Аннотация¶
Обновленные стандарты¶
Раньше разработчики документации на автоматизированные системы использовали ГОСТы 34-й серии для создания и защиты таких систем. Однако с 2022 года старые стандарты были обновлены в рамках новой серии национальных и межгосударственных стандартов на автоматизированные системы (далее — ГОСТ на автоматизированные системы).
С начала 2022 года начали действовать обновлённые стандарты, указанные в таблице 1.
№ |
Ранее действовавший стандарт |
Новый стандарт |
Ссылка на документ |
Статус (основание) |
|---|---|---|---|---|
1 |
ГОСТ 34.601–90 «Автоматизированные системы. Стадии создания» Действие прекращено с 01.12.2023 |
ГОСТ Р 59793–2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» |
Действует с 30.04.2022 (приказ Росстандарта от 25.10.2021 №1285-ст) |
|
2 |
ГОСТ 34.602–89 «Техническое задание на создание автоматизированной системы». Действие прекращено с 01.01.2022 |
ГОСТ 34.602–2020 «Техническое задание на создание автоматизированной системы» |
Действует с 01.01.2022 (приказ Росстандарта от 19.11.2021 (1522-ст) |
|
3 |
ГОСТ 34.603–92 «Виды испытаний автоматизированных систем». Действие прекращено с 30.04.2022 |
ГОСТ Р 59792–2021 «Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированны х систем» |
Действует с 30.04.2022 (приказ Росстандарта от 25.10.2021 (1284-ст) |
|
4 |
ГОСТ 34.201–89 «Виды,комплектность и обозначение документов при создании автоматизированных систем». Действие прекращено с 01.01.2022 |
ГОСТ 34.201–2020 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Виды комплектность и обозначение документов» |
Действует с 01.01.2022 (приказ Росстандарта от 19.11.2021 (1521-ст) |
|
5 |
РД 50–34.698–90 «Автоматизированные системы. Требования к содержанию документов». Действие прекращено с 12.02.2019 |
ГОСТ Р 59795–2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов» |
Действует с 30.04.2022 (приказ Росстандарта от 25.10.2021 (1297-ст) |
|
6 |
ГОСТ 34.003–90 «Автоматизированные системы. Термины и определения». Действие прекращено с 12.02.2019 |
ГОСТ Р 59853–2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» |
Действует с 01.01.2022 (приказ Росстандарта от 19.11.2021 (1520-ст) |
|
7 |
ГОСТ 7.32–2017 «Система стандартов по информации, библиотечному и издательскому делу. Отчет о научно - исследовательской работе. Структура и правила оформления» |
Действует ранее принятый стандарт |
Действует с 01.07.2018 |
|
8 |
ГОСТ Р 51583–2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» |
Действует ранее принятый стандарт |
Действует с 01.07.2018 |
Комплекс стандартов на автоматизированные системы включает в себя глоссарий, примеры оформления, описание технологического процесса, структурированную разработку этапов и легко узнаваемые разработчиками разделы технической документации.
Своды знаний, представленные в ГОСТах, опираются на результаты научных исследований, международные стандарты и практический опыт. Стандарты разработки технической документации будут полезны для любой организации, желающей проверить, учтены ли все аспекты перед внедрением системы. Использование ГОСТов снижает риск ошибок проектирования и позволяет чётко сформулировать требования для разработчиков.
Основное внимание будет уделено документам регламентирующим порядок выполнения, состав и содержание документации технического проекта:
ГОСТ Р 59793–2021 определяет стадии и этапы создание автоматизированной системы;
ГОСТ 34.201–2020 определяющий состав документов технического проекта;
ГОСТ Р 59795–2021 определяющий содержание каждого разрабатываемого документа технорабочей документации.
Устаревшие стандарты не учитывали современные тенденции развития технологий и не обновлялись на протяжении 30 лет. Однако сейчас требования были актуализированы, а формулировки стали более чёткими. В то же время общий подход к разработке технической документации на автоматизированные системы остался неизменным. Новые стандарты исключают неактуальные для современных автоматизированных систем документы, устанавливают требования к видам, названиям, составу и обозначениям документов. Таким образом, новые требования к названию и содержанию документов ГОСТ на автоматизированные системы перешли из категории методических рекомендаций в категорию обязательных правил.
Состав работ по созданию систем¶
Основной стандарт, определяющий порядок действий при создании автоматизированных систем, — ГОСТ Р 59793–2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (заменивший ГОСТ 34.601–90). Этот стандарт включает восемь этапов разработки автоматизированных систем, однако на практике проекты часто объединяют стадии и выполняют работу в рамках нескольких этапов, указанных в таблице 2.
Стадия по ГОСТ Р |
Стадия (этап работ) на практике 59793–2021 |
Содержание работ |
|---|---|---|
1. Формирование требований к АС |
1) Формирование требований к АС |
Обследование объекта и обоснование необходимости создания АСУТП включая: сбор данных и оценка качества функционирования объекта автоматизации, оценка технико-экономической целесообразности создания АСУТП |
2. Разработка концепции АС |
2) Разработка концепции АС |
Привлеченный исполнитель обследует инфраструктуру Заказчика и нормативную документацию, определяет угрозы безопасности информации, разрабатывается концепция АСУТП и Модель угроз |
3. Техническое задание |
|
Выполняется разработка и утверждение Технического задания на создание системы |
4. Эскизный проект 5. Технический проект 6. Рабочая документация |
4) Технорабочее проектирование |
Выполняется разработка и утверждение комплекта документации технического проекта, рабочего проекта на систему и комплекта организационно-распорядительной документации |
7. Ввод в действие |
|
Выполняются пуско-наладочные работы, подготовка персонала, проводятся испытания системы и, при необходимости, аттестация системы по требованиям безопасности информации |
8. Сопровождение АС. |
6) Эксплуатация и поддержка |
Выполняются работы в соответствии с гарантийными обязательствами послегарантийное обслуживание. Стадия работ продолжается до вывода системы из эксплуатации |
Чтобы упростить терминологию, некоторые понятия были объединены:
под «созданием системы» имеются в виду как проекты создания, так и модернизации системы;
под «системой» понимаются автоматизированные системы (с персоналом, информацией, техническими и программными средствами автоматизации) и информационные системы (без персонала), а также системы защиты информации;
под «системой защиты информации» понимается как сама система или подсистема защиты информации в соответствии с нормативными требованиями, так и системы или подсистемы информационной безопасности (термин «информационная безопасность» часто подразумевает смягчение нормативных требований).
Формирование требований к АС¶
По ГОСТ Р 59795—2021 Приложении А. На стадии «Формирование требований к АС» разрабатывают отчёт по ГОСТ 7.32 для выявления основных функциональных и пользовательских требований к автоматизированной системе. В отчёте содержится информация об объекте, целях исследования, методологии проведения исследовательских работ, основных конструктивных, технологических и технико-эксплуатационных характеристиках, требованиях пользователя к АС, степени интеграции с существующими системами, области применения АС, обосновании экономической эффективности создания АС и прогнозах развития объекта исследования.
Разработка концепции АС¶
По ГОСТ Р 59795—2021 Приложении А. На стадии «Разработка концепции АС» разрабатывают отчет по ГОСТ 7.32 Отчёт об изучении объекта автоматизации, оценке альтернатив концепции АС, анализе соответствия требований пользователя и концепций АС. Выбор оптимальной концепции, ожидаемые результаты и эффективность, план реализации, ресурсы, требования к качеству и условия принятия выбранной концепции АС.
Техническое задание¶
Может возникать путаница в обозначении того, что считается Техническим заданием (Частным техническим заданием):
На этапе 1. «Определение требований к АС» готовится документ с описанием требований к системе, который в соответствии с устоявшейся практикой называется «Техническим заданием». Однако документ, созданный на этой стадии, представляет собой лишь пожелания пользователей к системе и не является полноценным техническим заданием.
На этапе 3. «Разработка технического задания» создаётся техническое задание на систему, соответствующее ГОСТ для автоматизированных систем.
На этапе 3. «Техническое задание» устанавливаются требования к системе в целом. Эти требования основаны на мерах по защите информации государственных информационных систем, значимых объектов критической информационной инфраструктуры, персональных данных и автоматизированных систем управления, утверждённых Постановлением Правительства РФ от 06.07.2015 № 676 и приказами ФСТЭК от 11.02.2013 № 17, от 25.12.2017 № 239, от 18.02.2013 № 21 и от 14.03.2014 № 31. Одновременно с определением требований устанавливаются меры защиты информации, необходимые для нейтрализации актуальных угроз, выявленных в результате моделирования угроз безопасности информации. Эти меры включаются в Техническое задание на систему и могут быть уточнены в рамках проектирования при необходимости.
Технорабочее проектирование¶
На этапе технорабочего проектирования разрабатываются два блока документации: проектные решения (технический проект) и рабочая документация.
Проектные решения (технический проект иногда называют «документацией на систему») описывают будущую систему с точки зрения архитектуры и технологий. Эскизный проект — это упрощённая версия технического проекта.
Рабочая документация включает в себя параметры для успешного развёртывания и запуска системы, инструкции по её дальнейшему использованию, а также набор организационно-распорядительных документов.
Используются разные подходы к проектированию: от предоставления стандартных документов, созданных на основе шаблонов, до детальной настройки и учёта всех операций в системе. При этом учитываются особенности площадок развёртывания, характеристики оборудования, сетевые настройки и порты подключения. Подход к проектированию определяет состав документации, который описан в разделе «Состав документации».
Практика применения¶
Обязательность применения требований ГОСТ (ГОСТ становится обязательным) если:
Это предусмотрено Федеральным законом (в случае защиты государственной тайны или в отношении оборонной продукции (статья 6), что не относится к общему случаю применения ГОСТ для автоматизированных систем.
Изготовитель или исполнитель берёт на себя обязательства по выполнению требований (например, указанных в техническом задании) о применении национального или межгосударственного стандарта (статья 26 указанного выше Федерального закона № 162).
Существуют определённые ситуации, когда необходимо соблюдать требования ГОСТ к автоматизированным системам. Например, при создании систем в защищённом исполнении, государственных информационных систем, защите персональных данных, управлении технологическими процессами, обеспечении безопасности критической информационной инфраструктуры и аттестации по требованиям безопасности информации. В таких случаях нормативные требования предусматривают разработку:
технического задания для создания подсистемы безопасности;
модели угроз безопасности информации;
документации на систему (проектной документации);
рабочей (эксплуатационной) документации.
В этих ситуациях следует опираться на стандарты ГОСТ для автоматизированных систем, даже если современные интерпретации нормативных требований не содержат прямых ссылок на них, а цитируют ГОСТ Р 59793–2021.
Документация на систему (проектные решения) должна быть «в объёме, необходимом для описания всей совокупности проектных решений, достаточном для продолжения работы над созданием системы».
Рабочая документация должна включать «все необходимые и достаточные данные для успешного ввода автоматизированной системы в эксплуатацию, её использования и поддержания требуемого качества на основе принятых проектных решений».
Например, существующая нормативная база указывает на необходимость учёта требований ГОСТ к автоматизированным системам при разработке систем. В частности, это относится к ГОСТ 34.602–2020.
ГОСТ Р 51583–2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
Постановление Правительства Российской Федерации от 06.07.2015 №676 (в редакции от 23.12.2021) «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
Последний из указанных нормативных актов не ссылается напрямую на ГОСТ Р 59793–2021, однако содержит цитату из него, дополненную требованиями по защите информации. Этап разработки документации на систему и её компоненты включает создание, согласование и утверждение документации в объёме, необходимом для полного описания проектных решений (включая защиту информации), что достаточно для продолжения работ по созданию системы.
ГОСТы на автоматизированные системы и смежные стандарты определяют пять ключевых аспектов требований к проектированию систем:
Этапы проектирования системы.
Состав проектной документации.
Содержание проектной документации.
Оформление проектной документации.
Порядок приёмки системы.
В Таблице 3 обзорно приводится, какие из этих областей требований к проектированию систем по ГОСТ на автоматизированные системы обязательны.
Состав документации¶
Приступая к разработке проектной документации по ГОСТ для автоматизированных систем (при создании или модернизации системы) или оформлению требований к системе для размещения заказа на портале закупок, определите требования к разработке документации, включая состав, содержание и оформление разрабатываемых документов.
Полный состав документации, указанный в ГОСТ 34.201–2020, может быть избыточным. Можно выбрать наиболее подходящие документы, основываясь на специфике задачи. Если требования заказчика не совсем ясны, рассмотрите один из подходов к проектированию, представленных в таблице 4, который включает набор документации, описанной ГОСТами для автоматизированных систем. Один из таких подходов можно выбрать и использовать в качестве рекомендации, от которой можно будет отталкиваться дальше.
Наименование документа |
Код |
1 |
2 |
3 |
4 |
5 |
|---|---|---|---|---|---|---|
|
— |
☑ |
☑ |
☑ |
||
|
— |
☑ |
☑ |
☑ |
☑ |
|
|
— |
☑ |
☑ |
|||
|
ТЗ |
☑ |
☑ |
☑ |
☑ |
☑ |
|
ТП |
☑ |
☑ |
☑ |
||
|
С1 |
☑ |
☑ |
☑ |
||
|
С2 |
☑ |
☑ |
☑ |
||
|
П2 |
☑ |
☑ |
☑ |
☑ |
|
|
С3 |
☑ |
☑ |
|||
|
П3 |
☑ |
☑ |
|||
|
П5 |
☑ |
||||
|
П9 |
☑ |
☑ |
|||
|
ПА |
☑ |
||||
|
СО |
☑ |
||||
|
ПВ |
☑ |
☑ |
|||
|
С8 |
☑ |
☑ |
|||
|
С4 |
☑ |
||||
|
С6 |
☑ |
||||
|
СА |
☑ |
☑ |
|||
|
ПМ |
☑ |
☑ |
☑ |
☑ |
☑ |
|
ЭД |
☑ |
☑ |
☑ |
||
|
И2 |
☑ |
☑ |
☑ |
☑ |
|
|
И3 |
☑ |
☑ |
☑ |
||
|
ИЭ |
☑ |
☑ |
|||
|
ФО |
☑ |
||||
|
ПС |
☑ |
Коды документов в таблице 4 соответствуют ГОСТ 34.201–2020. Однако некоторые документы, такие как акты, протоколы, приказы, эскизный проект и редко разрабатываемые документы из списка 55 документов по ГОСТ 34.201–2020, не были учтены в этой таблице.
Набор 1 характеризуется минимальным количеством документации, включая техническое задание и программу испытаний.
Набор 2 включает минимальный состав документации, состоящий из технического проекта (пояснительная записка) и эксплуатационной документации (руководство пользователя).
Набор 3 представляет оптимальный состав документации технорабочего проекта, разработанный в практических проектах создания систем.
Набор 4 предполагает расширенный состав документации, при котором технорабочий проект должен быть всесторонне проработан.
Набор 5 редко требует такого широкого состава документации, даже для аттестации систем.
Содержание документации¶
Требования к содержанию документации определены в ГОСТ Р 59795–2021, который заменил РД 50–34.698–90 и на который следует опираться при установлении технических требований к проектированию системы.
Разработчик технической документации должен создать несколько справочников, которые будут отражать проектные особенности и служить основой для создаваемой документации.
Справочник объектов автоматизации (объектов защиты) должен включать информацию о физических адресах, помещениях, сегментах сети, оборудовании, адресах и сетевых именах.
Таблица актуальных угроз, мер защиты, соответствующих им мероприятий и подсистем защиты информации.
Справочник функциональных требований должен чётко описывать процесс перехода конкретных требований к результатам. Технические требования на предпроектном этапе должны преобразоваться в техническое задание с учётом результатов обследования и определения угроз, а решения технического проекта должны подтвердить переход от требований «должен» к «выполнено».
Номенклатурный справочник должен включать единую терминологию, принятую в рамках проекта, правила наименования объектов автоматизации, а также список применимых нормативных документов и требований.
Перечни решений и изменений должны включать следующие элементы: - Категории защищаемой информации. - Списки автоматизируемых бизнес-процессов. - Списки ролей и полномочий пользователей (должностных обязанностей). - Списки подразделений и организаций, их роли в проекте.
Созданная система справочных данных должна стать основой для разрабатываемой документации. Благодаря этому удастся избежать распространённой ошибки при проектировании, когда структура документации постоянно пересматривается и корректируется много раз в процессе реализации проекта.
На рынке появились инструменты для автоматического создания комплектов документации по ГОСТ для автоматизированных систем, включая обновлённую модель угроз согласно требованиям ФСТЭК. Эти инструменты используют систему справочных данных по проекту. Они могут сэкономить время компаний малого и среднего бизнеса на подготовку документации, если заказчик предъявляет только основные требования к содержанию и оформлению документов.
Оформление документации¶
Единая система конструкторской документации (ЕСКД) определяет стандарты оформления технической документации, а ГОСТ 2.105–2019 устанавливает требования к текстовым документам.
В соответствии с ГОСТ Р 59795–2021 (строки 4–26 в таблице 4), техническая документация оформляется в соответствии с ГОСТ 2.105 и ГОСТ 2.106. Эти стандарты определяют требования к оформлению текстовых документов и чертежей, включая рамку по границам листа с указанием номера документа по ГОСТ 34.201–2020.
Раньше ГОСТ 34.602–89 требовал оформлять ТЗ на АС без рамки, основной надписи и дополнительных граф. Однако новый ГОСТ 34.602–2020 изменил это правило, теперь ТЗ на АС оформляется как текстовый документ. Поэтому Техническое задание на систему должно быть оформлено в виде текстового документа, с рамкой по границам листа (если в заказе на разработку документации не указано иное).
Оформление документов без использования рамок, соответствующих требованиям ГОСТ 2.301, было эффективным решением для организации бумажного документооборота, позволяющим легко определить принадлежность листов к конструкторской документации и их расположение на основе уникального сочетания кода документа и номера листа. Однако с развитием электронного документооборота потребность в рамках стала менее актуальной. Если заказчик разработки документации считает, что рамки затрудняют восприятие документа, он может отказаться от них, не нарушая требований ГОСТ. Для этого в заказе на разработку документации следует указать: «без рамки», например, в следующей формулировке: «Документация оформляется в виде текстового документа без рамки, основной надписи и дополнительных граф к ней».
Разработчикам (техническим писателям) для создания качественной документации рекомендуется использовать ГОСТ и рекомендации авторитетного руководства «Справочник издателя и автора» под редакцией А. Э. Мильчина и Л. К. Чельцовой (шестое издание, 2021 год).
В 2022 году компания Monotype закрыла доступ к загрузке популярных шрифтов Times New Roman и Arial для пользователей из России.
Это ограничение не запрещает использование данных шрифтов на территории России, но стимулирует разработчиков переходить на отечественные решения, среди которых особенно выделяются шрифты компании «Паратайп» (Paratype).
PT Astra Serif – на смену Times New Roman;
PT Astra Sans – на смену Arial.
В рамках системы стандартов по информации, библиотечному и издательскому делу (ГОСТ Р 7.0.97-2016) были изменены рекомендации по использованию шрифтов из состава ОС Windows (Times New Roman, Arial, Courier New, Verdana). Также в ГОСТ 2.105-2019 было добавлено примечание о возможных искажениях при отображении документов в других операционных системах, если используются шрифты, недоступные из-за санкционных и лицензионных ограничений.
Заключение¶
В итоге, анализируя требования ГОСТ к автоматизированным системам, можно сделать вывод об их обязательности применения в ситуациях, связанных с защитой информации. Эти требования включают ключевые структурные элементы, которые при правильном использовании помогут создать эффективную систему документации для разработки и использования автоматизированных систем и систем защиты информации.