Лагоша О.Н. - Сертификация информационных систем (2021). Курс лекций по дисциплине Сертификация информационных систем. Предназначено для студентов специальности Информационные системы и программирование

САНКТПЕТЕРБУРГ
МОСКВА
КРАСНОДАР
2021
СЕРТИФИКАЦИЯ
ИНФОРМАЦИОННЫХ
СИСТЕМ
У ч е б н о е п о с о б и е
О. Н. ЛАГОША
Издание второе, стереотипное
1 / 10

© Издательство «Лань», 2021
© О. Н. Лагоша, 2021
© Издательство «Лань»,
художественное оформление, 2021
Îáëîæêà
П. И. ПОЛЯКОВА
УДК 004.056(075.32)
ББК 32.973.26018.1я723
Л 14
Лагоша О. Н. Сертификация информационных систем :
учебное пособие для СПО / О. Н. Лагоша. — 2е изд., стер. —
СанктПетербург : Лань, 2021. — 112 с. : ил. — Текст : непо
средственный.
ISBN 9785811472123
Учебное пособие содержит курс лекций по дисциплине «Сертификация информационных систем». Предназначено для студентов специальности
«Информационные системы и программирование».
Пособие состоит из двух глав: защита и сохранность информации баз данных, сертификация информационных систем. Представлены концепция,
структура и основные требования национальных и международных стан
дартов в сфере создания программных средств высокого качества. Изложе
ны основы сертификации, обеспечения качества и безопасности программ
ных продуктов на базе международных стандартов серии ИСО 9000.
УДК 004.056(075.32)
ББК 32.973.26018.1я723 2 / 10

3
ВВЕДЕНИЕ
По мере развития информационной индустрии и совершенствования ры- ночных механизмов в России программные средства, информационные систе- мы и технологии, их компоненты и результаты функционирования все в боль- шей степени становятся товарными продуктами. В результате для потребителя становится все более актуальной проблема определения соответствия про- граммных средств установленным требованиям. Решению этой проблемы при- званы способствовать процессы сертификации программной продукции.
Рынок программных средств в России сейчас настолько разнообразен, что в подавляющем большинстве случаев потребитель не в состоянии самостоя- тельно убедиться в соответствии приобретаемой им продукции установленным на государственном уровне нормам и правилам. В результате можно купить программный продукт, который в дальнейшем окажется неработоспособным, а в лучшем случае его эксплуатация будет сопряжена с технологическими, фи- нансовыми и организационными трудностями. Класс подобных проблем реша- ется посредством сертификации.
Сертификация —процедура,посредством которой третья сторона письменно удостоверяет,что продукция, процесс или услуга соответствуют за- данным требованиям.
Сертификация программы — процедура,выполняемая третьей сторо- ной,независимой отизготовителя (продавца) и потребителя программной про- дукции, по подтверждению соответствия определенной программы или про- граммного комплекса установленным требованиям. Требования могут быть за- фиксированы в стандарте или другом документе. В некоторых случаях серти- фикация проводится на соответствие требований, заявленных изготовителем программы или программного комплекса. Результатом выполнения процедуры сертификации является так называемый сертификат соответствия.
Сертификат соответствия — документ,выданный по правилам сис- темы сертификациидля подтверждения соответствия сертифицированной про- дукции установленным требованиям. Сертификация программных средств и систем является элементом общей системы сертификации продукции в Россий- ской Федерации.
Система сертификации — система,располагающая собственными пра- вилами процедурыи управления для проведения сертификации.
Орган по сертификации — орган,проводящий сертификацию соответ- ствия.Орган посертификации может сам проводить испытания или же осуще- ствлять надзор за этой деятельностью, проводимой по его поручению другими органами.
Испытательная лаборатория — лаборатория(центр),который прово- дит испытания впроцессе сертификации.
Аккредитация (испытательной лаборатории или органа по сертифи-
кации) — процедура, посредством которой уполномоченный в соответствии с законодательными актами РФ орган официально признает возможность выпол-
3 / 10

4
нения испытательной лабораторией или органом по сертификации конкретных работ в заявленной области.
Знак соответствия (в области сертификации) — защищенный в уста- новленном порядкезнак, применяемый или выданный в соответствии с прави- лами системы сертификации, указывающий, что обеспечивается необходимая уверенность в том, что данная продукция, процесс или услуга соответствуют конкретному стандарту или другому нормативному документу.
Технические условия (ТУ) — документ,устанавливающий технические требования,которым должна удовлетворять продукция, процесс или услуга. ТУ могут быть стандартом, частью стандарта или самостоятельным документом.
Организационная структура системы сертификации в России включает:
государственный (национальный) орган по сертификации, ведомственные ор- ганы по управлению сертификацией продукции определенных классов, а также испытательные центры (лаборатории).
Основными функциями государственного органа по сертификации явля- ются организация, координация, научно-методическое, информационное и нормативно-техническое обеспечение работ по испытаниям и сертификации, а также аккредитация центров сертификационных испытаний в соответствии с полномочиями национального органа по сертификации.
Ведомственные органы сертификации выполняют те же функции в огра- ниченном объеме для конкретных видов продукции.
Национальным органом по сертификации продукции в Российской Феде- рации является Госстандарт России.
Вся деятельность по сертификации базируется на законодательстве Рос- сийской Федерации, принятых на его основе постановлений и других норма- тивных документов, регулирующих все аспекты деятельности в этой сфере.
В Российской Федерации принят ряд основополагающих законов, кото- рые в разной степени призваны регулировать работы по сертификации в сфере информатизации:
«О защите прав потребителей» устанавливает обязательную сертифика- цию потребованиям безопасности всей продукции, продаваемой на территории
РФ для личных нужд потребителя;
«О поставках продукции для федеральных государственных нужд» уста- навливаетобязательность требований для продукции, поставляемой по госу- дарственному контракту;
«Об информации, информатизации и защите информации»,который ре- гулируетотношения, возникающие при формировании и использовании ин- формационных ресурсов и применения информационных технологий;
«О сертификации продукции и услуг» устанавливает права и обязанности участниковсертификации. Этим законом установлена обязательная и добро- вольная сертификация.
Общие правовые основы сертификации продукции и услуг в Российской
Федерации установлены Федеральным законом от 27.12.2002 № 184-ФЗ
«О техническом регулировании».
4 / 10

5
В этом законе регламентированы следующие вопросы.
Глава 1. Общие положения.
Глава 2. Технические регламенты.
Глава 3. Стандартизация.
Глава 4. Подтверждение соответствия.
Глава 5. Аккредитация органов по сертификации и испытательных лабо- раторий (центров).
Глава 6. Государственный контроль (надзор) за соблюдением требований технических регламентов.
Глава 7. Информация о нарушении требований технических регламентов и отзыв продукции.
Глава 8. Информация о технических регламентах и документах по стан- дартизации.
Глава 9. Финансирование в области технического регулирования.
Глава 10. Заключительные и переходные положения.
Настоящий Федеральный закон регулирует отношения, возникающие при:
– разработке, принятии, применении и исполнении обязательных требо- ваний к продукции, в том числе зданиям и сооружениям (далее — продукция), или к продукции и связанным с требованиями к продукции процессам проекти- рования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации;
– разработке, принятии, применении и исполнении на добровольной ос- нове требований к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, пере- возки, реализации и утилизации, выполнению работ или оказанию услуг;
– оценке соответствия.
Настоящий Федеральный закон также определяет права и обязанности участников, регулируемых настоящим Федеральным законом отношений. В за- коне указано, что сертификация проводится в целях:
– создания условий для деятельности предприятий, учреждений, органи- заций и предпринимателей на едином товарном рынке РФ, а также для участия в международном экономическом, научно-техническом сотрудничестве и меж- дународной торговле;
– содействия потребителям в компетентном выборе продукции;
– защиты потребителя от недобросовестности изготовителя (продавца, исполнителя);
– контроля безопасности продукции для окружающей среды, жизни, здо- ровья и имущества;
– подтверждения показателей качества продукции, заявленных изготови- телем.
В соответствии с данным законом основными задачами сертификации программных средств являются:
– защита пользователей программных средств от приобретения программ, в том числе импортных, которые представляют опасность для жизни, здоровья, имущества, а также для окружающей среды;
5 / 10

6
– обеспечение разработчиков информационных систем, а также широкого круга пользователей этих систем достоверной информацией о состоянии отече- ственного и зарубежного рынков программных средств;
– обеспечение надежного информационного обмена между государствен- ными системами информатизации (налоговая служба, правоохранительные ор- ганы, службы управления трудом и занятостью, образование, здравоохранение и др.);
– обеспечение условий для информационного взаимодействия субъектов негосударственного сектора экономики с субъектами государственного сектора;
– содействие повышению научно-технического уровня и конкурентоспо- собности отечественных информационных систем, технологий и услуг;
– содействие созданию условий для вхождения России в мировое инфор- мационное пространство.
Сертификация программных средств не только обеспечивает удовлетво- рение интересов потребителя, но и приносит определенные выгоды изготовите- лю (поставщику) продукции. Так, в частности, сертификация способствует расширению рынка сбыта программной продукции в тех районах, где потреби- телю неизвестна репутация фирмы. При всех прочих равных условиях это обеспечивает подтверждение качества программных продуктов фирмы по сравнению с продукцией конкурентов. С точки зрения организации торговых взаимосвязей сертификация способствует созданию доверительных отношений между производителями (поставщиками) и потребителями продукции.
Кроме того, существует другой нормативный документ — ГОСТ Р. Сис-
тема сертификации. Этой системой,в частности,определяются правила соз- дания и регистрацииведомственных систем сертификации для конкретных классов продукции.
6 / 10

7
ГЛАВА 1
ЗАЩИТА И СОХРАННОСТЬ
ИНФОРМАЦИИ БАЗ ДАННЫХ
7 / 10

8
ЛЕКЦИЯ 1
ЗАЩИТА ИНФОРМАЦИИ БАЗ ДАННЫХ
Обеспечение безопасности данных на предприятии представляет собой целый комплекс поэтапных мер по их защите.
1. Законодательство Российской Федерации
в области защиты информации
Вопросы правового обеспечения защиты информации занимают все более значительное место в законодательстве Российской Федерации. В приведенном далее списке указаны основные нормативные правовые акты в области инфор- мационной безопасности:
Конституция Российской Федерации.
Закон РФ от 05.03.1992 № 2446-1 «О безопасности».
Закон РФ от 23.09.1992 № 3521-1 «О правовой охране программ для элек- тронных вычислительных машин и баз данных».
Закон РФ от 23.09.1992 № 3526-1 «О правовой охране топологий инте- гральных микросхем».
Закон РФ от 09.07.1993 № 5351-1 «Об авторском праве и смежных пра- вах».
Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне».
Федеральный закон от 29.12.1994 № 77-ФЗ «Об обязательном экземпляре документов».
Федеральный закон от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи».
Федеральный закон от 07.07.2003 № 126-ФЗ «О связи».
Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информа- ционных технологиях и о защите информации».
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Государственные стандарты и руководящие документы:
• по защите от несанкционированного доступа к информации:
ГОСТ Р 50922-96. Защита информации. Основные термины и определе- ния;
ГОСТ Р 50739-95. Средства вычислительной техники. Защита от НСД к информации. Общие технические требования;
ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факто- ры, воздействующие на информацию. Общие положения;
• по криптографической защите и ЭЦП:
ГОСТ 28147-89. Системы обработки информации. Защита криптографи- ческая. Алгоритм криптографического преобразования;
ГОСТ Р 34.10-94 (2001). Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма;
ГОСТ Р 34.11-94. Функция хеширования;
8 / 10

9
• по защите от утечки по техническим каналам:
ГОСТ Р В50170-92. Противодействие иностранной технической разведке.
Термины и определения ГОСТ 29339-92. Защита информации от утечки за счет
ПЭМИН. Общие технические требования;
ГОСТ Р 50752-95. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке сред- ствами вычислительной техники. Методы испытаний.
2. Требования безопасности к серверам баз данных
Корпоративные данные большинства предприятий, организаций, как пра- вило, хранятся в базах данных, управляемых серверами баз данных. Современ- ные серверы баз данных должны удовлетворять следующим требованиям:
– масштабируемость — отсутствие существенного снижения скорости выполненияпользовательских запросов при пропорциональном росте количе- ства запросов и аппаратных ресурсов, используемых сервером баз данных;
– доступность — возможность всегда выполнить запрос;
– надежность — минимальная вероятность сбоев,наличие средств вос- становленияданных после сбоев, инструментов резервного копирования и дуб- лирования данных;
– управляемость — простота администрирования,наличие средств авто- матическогоконфигурирования;
– наличие средств защиты данных от потери и несанкционированного
доступа;
– поддержка доступа к данным с помощью веб-служб;
– поддержка стандартных механизмов доступа к данным(таких как
ODBC, JDBC, OLE DB, ADO.NET).
Несоответствие сервера баз данных какому-либо из этих требований при- водит к тому, что даже у неплохого по другим потребительским свойствам сер- вера баз данных область его применения оказывается весьма ограниченной.
Так, сервер баз данных с плохой масштабируемостью, успешно применявшийся при небольшом объеме обрабатываемых данных, оказывается непригодным в случае увеличения их количества. Именно поэтому лидеры рынка серверов баз данных стремятся производить продукты, удовлетворяющие всем вышепере- численным требованиям.
Современные компьютеры-серверы представляют собой мощные персо- нальные компьютеры, имеющие до 4 процессоров, оперативную память до
64 Гбайт, несколько жестких дисков с общим объемом памяти 3,6 Тбайт. Наи- более известными производителями компьютеров-серверов являются фирмы
Hewlett Packard, Dell, FUJITSU-SIEMENS, IBM, ACER.
Как правило, между клиентским приложением и базой данных, храня- щейся на сервере, не существует прямой связи. Между ними дополнительно встраиваются особые программные модули, позволяющие клиентскому прило- жению получать доступ к базе данных. Такие модули называются механизма-
ми доступа к данным.
9 / 10

10
Существуют два основных способа доступа к данным из клиентских при- ложений:
– использование прикладного программного интерфейса;
– использование универсального программного интерфейса.
Английское название программных интерфейсов — Application Program- ming Interface (API). Прикладной программный интерфейс представляет со- бой набор функций,вызываемых из клиентского приложения. Такие функции инициируют передачу запросов серверу баз данных и получение от сервера ре- зультатов выполнения запросов или кодов ошибок, которые затем обрабатыва- ются клиентским приложением. Прикладной API обеспечивает быстрый доступ к данным, но может работать только с СУБД данного производителя, а замена ее повлечет за собой переписывание значительной части кода клиентского при- ложения. Такие API не подчиняются никаким стандартам и различны для раз- ных СУБД.
Универсальный программный интерфейс обычно реализован в виде библиотек идополнительных модулей, называемых драйверами. Библиотеки содержат некий стандартный набор функций или классов, нередко подчиняю- щийся той или иной спецификации, т. е. стандартизованы. Пользователь имеет возможность настроить универсальный API под необходимый формат базы данных, не изменяя при этом программный код клиентского приложения.
Достоинством прикладных программных интерфейсов является их высо- кое быстродействие, а недостатком — необходимость изменения программного кода приложения при изменении формата базы данных.
Достоинством универсальных программных интерфейсов является воз- можность применения одного и того же API для доступа к разным форматам баз данных, при этом, однако, снижается быстродействие обработки данных из- за наличия дополнительного программного драйвера.
Наиболее популярными среди универсальных механизмов доступа к дан- ным являются Microsoft Data Access Components (MDAC) и Borland Database
Engine (BDE). Основными компонентами MDAC являются Open Database Con- nectivity (ODBC), ОLE DB и ActiveX Data Objects (ADO).

  1   2   3   4   5   6   7   8   9   ...   12