в основу многих стандартов ИСО.

Из фирменных разработок следует выделить доку­менты фирмы IBM по протоколам управления звеном данных и по концепции сетевой архитектуры системы SNA, которые стали фактически стандартами для промышленности средств передачи и обработки дан­ных и послужили основой международных стандартов ИСО.

Международная стандартизация и проблемы информационной совместимости

Началом процесса информационной совместимос­ти явилось, вопервых, появление достаточного коли­чества вычислительных машин и, во-вторых, развитие целого ряда сетевых архитектур и проблем взаимосвязи между ними.

Исторически складывалось так, что каждая страна и даже фирма развивали свою собственную сетевую концепцию. Хотя в основу каждой из них были положены одни и те же принципы, они оказывались несовместимы друг с другом.

Каждая отрасль развивала свои собственные про­токолы и форматы обмена данными, например различные архитектуры обмена документами: архитектура уч­режденческих документов (ODA), архитектура бан­ковских документов (система SWIFT), архитектура документов в торговле, промышленности и на транс­порте (система EDIFACT) и др. Несмотря на то, что специфика каждой отрасли отражалась лишь на не­большой доле соответствующих протоколов, их незави­симое развитие привело к тому, что они оказались во многом несовместимы между собой. Точно так же фор­маты и структуры файлов в различных системах ока­зывались полностью несовместимы, хотя имелась прак­тическая потребность их объединения в один крупный прикладной процесс. Полное или частичное отсутствие взаимодействующих конфигураций стало общей проб­лемой.

В начале 70-х годов с ростом знаний о вычисли­тельных сетях возможности и проблемы их использова­ния стали очевидны. К концу 70-х годов отсутствие вза­имодействия и совместимости между различными маши­нами стало острой проблемой в коммуникационной сфе­ре. Пользователи были "замкнуты" на конкретные ре­шения поставщиков, стоимость разработки собственно­го программного обеспечения была очень высокой, небольшие поставщики не могли конкурировать на все­мирном рынке изделий и т.п. Для обеспечения взаимо­действия между любыми двумя машинами в 70-х годах необходимо было разрабатывать специализированные интерфейсы; с ростом числа машин число необхо­димых интерфейсов возросло до неприемлемо высокого уровня.

Кроме того, на начальном этапе развития инфор­мационных технологий многие небольшие изменения, модификации или расширения сети (например, замена телеграфного канала связи на телефонный) приводили к необходимости существенных переделок остальной час­ти сети - замене целых устройств, адаптеров или разра­ботке новых программ.

В конце 70-х годов Международная организация по стандартизации (ИСО) начала разработку общей базо­вой эталонной модели, которая затем получила статус международного стандарта ИСО 7498. В последующие годы к этому стандарту был разработан ряд дополнений, которые в 1993 г. вошли во второе расширенное издание ИСО/МЭК 7498-1.

В эталонной модели все многочисленные функции сети были подразделены на группы, где каждая группа функций была отделена от другой группы стандартными интерфейсами и получила относительную независимость таким образом, что отдельное изменение или модифика­ция сети должны были приводить лишь к изменениям в рамках ограниченной группы функций, не затрагивая остальной части сети.

Независимо от ИСО Международный консульта­тивный комитет по телеграфии и телефонии (МККТТ) начал работы по стандартизации взаимодействия на основе электросвязи. В связи с потребностями в опреде­ляемых и поддерживаемых на общем уровне коммуника­ционных связных возможностей работы быстро продви­гались в направлении набора соглашений, также осно­ванных на архитектуре взаимосвязи открытых систем (ВОС).

Существо архитектуры открытых систем состо­ит в использовании стандартных интерфейсов между разнородными аппаратными и программными компонен­тами систем.

Для поставщиков и пользователей систем и сетей ВОС дает существенные выгоды, которые могут быть реализованы через правительственные (государствен­ные) профили ВОС. Под профилем здесь понимается на­бор согласованных между собой базовых стандартов.

Общеизвестно, что на любом национальном рынке крупнейшим пользователем, как правило, является пра­вительство, которое проявляет такой же большой инте­рес к открытым системам, как и крупные корпорации-пользователи.

Правительственные профили взаимосвязи открытых систем (Government Open Systems Interconnection Profi­le - GOSIP) возникли в результате появившихся потреб­ностей упростить и облегчить процесс ассимиляции тех­нологии ВОС в федеральных правительственных службах.

Федеральные службы могут иметь сотни разнообраз­ных промежуточных систем, частично или полностью не взаимодействующих между собой. Образованная в резуль­тате неоднородная среда может проявить сильную несов­местимость с точки зрения оборудования, программного обеспечения данных и коммуникационных возможностей. Эта несовместимость может привести к неэффективности, низкой производительности, большим затратам. Это как раз те проблемы, которые должен решить GOSIP.

GOSIP определяет и описывает общую совокуп­ность протоколов обмена данными, которые позволяют системам, разработанным различными поставщиками, взаимодействовать между собой, а пользователям раз­личных, прикладных программ этих систем обмениваться информацией.

Сейчас в мире уже доступен широкий набор изде­лий, реализующих протоколы ВОС. Например, почти каждый основной разработчик компьютеров в США, в том числе фирма IBM, объявили о производстве совмес­тимых с GOSIP изделий.

Все протоколы, на которые ссылается GOSIP, облада­ют многими общими характеристиками. К ним относятся:

• широкая применимость (общее использование не только службами отдельной страны, но и на все­мирной основе);

• доступность (реализации либо уже существуют, либо появятся в ближайшее время);

• стабильность (протоколы технически "замороже­ны" и в предсказуемом будущем их изменений не предвидится);

• эффективность (протоколы могут удовлетворять общим потребностям федеральных служб).

В России работы по проблеме открытых систем ве­дутся рядом ведущих институтов Минсвязи России, Гос­стандарта России и Российской академии наук. Одним из результатов этих работ является создание Государствен­ного профиля взаимосвязи открытых систем - "ГОСПРОФИЛЬ ВОС России" основные положения кото­рого будут рассмотрены далее.

Национальная (государственная) стандартизация в сфере информатизации Основные принципы организации работ по стандартизации в России

Работы по стандартизации в России осуществляют­ся на основе принятого в 1995 году Закона Российской Федерации "О стандартизации" и комплекса стандартов Государственной системы стандартизации.

К нормативным документам по стандартизации, действующим на территории Российской Федерации, от­носятся:

• государственные стандарты Российской Федера­ции;

• применяемые в установленном порядке междуна­родные (региональные) стандарты, правила, нормы и рекомендации по стандартизации;

• общероссийские классификаторы технико-экономической информации;

• стандарты отраслей;

• стандарты предприятий;

• стандарты научно-технических, инженерных об­ществ и других общественных объединений.

В соответствии с действующими нормативными документами стандартизация должна основываться на стремлении всех заинтересованных сторон, разрабаты­вающих, изготавливающих и потребляющих продукцию, к достижению взаимного согласия.

Государственные стандарты разрабатываются на продукцию, работы и услуги, имеющие межотраслевое значение. Требования, устанавливаемые государствен­ными стандартами для обеспечения безопасности про­дукции, работ и услуг, для охраны окружающей среды, жизни, здоровья и имущества, для обеспечения техни­ческой и информационной совместимости, взаимозаме­няемости продукции, единства методов контроля и единства маркировки, а также другие требования, установленные законодательством Российской Федера­ции, являются обязательными для соблюдения государ­ственными органами управления, субъектами хозяй­ственной деятельности. Иные требования государ­ственных стандартов к продукции, работам и услугам подлежат обязательному соблюдению субъектами хозяйственной деятельности в силу договора либо в том случае, если об этом указывается в технической доку­ментации изготовителя (поставщика) продукции или исполнителя работ и услуг.

Общее руководство работами по стандартизации в Российской Федерации возложено на Госстандарт Рос­сии. В его ведении, в частности, находятся согласование и утверждение проектов стандартов на средства и си­стемы информатизации.

Вся практическая работа по координации стан­дартизации в сфере информатизации, разработке и согла­сованию с Госстандартом России проектов стандартов в сфере информатизации, а также вводу стандартов в действие после утверждения возложена на Минсвязи России.

Основные направления работ по стандартизации в сфере информатизации

Зарубежные страны, используя накопленный миро­вой опыт в области информационных технологий в лице Международной организации по стандартизации (ИСО) и разработав свои государственные профили взаимосвя­зи открытых систем на базе стандартов ИСО, получили, по экспертным оценкам, экономический эффект в 5$ на каждый затраченный на стандартизацию 1$.

Специалистами было подсчитано, что каждый рубль, вложенный в работу по стандартизации в нашей стране, может приносить в области стандартизации информационных технологий эффект порядка 10 руб.

Двукратное значение российского экономического эффекта объясняется тем, что не требуется дополнитель­ных затрат на переделку ранее разработанных в России информационных технологий под мировой уровень вви­ду практического отсутствия собственных разработок. Другое дело в ведущих зарубежных странах: к концу 80-х годов в каждой из стран было наработано огромное количество технических и программных средств, сетей, си­стем, частично совместимых с эталонной моделью ВОС ИСО. Поэтому потребовались значительные капитало­вложения на доработку, переделку и на разработку соот­ветствующих приспособлений существующих информа­ционных технологий применительно к эталонной модели ВОС ИСО.

В России фонд действующих государственных стандартов в области информационных технологий включает более 300 стандартов, которые охватывают основные аспекты разработки информационных систем. Однако следует отметить, что по отдельным группам стандартов отсутствует комплексность охвата объек­тов стандартизации, а по ряду групп действующие стан­дарты требуют пересмотра с учетом современных требо­ваний.

Особого внимания требует расширение примене­ния международных стандартов. Так, по состоянию на 1998 год по различным направлениям информационных технологий и смежных областей (вычислительная техни­ка, системы связи и передачи данных, радиоэлектронные средства, открытые системы, программная инженерия и др.) в России действовали свыше 700 государственных стандартов, обеспечивающих применение в стране около 400 международных стандартов. Это составляет всего 25% от общего числа международных стандартов ИСО, МЭК, МККТ, МККР, актуальных для применения в данной области.

Программой по стандартизации в сфере информа­тизаци предусматривается сотрудничество с международными организациями по стандартизации при проведении работ по трем приори­тетным для Российской Федерации направлениям стан­дартизации информационных технологий, краткие сведе­ния о которых мы приводим низке.

Направления 1-го приоритета

• Языки программирования и программный интер­фейс. Участие России в разработке международных стандартов по данной тематике позволяет поддерживать те направления российской математической школы, ко­торые имеют традиционно устойчивую позицию, а также разрабатывать новые языки для перспективных направ­лений программирования.

• Языки описания документов. Стандартизация в данной области позволяет обеспечить необходимую нормативную базу, поддерживающую создание, хране­ние и обращение документов в открытых системах, включая элементы доступа при поиске информации.

• Программная инженерия. Данное направление стандартизации представляется особо важным для Рос­сии в ближайшей перспективе. В сочетании с сертифика­цией и внедрением систем качества, соответствующих требованиям международных стандартов, участие в раз­работке и применении этой группы стандартов дает оте­чественным разработчикам, а также изготовителям и по­ставщикам программных средств возможность повысить качество и конкурентоспособность своей продукции как на внутреннем, так и на внешнем рынках.

• Сервисы управления данными. Данное направление является перспективным в плане создания и развития отечественных систем распределенных баз данных и формирования национальных информационных ресур­сов федерального, регионального и местного уровней в структуре Единого информационного пространства России.

• Работа в сетях, и соответствующие соединения.

Работы в данном направлении позволят стандартизовать функции, необходимые для установления и управления информационным обменом через сети и физические ин­терфейсы.

• Безопасность информационных технологий. Рабо­ты в области безопасности информационных технологий позволяют создать комплект стандартов, поддержи­вающих методы и средства обеспечения безопасности, в первую очередь на уровне личности и различных обще­ственных групп. Данное направление является одним из важнейших с учетом бурного роста информационного обмена между компонентами всех уровней и перспекти­вы развития Российской и Глобальной информационной инфраструктуры, включая Интернет.

• Терминология. Это направление предполагает разработку терминологии для информационных техно­логий и связанных областей.

Направления 2-го приоритета

• Сбор данных и системы идентификации. Работы в данной области позволяют создать комплект стандар­тов, поддерживающих разработку идентификационных карт и соответствующих устройств для использования в межотраслевых приложениях и в международном обмене (например, как платежное средство в банковском деле), а также методы и средства для процесса автоматической идентификации и сбора данных, в частности с использо­ванием штрихкодов.

• Мультимедиа и представление информации. Стан­дартизация в данной области позволяет обеспечить не­обходимую нормативную базу, поддерживающую коди­рованное представление, обработку и обмен аудио, изображениями, мультимедиа и гипермедиа информаци­ей для разнообразных приложений.

• Пользовательский интерфейс. Работы в данной области позволяют создать комплект стандартов, под­держивающих пользовательский интерфейс для интерак­тивной деятельности в локальных и распределенных сре­дах с использованием аудио, изображений, мультимедиа и гипермедиа информации, включая специальные ин­терфейсы для людей, имеющих физические недостатки или работающих в специфических условиях.

• Офисное оборудование. Стандартизация в данной области позволяет обеспечить необходимую норма­тивную базу, поддерживающую адекватный уровень требований к эксплуатационным характеристикам и ме­тодам тестирования офисного оборудования (принтеры, копировальное оборудование, цифровые сканеры, фак­симильное оборудование и их комбинации).

• Кодированные наборы символов. Стандартизация в данной области позволяет обеспечить необходимую нормативную базу, поддерживающую множества графи­ческих символов и их кодированное представление для обеспечения одно- и многоязыковых функций при рабо­те с информацией (интернационализация).

Направления 3-го приоритета

• Среды для информационного обмена. Работы в данной области включают стандарты, поддерживающие требования к оптическим и магнитным носителям дан­ных и соответствующим устройствам на их основе, обес­печивающим хранение и обмен данными в системах об­работки информации.

• Геоинформационные технологии. Предусматри­вают развитие системы стандартов, направленных на повышение качества электронных карт и соответствие их требованиям международных стандартов, на сокра­щение трудоемкости и сроков изготовления электронных карт для создания предпосылок совместимости раз­личных геоинформационных систем и в перспективе создания национальной базы геоинформационных данных.

• Информационные технологии в охране здоровья.

Для Российской Федерации это направление представ­ляется одним из приоритетных, особенно если иметь в виду невысокий уровень здоровья и продолжитель­ности жизни, а также проблемы, связанные с малой плотностью населения и низкой обеспеченностью врача­ми вне больших городов.

Завершая рассмотрение приведенных выше направ­лений стандартизации, необходимо отметить, что их реализация в первую очередь ориентирована на устране­ние имеющегося разрыва между базами стандартов ин­формационных технологий в России и в ведущих странах мира.

Работы по стандартизации, проводимые Минсвязи России Стандартизация элементов информационных технологий и компонентов информационной инфраструктуры

Общеизвестно, что без стандартизации элементов информационных технологий и компонентов информа­ционной инфраструктуры невозможна всеобщность и эффективность информатизации и решение проблем ин­теграции информационной среды. Поэтому министерством на протяжении последних десяти лет систематиче­ски проводились НИОКР по проблеме стандартизации информационных технологий. Эти работы, включенные в основные направления деятельности министерства, как правило, проводились его головными организациями по стандартизации с привлечением в качестве соисполните­лей других организаций и ведомств.

С 1993 г. по настоящее время подведомственные Минсвязи России предприятия разработали 171 ГОСТ Р, из которых 160 ГОСТ Р утверждены Госстандартом России.

В 1997 г. предприятиями Госкомсвязи России сов­местно со специалистами Российской академии наук и Госстандарта России разработана первая версия ГОС­ПРОФИЛЯ ВОС России, которая была рассмотрена и одобрена Коллегией Госкомсвязи России. Коллегия по­становила разработать вторую версию ГОСПРОФИЛЯ ВОС России и Программу стандартизации на 1999-2000 гг. Вторая версия ГОСПРОФИЛЯ ВОС России была разработана в 1998г.

Предприятия министерства совместно со специа­листами Госстандарта России и других ведомств опти­мизировали процесс стандартизации и разработали:

• Концепцию комплексной стандартизации в об­ласти информационных технологий;

• Программы комплексной стандартизации в об­ласти информатизации на период 1993-1995 гг., на период 1996-1998 гг. и на период 1999-2000 гг., содержащие соответственно 772, 980 и 1019 стан­дартов;

• Аннотированную базу данных международных стандартов в области информатизации;

• Полнотекстовую базу государственных стандар­тов России (ГОСТ Р), разработанных на базе меж­дународных стандартов. Выпущена на CD-ROM;

• Ежегодные государственные и отраслевые планы стандартизации в области информатизации;

• Сформировали информационный фонд государ­ственных и международных стандартов, их проек­тов (ПМС) и дополнений (на бумажных и магнит­ных носителях).

Предприятия Минсвязи России ведут работы по стандартизации в рамках Технического комитета "Информационные технологии" (ТК 22). При выполне­нии работ по проблеме "Открытые информационные си­стемы" в области стандартизации информационных тех­нологий предприятия министерства активно участвуют в работе международных форумов, конференций, всесо­юзных симпозиумов, семинаров, сессий и секций САНИ РАН, МИИТ, Российской академии Госслужбы, Мин­обороны и др.

Основные положения государ­ственного профиля взаимосвязи открытых систем россии (госпрофиль вос)

Одним из действенных элементов практической реализации государственной политики информатизации средствами стандартизации по предотвращению про­никновения на российский рынок несовместимых ин­формационных технологий и обеспечения выхода России в мировое информационное пространство является соз­дание Государственного профиля взаимосвязи открытых систем России (ГОСПРОФИЛЬ ВОС) в виде соответ­ствующего структурированного комплекса нормативных документов на основе базовых международных стандар­тов и международных стандартизованных профилей.

Государственный профиль взаимосвязи открытых систем России (ГОСПРОФИЛЬ ВОС, версии 1 и 2) был разработан Госкомсвязи России на основе анализа и систематизации более 500 базовых и функциональ­ных международных стандартов, "Правительствен­ных профилей взаимосвязи открытых систем" (GOSIP) различных стран и объединений, в первую очередь GOSIP США, с учетом особенностей состояния и по­требностей развития информатизации в Российской Федерации.

Объединенные в ГОСПРОФИЛЕ ВОС протоколы ВОС устраняют зависимость пользователей от отдель­ного поставщика при покупке новых сетевых изделий и услуг и содействуют взаимодействию в среде изделий раз­личных поставщиков.

Поскольку ГОСПРОФИЛЬ ВОС имеет дело с функциональными возможностями обмена данными, а не с конкретной конфигурацией, то на функциональные возможности ГОСПРОФИЛЯ ВОС не налагается ника­ких ограничений со стороны технических, программных средств или операционной системы. Это означает, что ГОСПРОФИЛЬ ВОС может быть применим ко всем ти­пам систем и во всех функциональных средах. Размеры системы не имеют значения для ГОСПРОФИЛЯ ВОС; не имеет значения также используемая коммуникационная среда.

ГОСПРОФИЛЬ ВОС обеспечивает две основные возможности.

Во-первых, он позволяет пользователям запраши­вать стандартные прикладные программы, функциони­рующие через стандартные сети.

Во-вторых, ГОСПРОФИЛЬ ВОС обеспечивает на­дежные услуги между оконечными пользователями, пользуясь которыми пользователи могут записать свои собственные прикладные программы.

Существенным фактором является то, что ГОС­ПРОФИЛЬ ВОС преднамеренно ориентирован на обес­печение общего набора функций, которые могут исполь­зоваться почти в любой системе. Стандартные сети мо­гут быть объединены для создания крупной, соответ­ствующей ГОСПРОФИЛЮ ВОС, интерсети. В целом, с учетом изложенного выше, ГОСПРОФИЛЬ ВОС в об­щем случае применим к любой среде обработки данных.

В целом можно сказать, что принятие ГОСПРО­ФИЛЯ ВОС будет означать, что пользователи получат более высокую степень контроля над долгосрочным планированием. Прогнозы по стоимости и ресурсам на будущее могут быть даны с большой достоверностью. Это может повысить общую эффективность работы пользователей госструктур и крупных объединений, даст им возможность в большей степени сосредоточиться на приоритетах долгосрочных программ по информатиза­ции.

Лекция 7. Сертификация средств информатизации в Российской Федерации. Обязательная сертификация. Добровольная сертификация. Основные понятия и термины в области сертификации

В первой главе было дано определение собственно понятию сертификация и понятию сертификат соот­ветствия. Ниже приводятся еще несколько терминов, знание которых необходимо для понимания сущности процедуры сертификации.

Система сертификации - система, располагающая собственными правилами процедуры и управления для проведения сертификации.

Орган по сертификации - орган, проводящий сер­тификацию соответствия. Орган по сертификации может сам проводить испытания или же осуществлять надзор за этой деятельностью, проводимой по его поручению дру­гими органами.

Испытательная лаборатория - лаборатория (центр), который проводит испытания в процессе сертифи­кации.

Аккредитация (испытательной лаборатории или органа по сертификации) - процедура, посредством ко­торой уполномоченный в соответствии с законодатель­ными актами Российской Федерации орган официально признает возможность выполнения испытательной ла­бораторией или органом по сертификации конкретных работ в заявленной области.

Знак соответствия (в области сертификации) - защищенный в установленном порядке знак, применяе­мый или выданный в соответствии с правилами системы сертификации, указывающий, что обеспечивается необ­ходимая уверенность в том, что данная продукция, про­цесс или услуга соответствует конкретному стандарту или другому нормативному документу.

Технические условия (ТУ) - документ, устанавли­вающий технические требования, которым должна удо­влетворять продукция, процесс или услуга. ТУ могут быть стандартом, частью стандарта или самостоятель­ным документом.

В Законе "О сертификации продукции и услуг" определены два вида сертификации: обязательная и доб­ровольная. Обязательной сертификации подлежит про­дукция, включенная в перечни, определяемые соответ­ствующими нормативными документами.

Организационная структура системы сертифика­ции в России включает: государственный (на­циональный) орган по сертификации, ведомственные органы по управлению сертификацией продукции опре­деленных классов, а также испытательные центры (лаборатории). Основными функциями государственно­го органа по сертификации являются организация, коор­динация, научно-методическое, информационное и нор­мативно-техническое обеспечение работ по испытаниям и сертификации, а также аккредитация центров сертифи­кационных испытаний в соответствии с полномочиями национального органа по сертификации. Ведомствен­ные органы сертификации выполняют те же функции в ограниченном объеме для конкретных видов про­дукции.

Национальным органом по сертификации продукции в Российской Федерации является Госстандарт России, который осуществляет следующие функции:

• организует ведение обязательной сертификации продукции по поручению органов законодательной или исполнительной власти;

• организует и финансирует разработку, а также утверждает основополагающие нормативно-технические и методические документы системы сертификации;

• утверждает документы, устанавливающие по­рядок сертификации конкретных видов продук­ции;

• проводит аккредитацию испытательных центров (лабораторий) совместно с ведомственными орга­нами по сертификации и выдает аттестат аккреди­тации;

• признает иностранные сертификаты соответ­ствия, осуществляет взаимодействие с соответ­ствующими уполномоченными органами других стран и международных организаций по вопросам сертификации;

• регистрирует и аннулирует сертификаты соответ­ствия и сертификационные лицензии, рассматри­вает спорные вопросы, возникающие в процессе сертификации;

• организует периодическую публикацию инфор­мации по сертификации.

Основой сертификации продукции в Российской Федерации является Система сертификации ГОСТ Р Госстандарта России. Этой системой, в частности, опре­деляются правила создания и регистрации ведомствен­ных систем сертификации для конкретных классов про­дукции.

Организация работ по сертификации средств и систем информатизации в российской федерации

В соответствии с действующими законодательными и нормативными документами сертификация средств информатизации проводится в Российской Федерации в следующих основных направлениях:

• обязательная сертификация средств информати­зации на соответствие требованиям электромаг­нитной совместимости, а также требованиям, обес­печивающим безопасность жизни, здоровья, иму­щества потребителей и охрану среды обитания;

• обязательная сертификация средств защиты ин­формации;

• добровольная сертификация функциональных па­раметров средств и систем информатизации, по но­менклатуре и характеристикам, устанавливаемым отраслевыми (фирменными) стандартами, и учиты­вающим различные аспекты применения аппарату­ры и программного обеспечения. Рассмотрим основные особенности выделенных на­правлений сертификации в сфере информатизации.

Обязательная сертификация по требованиям электромагнитной совместимости и параметрам безопасности

В соответствии с действующими законодательными и нормативными документами выполнение работ по сер­тификации средств информатизации в данном направлении возложено на Госстандарт России. В 1994 году Гос­стандарт России ввел в действие нормативный документ "Номенклатура продукции и услуг, подлежащих обяза­тельной сертификации в Российской Федерации". Этот документ ежегодно пересматривается и уточняется с уче­том практики, условий торговли, производства и тен­денций научно-технического развития.

Указанным документом к продукции, подлежащей обязательной сертификации в рассматриваемом направ­лении, отнесены следующие средства информатизации:

• вычислительные машины и комплексы;

• персональные ЭВМ;

• устройства внешней памяти, ввода-вывода и от­ображения информации;

• устройства подготовки и телеобработки данных.

Поскольку основу сертификации по параметрам безопасности составляют общие требования к оборудо­ванию, остановимся подробнее на специфической для средств информатизации характеристике - электромаг­нитной совместимости.

Обеспечение электромагнитной совместимости за­ключается в выполнении требований по допустимым уровням электромагнитных помех, создаваемых функ­ционирующими средствами, и требований к помехоустой­чивости технических средств при воздействии внешних электромагнитных помех.

Невыполнение требований электромагнитной со­вместимости приводит к неэффективному использова­нию радиочастотного спектра, являющегося хотя и не расходуемым, но ограниченным ресурсом, к различным нарушениям в работе технических средств, а в ряде слу­чаев и к аварийным ситуациям.

Сертификация средств информатизации по требо­ваниям электромагнитной совместимости и параметрам безопасности возложена на Госстандарт России и прово­дится органами (центрами) сертификации, аккредито­ванными Госстандартом в рамках Системы сертифика­ции ГОСТ Р.

Вы, вероятно, не раз встречали в рекламных объяв­лениях по продаже компьютеров фразу "Товар сертифи­цирован". Иногда в рекламе указывается и регистраци­онный номер сертификата соответствия, например, "Сертификат соответствия № РОСС RU.ME67.B00373". Речь в этих случаях идет именно о сертификации по тре­бованиям электромагнитной совместимости и парамет­рам безопасности.

Для получения подобного сертификата изготови­тель или поставщик технических средств информатиза­ции должен обратиться в аккредитованный Госстандар­том России орган сертификации, представив комплект документов, определяемый правилами сертификации. Орган сертификации организует проведение соответ­ствующих испытаний (проверок) и при положительном результате испытаний выдает сертификат соответствия. В тексте сертификата указываются конкретные виды требований, по которым проведены испытания, и соот­ветствующие им нормативные документы.

Необходимо иметь в виду, что сертификат соот­ветствия по требованиям электромагнитной совмести­мости и параметрам безопасности является необходи­мым, но в ряде случаев недостаточным условием полно­ты сертификации средств информатизации.

Это объясняется тем, что данный сертификат соот­ветствия практически не затрагивает функциональных характеристик объекта и соответствия их современным требованиям. Такой сертификат дает вам только опреде­ленную уверенность в том, что предлагаемое оборудова­ние не создает недопустимого уровня помех и безопасно в эксплуатации. Упрощенно говоря, объект может не выполнять ряда возложенных на него, согласно имеющейся документации, функций или выполнять их некачественно, но, в полном соответствии с установлен­ными правилами, может получить сертификат по элек­тромагнитной совместимости и безопасности.

Сертификация средств информатизации по функ­циональным характеристикам будет рассмотрена нами в следующих разделах.

Обязательная сертификация средств защиты информации

Законом "Об информации, информатизации и за­щите информации" определено, что информационные ресурсы, то есть отдельные документы или массивы до­кументов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и за­щите, как всякое материальное имущество собственника. При этом собственнику предоставляется право само­стоятельно, в пределах своей компетенции, устанавли­вать режим защиты информационных ресурсов и досту­па к ним.

Российская Федерация и ее субъекты являются соб­ственниками информационных ресурсов, создаваемых за счет средств федерального бюджета и бюджетов субъек­тов Российской Федерации.

Законом "Об информации, информатизации и защи­те информации" введено также понятие документиро­ванной информации с ограниченным доступом, которая подразделяется на информацию, отнесенную к государ­ственной тайне, и конфиденциальную (то есть представ­ляющую коммерческую, личную, служебную и другие тайны).

В соответствии с положениями этого закона соб­ственник информационных ресурсов, содержащих госу­дарственную тайну, вправе распоряжаться этой соб­ственностью только с разрешения соответствующих ор­ганов государственной власти.

Таким образом, законодательно определяется не­которая категория информации, которая требует опре­деленных ограничений в ее использовании, а сама ин­формация требует защиты.

Целями защиты информации упомянутый Закон определяет:

• предотвращение утечки, хищения, утраты, иска­жения, подделки информации;

• предотвращение угроз безопасности личности, общества, государства;

• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копи­рованию, блокированию информации;

• предотвращение других форм незаконного вме­шательства в информационные ресурсы и инфор­мационные системы, обеспечение правового режи­ма документированной информации как объекта собственности;

• защиту конституционных прав граждан на сохра­нение личной тайны и конфиденциальности персо­нальных данных, имеющихся в информационных системах;

• сохранение государственной тайны, конфиденци­альности документированной информации в соот­ветствии с законодательством;

• обеспечение прав субъектов в информационных процессах и при разработке, производстве и приме­нении информационных систем, технологий и средств их обеспечения.

Государство, владея информацией, представляющей национальное достояние или содержащей сведения огра­ниченного доступа, неправомерное обращение с которой может нанести ущерб ее собственнику, изыскивает спе­циальные меры, обеспечивающие контроль ее использова­ния и качества защиты. Одной из таких мер является сертификация средств защиты информации.

Необходимость сертификации средств защиты, применяемых при обработке информации, составляю­щей государственную тайну, закреплены в Законе Рос­сийской Федерации "О государственной тайне". Серти­фикации подлежат защищенные технические, программ­но-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства контроля эффективности защиты. Обязатель­ной сертификации подлежат средства, в том числе и ино­странного производства, предназначенные для обработ­ки информации с ограниченным доступом, и прежде все­го составляющей государственную тайну, а также ис­пользующиеся в управлении экологически опасными объектами, вооружением и военной техникой и средства их защиты. Наличие у владельца информационной си­стемы сертифицированных средств обработки информа­ции является гарантией надежности ее защиты и дает ему преимущества при осуществлении страхования.

Порядок сертификации средств защиты информа­ции в Российской Федерации и ее учреждениях за рубе­жом установлен Положением "О сертификации средств защиты информации", утвержденным Постановлением Правительства Российской Федерации от 26 июня 1995 го­да № 608 (текст этого Положения приводится во второй части книги). Это Положение определяет области дея­тельности и сферу компетенции различных государ­ственных органов при сертификации средств защиты информации. Основной объем работ по сертификации средств защиты информации в пределах Российской Фе­дерации возлагается на Гостехкомиссию России и Феде­ральное агентство правительственной связи и информа­ции (ФАПСИ). Координация работ по организации сертификации этой продукции возложена на Межве­домственную комиссию по защите государственной тайны.

Мы думаем, что на роли и общих задачах ФАПСИ здесь нет необходимости останавливаться подробно, по­скольку они, в допустимых пределах, достаточно широ­ко освещаются в печати. А вот название такого государ­ственного органа, как Гостехкомиссия России, некото­рым из наших читателей, возможно, незнакомо.

Государственная техническая комиссия при Пре­зиденте Российской Федерации (Гостехкомиссия Рос­сии) является федеральным органом исполнительной власти, осуществляющим межотраслевую координа­цию и функциональное регулирование деятельности по обеспечению защиты информации некриптографи­ческими методами.

Непосредственное подчинение Президенту Россий­ской Федерации обеспечивает независимость Гостехкомиссии России от региональных, ведомственных и кор­поративных влияний, гарантирует соответствие ее дея­тельности высшим государственным интересам. Гостех­комиссия России - коллегиальный орган. В ее состав входят министры, председатели государственных коми­тетов, первые заместители (заместители) этих руководи­телей. Решения Гостехкомиссии России являются обяза­тельными для исполнения всеми органами государствен­ного управления, предприятиями, организациями и уч­реждениями независимо от их организационно-правовой формы и формы собственности, которые по роду своей деятельности обладают информацией, составляющей го­сударственную или служебную тайну.

Директивными документами, в частности уже упо­минавшимся Положением "О сертификации средств за­щиты информации" установлено, что:

В ведении Гостехкомиссии России нахо­дится сертификация программных и тех­нических средств защиты информации, не использующих методы криптографии (шифрования), а в ведении ФАПСИ - сертификация средств защиты информа­ции, использующих эти методы.

В соответствии с установленным распределением сфер деятельности Гостехкомиссии России и ФАПСИ в Российской Федерации созданы и функционируют две системы сертификации средств защиты инфор­мации:

• "Система сертификации средств защиты инфор­мации по требованиям безопасности информа­ции", разработанная Гостехкомиссией России и зарегистрированная Госстандартом за № РОСС RU.OOOI.OIBHOO;

• "Система сертификации средств криптографи­ческой защиты информации (СКЗИ)", разработан­ная ФАПСИ и зарегистрированная Госстандартом за № РОСС RU.OOO 1.030001.

Эти системы сертификации технических и про­граммных средств направлены на защиту интересов го­сударства и государственного информационного ресур­са, а также интересов и прав собственников и владельцев информации — предпринимателей и граждан России, потребителей продукции и услуг от недобросовестной работы исполнителей.

Добровольная сертификация по функциональным параметрам

Добровольная сертификация применяется для средств информатизации, не подлежащих в соответствии с законодательными актами Российской Федерации обя­зательной сертификации, и проводится по требованиям, на соответствие которым законодательными актами Российской Федерации не предусмотрено проведение обязательной сертификации.

Добровольная сертификация проводится для удо­стоверения качества средств и систем информатизации с целью повышения их конкурентоспособности, расширения сферы использования и получения дополнительных эконо­мических преимуществ.

В общем случае упрощенную схему добровольной сертификации можно представить следующим образом. Необходимость добровольной сертификации обычно определяет разработчик или поставщик средств ин­форматизации, руководствуясь при этом указан­ными выше соображениями. Разработчик или постав­щик обращается в аккредитованный в установленном порядке сертификационный центр и финансирует проведение работ по сертификации. Совокупность и значения показателей качества, по которым проводит­ся сертификация, формируются совместно заявителем и сертификационным центром. При положительных ре­зультатах испытаний средств информатизации, пред­ставленных для сертификации, заявитель получает сер­тификат соответствия, который используется, например, для рекламы при взаимодействии с потенциальным пользователем или потребителем. Последние не имеют непосредственных контактов с сертифика­ционным центром. В случае выявления недостатков в сертифицированном изделии они обращаются не­посредственно к поставщику, который обязан обеспе­чить доработку и повторные сертификационные испы­тания.

В соответствии с действующим законодательством добровольная сертификация средств информатизации может проводиться как в уже упоминавшейся нами Си­стеме сертификации ГОСТ Р, так и в других системах сертификации, зарегистрированных Госстандартом Рос­сии в установленном порядке.

Основные принципы организации систем сертифи­кации средств информатизации и ведения процедуры сертификации мы рассмотрим в следующем разделе на примере Системы добровольной сертификации средств и систем в сфере информатизации "Росинфосерт", яв­ляющейся одним из важнейших инструментов проведе­ния единой государственной научно-технической поли­тики в сфере информатизации России.

  Лекция 8. Лицензирование деятельности в сфере информатизации Общие принципы организа­ции работ по лицензированию деятельности в сфере информатизации в Российской Федерации

Предметные области лицензи­руемой деятельности. Виды деятельности в области защиты информации, подлежащих лицензированию ФАПСИ. Лицензирование деятельно­сти по международному информационному обмену.

Предметные области лицензируемой деятельности

Мы уже отмечали выше, что в соответствии с при­нятой терминологией "информатизация" как предметная область представляет собой организационный социаль­но-экономический и научно-технический процесс созда­ния условий для удовлетворения информационных по­требностей, базирующийся на массовом применении но­вых информационных технологий. В интересах госу­дарства и граждан отдельные виды предприниматель­ской деятельности в области информатизации целесооб­разно ограничить, т. е. на определенных условиях ввести разрешительную систему (лицензирование).

Лицензирование должно ограничивать следующие виды деятельности:

• создание и применение информационных техно­логий, включая программы для ЭВМ и другие ком­поненты средств информатизации;

• формирование информационных ресурсов на основе использования современных информацион­ных технологий;

• оказание услуг по информационному обеспе­чению потребителей информационных ресурсов при соблюдении требований безопасности для го­сударства, организаций, граждан, необходимых для предотвращения и ликвидации техногенных, ин­формационных и экономических угроз и их послед­ствий в сфере информатизации.

За рубежом большое внимание уделяется вопросам защиты государственных информационных ресурсов, где обязательному лицензированию подлежат виды дея­тельности по защите информации и информационных ресурсов, организации доступа к базам данных и сетям передачи данных. Кроме того, лицензируется предостав­ление услуг в части использования программных про­дуктов.

Принятый в России Закон "О лицензировании от­дельных видов деятельности" не распространяется на отношения, возникающие в связи с использованием ре­зультатов интеллектуальной деятельности. Поэтому в настоящее время разрешительная система на определен­ных условиях для вышеперечисленных видов деятель­ности регламентируется законодательством, регули­рующим сертификацию, патентным законодательством, законами об авторском праве и смежных правах, а также законом, определяющим участие в международном ин­формационном обмене.

Проблема лицензирования отдельных элементов деятельности в сфере информатизации поставлена в Законе "Об информации, информатизации и защите инфор­мации":

• в п. 4 ст. 7 указано, что для решения проблемы качественного формирования государственных ин­формационных ресурсов необходимо разработать и внедрить в практику порядок лицензирования дея­тельности организаций, специализирующихся на формировании государственных информационных ресурсов на основе договоров с соответствующими органами власти;

• в п. 4 ст. 11 указано, что осуществление лицензи­онной деятельности в области работы с персональ­ными данными в связи с особенностями этой дея­тельности нуждается в дополнительном правовом регулировании;

• в п. 3 ст. 19 указано, что организации, выполняю­щие работы в области проектирования, производ­ства средств защиты информации и обработки пер­сональных данных, должны получать лицензию на этот вид деятельности.

Указанными статьями установлено, что порядок лицензирования определяется законодательством Рос­сийской Федерации.

В тех случаях, когда разрешение на использование технических решений (изобретений, ноу-хау) дается не государством, а коллективным или индивидуаль­ным субъектом - собственником или, по поручению последнего, владельцем технического решения, приме­няется такая юридическая форма, как лицензионный договор.

Рассмотрим специфику выделения трех вышепере­численных видов деятельности предметной области ин­форматизации, которая вызывает необходимость в ли­цензировании.

Лицензирование деятельности в области создания и применения информационных технологий

Для продукции серийного и массового производ­ства в области информатизации важное значение имеет Закон "О сертификации продукции и услуг". Он пред­усматривает лицензирование деятельности, связанной с маркированием продукции и услуг знаком соответствия этой продукции и услуг государственным стандартам. Этот Закон устанавливает обязательную регистрацию продукции и услуг в Государственном реестре продукции и услуг, а также обязанности Госстандарта России по установлению порядка лицензирования и ведения ука­занного Реестра.

Защита и порядок использования программ для ЭВМ и баз данных, относимых к авторским произведе­ниям, регулируется Законом "Об авторском праве и смежных правах", а также Законом "О правовой охране программ для ЭВМ и баз данных".

В тех случаях, когда осуществляется управление имущественными правами на коллективной основе, ког­да имущественные права на программу для ЭВМ или ба­зу данных, созданных в порядке выполнения служебных обязанностей, осуществляются работодателем, а также когда эти объекты отнесены к общественному достоя­нию, применяются нормы ст. 45 Закона "Об авторском праве и смежных правах". Полномочия на коллективное управление имущественными правами передаются непо­средственно обладателями авторских и смежных прав добровольно на основе письменных договоров, которые, не являются авторскими договорами.

Пункт 3 ст. 45 Закона "Об авторском праве и смеж­ных правах" предусматривает, что организация, управляющая имущественными правами на коллективной основе, предоставляет лицензии пользователям на соот­ветствующие способы использования произведений и объектов смежных прав.

В настоящее время в Законе "Об охране программ для ЭВМ и баз данных" нет соответствующей нормы, которая бы развивала это общее положение Закона "Об авторском праве и смежных правах". Закон "Об охране программ для ЭВМ и баз данных" вообще не говорит о лицензировании. Этот закон различает автор­ский договор и договор лицензионный.

Государство в лице определенных своих органов ли­цензирует деятельность в области создания и применения информационных технологий и иных средств информати­зации в тех случаях, когда эта деятельность сопряжена с обеспечением информационной безопасности и когда госу­дарство обязано принять меры к защите государственной тайны, личной тайны граждан, служебной тайны, к за­щите персональной информации или к защите конфиден­циальной коммерческой информации в системе государ­ственного аппарата.

Для решения вопросов создания и применения инфор­мационных технологий имеет важное значение Закон "О федеральных органах правительственной связи и ин­формации", который предусматривает право федераль­ных органов правительственной связи и информации осуществлять лицензирование и сертификацию систем и комплексов телекоммуникаций высших органов госу­дарственной власти РФ, а также закрытых систем и ком­плексов телекоммуникаций органов государственной власти субъектов РФ, центральных органов федеральной исполнительной власти, организаций, предприятий, бан­ков и других учреждений, расположенных на территории РФ, независимо от их ведомственной принадлежности и формы собственности.

С проблемой разработки и пользования информа­ционными технологиями связана область обмена (экспорта и импорта) этой продукции. Право на экспорт технологий, связанных с обеспечением информационной безопасности страны, должно находиться под контролем государства. В этом случае должна идти речь о порядке лицензирования экспорта.

Лицензирование деятельности в области формирования и ведения информационных ресурсов

В этой области на уровне закона регулируются правила лицензирования проведения работ, связанных со сведениями, составляющими государственную тайну. Ст. 27 Закона "О государственной тайне" устанавливает, что лицензия на проведение указанных работ выдается на основании результатов специальной экспертизы и при определенных условиях.

"Положение о лицензировании деятельности пред­приятий, учреждений и организаций по проведению ра­бот, связанных с использованием сведений, составляю­щих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тай­ны", утвержденное Постановлением Правительства Рос­сийской Федерации от 15 апреля 1995 года № 333, уста­навливает порядок лицензирования в вышеназванной области.

Деятельность по международному информацион­ному обмену в части государственных информационных ресурсов, которые вывозятся за пределы Российской Фе­дерации, или документированной информации для пополнения государственных информационных ресурсов, которая ввозится на территорию Российской Федерации, подлежит лицензированию согласно Закону "Об участии в международном информационном обмене" (ст. 18), по­рядок лицензирования определяется "Положением о ли­цензировании деятельности по международному инфор­мационному обмену", утвержденным Постановлением Правительства РФ от 3 июня 1998 года № 564.

Лицензирование услуг по информационному обеспечению потребителей информационных ресурсов

Данные виды деятельности связаны с предоставле­нием информации пользователям в соответствии с их правовым статусом и с категориями информации по доступу.

Очевидно, что обработка и предоставление инфор­мации с ограниченным доступом, если она осу­ществляется не собственником информации или не госу­дарственной организацией в соответствии с ее компетен­цией, потребует лицензии. Это, например, может касать­ся ведения кадастров, каталогов, любой мониторинговой деятельности.

Такой вид услуг, как сбор, обработка и предостав­ление информации о гражданах - персональной инфор­мации - не в целях ее статистического учета и анализа также требует лицензии, если это не предусмотрено пря­мо правовым статусом лица, осуществляющего эту дея­тельность.

Согласно статье 24 Конституции РФ сбор, хране­ние и распространение информации о частной жизни лица без его согласия не допускается. Принципиальным является то, что формируемые базы персональных дан­ных должны строго соответствовать целям сбора и ис­пользоваться исключительно в интересах конкретного лица при оказании ему услуг различного характера. Ли­цензирующий орган должен установить минимально не­обходимый для оказания услуг объем персональных данных, необходимость защиты информации, некоторые технологические аспекты ее сбора и актуализации, а также проконтролировать выполнение обязательств по целевому использованию информации персонального характера. В настоящее время в Госдуме РФ готовится законопроект "Об информации персонального характе­ра", принятие которого позволит установить порядок лицензирования данного вида услуг.

Проведенный анализ предметных областей деятель­ности в сфере информатизации позволяет выделить в ка­честве основных направлений работ по лицензированию деятельности в сфере информатизации защиту информа­ции и международный информационный обмен, к рассмот­рению которых мы и переходим.

Лицензирование деятельности в области защиты информации

Закон "Об информации, информатизации и защите информации" устанавливает общие правовые требова­ния к организации защиты информации с ограниченным доступом в процессе ее обработки, хранения и циркуля­ции в технических устройствах и информационных и те­лекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по за­щите конфиденциальной информации. Следует подчерк­нуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.

Кроме того, Закон определяет на государственно-правовом уровне электронную цифровую подпись как средство защиты информации от несанкционированного искажения или подмены, а также как средство подтверж­дения подлинности отправителя и получателя информа­ции. В соответствии со статьей 5 "юридическая сила до­кумента, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и те­лекоммуникационных систем, может подтверждаться электронной цифровой подписью". При этом "юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования".

Статья 19 Закона "Об информации, информатиза­ции и защите информации" определяет обязательность получения лицензий для организаций, осуществляющих проектирование и производство средств защиты инфор­мации.

Важно отметить, что в соответствии с п. 3 статьи 21 контроль за соблюдением требований к защите инфор­мации, за эксплуатацией специальных средств защиты информации, а также обеспечение организационных мер защиты информационных систем, обрабатывающих ин­формацию с ограниченным доступом, в негосударствен­ных структурах возлагается на органы государственной власти.

Таким образом, система государственного лицен­зирования деятельности в области защиты информации в Российской Федерации является составной частью го­сударственной системы защиты информации.

Действующими нормативно-правовыми документа­ми в качестве основных государственных органов по ли­цензированию деятельности в области защиты информа­ции определены Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) и Федеральное агентство правительственной связи и информации (ФАПСИ).

Обязательное государственное лицензирование деятельности в области защиты информации криптогра­фическими методами, а также в области выявления элек­тронных устройств перехвата информации в технических средствах и помещениях государственных структур вве­дено Постановлением Правительства РФ от 24 декабря 1994 года № 1418 "О лицензировании отдельных видов деятельности". Данное постановление распространяет механизм обязательного лицензирования на все виды деятельности в области криптографической защиты ин­формации, независимо от ее характера и степени секрет­ности, на все субъекты этой деятельности, независимо от их организационно-правовой формы, включая и физиче­ских лиц.

Указ Президента Российской Федерации от 3 апре­ля 1995 года № 334 "О мерах по соблюдению законности в области разработки, производства, реализации и экс­плуатации шифровальных средств, а также предоставле­ния услуг в области шифрования информации" запре­щает любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифро­вальных средств, предоставлением услуг в области шиф­рования информации, без лицензии ФАПСИ.

Постановлением Правительства РФ от 15 апреля 1995 года № 333 "О лицензировании деятельности пред­приятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляю­щих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тай­ны" устанавливается, что лицензия на право деятель­ности по проведению работ, связанных с использовани­ем сведений, составляющих государственную тайну, с созданием средств защиты информации и оказанием услуг по защите государственной тайны, может быть выдана предприятию или организации, независимо от формы его собственности, исключительно на основании результатов специальной экспертизы заявителя, в ходе которой будет установлено наличие на данном пред­приятии всех необходимых условий для сохранения до­веренных ему секретных сведений, и государственной ат­тестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну.

Сферы компетенции Гостехкомиссии России и ФАПСИ, а также практический механизм лицензирова­ния определены в "Положении о государственном лицен­зировании деятельности в области защиты информации", которое утверждено 27 апреля 1994 года совместным решением Гостехкомиссии России и ФАПСИ.

Этим положением, в частности, определены сле­дующие перечни видов деятельности в области защиты информации, подлежащих лицензированию Гостехкомиссией России и ФАПСИ.

Перечень видов деятельности в области защиты информации, подлежащих лицензированию Гостехкомиссией России:

• Сертификация, сертификационные испытания защищенных технических средств обработки ин­формации (ТСОИ), технических средств защиты информации, технических средств контроля эффек­тивности мер защиты информации, защищенных программных средств обработки информации, про­граммных средств по требованиям безопасности, программных средств защиты информации, про­граммных средств контроля защищенности инфор­мации.

• Аттестация систем информатизации, автоматизи­рованных систем управления, систем связи и пере­дачи данных, технических средств приема, передачи и обработки подлежащей защите информации, тех­нических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также поме­щений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных доку­ментов по безопасности информации и контроль защищенности информации в этих системах, техни­ческих средствах и помещениях.

• Разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслужива­ние защищенных ТСОИ, технических средств защи­ты информации, технических средств контроля эф­фективности мер защиты информации, защищен­ных программных средств обработки информации, программных средств защиты информации, про­граммных средств контроля защищенности инфор­мации.

• Проведение специсследований на побочные элек­тромагнитные излучения и наводки (ПЭМИН) ТСОИ.

• Проектирование объектов в защищенном испол­нении.

• Подготовка и переподготовка кадров в области защиты информации по видам деятельности, пере­численным в данном перечне.

Перечень видов деятельности в области защиты информации, подлежащих лицензированию ФАПСИ:

Деятельность названных выше организаций по ли­цензированию в области защиты информации осу­ществляется на основании следующих принципов:

• Соответствия действующим российским законо­дательным и нормативным актам.

• Обеспечения надежной защиты информации, со­ставляющей государственную тайну, или иной кон­фиденциальной информации.

• Дифференцированного подхода к отдельным ви­дам деятельности и средствам защиты.

• Наложения на лицензиата обязательств по вы­полнению требований Российского законодатель­ства и иных нормативных актов в области защиты информации.

• Соответствия заявителей и лицензиатов требова­ниям по профессиональной подготовке, норматив­но-методической, технической и технологической оснащенности, режимным требованиям, проверяе­мым в ходе проведения обязательной экспертизы заявителей и постоянного контроля за деятель­ностью лицензиатов.

• Четкой регламентации предоставляемых лицен­зиату прав и полномочий, а также механизма его взаимодействия с Гостехкомиссией и ФАПСИ.

• Централизации выдачи, учета, приостановления и отзыва лицензий и сертификатов.

• Доступности и открытости систем лицензирова­ния и сертификации в рамках вышеперечисленных принципов.

Собственно лицензирование деятельности в области защиты информации включает следующие действия:

• выдачу лицензий - рассмотрение заявления на лицензирование, оформление и выдачу лицензий, переоформление лицензий;

• проведение специальной экспертизы заявителя;

•проведение аттестации руководителя предприя­тия или лиц, уполномоченных им для руководства лицензируемой деятельностью;

• проведение технической экспертизы изделий.

В заключение рассмотрения вопроса о лицензирова­нии деятельности в области защиты информации необхо­димо подчеркнуть следующие обстоятельства:

• Лицензирование в области защиты информации является обязательным. Здесь необходимо иметь в виду, что для занятия деятельностью в области защиты информации необходимо получение права на ее осуществле­ние. Конкретные виды деятельности вводятся в виде перечисления в соответствующих норма­тивных актах.

• Деятельность в области защиты информации фи­зических и юридических лиц, не прошедших лицензи­рование, запрещена.

Субъекты, не получившие право на осуществле­ние деятельности в области защиты информации и продолжающие ее осуществлять, нарушая установленный порядок, занимаются тем самым противоправной деятельностью. В отношении таких субъектов могут быть применены санкции, предусмотренные действующим законодатель­ством.

Лицензирование деятельности по международному информационному обмену

Согласно ст. 18 Закона "Об участии в международ­ном информационном обмене" одним из видов лицензи­рования в области связи и информатизации в Российской Федерации является лицензирование деятельности по международному информационному обмену.

Деятельность по международному информационно­му обмену включает:

• сбор, обработку, хранение и передачу информа­ции, а также использование документированной информации и информационных ресурсов при международном информационном обмене;

• создание документированной информации и ин­формационных продуктов для целей международ­ного информационного обмена;

• получение документированной информации, ин­формационных ресурсов, информационных про­дуктов;

• оказание информационных услуг.

Целью лицензирования деятельности по междуна­родному информационному обмену является предотвра­щение незаконного вывоза за пределы территории Россий­ской Федерации государственных информационных ресур­сов и обеспечение контроля за использованием средств федерального бюджета и средств бюджетов субъектов Российской Федерации, выделяемых для пополнения госу­дарственных информационных ресурсов.

Объектами международного информационного об­мена являются: документированная информация, ин­формационные ресурсы, информационные продукты, информационные услуги и средства международного информационного обмена.

Объектами международного информационного об­мена по вышеуказанному Закону являются только информационные ресурсы государственной собствен­ности, произведенное или приобретаемые за бюджетные средства.

Следовательно, отношения по оформлению лицен­зии на международный информационный обмен затра­гивает группу субъектов, в числе которых не только ли­цензиар — орган, выдающий лицензию; лицензиат — лицо, получающее лицензию, но орган, в ведении кото­рого находятся государственные информационные ре­сурсы и который представляет государство как соб­ственника. Таким образом, включение физического ли­ца, действующего без образования юридического лица, в число лицензиаров на международный информационный обмен требует предварительного договора будущего ли­цензиара с соответствующим органом государственной власти.

Основанием для осуществления лицензирования деятельности в области международного информацион­ного обмена должно быть согласие и органа государ­ственной власти на кандидатуру лицензиата, подтверж­денное письменно и, как правило, договором.

Субъектами международного информационного об­мена могут являться:

• Российская Федерация;

• субъекты Российской Федерации;

• органы государственной власти и органы местно­го самоуправления;

• физические и юридические лица Российской Фе­дерации;

• физические и юридические лица иностранных го­сударств;

• лица без гражданства.

В соответствии с "Положением о лицензировании деятельности по международному информационному обмену", утвержденному Постановлением Правитель­ства РФ от 03 июля 1998 года № 564, федеральным орга­ном исполнительной власти, уполномоченным на ведение лицензионной деятельности по международному обмену федеральными информационными ресурсами и информаци­онными ресурсами, находящимися в совместном ведении Российской Федерации и субъектов Российской Федера­ции, определен Государственный комитет Российской Федерации по связи и информатизации (как мы уже от­мечали, его правопреемником являлся Государственный комитет Российской Федерации по телекоммуникациям, в настоящее время - Министерство Российской Федера­ции по связи и информатизации), а лицензирование деятелъности по международному информационному обмену информационными ресурсами субъектов Российской Фе­дерации уполномочены осуществлять органы исполни­тельной власти субъектов Российской Федерации.

Методическое обеспечение лицензирования дея­тельности по международному информационному обме­ну осуществляет Минсвязи России.

Порядок взаимодействия Минсвязи России с органа­ми исполнительной власти субъектов Российской Федера­ции включает:

• организацию разработки методического обес­печения, в том числе лицензионных требований и условий (рекомендуемых);

• установление структуры записи "Сводного реест­ра выданных, зарегистрированных, приостано­вленных и аннулированных лицензий" и структуры номера лицензии, присваиваемого лицензионными органами субъектов Российской Федерации;

• организацию изготовления бланков лицензий и определение организации - изготовителя этих бланков;

• выработку согласованной политики по проведе­нию инспекционных проверок и контроля за вы­полнением лицензиатами условий, необходимых для осуществления деятельности по международ­ному информационному обмену;

• проведение анализа лицензионной деятельности и совместную разработку мер по ее совершенство­ванию.

Минсвязи России разработало общие требования к заявителям и определило лицензионные условия, необ­ходимые для осуществления деятельности по междуна­родному информационному обмену, а также установило форму описания имеющихся у заявителя информацион­ных ресурсов и аппаратно-программных средств, струк­туру записи "Сводного реестра выданных, зарегистри­рованных, приостановленных и аннулированных лицен­зий" и структуру номера лицензии, присваиваемого ли­цензионными органами субъектов Российской Феде­рации.

Лицензионные органы субъектов Российской Феде­рации:

- в пределах своих полномочий с учетом особен­ностей и видов вывозимых и ввозимых информационных ресурсов, а также организационных процедур, опреде­ляющих их ввоз/вывоз, могут вносить изменения, допол­нения и уточнения лицензионных условий и требований к заявителям;

- по итогам лицензионной деятельности ежеквар­тально направляют в Минсвязи России информацию о выданных, зарегистрированных, приостановленных и аннулированных лицензиях по международному инфор­мационному обмену в соответствии со структурой запи­си Сводного реестра.

Минсвязи России обобщает замечания и предложе­ния по совершенствованию лицензионной деятельности и по согласованию с органами исполнительной власти субъектов Российской Федерации, направившими заме­чания и предложения, вносит в Правительство Российской Федерации предложения по разработке федераль­ного законодательства и внесению изменений в норма­тивные акты. Об указанных действиях министерство ин­формирует все лицензионные органы.

В соответствии с Законом "Об участии в междуна­родном информационном обмене" и во исполнение По­становления Правительства Российской Федерации от 03.06.98 № 564 "Об утверждении Положения о лицензи­ровании деятельности по международному информационному обмену" Минсвязи России разработало и внед­рило ряд нормативно-правовых документов, в том числе:

• методические рекомендации по осуществлению лицензионной деятельности по международному информационному обмену лицензионными органа­ми субъектов Российской Федерации;

• методику проведения экспертизы, устанавли­вающей наличие у заявителя условий, необходимых для осуществления деятельности по международ­ному информационному обмену.

В соответствии с вышеуказанными Законом и по­становлением Правительства Российской Федерации мэром г. Москвы издано распоряжение "О лицензиро­вании деятельности по международному информацион­ному обмену" от 31 декабря 1998 года № 1331-РМ, в ко­тором ставятся конкретные задачи Московской лицен­зионной палате о проведении необходимых организаци­онных мероприятий по созданию (на уровне субъекта Российской Федерации) органа лицензирования деятель­ности по международному информационному обмену.

В соответствии с Методическими рекомендациями по осуществлению лицензионной деятельности по меж­дународному информационному обмену лицензионными органами субъектов Российской Федерации, утвержден­ными приказом Госкомсвязи России от 10 июля 1998 го­да, заявителями на получение лицензии могут быть уч­реждения и предприятия культуры, науки, образования и иных сфер деятельности, а также коммерческие органи­зации, осуществляющие свою деятельность с использо­ванием информационных ресурсов, находящихся в веде­нии субъектов Российской Федерации, и за счет (с привлечением) средств бюджетов субъектов Россий­ской Федерации.

Согласно плану разработки организационных ма­териалов по лицензионной работе по международному информационному обмену осуществлена постановка за­дачи на разработку информационной системы федераль­ного уровня по ведению "Сводного реестра выданных, приостановленных и аннулированных лицензий".

В настоящее время Федеральным унитарным госу­дарственным предприятием Московский научно-исследовательский центр реализуется проект "Разработка организационно-методического и про­граммно-аппаратного обеспечения системы лицензиро­вания в сфере информатизации".

В проекте разрабатываются материалы по органи­зационно-методическому обеспечению лицензирования деятельности по международному информационному обмену и программно-аппаратные средства по ведению "Сводного реестра выданных, приостановленных и ан­нулированных лицензий" федерального уровня, которые являются компонентами системы лицензирования дея­тельности по международному информационному обмену. Разработка материалов по организационно-методическому обеспечению лицензирования деятель­ности по международному информационному обмену включает совершенствование действующих и создание дополнительных документов на основе анализа опыта ли­цензионной деятельности по международному информа­ционному обмену, в том числе:

• совершенствование Положения о лицензировании деятельности по международному информацион­ному обмену, Методики проведения экспертизы, устанавливающей наличие у заявителя условий, не­обходимых для осуществления деятельности по международному информационному обмену, Вре­менного порядка организации и проведения работ по государственному надзору за деятельностью по международному информационному обмену и кон­тролю за деятельностью лицензиатов, Порядка взаимодействия Госкомсвязи России с органами исполнительной власти субъектов Российской Фе­дерации по вопросам лицензирования в сфере ин­форматизации ;

• разработку Сборника законодательных и норма­тивно-правовых актов, предназначенного для ли­цензионных органов Российской Федерации и предприятий, занимающихся международным ин­формационным обменом, содержащего перечень законов Российской Федерации, которыми необхо­димо руководствоваться при осуществлении дея­тельности по международному информационному обмену, условия лицензирования и требования к лицензиату, формы регистрационных и учетно-отчетных документов и инструкции по их заполне­нию и другие документы;

• разработку Сборника организационно-мето­дических документов по организации и проведению лицензионной деятельности по международному информационному обмену для субъектов Россий­ской Федерации;

• разработку информационных материалов по со­стоянию и изменениям в организационно-правовых документах, регламентирующих лицензионную деятельность, и обеспечение этими материалами лицензиаров и лицензиатов.

Документы по организационно-методическому обеспечению лицензионной деятельности по междуна­родному информационному обмену разрабатываются и совершенствуются на базе имеющихся аналогов кон­кретных документов и анализа сведений о деятельности существующих федеральных и региональных органов лицензирования.

Разработка программно-аппаратных средств веде­ния "Сводного реестра выданных, приостановленных и аннулированных лицензий" предусматривает создание программно-аппаратного комплекса (автоматизированной информационной системы - АИС), обес­печивающей ведение указанного реестра и взаимодействие в телекоммуникационном режиме с лицензионными орга­нами субъектов Российской Федерации.

Разработка данной системы осуществляется как путем адаптации существующих пакетов приклад­ных программ и систем управления базами данных к задачам, решаемым АИС, так и разработкой ориги­нальных прикладных программ для решения задач АИС.

Организационно-методическое обеспечение ли­цензионной деятельности унифицирует процедуры ли­цензионной деятельности и создает условия для автоматизации этой деятельности и для обмена информацией по вопросам лицензирования между федеральными и региональными лицензионными ор­ганами.

Автоматизированная система по ведению Сводного реестра создаст условия для повышения производитель­ности труда специалистов по лицензированию.

На первом этапе (первый год после внедрения) документы по организационно-методическому обес­печению лицензионной деятельности по международно­му информационному обмену и автоматизированная си­стема по ведению "Сводного реестра выданных, приостановленных и аннулированных лицензий" будут находиться в опытной эксплуатации.

На втором этапе (второй год эксплуатации) доку­менты по организационно-методическому обеспечению лицензионной деятельности по международному инфор­мационному обмену и автоматизированная система по ведению Сводного реестра после устранения выявленных на этапе опытной эксплуатации недостатков могут рас­пространяться на коммерческой основе.

В результате функционирования данной системы будет предотвращаться незаконный вывоз за пределы территории Российской Федерации государственных информационных ресурсов и осуществляться государ­ственное регулирование деятельности по ввозу докумен­тированной информации, что сэкономит государствен­ные средства, затрачиваемые на создание государствен­ных информационных ресурсов и на их пополнение.

Тема 2. РАЗРАБОТКА ПРОГРАММНЫХ СРЕДСТВ И ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Лекция 9. Программная инженерия как совокупность инженерных методов и средств создания программного обеспечения. Программная инженерия. Понятие модели архитектуры ПО. Особенности современных крупных проектов ЭИС

Проектирование экономических информационных систем – логически сложная, трудоемкая и длительная работа, требующая высокой квалификации участвующих в ней специалистов. Однако до настоящего времени проектирование ИЭС нередко выполняется на интуитивном уровне неформализованными методами, включающими в себя элементы искусства, практический опыт, экспертные оценки и дорогостоящие экспериментальные проверки качества функционирования ИЭС. Кроме того, в процессе создания и функционирования ИЭС информационные потребности пользователей постоянно изменяются и уточняются, что еще более усложняет разработку и сопровождение таких систем.

Основная доля трудозатрат при создании ИЭС приходится на прикладное программирование и базы данных. Производство ПО – это крупнейшая отрасль мировой экономики, в которой занято около трех млн. специалистов.

Потребность контролировать процесс разработки ПО, прогнозировать и гарантировать стоимость разработки, сроки и качество результатов привела в конце 70-х годов к необходимости перехода от кустарных к индустриальным способам создания ПО и появлению совокупности инженерных методов и средств создания ПО, объединенных общим названием «программная инженерия». Впервые этот термин был использован как тема конференции, проводившейся под эгидой НАТО в 1968 г. Спустя 7 лет, в 1975г. в Вашингтоне была проведена первая международная конференция, посвященная программной инженерии.

В процессе становления и развития программной инженерии можно выделить два этапа: 70-е и 80-е годы - систематизация и стандартизация процессов создания ПО (на основе структурного подхода) и 90-е годы - начало перехода к сборочному, индустриальному способу создания ПО (на основе объектно-ориентированного подхода).

В основе программной инженерии лежит одна фундаментальная идея: проектирование ПО является формальным процессом, который можно изучать и совершенствовать. Освоение и правильное применение методов и средств создания ПО позволяет повысить качество ЭИС, обеспечить управляемость процесса проектирования ЭИС и увеличить срок ее жизни.

Тенденции развития современных информационных технологий определяют постоянное возрастание сложности ПО ЭИС. Современные крупные проекты ЭИС характеризуют, как правило, следующие особенности:

·          Сложность описания (достаточно большое количество функций, процессов, элементов данных и сложные взаимосвязи между ними), требующая тщательного моделирования и анализа данных и процессов.

·          Наличие совокупности тесно связанных подсистем, имеющих локальные задачи и цели функционирования.

·          Отсутствие полных аналогов, ограничивающее возможность использования каких-либо типовых проектных решений и прикладных систем.

·          Необходимость интеграции существующих и вновь разрабатываемых приложений.

·          Функционирование в неоднородной среде на нескольких аппаратных платформах.

·          Разобщенность и разнородность отдельных групп разработчиков по уровню квалификации и сложившимся традициям использования тех или иных инструментальных средств.

·          Значительная временная протяженность проекта, обусловленная с одной стороны, ограниченными возможностями коллектива разработчиков и различной степенью готовности отдельных ее подразделений к внедрению ЭИС.

Для успешной реализации проекта объект проектирования (ПО ЭИС) должен быть прежде всего адекватно описан, т.е. должны быть построены полные и непротиворечивые модели архитектуры ПО, включающие совокупность структурных элементов системы и связей между ними, поведение элементов системы в процессе их взаимодействия, а также иерархию подсистем, объединяющих структурные элементы.

Под моделью понимается полное описание системы ПО с определенной точки зрения. Модели представляют собой средства для визуализации, описания, проектирования и документирования архитектуры системы.

Моделирование является центральным звеном всей деятельности по созданию качественного ПО. Модели строятся для того, чтобы понять и осмыслить структуру и поведение будущей системы, облегчить управление процессом ее создания и уменьшить возможный риск, а также документировать принимаемые проектные решения.

Разработка модели архитектуры системы ПО промышленного характера на стадии, предшествующей ее реализации или обновлению, также необходима, как и наличие проекта для строительства большого здания.

Лекция 10. Жизненный цикл программного обеспечения

Понятие ЖЦ ПО. Международный стандарт ISO/IEC 12207: 1995. Основные и вспомогательные процессы ЖЦ ПО. Организация процессов ЖЦ. Связь между процессами.

Понятие ЖЦ

Жизненный цикл (ЖЦ) программного обеспечения (ПО) определяется как период времени, который начинается с момента принятия решения о необходимости создания ПО и заканчивается в момент его полного изъятия из эксплуатации.

Основным нормативным документом, регламентирующим состав процессов ЖЦ ПО, является международный стандарт ISO/IEC 12207: 1995 “Information Technology - Software Life Cycle Processes” (ISO - International Organization for Standardization - Международная организация по стандартизации, IEC - International Electrotechnical Commission - Международная комиссия по электротехнике. Он определяет структуру ЖЦ, содержащую процессы, действия и задачи, которые должны быть выполнены во время создания ПО.

В данном стандарте ПО (или программный продукт) определяется как набор компьютерных программ, процедур и, возможно, связанной с ними документации и данных.

Процесс определяется как совокупность взаимосвязанных действий, преобразующих некоторые входные данные в выходные. Каждый процесс характеризуется определенными задачами и методами их решения, исходными данными, полученными от других процессов, и результатами.

Каждый процесс разделен на набор действий, каждое действие – на набор задач. Каждый процесс, действие или задача инициируется и выполняется другим процессом по мере необходимости, причем не существует заранее определенных последовательностей выполнения (естественно, при сохранении связей по входным данным).

В России существуют стандарты:

ГОСТ 34601 - 90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».

ГОСТ 34601 - 89. «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».

ГОСТ 34601 - 92. «Информационная технология. Виды испытаний автоматизированных систем».

Однако процессы создания программного обеспечения для современных распределенных ЭИС, функционирующих в неоднородной среде, в этих стандартах отражены недостаточно, а отдельные их положения явно устарели. Поэтому в отечественных разработках целесообразно использовать современные международные стандарты.

В соответствии с ISO/IEC 12207: 1995 все процессы ЖЦ ПО разделены на три группы:

Основные процессы:

·          приобретение;

·          поставка;

·          разработка;

·          эксплуатация;

·          сопровождение.

Вспомогательные процессы:

·          документирование;

·          управление конфигурацией;

·          обеспечение качества;

·          верификация;

·          аттестация;

·          совместная оценка;

·          аудит;

·          разрешение проблем.

Организационные процессы:

·          управление;

·          усовершенствование;

·          создание инфраструктуры;

·          обучение.

Основные процессы

Процесс приобретения состоит из действий и задач заказчика:

Действие - инициирование приобретения - включает задачи:

·          определение заказчиком своих потребностей в приобретении;

·          анализ требований к системе;

·          принятие решения относительно приобретения;

·          проверку наличия необходимой документации, гарантий, сертификатов, лицензий и поддержки в случае приобретения ПО;

·          подготовку и утверждение плана приобретения, включающего требования к системе, тип договора, ответственность сторон.

Действие – подготовка заявочных предложений. Заявочные предложения должны содержать:

·          требования к системе;

·          перечень программных продуктов;

·          условия и соглашения;

·          технические ограничения (например, среда функционирования системы).

Заявочные предложения направляются выбранному поставщику. Поставщик – это организация, которая заключает договор с заказчиком на поставку системы, ПО или программной услуги на условиях, оговоренных в договоре.

Действие - подготовка и корректировка договора - включает задачи:

·          определение заказчиком процедуры выбора поставщика, включающей критерии оценки предложений возможных поставщиков;

·          выбор конкретного поставщика на основе анализа предложений.;

·          подготовку и заключение договора с поставщиком;

·          внесение изменений (при необходимости) в договор в процессе его выполнения.

Действие - надзор за деятельностью поставщика - осуществляется в соответствии с действиями, предусмотренными в процессах совместной оценки и аудита.

 В процессе приемки подготавливаются и выполняются необходимые тесты. Завершение работ по договору осуществляется в случае удовлетворения всех условий приемки.

Процесс поставки охватывает действия и задачи, выполняемые поставщиком, который снабжает заказчика программным продуктом или услугой. Данный процесс включает действия:

Инициирование поставки заключается в рассмотрении поставщиком заявочных предложений и принятии решения согласиться с выставленными требованиями и условиями или предложить свои.

Планирование включает задачи:

·          принятие решения поставщиком относительно выполнения работ своими силами или с привлечением субподрядчика;

·          разработку поставщиком плана управления проектом, содержащего организационную структуру проекта, разграничение ответственности, технические требования к среде разработки и ресурсам, управление субподрядчиком.

Процесс разработки предусматривает действия и задачи, выполняемые разработчиком, и включает следующие действия:

Подготовительная работа начинается с выбора модели ЖЦ ПО, соответствующей масштабу, значимости и сложности проекта. Действия и задачи процесса должны соответствовать выбранной модели. Разработчик должен выбрать, адаптировать к условиям проекта и использовать согласованные с заказчиком стандарты, методы и средства разработки, а также составить план выполнения работ.

Анализ требований к системе подразумевает определение ее функциональных возможностей, пользовательских требований, требований к надежности и безопасности, требований к внешним интерфейсам и т.д. Требования с системе оцениваются исходя из критериев реализуемости и возможности проверки при тестировании.

Проектирование архитектуры системы на высоком уровне заключается в определении компонентов ее оборудования, ПО и операций, выполняемых эксплуатирующим систему персоналом. Архитектура системы должна соответствовать требованиям, предъявляемым к системе, а также принятым проектным стандартам и методам.

Анализ требований к ПО предполагает определение следующих характеристик для каждого компонента ПО:

·          функциональных возможностей, включая характеристики производительности и среды функционирования компонента;

·          внешних интерфейсов;

·          спецификаций надежности и безопасности;

·          эргономических требований;

·          требований к используемым данным;

·          требований к установке и приемке;

·          требований к пользовательской документации;

·          требований к эксплуатации и сопровождению.

Требования к ПО оцениваются исходя из критериев соответствия требованиям к системе, реализуемости и возможности проверки при тестировании.

Проектирование архитектуры ПО включает задачи (для каждого компонента ПО):

·          трансформацию требований к ПО в архитектуру, определяющую на высоком уровне структуру ПО и состав ее компонентов;

·          разработку и документирование программных интерфейсов ПО и баз данных;

·          разработку предварительной версии пользовательской документации;

·          разработку и документирование предварительных требований к тестам и планам интеграции ПО.

Архитектура компонентов ПО должна соответствовать требованиям, предъявляемым к ним, а также принятым проектным стандартам и методам.

Детальное проектирование ПО включает следующие задачи:

·          описание компонентов и интерфейсов между ними на более низком уровне, достаточном для их последующего самостоятельного кодирования и тестирования;

·          разработку и документирование детального проекта базы данных;

·          обновление (при необходимости) пользовательской документации;

·          разработку и документирование требований к тестам и плана тестирования компонентов ПО;

·          обновление плана интеграции ПО.

Кодирование и тестирование ПО охватывает задачи:

·          разработку и документирование каждого компонента ПО и базы данных а также совокупности тестовых процедур и данных для их тестирования;

·          тестирование каждого компонента ПО и базы данных на соответствие предъявляемых к ним требованиям. Результаты тестирования компонентов должны быть документированы;

·          обновление (при необходимости) пользовательской документации;

·          обновление плана интеграции ПО.

Интеграция ПО предусматривает сборку разработанных компонентов ПО в соответствии с планом интеграции и тестирование агрегированных компонентов. Для каждого из агрегированных компонентов разрабатываются наборы тестов и тестовые процедуры, предназначенные для проверки каждого из квалификационных требований при последующем квалификационном тестировании. Квалификационное тестирование -это набор критериев и условий, которые необходимо выполнить, чтобы квалифицировать программный продукт как соответствующий своим спецификациям и готовый к использованию в условиях эксплуатации.

Квалификационное тестирование ПО проводится разработчиком в присутствии заказчика (по возможности) для демонстрации того, что ПО удовлетворяет своим спецификациям и готово к использованию в условиях эксплуатации. Квалификационное тестирование выполняется для каждого компонента ПО по всем разделам требований при широком варьировании тестов. При этом также проверяются полнота технической и пользовательской документации и ее адекватность самим компонентам ПО.

Интеграция системы заключается в сборке всех ее компонентов, включая ПО и оборудование. После интеграции система, в свою очередь, подвергается квалификационному тестированию на соответствие совокупности требований к ней. При этом также производится оформление и проверка полного комплекта документации на систему.

Установка ПО осуществляется разработчиком в соответствии с планом в той среде и на том оборудовании, которые предусмотрены договором. В процессе установки проверяется работоспособность ПО и баз данных. Если устанавливаемое программное обеспечение заменяет существующую систему, разработчик должен обеспечить их параллельное функционирование в соответствии с договором.

Приемка ПО предусматривает оценку результатов квалификационного тестирования ПО и системы и документирование результатов оценки, которые проводятся заказчиком с помощью разработчика. Разработчик выполняет окончательную передачу ПО заказчику в соответствии с договором, обеспечивая при этом необходимое обучение и поддержку.

Процесс эксплуатации охватывает действия и задачи оператора – организации, эксплуатирующей систему и включает действия:

Подготовительная работа включает проведение оператором следующих задач:

·          планирование действий и работ, выполняемых в процессе эксплуатации, и установку эксплуатационных стандартов;

·          определение процедур локализации и разрешения проблем, возникающих в процессе эксплуатации.

Эксплуатационное тестирование осуществляется для каждой очередной редакции программного продукта, после чего она передается в эксплуатацию.

Эксплуатация системы выполняется в предназначенной для этого среде в соответствии с пользовательской документацией.

Поддержка пользователей заключается в оказании помощи и консультаций при обнаружении ошибок в процессе эксплуатации ПО.

Процесс сопровождения предусматривает действия и задачи, выполняемые службой сопровождения. В соответствии со стандартом IEEE-90 под сопровождением понимается внесение изменений в ПО в целях исправления ошибок, повышения производительности или адаптации к изменившимся условиям работы или требованиям.

Изменения, вносимые в существующее программное обеспечение, не должны нарушать его целостность. Процесс сопровождения включает перенос ПО в другую среду (миграцию) и заканчивается снятием ПО с эксплуатации.

Процесс сопровождения охватывает следующие действия:

Подготовительная работа службы сопровождения включает в себя следующие задачи:

·          планирование действий и работ, выполняемых в процессе сопровождения;

·          определение процедур локализации и разрешения проблем, возникающих в процессе сопровождения.

Анализ проблем и запросов на модификацию ПО, выполняемый службой сопровождения, включает следующие задачи:

·           анализ сообщения о возникшей проблеме или запроса на модификацию ПО относительно его влияния на организацию, существующую системы и интерфейсы с другими системами. При этом определяются следующие характеристики возможной модификации: тип (корректирующая, улучшающая, профилактическая или адаптирующая к новой среде); масштаб (размеры модификации, стоимость и время ее реализации); критичность (воздействие на производительность, надежность или безопасность);

·          оценка целесообразности проведения модификации и возможных вариантов ее проведения);

·          утверждение выбранного варианта модификации.

Модификация ПО предусматривает определение компонентов ПО, их версий и документации, подлежащих модификации, и внесение необходимых изменений в соответствии с правилами процесса разработки. Подготовленные изменения тестируются и проверяются по критериям, определенным в документации. При подтверждении корректности изменений в программах производится корректировка документации.

Проверка и приемка заключается в проверке целостности модифицированной системы и утверждении внесенных изменений.

При переносе ПО в другую среду используются имеющиеся или разрабатываются новые средства переноса, затем выполняется конвертирование программ и данных в новую среду. С целью облегчить переход предусматривается параллельная эксплуатация ПО в старой и новой среде в течение некоторого периода, когда проводится необходимое обучение пользователей в новой среде.

Снятие ПО с эксплуатации осуществляется по решению заказчика при участии эксплуатирующей организации, службы сопровождения и пользователей. При этом программные продукты и соответствующая документация подлежат архивированию в соответствии с договором.

Вспомогательные процессы ЖЦ ПО

Процесс документирования предусматривает формализованное описание информации, созданной в течение ЖЦ ПО. Данный процесс состоит из набора действий, с помощью которых планируют, проектируют, разрабатывают, выпускают, редактируют, распространяют и сопровождают документы, необходимые для всех заинтересованных лиц, таких, как руководство, технические специалисты и пользователи системы.

Процесс документирования включает действия:

·           подготовительную работу;

·           проектирование и разработку;

·           выпуск документации;

·           сопровождение.

Процесс управления конфигурацией предполагает применение административных и технических процедур на всем протяжении ЖЦ ПО для определения состояния компонентов ПО в системе, управления модификациями ПО, описания и подготовки отчетов о состоянии компонентов ПО и запросов на модификацию, обеспечения полноты, совместимости и корректности ПО, управления хранением и поставкой ПО. Согласно стандарте IEEE - 90 под конфигурацией ПО понимается совокупность ее функциональных и физических характеристик, установленных в технической документации и реализованных в ПО.

Управление конфигурацией позволяет организовать, систематически учитывать и контролировать внесение изменений в ПО на всех стадиях ЖЦ ПО. Общие принципы и рекомендации по управлению конфигурацией ПО отражены в проекте стандарта ISO/IEC 12207-2: 1995 “Information Technology - Software Life Cycle Processes. Part2. Configuration Management for Software”.

Процесс управления конфигурацией включает действия:

·           подготовительную работу (планирование управления конфигурацией);

·           идентификацию конфигурации (устанавливает правила, с помощью которых можно однозначно идентифицировать и различать компоненты ПО и их версии). Кроме того, каждому компоненту и его версиям соответствует однозначно обозначаемый комплект документации. В результате создается база для однозначного выбора и манипулирования версиями компонентов ПО, использующая ограниченную и упорядоченную систему символов, идентифицирующих различные версии ПО.

·           контроль конфигурации (предназначен для систематической оценки предполагаемых модификаций ПО и координированной их реализации с учетом эффективности каждой модификации и затрат на ее выполнение). Он обеспечивает адекватность реально изменяющихся компонентов и их комплектной документации;

·           учет состояния конфигурации (представляет собой регистрацию состояния компонентов ПО, подготовку отчетов обо всех реализованных и отвергнутых модификациях версий компонентов ПО). Совокупность отчетов обеспечивает однозначное отражение текущего состояния системы и ее компонентов, а также ведение истории модификаций;

·           оценку конфигурации (заключается в оценке функциональной полноты компонентов ПО, а также соответствия их физического состояния текущему техническому описанию);

·           управление выпуском и поставку (охватывают изготовление эталонных копий программ и документации, их хранение и поставку пользователям в соответствии с порядком, принятым в организации).

Процесс обеспечения качества обеспечивает соответствующие гарантии того, что ПО и процессы его ЖЦ соответствуют заданным требованиям и утвержденным планам. Под качеством ПО понимается совокупность свойств, которые характеризуют способность ПО удовлетворять заданным требованиям.

Для получения достоверных оценок создаваемого ПО процесс обеспечения его качества должен происходить независимо от субъектов, непосредственно связанных с разработкой ПО. При этом могут использоваться результаты других вспомогательных процессов, таких, как верификация, аттестация, совместная оценка, аудит и разрешение проблем.

Процесс обеспечения качества включает действия:

·        подготовительная работу (заключается в координации с другими вспомогательными процессами и планировании самого процесса обеспечения качества с учетом используемых стандартов, методов, процедур и средств);

·        обеспечение качества продукта подразумевает гарантирование полного соответствия программных продуктов и их документации требованиям заказчика, предусмотренным в договоре;

·        обеспечение качества процесса предполагает гарантирование соответствия процессов ЖЦ ПО, методов разработки, среды разработки и квалификации персонала условиям договора, установленным стандартам и процедурам;

·        обеспечение прочих показателей качества системы осуществляется в соответствии с условиями договора и стандартом ISO 9001.

Процесс верифиации состоит в определении того, что программные продукты, являющиеся результатами некоторого действия, полностью удовлетворяют требованиям или условиям, обусловленным предшествующими действиями (верификация в узком смысле означает формальное доказательство правильности ПО).

Верификация может проводится с различными степенями независимости. Степень независимости может варьироваться от выполнения верификации самим исполнителем или другим специалистом данной организации до ее выполнения специалистом другой организации с различными вариациями. Если процесс верификации осуществляется организацией, не зависящей от поставщика, разработчика, оператора или службы сопровождения, то он называется процессом независимой верификации.

Процесс верификации включает следующие действия:

·        подготовительную работу;

·        верификацию;

В процесс верификации проверяются следующие условия:

-        непротиворечивость требований к системе и степень учета потребностей пользователей;

-        возможности поставщика выполнять заданные требования;

-        соответствие выбранных процессов ЖЦ ПО условиям договора;

-        адекватность стандартов, процедур и среды разработки процесса ЖЦ ПО;

-        соответствие проектных спецификаций ПО заданным требованиям;

-        корректность описания в проектных спецификациях входных и выходных данных, последовательности событий, интерфейсов, логики;

-        соответствие кода проектным спецификациям и требованиям;

-        тестируемость и корректность кода, его соответствие принятым стандартам кодирования;

-        корректность интеграции компонентов ПО в систему;

-        адекватность, полнота и непротиворечивость документации.

Процесс аттестации предусматривает определение полноты соответствия заданных требований и созданной системы или программного продукта их конечному функциональному назначению. Под аттестацией обычно понимается подтверждение и оценка достоверности проеденного тестирования. Аттестация должно гарантировать полное соответствие ПО спецификациям, требованиям и документации, а также возможность его безопасного и надежного применения пользователем. Аттестацию рекомендуется выполнять путем тестирования во всех возможных ситуациях и использовать при этом независимых специалистов. Аттестация может проводиться на начальных стадиях ЖЦ ПО или как часть работы по приемке ПО.

Аттестация, так же как и верификация, может осуществляться с различными степенями независимости. Если процесс аттестации выполняется организацией, не зависящей от поставщика, разработчика, оператора или службы сопровождения, то он называется процессом независимой аттестации.

Процесс совместной оценки предназначен для оценки состояния работ по проекту и ПО. Он сосредоточен в основном на контроле планирования и управления ресурсами, персоналом, аппаратурой и инструментальными средствами проекта.

Оценка применяется как на уровне управления проектом, так и на уровне технической реализации проекта и проводится в течение всего срока договора. Данный процесс может выполняться двумя любыми сторонами, участвующими в договоре, при этом одна сторона проверяет другую.

Процесс совместной оценки включает действия:

·        подготовительную работу;

·        оценку управления проектом;

·        техническую оценку.

Процесс аудита представляет собой определение соответствия требованиям, планам и условиям договора. Аудит может выполняться двумя любыми сторонами, участвующими в договоре, когда одна сторона проверяет другую.

Аудит – это ревизия (проверка), проводимая компетентным органом (лицом) в целях обеспечения независимой оценки степени соответствия ПО или процессов установленным требованиям. Аудит служит для установления соответствия реальных работ и отчетов требованиям, планам и контракту. Аудиторы не должны иметь прямой зависимости от разработчиков ПО. Они определяют состояние работ, использование ресурсов, соответствие документации требованиям и стандартам, корректность тестирования.

Процесс разрешения проблем предусматривает анализ и решение проблем (включая обнаруженные несоответствия) независимо от их происхождения или источника, которые обнаружены в ходе разработки, эксплуатации, сопровождения или других процессов. Каждая обнаруженная проблема должна быть идентифицирована, описана, проанализирована и разрешена.

 

Организационные процессы ЖЦ ПО

Процесс управления состоит из действий и задач, которые могут выполняться любой стороной, управляющей своими ресурсами. Данная сторона (менеджер) отвечает за управление выпуском продукта, управление проектом и управление задачами соответствующих процессов, таких, как приобретение, поставка, разработка, эксплуатация, сопровождение и т.д.

Процесс управления включает следующие действия:

·        инициирование о определение области управления. Менеджер должен убедиться, что необходимые для управления ресурсы (персонал, оборудование и технология) имеются в его распоряжении в достаточном количестве;

·        планирование подразумевает выполнение, как минимум, следующих задач:

-        составление графиков выполнения работ;

-        оценку затрат;

-        выделение требуемых ресурсов;

-        распределение ответственности;

-        оценку рисков, связанных с конкретными задачами;

-        создание инфраструктуры управления.

Процесс создания инфраструктуры охватывает выбор и поддержку (сопровождение технологии), стандартов и инструментальных средств, выбор и установку аппаратных и программных средств, используемых для разработки, эксплуатации или сопровождения ПО. Инфраструктура должна модифицироваться и сопровождаться в соответствии с изменениями требований к соответствующим процессам. Инфраструктура, в свою очередь, является одним из объектов управления конфигурацией.

Процесс усовершенствования предусматривает оценку, измерение, контроль и усовершенствование процессов ЖЦ ПО.

Процесс обучения охватывает первоначальное обучение и последующее постоянное повышение квалификации персонала.

Связь между процессами ЖЦ ПО

Процессы ЖЦ ПО, регламентированные стандартом ISO/IEC 12207, могут использоваться различными организациями в конкретных проектах самым различным образом. Тем не менее, стандарт предлагает некоторый базовый набор взаимосвязей между процессами с различных точек зрения (рис.1). Такими аспектами являются:

·          договорный аспект;

·          аспект управления;

·          аспект эксплуатации;

·          инженерный аспект;

·          аспект поддержки.

В договорном аспекте заказчик и поставщик вступают в договорные отношения и реализуют соответственно процессы приобретения и поставки. В аспекте управления заказчик, поставщик, разработчик, оператор, служба сопровождения и другие участвующие в ЖЦ ПО стороны управляют выполнением своих процессов. В аспекте эксплуатации оператор, эксплуатирующий систему, предоставляет необходимые услуги пользователям. В инженерном аспекте разработчик или служба сопровождения решают соответствующие технические задачи, разрабатывая или модифицируя программные продукты. В аспекте поддержки службы, реализующие вспомогательные процессы, предоставляют необходимые услуги всем остальным участникам работ.

Взаимосвязи между процессами, описанные в стандарте, носят статистический характер. Более важные динамические связи между процессами и реализующими их сторонами устанавливаются в реальных проектах.

  Лекция 11. Модели и стадии ЖЦ ПО

Понятие модели ЖЦ ПО (каскадная, спиральная). Стадии: формирование требований к ПО; проектирование; реализация; тестирование; ввод в действие; эксплуатация и сопровождение; снятие с эксплуатации. Подход RAD. Модели качества процессов проектирования.

Под моделью ЖЦ ПО понимается структура, определяющая последовательность выполнения и взаимосвязи процессов, действий, задач на протяжении ЖЦ. Модель ЖЦ зависит от специфики, масштаба и сложности проекта и специфики условий, в которых система создается и функционирует.

Международный стандарт ISO/IEC 12207: 1995 не предлагает конкретную модель ЖЦ и методы разработки ПО. Его положения являются общими для любых моделей ЖЦ, методов и технологий разработки ПО. Стандарт описывает структуру процессов ЖЦ ПО, но не конкретизирует в деталях, как реализовать и выполнить действия и задачи, включенные в эти процессы.

Модель ЖЦ любого конкретного ПО ЭИС определяет характер процесса его создания, который представляет собой совокупность упорядоченных во времени, взаимосвязанных и объединенных в стадии работ, выполнение которых необходимо и достаточно для создания ПО, соответствующего заданным требованиям.

Под стадией создания ПО понимается часть процесса создания ПО, ограниченная некоторыми временными рамками, и заканчивающаяся выпуском какого-то конкретного продукта (моделей ПО, программных компонентов, документации), определяемого заданными для этой стадии требованиями. Стадии создания ПО выделяются по соображениям рационального планирования и организации работ, заканчивающихся заданными результатами. В состав ЖЦ ПО обычно включают следующие стации:

1.         Формирование требований к ПО.

2.         Проектирование.

3.         Реализация.

4.         Тестирование.

5.         Ввод в действие.

6.         Эксплуатация и сопровождение.

7.         Снятие с эксплуатации.

Формирование требований к ПО является одной из важнейших, поскольку определяет успех всего проекта. Данная стадия включает этапы:

Планирование работ, предваряющее работы над проектом. Основными задачами являются:

·          определение целей разработки;

·          предварительная экономическая оценка проекта;

·          построение плана – графика выполнения работ;

·          создание и обучение совместной рабочей группы.

Проведение обследования деятельности автоматизируемого объекта (организации), в рамках которого осуществляются:

·          предварительное выявление требований к будущей системе;

·          определение структуры организации;

·          определение перечня целевых функций организации;

·          анализ распределения функций по подразделениям и сотрудникам;

·          выявление функциональных взаимодействий между подразделениями, информационных потоков внутри подразделений и между ними, внешних по отношению к организации объектов и внешних информационных взаимодействий;

·          анализ существующих средств автоматизации деятельности организации.

Построение моделей деятельности организаций, предусматривающее обработку материалов обследования и построение двух видов моделей:

·          модели “AS-IS” («как есть»), отражающей существующее на момент обследования положение дел в организации и позволяющее понять, каким образом функционирует данная организация, а также выявить узкие места и сформулировать предложения по улучшению ситуации;

·          модели “TO-BE” («как должно быть»), отражающей представление о новых технологиях работы организации.

Каждая из моделей включает в себя полную функциональную и информационную модель деятельности организации, а также, в случае необходимости, модель, описывающую динамику поведения организации.

Переход от модели “AS-IS” к модели “TO-BE” может выполняться двумя способами:

·          совершенствованием существующих технологий на основе оценки их эффективности;

·          радикальным изменением технологий и перепроектированием бизнес-процессов (реинжиниринг бизнес-процессов).

Построенные модели имеют самостоятельное практическое значение. Например, модель “AS-IS” позволяет выявить узкие места в существующих технологиях и предлагать рекомендации по решению проблем независимо от того, предполагается на данном этапе дальнейшая разработка ЭИС или нет. Кроме того, модель облегчает обучение сотрудников конкретным направлениям деятельности организации за счет использования наглядных диаграмм (известно, что «одна картинка стоит тысячи слов»).

Стадия проектирования включает этапы:

Разработка системного проекта. На этом этапе дается ответ на вопрос: «Что должна делать будущая система?», а именно: определяются архитектура системы, ее функции, внешние условия функционирования, интерфейсы и распределение функций между пользователями и системой, требования к программным и информационным компонентам, состав исполнителей и сроки разработки. Основу системного проекта составляют модели проектируемой ЭИС, которые строятся на основе модели “TO-BE” . Документальным результатом является техническое задание.

Разработка технического проекта. На этом этапе на основе системного проекта осуществляется собственно проектирование системы, включающее проектирование архитектуры системы и детальное проектирование. Таким образом, дается ответ на вопрос: «Как построить систему, чтобы она удовлетворяла предъявленным к ней требованиям?». Модели проектируемой ЭИС при этом уточняются и детализируются до необходимого уровня.

К настоящему времени наибольшее распространение получили следующие две модели ЖЦ ПО: каскадная (1970-1985) и спиральная (1986-1990).

Принципиальной особенностью каскадного подхода (рис.1) является: переход на следующую стадию осуществляется только после того, как будет полностью завершена работа на текущей стадии, и возвратов на пройденные стадии не предусматривается. Каждая стадия заканчивается получением некоторых результатов, которые служат в качестве исходных данных для следующей стадии.

Рис.1. Каскадная модель

Каждая стадия завершается выпуском комплекта документации, достаточной для того, чтобы разработка могла быть продолжена другой командой разработчиков. Критерием качества разработки при таком подходе является точность выполнения спецификаций технического задания.

Преимущества применения каскадного способа:

·          на каждой стадии формируется законченный набор проектной документации, отвечающий требованиям полноты и согласованности;

·          выполняемые в логической последовательности стадии работ позволяют планировать сроки завершения всех работ и соответствующие затраты.

Каскадный подход хорошо зарекомендовал себя при построении ЭИС, для которых в самом начале разработки можно достаточно точно и полно сформулировать все требования, с тем, чтобы предоставить разработчикам свободу реализовать их технически как можно лучше.

В то же время этот подход обладает рядом недостатков, вызванных, прежде всего тем, что реальный процесс создания программного обеспечения никогда полностью не укладывается в такую жесткую схему. Процесс создания ПО носит, как правило, итерационный характер: результаты очередной стадии часто вызывают изменения в проектных решениях, выработанных на предыдущих стадиях. Таким образом, постоянно возникает потребность в возврате к предыдущим стадиям и уточнении или пересмотре ранее принятых решений. В результате реальный процесс создания ПО принимает иной вид (рис.2).

Рис. 2. Итерационный процесс создания программного обеспечения

Изображенную схему можно отнести к отдельной модели – модели с промежуточным контролем, в которой межстадийные корректировки обеспечивают большую надежность по сравнению с каскадной моделью, хотя увеличивают весь период разработки.

Основным недостатком каскадной модели является существенное запаздывание с получением результатов и, как следствие, высокий риск создания системы, не удовлетворяющей и изменившимся потребностям пользователей. Это объяснятся двумя причинами:

·          пользователи не в состоянии сразу изложить все свои требования и не могут предвидеть, как они изменятся в ходе разработки;

·          за время разработки могут произойти изменения во внешней среде, которые повлияют на требования к системе.

В рамках каскадного подхода требования к ЭИС фиксируются в виде технического задания на все время ее создания, а согласование получаемых результатов с пользователями производится только в точках, планируемых после завершения каждой стадии (при этом возможна корректировка результатов по замечаниям пользователей, если они не затрагивают требования, изложенные в техническом задании). Таким образом, пользователи могут внести существенные замечания только после того, как работа над системой будет полностью завершена. Пользователи могут получить систему, не удовлетворяющую их потребностям. В результате приходится начинать новый проект, который может постигнуть та же участь.

Для преодоления перечисленных проблем в середине 80-х годов была предложена спиральная модель ЖЦ (рис.3). Ее принципиальной особенностью является следующее: прикладное ПО создается не сразу, как в случае каскадного подхода, а по частям с использованием метода прототипирования. Под прототипом понимается действующий программный компонент, реализующий отдельные функции и внешние интерфейсы разрабатываемого ПО. Создание прототипов осуществляется в несколько итераций, или витков спирали. Каждая итерация соответствует созданию фрагмента или версии ПО, на ней уточняются цели и характеристики проекта, оценивается качество полученных результатов и планируются работы следующей итерации. На каждой итерации производится тщательная оценка риска превышения сроков и стоимости проекта, чтобы определить необходимость выполнения еще одной итерации, степень полноты и точности понимания требований к системе, а также целесообразность прекращения проекта. Спиральная модель избавляет пользователей и разработчиков от необходимости точного и полного формулирования требований к системе на начальной стадии, поскольку они уточняются на каждой итерации. Таким образом, углубляются и последовательно конкретизируются детали проекта, и в результате выбирается обоснованный вариант, который доводится до реализации.

Спиральная модель - классический пример применения эволюционной стратегии конструирования. Спиральная модель (автор Барри Боэм, 1988) базируется на лучших свойствах классического жизненного цикла и макетирования, к которым добавляется новый элемент — анализ риска, отсутствующий ранее.

Как показано на рис. 3, модель определяет четыре действия, представляемые четырьмя квадрантами спирали:

1.         Планирование — определение целей, вариантов и ограничений.

2.         Анализ риска — анализ вариантов и распознавание/выбор риска.

3.         Конструирование — разработка продукта следующего уровня.

4.         Оценивание — оценка заказчиком текущих результатов конструирования.

Интегрирующий аспект спиральной модели очевиден при учете радиального измерения спирали. С каждой итерацией по спирали (продвижением от центра к периферии) строятся все более полные версии ПО.

Планирование Анализ риска

Рис. 3. Спиральная модель: 1 - начальный сбор требований и планирование проекта; 2 - та же работа, но на основе рекомендаций заказчика; 3 - анализ риска на основе начальных требований; 4 - анализ риска на основе реакции заказчика; 5 - переход к комплексной системе; б - начальный макет системы; 7 - следующий уровень макета; 8 - сконструированная система; 9 - оценивание заказчиком.

В первом витке спирали определяются начальные цели, варианты и ограничения, распознается и анализируется риск. Если анализ риска показывает неопределенность требований, на помощь разработчику и заказчику приходит макетирование (используемое в квадранте конструирования). Для дальнейшего определения проблемных и уточненных требований может быть использовано моделирование. Заказчик оценивает инженерную (конструкторскую) работу и вносит предложения по модификации (квадрант оценки заказчиком). Следующая фаза планирования и анализа риска базируется на предложениях заказчика. В каждом цикле по спирали результаты анализа риска формируются виде «продолжать, не продолжать». Если риск слишком велик, проект может быть остановлен.

В большинстве случаев движение по спирали продолжается, с каждым шагом продвигая разработчиков к более общей модели системы. В каждом цикле по спирали требуется конструирование (нижний правый квадрант), которое может быть реализовано классическим жизненным циклом или макетированием. Заметим, что количество действий по разработке (происходящих в правом нижнем квадранте) возрастает по мере продвижения от центра спирали.

При итеративном способе недостающую часть работы можно выполнять на следующей итерации. Главная же задача - как можно быстрее показать пользователям системы работоспособный продукт, тем самым активизируя процесс уточнения и дополнения требований.

Спиральная модель не исключает каскадного подхода на завершающих стадиях проекта в тех случаях, когда требования к системе оказываются полностью определенными.

Основная проблема спирального цикла - определение момента перехода на следующую стадию. Для ее решения необходимо ввести временные ограничения на каждую из стадий ЖЦ. Переход осуществляется в соответствии с планом, даже если не вся запланированная работа закончена. План составляется на основе статистических данных, полученных на предыдущих проектах, и личного опыта разработчиков.

Достоинства спиральной модели:

·          наиболее реально (в виде эволюции) отображает разработку программного обеспечения;

·          позволяет явно учитывать риск на каждом витке эволюции разработки;

·          включает шаг системного подхода в итерационную структуру разработки;

·          использует моделирование для уменьшения риска и совершенствования программного изделия.

Недостатки спиральной модели:

·           новизна (отсутствует достаточная статистика эффективности модели);

·           повышенные требования к заказчику;

·           трудности контроля и управления временем разработки.

Подход RAD

Одним из возможных подходов к разработке прикладного ПО в рамках спиральной модели ЖЦ является получивший широкое распространение способ так называемой быстрой разработки приложений, или RAD (Rapid Application Development). RAD предусматривает наличие трех составляющих:

·        небольших групп разработчиков (3-7 чел.), выполняющих работы по проектированию отдельных подсистем ПО. Это обусловлено требованием максимальной управляемости коллектива;

·        короткого, но тщательного проработанного производственного графика (до 3 месяцев);

·        повторяющегося цикла, при котором разработчики по мере того, как приложение начинает приобретать форму, запрашивают и реализуют в продукте требования, полученные в результате взаимодействия с заказчиком.

Команда разработчиков должна представлять собой группу профессионалов, имеющих опыт в проектировании, программировании и тестировании ПО, способных хорошо взаимодействовать с конечным пользователем и трансформировать их предложения в рабочие прототипы.

ЖЦ ПО в соответствии с подходом RAD включает 4 стадии:

1.         Анализ и планирование требований предусматривает действия:

·           определение функций, которые должна выполнять система;

·           выделение наиболее приоритетных функций, требующих проработки в первую очередь;

·           описание информационных потребностей. Формулирование требований к системе осуществляется в основном силами пользователей под руководством специалистов-разработчиков.

Кроме того, на данной стадии реализуются следующие задачи:

-  ограничивается масштаб времени;

-  устанавливаются временные рамки для каждой из последующих стадий. Определяется сама возможность реализации проекта в заданных рамках финансирования, на имеющихся аппаратных средствах.

Результатом стадии должны быть список расставленных по приоритету функций будущего ПО ЭИС и предварительные модели ПО.

2.         Проектирование. На этой стадии часть пользователей принимает участие в техническом проектировании системы под руководством специалистов-разработчиков. Для быстрого получения работающих прототипов приложений используются соответствующие инструментальные средства (CASE – средства). Пользователи, непосредственно взаимодействуя с разработчиками, уточняют и дополняют требования к системе, которые не были выявлены на предыдущей стадии:

·          более детально рассматриваются процессы системы;

·          при необходимости для каждого элементарного процесса создается частичный прототип: экранная форма, диалог, отчет, устраняющий неясности и неоднозначности;

·          устанавливаются требования разграничения доступа к данным;

·          определяется состав необходимой документации.

После детального определения состава процессов оценивается количество так называемых функциональных точек разрабатываемой системы и принимается решение о разделении ЭИС на подсистемы, поддающиеся реализации одной командой разработчиков за приемлемое время (до 3 месяцев). Под функциональной точкой понимается любой из следующих элементов разрабатываемой системы:

·          входной элемент приложения (входной документ или экранная форма);

·          выходной элемент приложения (отчет, документ, экранная форма)

·          запрос (пара «вопрос/ответ»);

·          логический файл (совокупность записей данных, используемых внутри приложения);

·          интерфейс приложения (совокупность записей данных, передаваемых другому приложению или получаемых от него).

Далее проект распределяется между различными командами разработчиков. (Опыт показывает, что для повышения эффективности работ необходимо разбить проект на отдельные слабо связанные по данным и функциям подсистемы. Реализация подсистем должна выполняться отдельными группами специалистов. При этом необходимо обеспечить координацию ведения общего проекта и исключить дублирование результатов работ каждой проектной группы, которое может возникнуть в силу наличия общих данных и функций).

Результатом данной стадии должно быть:

·          общая информационная модель системы;

·          функциональные модели системы в целом и подсистем, реализуемых отдельными командами разработчиков;

·          точно определенные интерфейсы между автономно разрабатываемыми подсистемами;

·          построенные прототипы экранных форм, отчетов, диалогов.

На стадии реализации выполняется непосредственно сама быстрая разработка приложения.

Разработчики производят итеративное построение реальной системы на основе полученных на предыдущей стадии моделей, а также требований нефункционального характера (требования к надежности, производительности и т.д.).

Пользователи оценивают получаемые результаты и вносят коррективы, если в процессе разработки система перестает удовлетворять определенным ранее требованиям. Тестирование системы осуществляется в процессе разработки.

После окончания работ каждой отдельной команды разработчиков производится постепенная интеграция данной части системы с остальными, формируется полный программный код, выполняется тестирование совместной работы данной части приложения, а затем тестирование системы в целом. Реализация системы завершается выполнением работ:

·           Осуществляется анализ использования данных и определяется необходимость их распределения.

·           Производится физическое проектирование базы данных

·           Формируются требования к аппаратным ресурсам.

·           Устанавливаются способы увеличения производительности.

·           Завершается разработка документации проекта.

Результатом стадии является готовая система, удовлетворяющая всем согласованным требованиям.

На стадии внедрения производится обучение пользователей, организационные изменения и параллельно с внедрением новой системы продолжается эксплуатация существующей системы (до полного внедрения новой). Так как стадия реализации достаточно продолжительна, планирование и подготовка к внедрению должны начинаться заранее, как правило, на стадии проектирования системы. Приведенная схема разработки ЭИС не является абсолютной. Возможны различные варианты, зависящие, например, от начальных условий, в которых ведется разработка:

·        разрабатывается совершенно новая система;

·           уже было проведено обследование организации и существует модель ее деятельности.

В организации уже существует некоторая ЭИС, которая может быть использована в качестве начального прототипа или должна быть интегрирована с разрабатываемой системой.

Следует отметить, что подход RAD, как и любой другой подход, не может претендовать на универсальность. Он хорош в первую очередь для относительно небольших проектов, разрабатываемых для конкретного заказчика. Если же разрабатывается крупномасштабная система (например, масштаба отрасли), которая не является законченным продуктом, а представляет собой комплекс программных компонентов, адаптируемых к программно-аппаратным платформам, системам управления базами данных (СУБД), средствам телекоммуникаций, то на первый план выступают такие показатели проекта как управляемость и качество, которые могут войти в противоречие с простотой и скоростью разработки. Для таких проектов необходимы высокий уровень планирования и жесткая дисциплина проектирования, строгое следование заранее разработанным протоколам и интерфейсам, что снижает скорость разработки.

Подход RAD не применим для построения сложных расчетных программ, операционных систем.

Не годится этот подход и для приложений, в которых отсутствует ярко выраженная интерфейсная часть, наглядно определяющая логику работы системы и приложений, от которых зависит безопасность людей (например программа управления самолетом или атомной станцией), так как итеративный подход предполагает, что первые несколько версий наверняка не будут полностью работоспособны, что в данном случае исключается.

Итак, перечислим основные принципы подхода RAD.

·          Разработка приложений итерациями.

·          Необязательность полного завершения работ на каждой стадии ЖЦ ПО.

·          Обязательность вовлечения пользователей в процесс разработки ЭИС.

·          Целесообразность применения CASE – средств, обеспечивающих целостность проекта и генерацию кода приложений.

·          Целесообразность применения средств управления конфигурацией, облегчающих внесение изменений в проект и сопровождение готовой системы.

·          Использование прототипирования, позволяющее полнее выяснить и удовлетворить потребности пользователей.

·          Тестирование и развитие проекта, осуществляемые одновременно с разработкой.

·          Ведение разработки немногочисленной хорошо управляемой командой профессионалов.

·          Грамотное руководство разработкой системы, четкое планирование и контроль выполнения работ.

Модели качества процессов конструирования

В современных условиях, условиях жесткой конкуренции, очень важно гарантировать высокое качество вашего процесса конструирования ПО. Такую гарантию дает сертификат качества процесса, подтверждающий его соответствие принятым международным стандартам. Каждый такой стандарт фиксирует свою модель обеспечения качества. Наиболее авторитетны модели стандартов ISO 9001:2000, ISO / IЕС 15504 и модель зрелости процесса конструирования ПО (Capability Maturity Model - СММ) Института программной инженерии при американском университете Карнеги-Меллон.

Модель стандарта ISO 9001:2000 ориентирована на процессы разработки из любых областей человеческой деятельности. Стандарт ISO/IЕС 15504 специализируется на процессах программной разработки и отличается более высоким уровнем детализации. Достаточно сказать, что объем этого стандарта превышает 500 страниц. Значительная часть идей ISO/IЕС 15504 взята из модели СММ.

Базовым понятием модели СММ считается зрелость компании. Незрелой называют компанию, где процесс конструирования ПО и принимаемые решения зависят только от таланта конкретных разработчиков. Как следствие, здесь высока вероятность превышения бюджета или срыва сроков окончания проекта.

Напротив, в зрелой компании работают ясные процедуры управления проектами и построения программных продуктов. По мере необходимости эти процедуры уточняются и развиваются. Оценки длительности и затрат разработки точны, основываются на накопленном опыте. Кроме того, в компании имеются и действуют корпоративные стандарты на процессы взаимодействия с заказчиком, процессы анализа, проектирования, программирования, тестирования и внедрения программных продуктов. Все это создает среду, обеспечивающую качественную разработку программного обеспечения.

Таким образом, модель СММ фиксирует критерии для оценки зрелости компании и предлагает рецепты для улучшения существующих в ней процессов. Иными словами, в ней не только сформулированы условия, необходимые для достижения минимальной организованности процесса, но и даются рекомендации по дальнейшему совершенствованию процессов.

Очень важно отметить, что модель СММ ориентирована на построение системы постоянного улучшения процессов. В ней зафиксированы пять уровней зрелости (рис.5) и предусмотрен плавный, поэтапный подход к совершенствованию процессов - можно поэтапно получать подтверждения об улучшении процессов после каждого уровня зрелости.

Рис. 4. Пять уровней зрелости модели СММ

Начальный уровень (уровень 1) означает, что процесс в компании не формализован. Он не может строго планироваться и отслеживаться, его успех носит случайный характер. Результат работы целиком и полностью зависит от личных качеств отдельных сотрудников. При увольнении таких сотрудников проект останавливается.

Для перехода на повторяемый уровень (уровень 2) необходимо внедрить формальные процедуры для выполнения основных элементов процесса конструирования. Результаты выполнения процесса соответствуют заданным требованиям и стандартам. Основное отличие от уровня 1 состоит в том, что выполнение процесса планируется и контролируется. Применяемые средства планирования и управления дают возможность повторения ранее достигнутых успехов.

Следующий, определенный уровень (уровень 3) требует, чтобы все элементы процесса были определены, стандартизованы и документированы. Основное отличие от уровня 2 заключается в том, что элементы процесса уровня 3 планируются и управляются на основе единого стандарта компании. Качество разрабатываемого ПО уже не зависит от способностей отдельных личностей.

С переходом на управляемый уровень (уровень 4) в компании принимаются количественные показатели качества как программных продуктов, так и процесса. Это обеспечивает более точное планирование проекта и контроль качества его результатов. Основное отличие от уровня 3 состоит в более объективной, количественной оценке продукта и процесса.

Высший, оптимизирующий уровень (уровень 5) подразумевает, что главной задачей компании становится постоянное улучшение и повышение эффективности существующих процессов, ввод новых технологий. Основное отличие от уровня 4 заключается в том, что технология создания и сопровождения программных продуктов планомерно и последовательно совершенствуется.

Каждый уровень СММ характеризуется областью ключевых процессов (ОКП), причем считается, что каждый последующий уровень включает в себя все характеристики предыдущих уровней. Иначе говоря, для 3-го уровня зрелости рассматриваются ОКП 3-го уровня, ОКП 2-го уровня и ОКП 1-го уровня. Область ключевых процессов образуют процессы, которые при совместном выполнении приводят к достижению определенного набора целей. Например, ОКП 5-го уровня образуют процессы:

·           предотвращения дефектов;

·           управления изменениями технологии;

·           управления изменениями процесса.

Если все цели ОКП достигнуты, компании присваивается сертификат данного уровня зрелости. Если хотя бы одна цель не достигнута, то компания не может соответствовать данному уровню СММ.

Лекция 12. Понятие метода и технологии проектирования ПО

Определение метода и технологии. Требования к технологии. Стандарт проектирования. Стандарт оформления проектной документации. Стандарт интерфейса конечного пользователя с системой.

Определение метода и технологии

Метод проектирования ПО представляет собой организованную совокупность процессов создания ряда моделей, которые описывают различные аспекты разрабатываемой системы с использованием четко определенной нотации. На более формальном уровне метод определяется как совокупность составляющих:

·           Концепций и теоретических основ. В качестве таких основ могут выступать структурный или объектно-ориентированный подход.

·           Нотаций, используемых для построения моделей статической структуры и динамики поведения проектируемой системы. В качестве таких нотаций обычно используются графические диаграммы, поскольку они наиболее наглядны и просты в восприятии (диаграммы потоков данных, и диаграммы «сущность – связь» для структурного подхода, диаграммы вариантов использования, диаграммы классов и др. – для объектно-ориентированного подхода.

·           Процедур, определяющих практическое применение метода (последовательность и правила построения моделей, критерии, используемые для оценки результатов).

Методы реализуются через конкретные технологии и поддерживающие их методики, стандарты и инструментальные средства, которые обеспечивают выполнение процессов ЖЦ ПО.

Технология проектирования определяется как совокупность технологических операций проектирования в их последовательности и взаимосвязи, приводящая к разработке проекта ПО.

Требования к технологии

Современная технология проектирования должна обеспечивать:

1.         Соответствие стандарту ISO/IEC 12207: 1995 (поддержка всех процессов ЖЦ ПО).

2.         Гарантированное достижение целей разработки ЭИС в рамках установленного бюджета, с заданным качеством и в установленное время.

3.         Возможность декомпозиции проекта на составные части, разрабатываемые группами исполнителей ограниченной численности (3-7 чел.), с последующей интеграцией составных частей.

4.         Минимальное время получения работоспособного ПО ЭИС. Речь идет не о сроках готовности всей ЭИС, а о сроках реализации отдельных подсистем. Практика показывает, что даже при наличии полностью завершенного проекта внедрение ЭИС идет последовательно по отдельным подсистемам.

5.         Независимость получаемых проектных решений от средств реализации ЭИС (СУБД, ОС, языков и систем программирования).

6.         Поддержка комплексом согласованных CASE – средств, обеспечивающих автоматизацию процессов, выполняемых на всех стадиях ЖЦ ПО.

Реальное применение любой технологии проектирования ПО ЭИС в конкретной организации и конкретном проекте невозможно без выработки ряда стандартов (правил, соглашений), которые должны соблюдаться всеми участниками проекта. К таким стандартам относятся:

1.         Стандарт проектирования.

2.         Стандарт оформления проектной документации.

3.         Стандарт интерфейса конечного пользователя с системой.

Стандарт проектирования должен устанавливать:

·           Набор необходимых моделей (диаграмм) на каждой стадии проектирования и степень их детализации.

·           Правила фиксации проектных решений на диаграммах, в том числе правила именования объектов (включая соглашения по терминологии), набор атрибутов для всех объектов и правила их заполнения на каждой стадии, правила оформления диаграмм (включая требования к форме и размерам объектов) и т.д.

·           Требования к конфигурации рабочих мест разработчиков, включая настройки ОС, настройки CASE – средств и т.д.

·           Механизм обеспечения совместной работы над проектом, в том числе правила интеграции подсистем проекта, правила поддержания проекта в одинаковом для всех разработчиков состоянии (регламент обмена проектной информацией, механизм фиксации общих объектов и т.д.), правила анализа проектных решений на непротиворечивость и т.д.

Стандарт оформления проектной документации. Он должен устанавливать:

·          комплектность, состав и структуру документации на каждой стадии проектирования (в соответствии со стандартом ГОСТ Р ИСО 9127 – 94 «Системы обработки информации. Документация пользователя и информация на упаковке потребительских программных пакетов»);

·          требования к оформлению документации (включая требования к содержанию разделов, подразделов, пунктов, таблиц и т.д.);

·          правила подготовки, рассмотрения, согласования и утверждения документации с указанием предельных сроков на каждой стадии;

·          требования к настройке издательской системы, используемой в качестве встроенного средства подготовки документации;

·          требования к настройке CASE – средств для обеспечения подготовки документации в соответствии с установленными правилами.

Стандарт интерфейса конечного пользователя с системой. Он должен регламентировать:

·          Правила оформления экранов (шрифты и цветовая палитра), состав и расположение окон и элементов управления.

·          Правила использования клавиатуры и мыши.

·          Правила оформления текстов помощи.

·          Перечень стандартных сообщений.

·          Правила обработки реакций пользователя.

Стандарт пользовательского интерфейса для диалоговых информационных технологий фирмы IBM с некоторыми пояснениями приведен в приложении 1 данной работы.

  Лекция 13. Сущность структурного подхода. Методы документирования ПО

Сущность структурного подхода. Принципы, на которых базируется структурный подход. Метод SADT. Метод DFD

Проблема сложности является главной проблемой, которую приходится решать при создании больших систем любой природы, в том числе и ЭИС. Ни один разработчик не в состоянии выйти за пределы человеческих возможностей и понять все систему в целом. Единственно эффективный подход к решению этой проблемы заключается в построении сложной системы из небольшого количества крупных частей, каждая из которых, в свою очередь, строится из частей меньшего размера и т.д., до тех пор, пока самые небольшие части можно будет строить из имеющегося материала. Этот подход известен под самыми разными названиями, среди них такие, как «разделяй и властвуй», иерархическая декомпозиция и др. по отношению к проектированию сложной программной системы это означает, что ее необходимо разделять (декомпозировать) на небольшие подсистемы, каждую из которых можно разрабатывать независимо от других. Это позволяет при разработке подсистемы любого уровня держать в уме информацию только о ней, а не обо всех остальных частях системы. Правильная декомпозиция является главным способом преодоления сложности разработки больших систем. Понятие «правильная» по отношению к декомпозиции означает следующее:

1.         Количество связей между отдельными подсистемами должно быть минимальным.

2.         Связность отдельных частей внутри каждой подсистемы должна быть максимальной.

Структура системы должна быть таковой, чтобы все взаимодействия между ее подсистемами укладывались в ограниченные, стандартные рамки:

1.         Каждая подсистема должна инкапсулировать свою содержимое (скрывать его от других подсистем).

2.         Каждая подсистема должна иметь четко определенный интерфейс с другими подсистемами.

На сегодняшний день в программной инженерии существуют два основных подхода к разработке ПО ЭИС, принципиальное различие которых обусловлено разными способами декомпозиции систем. Первый подход называется функционально-модульным или структурным. В его основу положен принцип функциональной декомпозиции, при которой структура системы описывается в терминах иерархии ее функций и передачи информации между отдельными функциональными элементами. Второй, объектно-ориентированный подход использует объектную декомпозицию. При этом структура системы описывается в терминах объектов и связей между ними, а поведение системы описывается в терминах обмена сообщениями между объектами.

Итак, сущность структурного подхода к разработке ПО ЭИС заключается в ее декомпозиции (разбиении) на автоматизируемые функции: система разбивается на функциональные подсистемы, которые, в свою очередь, делятся на подфункции, те - на задачи и так далее до конкретных процедур. При этом система сохраняет целостное представление, в котором все составляющие компоненты взаимоувязаны. При разработке системы «снизу-вверх», от отдельных задач ко всей системе, целостность теряется, возникают проблемы при описании информационного взаимодействия отдельных компонентов.

Все наиболее распространенные методы структурного подхода базируются на ряде общих принципов:

1.         Принцип «разделяй и властвуй»;

2.         Принцип иерархического упорядочения - принцип организации составных частей системы в иерархические древовидные структуры с добавлением новых деталей на каждом уровне.

Выделение двух базовых принципов не означает, что остальные принципы являются второстепенными, т.к. игнорирование любого из них может привести к непредсказуемым последствиям (в том числе и к провалу всего проекта»). Основными из этих принципов являются:

1.         Принцип абстрагирования - выделение существенных аспектов системы и отвлечение от несущественных.

2.         Принцип непротиворечивости обоснованность и согласованность элементов системы.

3.         Принцип структурирования данных - данные должны быть структурированы и иерархически организованы.

В структурном подходе в основном две группы средств, описывающих функциональную структуру системы и отношения между данными. Каждой группе средств соответствуют определенные виды моделей (диаграмм), наиболее распространенными среди них являются:

DFD (Data Flow Diagrams) - диаграммы потоков данных;

SADT (Structured Analysis and Design Technique - метод структурного анализа и проектирования) - модели и соответствующие функциональные диаграммы;

ERD (Entity - Relationship Diagrams) - диаграммы «сущность-связь».

Практически во всех методах структурного подхода (структурного анализа) на стадии формирования требований к ПО используются две группы средств моделирования: