Файл: Курс лекций по дисциплине Сертификация информационных систем. Предназначено для студентов специальности Информационные системы и программирование.pdf

САНКТПЕТЕРБУРГ
МОСКВА
КРАСНОДАР
2021
СЕРТИФИКАЦИЯ
ИНФОРМАЦИОННЫХ
СИСТЕМ
У ч е б н о е п о с о б и е
О. Н. ЛАГОША
Издание второе, стереотипное
1 / 10

© Издательство «Лань», 2021
© О. Н. Лагоша, 2021
© Издательство «Лань»,
художественное оформление, 2021
Îáëîæêà
П. И. ПОЛЯКОВА
УДК 004.056(075.32)
ББК 32.973.26018.1я723
Л 14
Лагоша О. Н. Сертификация информационных систем :
учебное пособие для СПО / О. Н. Лагоша. — 2е изд., стер. —
СанктПетербург : Лань, 2021. — 112 с. : ил. — Текст : непо
средственный.
ISBN 9785811472123
Учебное пособие содержит курс лекций по дисциплине «Сертификация информационных систем». Предназначено для студентов специальности
«Информационные системы и программирование».
Пособие состоит из двух глав: защита и сохранность информации баз данных, сертификация информационных систем. Представлены концепция,
структура и основные требования национальных и международных стан
дартов в сфере создания программных средств высокого качества. Изложе
ны основы сертификации, обеспечения качества и безопасности программ
ных продуктов на базе международных стандартов серии ИСО 9000.
УДК 004.056(075.32)
ББК 32.973.26018.1я723 2 / 10

3
ВВЕДЕНИЕ
По мере развития информационной индустрии и совершенствования ры- ночных механизмов в России программные средства, информационные систе- мы и технологии, их компоненты и результаты функционирования все в боль- шей степени становятся товарными продуктами. В результате для потребителя становится все более актуальной проблема определения соответствия про- граммных средств установленным требованиям. Решению этой проблемы при- званы способствовать процессы сертификации программной продукции.
Рынок программных средств в России сейчас настолько разнообразен, что в подавляющем большинстве случаев потребитель не в состоянии самостоя- тельно убедиться в соответствии приобретаемой им продукции установленным на государственном уровне нормам и правилам. В результате можно купить программный продукт, который в дальнейшем окажется неработоспособным, а в лучшем случае его эксплуатация будет сопряжена с технологическими, фи- нансовыми и организационными трудностями. Класс подобных проблем реша- ется посредством сертификации.
Сертификация —процедура,посредством которой третья сторона письменно удостоверяет,что продукция, процесс или услуга соответствуют за- данным требованиям.
Сертификация программы — процедура,выполняемая третьей сторо- ной,независимой отизготовителя (продавца) и потребителя программной про- дукции, по подтверждению соответствия определенной программы или про- граммного комплекса установленным требованиям. Требования могут быть за- фиксированы в стандарте или другом документе. В некоторых случаях серти- фикация проводится на соответствие требований, заявленных изготовителем программы или программного комплекса. Результатом выполнения процедуры сертификации является так называемый сертификат соответствия.
Сертификат соответствия — документ,выданный по правилам сис- темы сертификациидля подтверждения соответствия сертифицированной про- дукции установленным требованиям. Сертификация программных средств и систем является элементом общей системы сертификации продукции в Россий- ской Федерации.
Система сертификации — система,располагающая собственными пра- вилами процедурыи управления для проведения сертификации.
Орган по сертификации — орган,проводящий сертификацию соответ- ствия.Орган посертификации может сам проводить испытания или же осуще- ствлять надзор за этой деятельностью, проводимой по его поручению другими органами.
Испытательная лаборатория — лаборатория(центр),который прово- дит испытания впроцессе сертификации.
Аккредитация (испытательной лаборатории или органа по сертифи-
кации) — процедура, посредством которой уполномоченный в соответствии с законодательными актами РФ орган официально признает возможность выпол-
3 / 10

4
нения испытательной лабораторией или органом по сертификации конкретных работ в заявленной области.
Знак соответствия (в области сертификации) — защищенный в уста- новленном порядкезнак, применяемый или выданный в соответствии с прави- лами системы сертификации, указывающий, что обеспечивается необходимая уверенность в том, что данная продукция, процесс или услуга соответствуют конкретному стандарту или другому нормативному документу.
Технические условия (ТУ) — документ,устанавливающий технические требования,которым должна удовлетворять продукция, процесс или услуга. ТУ могут быть стандартом, частью стандарта или самостоятельным документом.
Организационная структура системы сертификации в России включает:
государственный (национальный) орган по сертификации, ведомственные ор- ганы по управлению сертификацией продукции определенных классов, а также испытательные центры (лаборатории).
Основными функциями государственного органа по сертификации явля- ются организация, координация, научно-методическое, информационное и нормативно-техническое обеспечение работ по испытаниям и сертификации, а также аккредитация центров сертификационных испытаний в соответствии с полномочиями национального органа по сертификации.
Ведомственные органы сертификации выполняют те же функции в огра- ниченном объеме для конкретных видов продукции.
Национальным органом по сертификации продукции в Российской Феде- рации является Госстандарт России.
Вся деятельность по сертификации базируется на законодательстве Рос- сийской Федерации, принятых на его основе постановлений и других норма- тивных документов, регулирующих все аспекты деятельности в этой сфере.
В Российской Федерации принят ряд основополагающих законов, кото- рые в разной степени призваны регулировать работы по сертификации в сфере информатизации:
«О защите прав потребителей» устанавливает обязательную сертифика- цию потребованиям безопасности всей продукции, продаваемой на территории
РФ для личных нужд потребителя;
«О поставках продукции для федеральных государственных нужд» уста- навливаетобязательность требований для продукции, поставляемой по госу- дарственному контракту;
«Об информации, информатизации и защите информации»,который ре- гулируетотношения, возникающие при формировании и использовании ин- формационных ресурсов и применения информационных технологий;
«О сертификации продукции и услуг» устанавливает права и обязанности участниковсертификации. Этим законом установлена обязательная и добро- вольная сертификация.
Общие правовые основы сертификации продукции и услуг в Российской
Федерации установлены Федеральным законом от 27.12.2002 № 184-ФЗ
«О техническом регулировании».
4 / 10

5
В этом законе регламентированы следующие вопросы.
Глава 1. Общие положения.
Глава 2. Технические регламенты.
Глава 3. Стандартизация.
Глава 4. Подтверждение соответствия.
Глава 5. Аккредитация органов по сертификации и испытательных лабо- раторий (центров).
Глава 6. Государственный контроль (надзор) за соблюдением требований технических регламентов.
Глава 7. Информация о нарушении требований технических регламентов и отзыв продукции.
Глава 8. Информация о технических регламентах и документах по стан- дартизации.
Глава 9. Финансирование в области технического регулирования.
Глава 10. Заключительные и переходные положения.
Настоящий Федеральный закон регулирует отношения, возникающие при:
– разработке, принятии, применении и исполнении обязательных требо- ваний к продукции, в том числе зданиям и сооружениям (далее — продукция), или к продукции и связанным с требованиями к продукции процессам проекти- рования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации;
– разработке, принятии, применении и исполнении на добровольной ос- нове требований к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, пере- возки, реализации и утилизации, выполнению работ или оказанию услуг;
– оценке соответствия.
Настоящий Федеральный закон также определяет права и обязанности участников, регулируемых настоящим Федеральным законом отношений. В за- коне указано, что сертификация проводится в целях:
– создания условий для деятельности предприятий, учреждений, органи- заций и предпринимателей на едином товарном рынке РФ, а также для участия в международном экономическом, научно-техническом сотрудничестве и меж- дународной торговле;
– содействия потребителям в компетентном выборе продукции;
– защиты потребителя от недобросовестности изготовителя (продавца, исполнителя);
– контроля безопасности продукции для окружающей среды, жизни, здо- ровья и имущества;
– подтверждения показателей качества продукции, заявленных изготови- телем.
В соответствии с данным законом основными задачами сертификации программных средств являются:
– защита пользователей программных средств от приобретения программ, в том числе импортных, которые представляют опасность для жизни, здоровья, имущества, а также для окружающей среды;
5 / 10

6
– обеспечение разработчиков информационных систем, а также широкого круга пользователей этих систем достоверной информацией о состоянии отече- ственного и зарубежного рынков программных средств;
– обеспечение надежного информационного обмена между государствен- ными системами информатизации (налоговая служба, правоохранительные ор- ганы, службы управления трудом и занятостью, образование, здравоохранение и др.);
– обеспечение условий для информационного взаимодействия субъектов негосударственного сектора экономики с субъектами государственного сектора;
– содействие повышению научно-технического уровня и конкурентоспо- собности отечественных информационных систем, технологий и услуг;
– содействие созданию условий для вхождения России в мировое инфор- мационное пространство.
Сертификация программных средств не только обеспечивает удовлетво- рение интересов потребителя, но и приносит определенные выгоды изготовите- лю (поставщику) продукции. Так, в частности, сертификация способствует расширению рынка сбыта программной продукции в тех районах, где потреби- телю неизвестна репутация фирмы. При всех прочих равных условиях это обеспечивает подтверждение качества программных продуктов фирмы по сравнению с продукцией конкурентов. С точки зрения организации торговых взаимосвязей сертификация способствует созданию доверительных отношений между производителями (поставщиками) и потребителями продукции.
Кроме того, существует другой нормативный документ — ГОСТ Р. Сис-
тема сертификации. Этой системой,в частности,определяются правила соз- дания и регистрацииведомственных систем сертификации для конкретных классов продукции.
6 / 10

7
ГЛАВА 1
ЗАЩИТА И СОХРАННОСТЬ
ИНФОРМАЦИИ БАЗ ДАННЫХ
7 / 10

8
ЛЕКЦИЯ 1
ЗАЩИТА ИНФОРМАЦИИ БАЗ ДАННЫХ
Обеспечение безопасности данных на предприятии представляет собой целый комплекс поэтапных мер по их защите.
1. Законодательство Российской Федерации
в области защиты информации
Вопросы правового обеспечения защиты информации занимают все более значительное место в законодательстве Российской Федерации. В приведенном далее списке указаны основные нормативные правовые акты в области инфор- мационной безопасности:
Конституция Российской Федерации.
Закон РФ от 05.03.1992 № 2446-1 «О безопасности».
Закон РФ от 23.09.1992 № 3521-1 «О правовой охране программ для элек- тронных вычислительных машин и баз данных».
Закон РФ от 23.09.1992 № 3526-1 «О правовой охране топологий инте- гральных микросхем».
Закон РФ от 09.07.1993 № 5351-1 «Об авторском праве и смежных пра- вах».
Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне».
Федеральный закон от 29.12.1994 № 77-ФЗ «Об обязательном экземпляре документов».
Федеральный закон от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи».
Федеральный закон от 07.07.2003 № 126-ФЗ «О связи».
Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информа- ционных технологиях и о защите информации».
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Государственные стандарты и руководящие документы:
• по защите от несанкционированного доступа к информации:
ГОСТ Р 50922-96. Защита информации. Основные термины и определе- ния;
ГОСТ Р 50739-95. Средства вычислительной техники. Защита от НСД к информации. Общие технические требования;
ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факто- ры, воздействующие на информацию. Общие положения;
• по криптографической защите и ЭЦП:
ГОСТ 28147-89. Системы обработки информации. Защита криптографи- ческая. Алгоритм криптографического преобразования;
ГОСТ Р 34.10-94 (2001). Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма;
ГОСТ Р 34.11-94. Функция хеширования;
8 / 10

9
• по защите от утечки по техническим каналам:
ГОСТ Р В50170-92. Противодействие иностранной технической разведке.
Термины и определения ГОСТ 29339-92. Защита информации от утечки за счет
ПЭМИН. Общие технические требования;
ГОСТ Р 50752-95. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке сред- ствами вычислительной техники. Методы испытаний.
2. Требования безопасности к серверам баз данных
Корпоративные данные большинства предприятий, организаций, как пра- вило, хранятся в базах данных, управляемых серверами баз данных. Современ- ные серверы баз данных должны удовлетворять следующим требованиям:
– масштабируемость — отсутствие существенного снижения скорости выполненияпользовательских запросов при пропорциональном росте количе- ства запросов и аппаратных ресурсов, используемых сервером баз данных;
– доступность — возможность всегда выполнить запрос;
– надежность — минимальная вероятность сбоев,наличие средств вос- становленияданных после сбоев, инструментов резервного копирования и дуб- лирования данных;
– управляемость — простота администрирования,наличие средств авто- матическогоконфигурирования;
– наличие средств защиты данных от потери и несанкционированного
доступа;
– поддержка доступа к данным с помощью веб-служб;
– поддержка стандартных механизмов доступа к данным(таких как
ODBC, JDBC, OLE DB, ADO.NET).
Несоответствие сервера баз данных какому-либо из этих требований при- водит к тому, что даже у неплохого по другим потребительским свойствам сер- вера баз данных область его применения оказывается весьма ограниченной.
Так, сервер баз данных с плохой масштабируемостью, успешно применявшийся при небольшом объеме обрабатываемых данных, оказывается непригодным в случае увеличения их количества. Именно поэтому лидеры рынка серверов баз данных стремятся производить продукты, удовлетворяющие всем вышепере- численным требованиям.
Современные компьютеры-серверы представляют собой мощные персо- нальные компьютеры, имеющие до 4 процессоров, оперативную память до
64 Гбайт, несколько жестких дисков с общим объемом памяти 3,6 Тбайт. Наи- более известными производителями компьютеров-серверов являются фирмы
Hewlett Packard, Dell, FUJITSU-SIEMENS, IBM, ACER.
Как правило, между клиентским приложением и базой данных, храня- щейся на сервере, не существует прямой связи. Между ними дополнительно встраиваются особые программные модули, позволяющие клиентскому прило- жению получать доступ к базе данных. Такие модули называются механизма-
ми доступа к данным.
9 / 10