Стандарты, регламентирующие обеспечение адекватности функционирования автоматизированных информационных систем
Г.
Преподаватель: Селюн Е.В.
3.3. Стандартизация и сертификация АИС
Проблемы обеспечения качества функционирования и информационной безопасности автоматизированных информационных систем в самых различных областях их применения являются для России остро актуальными. Создание персональных ЭВМ, появление возможностей практически неограниченного развития автоматизированных систем на базе локальных и глобальных сетей, внедрение ЭВМ в структуры государственного управления, разрабатываемое вооружение и военную технику, в системы передачи информации, в финансовые и банковские системы, в другие критические сферы деятельности человека позволили, с одной стороны, на несколько порядков увеличить объемы перерабатываемой информации и за счет этого повысить оперативность и качество решения прикладных задач, а с другой стороны — поставило пользователей информации в жесткую зависимость от правильности функционирования программно-технических средств и качества используемой выходной информации.
До конца 80-х годов в условиях острого дефицита вычислительных ресурсов (таких как быстродействие процессора, емкость оперативной и внешней памяти ЭВМ) отечественной промышленности в целом удавалось обеспечивать выполнение требований к качеству функционирования АИС. Это достигалось, главным образом, за счет создания специализированных информационно-вычислительных систем и программного обеспечения, жестко ориентированных на конкретные функции. Следствием явилось непомерное увеличение стоимости и сроков разработки, сокращение жизненного цикла систем из-за невозможности их развития на современной вычислительной платформе, переносимости и сопровождаемости программного обеспечения (ПО). В условиях перехода России к рыночной экономике такой подход к разработке АИС себя полностью исчерпал.
Современный этап создания и развития отечественных АИС характеризуется следующими условиями, способствующими снижению их качества:
· жесткой конкурентной борьбой (в том числе и с зарубежными фирмами и совместными предприятиями) за отечественный рынок сбыта информации;
· расширением областей функционального применения, совершенствованием и развитием существующих АИС, объективной необходимостью существенного увеличения объема перерабатываемой и передаваемой информации с использованием средств автоматизации;
· использованием непроверенного ПО (в том числе зарубежного общесистемного и технологического ПО ввиду недостаточности качественных отечественных аналогов), представляемого в виде «черного ящика» без исходных текстов и являющегося по этой причине потенциальным обладателем закладных элементов, создающих угрозу информационной безопасности АИС.
В этих условиях наиболее перспективным способом проверки достигнутого качества выступает сертификация, которая только начинает внедряться в практику создания и применения АИС в России. Сертификация — подтверждение достигнутого качества независимыми экспертами с выдачей сертификата соответствия требованиям стандартов.
Комплекс проблем сертификации АИС в принципе близок к проблемам, которые приходится решать для других видов изделий. Однако вследствие их новизны, высокой сложности объектов сертификации и многообразия показателей качества появился ряд особенностей этих проблем:
· научно-методические проблемы состоят в создании эффективных по затратам ресурсов методов сертификационных испытаний, гарантирующих достоверное определение заданных показателей качества функционирования АИС и соответствие документации;
· технологические проблемы заключаются в обеспечении реализации методов испытаний АИС средствами автоматизации, тестирования и организации регламентированных проверок качества программ, данных и документации на разных этапах их создания и при сертификационных испытаниях;
· проблемы стандартизации и нормативной документации сводятся к созданию, последующему выбору и адаптации документов, применяемых для сертификационных испытаний АИС;
· организационные проблемы состоят в создании международных, государственных и ведомственных органов, ответственных за сертификацию АИС, в определении их прав и обязанностей, в оснащении их необходимыми нормативно-методическими и инструментально-технологическими средствами;
· экономические проблемы сводятся к выявлению, оценке и применению экономически эффективных методов испытаний АИС, обеспечивающих заданную достоверность определения качества их функционирования, к разработке экономических механизмов взаимодействия организаций и специалистов по сертификации с разработчиками и заказчиками АИС;
· правовые проблемы заключаются, прежде всего, в создании юридических механизмов процессов сертификации и использования их результатов, создании нормативов, правил взаимодействия и распределения экономической и юридической ответственности между поставщиками, испытателями и потребителями (заказчиками) АИС за несоответствие реальных показателей качества гарантированным характеристикам сертифицированных изделий.
Наибольшую сложность при организации сертификации представляют научно-методические и технологические проблемы, а также проблемы нормативной документации. Во многом это объясняется принципиальными изменениями современных объектов информатизации:
· формализуется и фиксируется широкий спектр конкретных показателей качества функционирования АИС (резко возросли требования к их информационной безопасности);
· значительно увеличилось количество АИС, предназначенных для обработки информации и управления сложными объектами в реальном времени;
· комплексы программных средств и баз данных, предназначенных в АИС для решения единой целевой задачи, могут размещаться на удаленных и разнородных аппаратных платформах, образуя системы распределенной обработки информации (в том числе открытые системы);
· масштабы или размерность функционально законченных, проблемно-ориентированных программных средств (ПС) резко возросли и достигают сотен тысяч и миллионов строк текста, а объем информации баз данных (БД) — десятков и сотен мегабайт, трудоемкость создания таких ПС и БД измеряется сотнями человеко-лет, а длительность разработки и актуализации баз данных достигает нескольких лет;
· накоплено огромное количество функционально законченных высококачественных программных компонентов, пакетов прикладных программ и информационных массивов баз данных, готовых к повторному использованию в различных приложениях и сочетаниях.
В этих условиях сертификация АИС призвана повысить степень доверия к системе, оценить достигнутый уровень ее качества. Вместе с тем, попытки механического выполнения полного набора требований сотен стандартов и других нормативных документов при создании АИС, различающихся принадлежностью и спецификой функционального применения, могут привести к обратному эффекту вследствие отсутствия обоснованной технической политики в области обеспечения качества функционирования АИС. Поэтому сертификация АИС должна гармонично вписываться в процессы создания и эксплуатации АИС для достижения целей проводимой технической политики.
При этом важным представляется дальнейшее проведение научных исследований в направлениях поиска путей повышения качества функционирования и информационной безопасности АИС, разработки государственной технической политики в области сертификации АИС, создания адекватного комплекса нормативной и методической документации, инструментально-технологических средств испытаний.
3.3.1 Организационно-правовые документы в области стандартизации и сертификации. Обзор существующих правовых документов
К стандартам, регламентирующим обеспечение адекватности функционирования АИС, отнесены стандарты в области систем качества, стандарты, регламентирующие управление проектированием, разработку и тестирование ПО, а также документирование АИС. При изложении материала используются очень близкие термины: программные средства, программные продукты и программное обеспечение. В международных стандартах, как правило, для основных используемых терминов приводятся определения в тексте самого стандарта, при этом наблюдаются незначительные отличия при, определении одного и того же термина в различных стандартах. Поскольку эти отличия малосущественны с точки зрения применения программ в АС, в дальнейшем для понимания изложения будем придерживаться следующих определений:
1. программное средство — программа, предназначенная для многократного применения на различных объектах разработчика любым способом и снабженная комплектом программных документов (по ГОСТ 28195-89);
2. программный продукт — набор компьютерных программ, процедур и связанные с ними документация и данные (по стандарту ISO/IEС 12207-95);
3. программное обеспечение АИС — совокупность программ на носителях данных и программных документов, предназначенная для отладки, функционирования и проверки работоспособности АС (по ГОСТ 34.003-90).
Стандарты в области систем качества, реализуемых на предприятиях-разработчиках:
К стандартам в области систем качества относятся международные стандарты:
· ISO 08402:1986. Качество. Словарь;
· ISO 9000:1987. Система качества. Общее руководство качеством и стандарты по обеспечению качества;
· ISO 9001:1987. Система качества. Модель для обеспечения качества при проектировании и (или) разработке, производстве, монтаже и обслуживании;
· ISO 9002:1987. Система качества. Общие мероприятия по обеспечению качества при производстве и монтаже изделий;
· ISO 9003:1987. Система качества. Общие мероприятия по обеспечению качества при окончательном их контроле и испытаниях;
· ISO 9004:1987. Система качества. Общие мероприятия по обеспечению качества при внедрении и общем руководстве системой качества с целью производства конкурентоспособной продукции;
· ISO 10011-1:1990. Руководящие указания по проверке системы качества. Часть 1: Проверка.
В России соответствующие стандарты серии ISO 9000 действуют без принципиальных изменений в рамках ГОСТ 40.9000-9004:1988 г.
Стандарт ISO 8402 содержит основные термины, относящиеся к понятию качества, которые рекомендуются для их применения к продукции и услугам, для разработки и использования стандартов по качеству, а также для установления взаимопонимания в международных связях.
Стандарты серии ISO 9000 представляют собой руководящие указания по выбору и применению основных понятий качества, принципиальных концепций и критериев, раскрытых более подробно в стандартах ISO 9001-9004. В головном стандарте выделены три задачи в решении проблемы качества:
· достижение и поддержка качества продукции или услуг на уровне, удовлетворяющем потребителей;
· обеспечение руководству уверенности в достижении и поддержке качества на заданном уровне;
· обеспечение потребителю уверенности в том, что заданное качество достигается или будет достигнуто.
Изложены рекомендации по применению международных стандартов по системе качества при оформлении контрактов, при выборе моделей обеспечения качества и оценках системы качества поставщика, предшествующих заключению контракта. Часть 3 этого стандарта относится непосредственно к управлению проектированием и обеспечению качества программных средств.
Головной стандарт группы ISO 9001 помогает оценивать способность поставщика не только успешно проектировать изделия, но также производить их и проверять. В стандарте подробно изложены требования к системе качества и ее компонентам. Определена ответственность руководства за политику и организацию в области качества, представлены общие требования к управлению проектированием, документацией и проведением испытаний.
Сформулированы правила регистрации данных о качестве, контроля и корректировки качества продукции, подготовки специалистов в области качества. Большинство положений стандарта может использоваться при создании информационных технологий и программных средств. Однако стандарт определяет самые общие принципы обеспечения качества и необходима адаптация и интерпретация его положений применительно к программам и базам данных.
В стандартах ISO 9002-9004 регламентированы общие мероприятия по обеспечению качества: при производстве и монтаже изделий (9002), при окончательном их контроле и испытаниях
(9003), при внедрении и общем руководстве системой качества с целью производства конкурентоспособной продукции (9004). Применение этих документов для разработки АИС сопряжено с рядом трудностей из-за сложности формализации процедур разработки, контроля промежуточных результатов, определения качества изделий и других факторов. Тем не менее весьма полезным при создании АИС может быть стандарт ISO 9004, значительно превышающий по объему и глубине содержания предшествующие стандарты этой группы. В нем подробно изложена структура системы качества и петля качества, содержание процессов управления и документирования системы качества, анализ и оценка системы руководства качеством. Специальные разделы посвящены экономике и затратам на обеспечение каче-ства, качеству при проектировании и разработке технических условий, качеству в процессе производства, при испытаниях и совершенствовании изделий, а также осуществлению маркетинга.
Особое значение при разработке АИС имеет стандарт ISO 9000-3: 1991. Общее руководство качества и стандарты по обеспечению качества. Часть 3: Руководящие указания по применению ISO 9001 при разработке, поставке и обслуживании программного обеспечения.
Руководящие указания применимы в контрактных ситуациях в области продукции программного обеспечения, когда:
a) контрактом особо оговариваются усилия по проектированию, а требования к продукции устанавливаются преимущественно в виде технических характеристик или же их еще предстоит установить;
b) уверенность в качестве продукции может быть достигнута путем соответствующей демонстрации собственных возможностей поставщика в разработке, поставке, техническом обслуживании и ремонте.
Продукция программного обеспечения определена как полный набор компьютерных программ, процедур и связанных с ними документации и данных, предназначенных для решения определенных функциональных задач и поставки пользователю или заказчику.
Руководящие указания предназначены для унификации описания методов разработки и поставки ПС, а также способов контроля их качества, отвечающих требованиям заказчика. Это предлагается достигать посредством предотвращения отклонений от стандарта на, всех этапах ЖЦ от начала разработки до технического обслуживания и ремонта. Предполагается, что контрактом особо оговариваются важнейшие компоненты технологии проектирования и требования к техническим характеристикам ПС или их предстоит установить в процессе разработки. Руководство компании-поставщика должно документально оформить цели, технологию и свои обязательства по обеспечению качества ПС. Должны быть определены ответственность, полномочия и взаимодействие всего руководящего, исполняющего работы и контролирующего персонала, который влияет на качество создаваемого комплекса программ.
Действия по обеспечению и проверке качества должны проводиться персоналом поставщика, независимым от специалистов, непосредственно ответственных за выполнение работ и создание изделий. Они должны включать анализ проекта, проверку системы обеспечения качества, контроль и испытания ПС при проектировании, производстве, монтаже и обслуживании под управлением ответственного представителя руководства поставщика. Покупатель-заказчик должен назначать своего представителя, ответственного за сотрудничество с поставщиком в процессе создания ПС по данному контракту. Следует планировать регулярные совместные анализы состояния проекта поставщиком и заказчиком с оценкой соответствия ПС спецификации требований (техническим условиям) заказчика, с документированием согласованных результатов проверок и испытаний.
В стандарте определена структура системы обеспечения качества и ее функции в жизненном цикле ПО. Эта деятельность предусматривает:
· анализ содержания контракта, поддержанного методиками, обеспечивающими качество ПО;
· специфицирование требований заказчика, включающих все функциональные и технические характеристики, необходимые для удовлетворения запросов заказчика;
· планирование процесса разработки, включающее формализацию этапов, график, ресурсы, методы и средства разработки, а также контроль и способы проверки результатов по этапам работ;
· планирование обеспечения качества компонентов, а также ПО в целом; которое должно актуализироваться и конкретизироваться по мере проведения разработки;
· проектирование и реализацию проекта; для этого определяются методология и средства выполнения соответствующих работ, а также проводится общий анализ их результатов, направленный на обеспечение выполнения требований заказчика;
· испытания и придание им законной силы (сертификация), которые включают планирование, реализацию, оценку результатов и документирование испытаний и сертификации;
· приемку и испытания заказчика для завершения контракта по разработке, монтажу или обслуживанию ПО.
Кроме того, рекомендуется по согласованию с заказчиком регламентировать правила и технологию копирования, поставки, монтажа, технического обслуживания и ремонта ПО. Независимо от этапов работ в технологии и системе качества должна быть определена вспомогательная деятельность:
· по управлению конфигурацией версий ПО и проведению изменений в программах и данных;
· по составу, содержанию и процессу утверждения документации;
· по измерениям характеристик продукции и процессов ее создания, а также по регистрации данных о достигнутом качестве ПО и его компонентов.
В стандарте приводятся рекомендации по взаимодействию с субподрядчиками и использованию их продукции, а также по подготовке специалистов. В целом стандарт является базой для создания согласованных с заказчиком конкретных инструкций по технологии проектирования, поставке и обслуживанию сложных программных средств гарантированно высокого качества.
В стандарте ISO 10011-1 изложены указания по проверке системы качества.