Требования ГОСТ на АС в ИВ
С 2022 года стали действовать новые стандарты в рамках новой серии национальных и межгосударственных стандартов на автоматизированные системы.
Основополагающие в проектировании автоматизированных систем стандарты, разработанные еще в 1989–1992 годах, не подвергались пересмотру 30 лет и, естественно, утратили свою актуальность.
Перечень ГОСТов на автоматизированные системы
Перечень действующих стандартов.
№ |
Ранее действовавший стандарт |
Новый стандарт |
Статус (основание) |
1) |
ГОСТ 34.601–90 «Автоматизированные системы. Стадии создания» |
ГОСТ Р 59793–2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» |
Действует с 30.04.2022 (приказ Росстандарта от 25.10.2021 №1285-ст) |
2) |
ГОСТ 34.602–89 «Техническое задание на создание автоматизированной системы». Действие прекращено с 01.01.2022 |
ГОСТ 34.602–2020 «Техническое задание на создание автоматизированной системы» |
Действует с 01.01.2022 (приказ Росстандарта от 19.11.2021 № 1522-ст) |
3) |
ГОСТ 34.603–92 «Виды испытаний автоматизированных систем». Действие прекращается с 30.04.2022 |
ГОСТ Р 59792–2021 «Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем» |
Действует с 30.04.2022 (приказ Росстандарта от 25.10.2021 № 1284-ст) |
4) |
ГОСТ 34.201–89 «Виды, комплектность и обозначение документов при создании автоматизированных систем». Действие прекращено с 01.01.2022 |
ГОСТ 34.201–2020 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Виды, комплектность и обозначение документов» |
Действует с 01.01.2022 (приказ Росстандарта от 19.11.2021 № 1521-ст) |
5) |
РД 50–34.698–90 «Автоматизированные системы. Требования к содержанию документов». Действие прекращено (приказ Росстандарта от 12.02.2019 № 216) |
ГОСТ Р 59795–2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов» |
Действует с 30.04.2022 (приказ Росстандарта от 25.10.2021 № 1297-ст) |
6) |
ГОСТ 34.003–90 «Автоматизированные системы. Термины и определения». Действие прекращено с 01.01.2022 |
ГОСТ Р 59853–2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» |
Действует с 01.01.2022 (приказ Росстандарта от 19.11.2021 № 1520-ст) |
7) |
ГОСТ 2.102–2013 «Единая система конструкторской документации. Виды и комплектность конструкторских документов» |
Действует ранее принятый стандарт |
Издание (июль 2020) с поправками |
8) |
ГОСТ Р 2.105–2019 «Единая система конструкторской документации. Общие требования к текстовым документам» |
Действует ранее принятый стандарт |
Действует с 01.02.2020 |
9) |
ГОСТ Р 2.106–2019 «Единая система конструкторской документации. Текстовые документы» |
Действует ранее принятый стандарт |
Действует с 01.02.2020 |
10) |
ГОСТ 7.32–2017 «Система стандартов по информации, библиотечному и издательскому делу. Отчет о научно-исследовательской работе. Структура и правила оформления» |
Действует ранее принятый стандарт |
Действует 01.07.2018 |
11) |
ГОСТ 2.113–75 «Единая система конструкторской документации. Групповые и базовые конструкторские документы» |
Действует ранее принятый стандарт |
Измененная редакция, Изм. № 2 |
12) |
ГОСТ 19.101–77 «Единая система программной документации. Виды программ и программных документов» (ЕСПД) |
Действует ранее принятый стандарт |
Измененная редакция, Изм. № 1 |
13) |
ГОСТ Р 51583–2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» |
Действует ранее принятый стандарт |
Переиздан в октябре 2018 года |
Состав работ по созданию систем
Основной стандарт, определяющий последовательность работ по созданию автоматизированных систем, — это ГОСТ Р 59793–2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (принят взамен ГОСТ 34.601–90). Данным стандартом определено 8 стадий создания автоматизированных систем, но, по сложившейся практике выполнения проектов, стадии объединяются, и работы выполняются в несколько этапов:
Стадии работ по созданию системы.
Стадия по ГОСТ Р 59793–2021 |
Стадия (этап работ) на практике |
Содержание работ |
1. Формирование требований к АС |
0) Предпроектный этап |
Заказчик самостоятельно определяет требования пользователя к системе и размещает заказ на закупку |
2. Разработка концепции АС |
1) Обследование |
Привлеченный исполнитель обследует инфраструктуру Заказчика и нормативную документацию, определяет угрозы безопасности информации, подготавливает Отчет об обследовании, Модель угроз, согласование которой может продолжаться в течение последующих стадий проекта |
3. Техническое задание |
2) Техническое задание |
Выполняется разработка и утверждение Технического задания на создание системы |
4. Эскизный проект |
3) Технорабочее проектирование |
Выполняется разработка и утверждение комплекта документации технического проекта, рабочего проекта на систему и комплекта организационно-распорядительной документации |
5. Технический проект |
||
6. Рабочая документация |
||
7. Ввод в действие |
4) Ввод в действие |
Выполняются пуско-наладочные работы, подготовка персонала, проводятся испытания системы и, при необходимости, аттестация системы по требованиям безопасности информации |
8. Сопровождение АС |
5) Эксплуатация и сопровождение |
Выполняются работы в соответствии с гарантийными обязательствами и послегарантийное обслуживание. Стадия работ продолжается до вывода системы из эксплуатации |
Для упрощения применяемой терминологии часть понятий объединены (в случаях, где не требуется разделение понятий):
- под «созданием системы» подразумеваются как проекты создания, так и проекты модернизации (доработки) системы;
- под «системой» подразумеваются как автоматизированные системы (состоящие из персонала, информации, комплекса технических и программных средств автоматизации целевой деятельности), так и информационные системы (аналогично автоматизированным системам, но без персонала), системы защиты информации;
- под «системой защиты информации» подразумеваются как, собственно, система/подсистема защиты информации в соответствии с нормативными требованиями, так и системы/подсистемы информационной безопасности (в отличие от «защиты информации», термин «информационная безопасность» часто подразумевает послабление применяемых нормативных требований).
Техническое задание
Может возникать путаница в обозначении того, что считается Техническим заданием (Частным техническим заданием):
- На стадии 1. «Формирование требований к АС» для публикации на портале закупок или модернизации существующей системы подготавливается документ с требованиями к системе, называемый по сложившейся практике «Техническим заданием». Однако, документ, создаваемый на данной стадии, остается только лишь требованиями пользователя к системе, и Техническим заданием не является.
- На стадии 3. «Техническое задание» разрабатывается Техническое задание на систему, которое является Техническим заданием по ГОСТ на автоматизированные системы.
На стадии 3. «Техническое задание» определяются требования к системе в целом. На основании требований о защите информации государственных информационных систем, значимых объектов критической информационной инфраструктуры, персональных данных, автоматизированных систем управления, утвержденные Постановлением Правительства Российской Федерации от 06.07.2015 №676 и приказами ФСТЭК от 11.02.2013 №17, от 25.12.2017 №239, от 18.02.2013 №21, от 14.03.2014 №31, одновременно с определением требований, определяются и меры защиты информации, применение которых необходимо для нейтрализации актуальных угроз, выявленных по результатам моделирования угроз безопасности информации. Меры защиты включаются в Техническое задание на систему и затем при необходимости могут уточняться в рамках проектирования.
Технорабочее проектирование
На этапе работ «Технорабочее проектирование» разрабатываются два блока документации:
- Проектные решения (технический проект иногда называют «документацией на систему»). Данный блок описывает будущую систему в терминах принятых архитектурных и технических решений. Стадия эскизного проектирования — упрощенная версия технического проекта.
- Рабочая документация. Этот блок содержит настройки для успешного развертывания и ввода в действие системы, эксплуатационную документацию для дальнейшей эксплуатации системы и комплект организационно-распорядительной документации.
Применяют различные подходы к проектированию, от предоставления заказчику стандартных (автоматически формируемых на основе шаблонов) документов до доскональной проработки настроек и выполняемых в системе операций.
ГОСТ становится обязательным,
- если это установлено Федеральным законом (в случае защиты государственной тайны или в отношении оборонной продукции — что не является общим случаем для применения ГОСТ на автоматизированные системы);
- если изготовитель/исполнитель принимает на себя требования (например, требования Технического задания) о применении национального/межгосударственного стандарта
Есть особые случаи, в которых необходимо учитывать требования ГОСТ на автоматизированные системы: создание автоматизированных систем в защищенном исполнении, создание государственных информационных систем, защита персональных данных, защита автоматизированных систем управления технологическими процессами, обеспечение безопасности критической информационной инфраструктуры, аттестация по требованиям безопасности информации. Нормативными требованиями в таких случаях предусматривается разработка:
- Технического задания на создание подсистемы безопасности;
- модели угроз безопасности информации;
- документации на систему (проектной документации);
- рабочей (эксплуатационной) документации.
В данных случаях необходимо руководствоваться требованиями ГОСТ на автоматизированные системы, даже если в современных трактовках вышеуказанных нормативных требований к разработке документации не употребляется прямая отсылка к ним, а, например, указываются цитаты из ГОСТ Р 59793–2021:
- документация на систему (проектные решения) должна быть «в объеме, необходимом для описания полной совокупности проектных решений, достаточном для дальнейшего выполнения работ по созданию системы»;
- рабочая документация должна содержать «все необходимые и достаточные сведения для обеспечения выполнения работ по вводу АС в действие и ее эксплуатации, а также для поддержания уровня эксплуатационных характеристик (качества) АС в соответствии с принятыми проектными решениями».
Так, например, на необходимость учета требований ГОСТ на автоматизированные системы при создании систем указывает действующая нормативная база, в частности:
- ГОСТ Р 51583–2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
- Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
- Постановление Правительства Российской Федерации от 06.07.2015 №676 (в редакции от 23.12.2021) «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
Последний из указанных нормативных актов не содержит прямого указания на ГОСТ Р 59793–2021, но содержит цитату из него, дополненную требованиями по защите информации: «Этап разработки документации на систему и ее части включает разработку, согласование и утверждение документации в объеме, необходимом для описания полной совокупности проектных решений (в том числе по защите информации) и достаточном для дальнейшего выполнения работ по созданию системы».
ГОСТ становится обязательным,
- если это установлено Федеральным законом (в случае защиты государственной тайны или в отношении оборонной продукции (статья 6) — что не является общим случаем для применения ГОСТ на автоматизированные системы);
- если изготовитель/исполнитель принимает на себя требования (например, требования Технического задания) о применении национального/межгосударственного стандарта (статья 26 вышеуказанного 162-ФЗ).
Есть особые случаи, в которых необходимо учитывать требования ГОСТ на автоматизированные системы: создание автоматизированных систем в защищенном исполнении, создание государственных информационных систем, защита персональных данных, защита автоматизированных систем управления технологическими процессами, обеспечение безопасности критической информационной инфраструктуры, аттестация по требованиям безопасности информации. Нормативными требованиями в таких случаях предусматривается разработка:
- Технического задания на создание подсистемы безопасности;
- модели угроз безопасности информации;
- документации на систему (проектной документации);
- рабочей (эксплуатационной) документации.
В данных случаях необходимо руководствоваться требованиями ГОСТ на автоматизированные системы, даже если в современных трактовках вышеуказанных нормативных требований к разработке документации не употребляется прямая отсылка к ним, а, например, указываются цитаты из ГОСТ Р 59793–2021:
- документация на систему (проектные решения) должна быть «в объеме, необходимом для описания полной совокупности проектных решений, достаточном для дальнейшего выполнения работ по созданию системы»;
- рабочая документация должна содержать «все необходимые и достаточные сведения для обеспечения выполнения работ по вводу АС в действие и ее эксплуатации, а также для поддержания уровня эксплуатационных характеристик (качества) АС в соответствии с принятыми проектными решениями».
Так, например, на необходимость учета требований ГОСТ на автоматизированные системы при создании систем указывает действующая нормативная база, в частности:
- ГОСТ Р 51583–2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
- Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
- Постановление Правительства Российской Федерации от 06.07.2015 №676 (в редакции от 23.12.2021) «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
Последний из указанных нормативных актов не содержит прямого указания на ГОСТ Р 59793–2021, но содержит цитату из него, дополненную требованиями по защите информации: «Этап разработки документации на систему и ее части включает разработку, согласование и утверждение документации в объеме, необходимом для описания полной совокупности проектных решений (в том числе по защите информации) и достаточном для дальнейшего выполнения работ по созданию системы».
Итого, по результатам рассмотрения требований ГОСТ на автоматизированные системы, приходим к заключению, что эти требования обязательны к применению в перечисленных случаях, связанных с защитой информации. Требования содержат важные структурообразующие элементы, умелое применение которых позволит сформировать слаженную систему документации для создания и эксплуатации автоматизированных систем, систем защиты информации.