Читать онлайн Документирование информационных систем бесплатно

Документирование информационных систем

Введение

В книге рассмотрена технология создания документации на информационную систему как программный продукт, обрабатывающий информацию, с опорой на существующие в странах СНГ стандарты. Сложные системы (наподобие АСУ или АСУ ТП), включающие в себя технические устройства и требующие дополнительной (конструкторской) документации, здесь подробно не рассматриваются по причине малого опыта автора в этой области.

Документирование информационной системы (ИС) можно разбить на пять этапов:

1)Подготовительный этап;

2)Начальный этап;

3)Основной этап;

4)Заключительный этап;

5)Этап доработки.

В книге первые четыре этапа описаны в разделе «Процессы документирования», так как это обязательные этапы при разработке новой ИС. Этапы эти в явной или скрытой форме входят в технологические процессы разработки ИС, независимо от того, фиксируются они в Договоре на разработку или нет. Технический писатель (или специалист, который занимается документированием, но числится в другой должности) должен это понимать и принимать, как должное. Пятый этап вынесен в раздел «Доработка документации в процессе эксплуатации ИС» по причине того, что не каждая разработанная система будет проходить сертификацию или аттестацию по информационной безопасности (ИБ) или будет служить достаточно долго и успешно, что потребуется ее доработка или развитие, которое сопровождается внесением (обязательным по стандартам, но часто не исполняемым требованием) изменений в документацию.

Термины и определения

Терминология документирования при разработке программных продуктов (программного обеспечения), к которым относятся и информационные системы, сложна и основана на трех составляющих:

1)Терминология, относящаяся непосредственно к производству документов (программных и эксплуатационных, законодательных и технических, организационных и административных);

2)Терминология, относящаяся к области производства программного обеспечения (разработка ПО и ИС);

3)Терминология, относящаяся к области информационной безопасности, которая сейчас играет значимую роль.

Приведём несколько определений основных понятий, которые используются в процессе создания документации на ИС по существующим стандартам (таблицы 1 и 2).

Таблица 1. Определения ИС

Рис.5 Документирование информационных систем

Примечание по РК. В Казахстане профессии (должности) определяемой как Технический писатель не существует. Есть должность Начальник отдела автоматизированной системы управления производством (АСУП) (подразделения или центра информационных технологий) которая требует от работника знания порядка разработки и оформления технической документации и вменяет в обязанность руководство разработкой и участие в разработке ТЗ, инструкций, методических и нормативных материалов.

Термин «информационная система» вошел в обиход в 90-е годы 20 века, после взрывного развития технологий обработки информации с помощью компьютерной техники. Ранее использовался термин «автоматизированная система», который сейчас используется как один из признаков информационной системы (степень автоматизации). До сих пор действуют стандарты комплекса 34 на автоматизированные системы, разработанные в конце 80-х и начале 90-х годов 20 века, которые иногда обновляются и приводятся в более современный вид.

Таблица 2. Определения других понятий

Рис.3 Документирование информационных систем

Ранее использовались стандарты комплекса 24 на автоматизированные системы управления, разработанные в середине 80-х годов 20 века и теперь замененные комплексом 34.

Рассмотрим понятия автоматизированной системы и документации на неё, которые даются в комплексе 34 (ГОСТ 34.003-90):

– Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций;

– Документация на АС – комплект взаимоувязанных документов, полностью определяющих технические требования к АС, проектные и организационные решения по созданию и функционированию АС.

Часть терминологии по производству документов определена следующими стандартами:

1)По части документации, обобщённо называемой ОРД, используется ГОСТ Р 7.0.97-2016 «Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов», введенному взамен ГОСТ Р 6.30-2003 «Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов»;

2)По части программной документации используются стандарты комплекса 19:

– ГОСТ 19.004-80 «Термины и определения»,

– ГОСТ 19.103-77 «Обозначение программ и программных документов»,

– ГОСТ 19 105-78 «Общие требования к программным документам»;

3)По части эксплуатационной документации используются стандарты комплекса 34:

– ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированных систем»,

– ГОСТ 34.003-90 «Автоматизированные системы. Термины и определения»,

– РД 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы, требования к содержанию документов».

Основные понятия, касающиеся программ и документации в этих стандартах:

– Программное обеспечение (программа, программное средство): Упорядоченная последовательность инструкций (кодов) для вычислительного средства, находящаяся в памяти этого средства и представляющая собой описание алгоритма управления вычислительными средствами и действий с данными;

– Программная документация: документы, содержащие сведения, необходимые для разработки, изготовления, сопровождения и эксплуатации программ;

Эксплуатационная документация: сведения для обеспечения функционирования и эксплуатации программы.

Часть терминологии по информационной безопасности, которая используется в книге, определена следующими стандартами:

– ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;

– ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».

Основные понятия в этой области, используемые при разработке документации:

– Безопасность информации (данных): Состояние защищённости информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность;

– Информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств ее обработки.

Отметим, что имеется сходство определений основных понятий в разных стандартах, различается только стиль, который часто размывает конкретику и требует дополнительных усилий по осознанию достаточно простых понятий.

Теперь дадим свои краткие определения основных понятий:

– Информационная система (ИС) – совокупность ресурсов и технологий для сбора, обработки, хранения и передачи информации;

– Документация ИС – комплект программных и эксплуатационных документов, содержащий сведения, необходимые для разработки, изготовления, сопровождения и эксплуатации ИС;

– Информационная безопасность ИС – совокупность методов и средств, которыми обеспечивается достоверность, конфиденциальность, целостность и доступность информации;

– Технический писатель (ТП) – специалист, создающий документацию на ИС в удобном и доступном для понимания виде для разработчиков, технических специалистов по обслуживанию и пользователей системы.

Тема информационной безопасности стала актуальной с начала 21 века, когда развитие сети Интернет (WWW) позволило создавать ИС, использующие для передачи данных эту сеть. Затем банковские и торговые системы начали внедрять пользовательские интерфейсы, работающие через Интернет, что породило возрастающее количество инцидентов, связанных с атаками хакеров на подобные системы. Большинство современных ИС используют в своей работе Интернет и безопасность информации, которая в них хранится и обрабатывается, потребовало создания целой отрасли стандартов, рассматривающих методы и средства защиты этой информации. К сожалению, устаревшие стандарты на производство и развитие ИС (и документации на них), созданные в конце 80-х годов 20 века такого развития и использования Интернета не предусматривали. Поэтому, до появления новых стандартов, учитывающих современное состояние дел, разработчикам ИС и ТП необходимо самостоятельно включать в документацию на ИС разделы по информационной безопасности.

Стандарты

Стандарты, имеющие отношение к разработке, внедрению и сопровождению информационных систем можно разделить на четыре группы:

1)Стандарты по документации на ИС;

2)Стандарты по процессам документирования ИС;

3)Стандарты по оценке качества документации на ИС;

4)Стандарты по информационной безопасности (кибербезопасности), относящиеся к процессам документирования ИС.

Рассмотрим подробно эти группы стандартов.

Стандарты по документации на ИС

Перечень программной документации на ИС зависит от вида и назначения конкретной системы и определяется техническим заданием на разработку, согласованным между Поставщиком и Заказчиком в рамках Договора на оказание услуг. Разработка программной документации регулируется сводом стандартов, объединенных в комплекс с индексом «19» под общим названием ЕСПД.

Единая система программной документации (ЕСПД) – комплекс государственных стандартов Российской Федерации (межгосударственных стандартов для стран СНГ), устанавливающих взаимосвязанные правила разработки, оформления и обращения программ и программной документации.

В стандартах ЕСПД устанавливаются требования, регламентирующие разработку, сопровождение, изготовление и эксплуатацию программ, что обеспечивает возможность:

– унификации программных изделий для взаимного обмена программами и применения ранее разработанных программ в новых разработках;

– снижения трудоемкости и повышения эффективности разработки, сопровождения, изготовления и эксплуатации программных изделий;

– автоматизации изготовления и хранения программной документации.

Часть программной документации создается для сложных автоматизированных систем (АСУ и АСУ ТП, включающих как программные, так и технические компоненты) и регулируется комплексом стандартов с индексом «34» – Информационная технология. Комплекс стандартов на автоматизированные системы (КСАС). При этом необходимо учитывать, что для документации на программные компоненты систем разработчикам необходимо соблюдать требования ЕСПД, а в отношении документации на технические компоненты – требования ЕСКД.

Единая система конструкторской документации (ЕСКД) – комплекс стандартов, содержащий требования к технической документации, выпускаемой и применяемой на всех стадиях жизненного цикла продукта. В книге не рассматривается разработка документации на технические компоненты автоматизированной системы по ЕСКД.

В таблице 3 представлен полный перечень документации (программной и эксплуатационной) на АС согласно ГОСТ (или ИС, которая может считаться видообразующим типом АС), который может быть использован разработчиком.

Таблица 3. Перечень документации на ИС

Рис.4 Документирование информационных систем
Рис.0 Документирование информационных систем
Рис.1 Документирование информационных систем
Рис.2 Документирование информационных систем

Стандарты по процессам документирования

Перечень стандартов, которые нужно использовать при разработке документации на ИС:

ГОСТ 2.105-95 «Общие требования к текстовым документам»;

ГОСТ 2.610-2006 «Правила выполнения эксплуатационных документов»;

ГОСТ 2.601-95 «Эксплуатационные документы»;

РД 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы, требования к содержанию документов»;

ГОСТ 19.101-77 «ЕСПД. Виды программ и программных документов»;

ГОСТ 19.105-78 «ЕСПД. Общие требования к программным документам»;

ГОСТ 19.106-78 «ЕСПД. Требования к программным документам, выполненным печатным способом»;

ГОСТ 19.604-78 «ЕСПД. Правила внесения изменений в программные документы, выполненные печатным способом»;

ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;

ГОСТ Р ИСО/МЭК 15910-2006 «Процесс создания документации пользователя программного средства»;

Р 50-34.126-92 «Рекомендация. Информационная технология. Правила проведения работ при создании автоматизированных систем».

Стандарты по оценке качества документации

Перечень стандартов, которые следует учитывать при разработке документации и по которым проводится сертификация или аттестация ИС:

ГОСТ 28195-89 «Оценка качества программных средств. Общие положения» – по части оценки программной документации;

ГОСТ Р ИСО/МЭК 25041-2014 «Информационные технологии (ИТ). Системная и программная инженерия. Требования и оценка качества систем и программного обеспечения (SQuaRE). Руководство по оценке для разработчиков, приобретателей и независимых оценщиков» – по части оценки эксплуатационной документации;

ГОСТ Р ИСО/МЭК ТО 9294-93 «Информационная технология. Руководство по управлению документированием программного обеспечения» – по части определений, терминологии и типологии документации;

СТ РК 34.010-2002 «Информационная технология. Сертификация программных средств. Порядок проведения экспертизы программной документации» – сборка по стандартам ГОСТ комплексов 19, 24, 34 и ГОСТ Р ИСО/МЭК.

Стандарты по информационной безопасности, относящиеся к процессам документирования

Перечень стандартов по ИБ, которые следует учитывать при составлении документации на ИС:

ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»;

ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»

Р 50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»;

ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;

ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;

ГОСТ Р ИСО/МЭК 27001 «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта – ISO/IEC 27001:2005;

ISO/IEC 27000 -2012 «Словарь и определения»;

ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология»;

ГОСТ Р ИСО/МЭК 27034-1-2014 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия».

Технология документирования

Документирование ИС тесно связано с производством самого программного продукта и частично определяется стандартами ГОСТ 34.601-90 (стадии создания АС), ГОСТ 19.101-77 (перечень документов) и ГОСТ Р ИСО/МЭК 15910-2002 (стадии создания документации пользователя АС). Попробуем создать общую схему технологии документирования, основанную на практическом опыте автора.

Продолжить чтение