Защита информации в компьютерных сетях

Стандарты

Наибольшее нормализуюшее значение для информационного производства имеют стандарты: международные, государственные (межгосударственные), государственные (ГОСТ), гармонизированные с международными стандартами ИСО (ГОСТ Р), отраслевые (ОСТ), предприятий (СТП), корпораций, консорциумов.

Стандарты в области информационных технологий – это утвержденные в соответствии с действующим законодательством единые нормы и требования к понятийному аппарату, а также к основным компонентам информационной технологии (ресурсам, средствам, методам, регламентам, процессам и продуктам информационного производства) и информационным системам.

Стандарты выполняют функции эталонов:

а) нормализующих профессиональную терминологию;

б) предписывающих рациональную последовательность действий;

в) определяющих показатели полезности (эффективности и качества);

г) ограничивающих риск сверхнормативных издержек, брака, неблагоприятных воздействий на производителя, потребителя и т. п.

Международные стандарты в области информационных технологий разрабатывают Международная организация по стандартизации (ИСО) – Intenational Standards Organization (ISO), Международная электротехническая комиссия (МЭК) – International Electrotechnical Commission (IEC) и др.

Межгосударственные стандарты действуют в рамках Содружества Независимых Государств (СНГ).

Несколько комплексов (систем) отечественных (межгосударственных) стандартов и руководящих документов являются регламентами информационных технологий.

Особое место в этом ряду принадлежит «Системе стандартов по информации, библиотечному и издательскому делу» (СИБИД). Эта система (регистрационный номер 7) насчитывает около 60 действующих стандартов в области научно-технической информации, библиотечного дела, библиографической деятельности, издательского дела, научно-технической терминологии, архивного дела.

Стандарты и руководящие документы на автоматизированные системы объединены в комплекс «Информационная технология» (регистрационный номер 34). Они задумывались в конце 1980-х гг. как всеобъемлющий комплекс взаимоувязанных межотраслевых документов. Основное назначение стандартов этой группы – обеспечение совместимости компонентов систем и информационных ресурсов, переносимость прикладных программ и баз данных между отдельными операционными платформами. Они предъявляют требования к моделям, структуре, функциям информационных систем, их отдельным компонентам, процессам, языковым средствам, процедурам тестирования и т. п. Так, ГОСТ 34.003-90. «Автоматизированные системы. Термины и определения» содержит понятийную характеристику автоматизированных систем, их основных компонентов, специфических свойств и показателей эффективности, процессов создания и функционирования, описание обеспечивающих подсистем. В стандартах данного комплекса охарактеризованы основные стадии создания автоматизированных систем (ГОСТ 34.601-90. Автоматизированные системы. Стадии создания; ГОСТ 34.603-92. Виды испытаний автоматизированных систем); предъявлены жесткие требования к документации (виды, комплектность, структура, содержание), создаваемой на различных этапах создания и функционирования информационных систем (ГОСТ 34.201-89. Виды, комплектность и обозначения документов при создании автоматизированных систем); классифицированы технические и иные обеспечивающие средства (ГОСТ 34.401-90. Средства технические периферийные автоматизированных систем дорожного движения. Типы и технические требования).

Актуальными для сферы информационных технологий являются стандарты других систем, например, Единая система программной документации (ЕСПД, регистрационный номер 19). Стандарты этого комплекса связаны преимущественно с документированием функциональных характеристик программных средств, т. е. регламентируют процесс их разработки. Большая часть стандартов ЕСПД была разработана в 1970–1980-е гг., морально устарела и нуждалась в пересмотре на основе международных требований. Поэтому в 90-е гг. в России были разработаны на основе прямого применения международных стандартов ИСО: ГОСТ Р ИСО/МЭК 9294-93. Информационная технология. Руководство по управлению документированием программного обеспечения; ГОСТ Р ИСО/МЭК 9125-93. Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению и другие регламенты. С 1999 г. в России и странах СНГ введен базовый стандарт ЮСТ Р ИСО/МЭК 12207-99. Информационная технология. Процессы жизненного цикла программных средств. В стандарте охарактеризованы типовые процессы разработки и функционирования компьютерных программ: основные (приобретение, поставка, разработка, функционирование, сопровождение), вспомогательные (решение проблем, документирование, управление конфигурацией, гарантирование качества), организационные (управление, создание инфраструктуры, усовершенствование, обучение).

Формируется подсистема регламентов в области защиты информации, она включает государственные и международные стандарты (например, стандарт ISO 17799 : 2000. Информационная технология. Практический кодекс по менеджменту информационной безопасности; ГОСТ Р 50922-96. Защита информации. Основные термины и определения и др.), руководящие документы (РД) Госкомтехкомиссии России (ГКТ) («Концепции защиты средств вычислительной техники от несанкционированного доступа к информации», «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и др.).

Регламентирована процедура оценки качества и сертификации БД и программных продуктов (ГОСТ 28195-89. Оценка качества программных средств. Общие положения; ГОСТ 28806-90. Качество программных средств. Термины и определения и др.).

Государственные и международные стандарты на программные средства и автоматизированные информационные системы носят рекомендательный характер и становятся обязательными в случае, если договор на разработку программных средств или автоматизированных систем содержит ссылку на конкретные регламенты.

Внедрение в практику информационных учреждений менеджмента качества невозможно без опоры на стандарты Системы менеджмента качества ISO 9000.

Взаимодействие информационных систем, сетевые информационные технологии обеспечивается регламентами особого вида – протоколами.

Протокол – совокупность правил, нормализующих формат и процедуры обмена информацией между взаимодействующими компонентами и подсистемами информационных систем, например, протокол передачи файлов с компьютера на компьютер (File Transfer Protocol – FTP), широко используемый в среде Интернет; протокол обмена HTML – документами (Hypertext Transfer Protocol – HTTP); Z39.50 – группа стандартов и соответствующих им протоколов, обеспечивающих сетевой поиск в распределенных информационных системах.

Интернет как виртуальное объединение десятков тысяч локальных, региональных, национальных и международных сетей стал реальностью благодаря тому, что разработчики смогли предложить такие протоколы обмена данными в сети, которые были приняты и поддержаны де-факто как единые стандарты обмена между всеми существующими типами локальных сетей в мире.

В условиях глобализации информационного пространства, информатизации всех сфер человеческой деятельность унификация и стандартизация информационных технологий, совместимость их программного, технического, лингвистического обеспечения становятся ключевыми теоретическими, практическими и организационными проблемами информационной деятельности.


На главную