Учебное пособие санктПетербург 2015

202
Методы оценки и измерения
характеристик информационных систем
компетенций в рамках подготовки бакалавров, специ- алистов и магистров;
- обеспечить расширение с участием бизнес-со- общества практики профессиональной переподготов- ки руководителей и специалистов в области стандар- тизации и периодического повышения квалификации персонала, работающего по направлениям стандарти- зации в отраслях экономики;
- обеспечить постоянное взаимодействие нацио- нального органа по стандартизации с Министерством образования и науки Российской Федерации, объедине- ниями работодателей, образовательными учреждениями высшего профессионального образования и среднего профессионального образования и иными образователь- ными организациями по актуализации федеральных государственных образовательных стандартов, а также федеральных государственных требований к образова- тельным программам профессиональной переподготов- ки специалистов в области стандартизации;
- обеспечить совершенствование института под- готовки экспертов в области национальной и между- народной стандартизации в рамках высшего профес- сионального образования или дополнительного про- фессионального образования;
- определить правовой статус эксперта по стандар- тизации в области международной стандартизации.
Реализация «Концепции развития национальной
системы стандартизации РФ на период до 2020 года»
Основными инструментами реализации настоящей
Концепции должны стать разделы отраслевых федераль- ных целевых программ и государственных программ, пос- вященные вопросам стандартизации, планы и программы разработки национальных стандартов, предусматриваю- щие мероприятия по развитию стандартизации и унифи-

203
Стандартизация и сертификация программного обеспечения
кации в отраслях экономики, пересмотр, изменение или отмену устаревших национальных стандартов, ежегодное
(от 10 процентов до 15 процентов) обновление стандар- тов в приоритетных секторах экономики, стандартизацию инновационной продукции, достижение показателей гар- монизации национальных стандартов с международными стандартами на уровне 65 - 70 процентов, а также науч- но-исследовательские работы, направленные на развитие национальной системы стандартизации.
Реализация настоящей Концепции будет осущест- вляться федеральными органами исполнительной влас- ти на основе комплексного межведомственного плана мероприятий в рамках установленных полномочий и бюджетных ассигнований (включая расходы на разра- ботку и актуализацию документов в области стандар- тизации), предусмотренных им федеральным законом о федеральном бюджете на очередной финансовый год и плановый период на осуществление деятельности.
Координация деятельности и взаимодействие федеральных органов исполнительной власти в части стандартизации будет осуществляться национальным органом по стандартизации.
Государственные стандарты
в области программного обеспечения
В 70–х годах были разработаны государствен- ные стандарты 19 серии, получившие название «Еди- ные стандарты программной документации» (ЕСПД).
Они действую до сих пор и носят в основном реко- мендательный характер. Из трех десятков стандартов
ЕСПД чаще всего используются следующие:
- ГОСТ 19.201-78 ЕСПД. Техническое задание.
- ГОСТ 19.202-78 ЕСПД. Составление спецификации.
- ГОСТ 19.301-79 ЕСПД. Программа и методика испытаний.

204
Методы оценки и измерения
характеристик информационных систем
- ГОСТ 19.401-78 ЕСПД. Текст программы.
- ГОСТ 19.402-78 ЕСПД. Описание программы.
- ГОСТ 19.404-79 ЕСПД. Пояснительная записка.
- ГОСТ 19.503-79 ЕСПД. Руководство системно- го программиста.
- ГОСТ 19.504-79 ЕСПД. Руководство программиста.
- ГОСТ 19.505-79 ЕСПД. Руководство оператора.
- ГОСТ 19.508-79 ЕСПД. Руководство по техни- ческому обслуживанию.
За последние тридцать лет разработаны следую- щие группы стандартов:
1. Стандарты с терминами по программному обеспечению (ГОСТ 20886-85, ГОСТ 24402-88, ГОСТ
15971-90, ГОСТ 19781-90, ГОСТ 28806-90, ГОСТ Р
ИСО/МЭК 2382-23-2004).
2. Стандарты, определяющие требования к качест- ву программного обеспечения (ГОСТ 28195-89, ГОСТ Р
ИСО/МЭК 9126-93, ГОСТ Р ИСО/МЭК 12199-2000).
3. Стандарты с требованиями к информацион- ной безопасности программного обеспечения (ГОСТ
Р 50739-95, ГОСТ Р ИСО/МЭК 15408-2008).
4. Стандарты с требованиями к функциональной безопасности программного обеспечения (ГОСТ Р
МЭК 61508-2007).
5. Стандарты с требованиями к документации программного обеспечения (ГОСТ Р ИСО/МЭК ТО
9294-93, ГОСТ Р ИСО 9127-94).
6. Обучающие стандарты (ГОСТ Р ИСО/МЭК
ТО 12182-2002, ГОСТ Р ИСО/МЭК 15026-2002).
7. Стандарты на процессы жизненного цикла про- граммного обеспечения (ГОСТ Р ИСО/МЭК 12207-99,
ГОСТ Р 51904-2002, ГОСТ Р 51189-98, ГОСТ Р ИСО/
МЭК 15504-2009, КТ-178В).

205
Стандартизация и сертификация программного обеспечения
ИСО/МЭК-2:2004 Стандартизация
и смежные виды деятельности
Техническое регулирование — 1. Правовое регулирование отношений в области установления, применения и исполнения обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, а так- же в области установления и применения на добро- вольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, ре- ализации и утилизации, выполнению работ или ока- занию услуг и правовое регулирование отношений в области оценки соответствия (ФЗ «О техническом регулировании»); 2. Правовое регулирование отноше- ний в области установления, применения и исполне- ния требований к продукции и процессам, а также в области их оценки соответствия.
Процесс — совокупность взаимосвязанных и взаимодействующих видов деятельности, преобразу- ющая входы в выходы (ГОСТ ISO 9000:2011).
Безопасность — 1. состояние, при котором от- сутствует недопустимый риск, связанный с причине- нием вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений (ФЗ «О техническом регулировании»); 2. отсутствие недопус- тимого риска, связанного с возможностью нанесения ущерба (Руководство ИСО’ МЭК 2:2004).
Риск — 1. вероятность причинения вреда жиз- ни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципаль- ному имуществу, окружающей среде, жизни или здо-

206
Методы оценки и измерения
характеристик информационных систем
ровью животных и растений с учетом тяжести этого вреда (ФЗ «О техническом регулировании»); 2. сочета- ние вероятности нанесения ущерба и тяжести ущерба
(Руководство ИСО/МЭК 51:1999).
Жизненный цикл продукции — совокупность взаимосвязанных процессов создания и последующе- го изменения состояния продукции от формирования исходных требований к ней до окончания ее эксплуа- тации (потребления) и утилизации.
Стадия жизненного цикла продукции — фаза существования продукции, характеризуемая прису- щим этой фазе состоянием продукции и набором це- ленаправленных процессов для формирования или поддержания такого состояния.
Проектирование и разработка — 1. совокуп- ность процессов, переводящих требования в уста- новленные характеристики или нормативную и тех- ническую документацию на продукцию, процесс или систему (ИСО 9000:2000); 2. процесс разработки тех- нической документации для создания продукции и ор- ганизации ее производства.
ГОСТ Р ИСО/МЭК 17000-2009.
Оценка соответствия
Руководства ИСО, ИСО/МЭК и с недавне- го времени международные стандарты, предмет- но связанные с такими видами деятельности по оценке соответствия, как испытания, контроль и различные формы сертификации, разрабатывают- ся рабочими группами Комитета ИСО по оценке соответствия (КАСКО). В течение многих лет Ру- ководство ИСО/МЭК 2, в последний раз пересмот- ренное в 1996 г., включало в себя базовый словарь по оценке соответствия, составленный из неболь-

207
Стандартизация и сертификация программного обеспечения
шого числа терминов и определений, впервые соб- ранных вместе, чтобы способствовать обмену ин- формацией и пониманию вопросов сертификации продукции на основе стандартов на традиционные промышленные изделия.
Оценка соответствия (conformity assessment):
Доказательство того, что заданные требования к продукции, процессу, системе, лицу или органу вы- полнены. Оценка соответствия включает в себя та- кие виды деятельности, определяемые в настоящем стандарте, как испытание, контроль и сертификация, а также аккредитация органов по оценке соответс- твия. Выражение “объект оценки соответствия” или
“объект” используется в настоящем стандарте для обозначения конкретного материала, продукции, установки, процесса, системы, лица или органа, к которым применима оценка соответствия. Термин
“продукция” включает в свое определение также понятие “услуга”.
Деятельность по оценке соответствия первой стороной (first-party conformity assessment activity): Де- ятельность по оценке соответствия, которую осущест- вляет лицо или организация, предоставляющее объект.
Деятельность по оценке соответствия второй стороной (second-party conformity assessment activity):
Деятельность по оценке соответствия, которую осу- ществляет лицо или организация, заинтересованное в объекте как пользователь.
Деятельность по оценке соответствия третьей стороной (third-party conformity assessment activity):
Деятельность по оценке соответствия, которую осу- ществляет лицо или орган, независимое от лица или организации, предоставляющего(ей) объект, и от поль- зователя, заинтересованного в этом объекте.

208
Методы оценки и измерения
характеристик информационных систем
Система оценки соответствия (conformity assessment system): Правила, процедуры и менеджмент, используемые для выполнения оценки соответствия.
Схема оценки соответствия (программа оценки соответствия) (conformity assessment scheme, conformity assessment programme): Система оценки соответствия, относящаяся к определенным объектам оценки соот- ветствия, к которым применяются одни и те же заданные требования, определенные правила и процедуры.
ГОСТ Р ИСО/МЭК 15288—2005
Информационная технология. Системная
инженерия. Процессы жизненного цикла систем
Настоящий стандарт устанавливает общие осно- вы для описания жизненного цикла систем, созданных людьми, определяет детально структурированные про- цессы и соответствующую терминологию. Определен- ные совокупности этих процессов могут быть реализова- ны на любом иерархическом уровне структуры системы.
Выбранные из этих совокупностей процессы могут быть использованы в течение всего жизненного цикла систе- мы для реализации и управления отдельными стадиями жизненного цикла, что осуществляется путем вовлече- ния всех участников, заинтересованных в достижении конечной цели — удовлетворенности заказчиков.
В настоящем стандарте представлены также про- цессы, которые поддерживают определение, контроль и совершенствование процессов жизненного цикла внутри организации или в рамках какого-либо проек- та. Организации и проекты могут применять эти про- цессы при приобретении и поставке систем.
Настоящий стандарт распространяется на систе- мы, которые созданы человеком и состоят из одного или нескольких следующих элементов: технические средс-

209
Стандартизация и сертификация программного обеспечения
тва, программные средства, люди, процессы (например, процесс оценки), процедуры (например, инструкции оператора), основные средства и природные ресурсы
(например, вода, объекты живой природы, минералы).
Процессы жизненного цикла системы подразде- ляются на четыре группы процессов:
- процессы соглашения;
- процессы предприятия;
- процессы проекта;
- технические процессы.
Процессы соглашения состоят из:
a) Процесса приобретения, используемого орга- низациями для приобретения продукции или получе- ния услуг.
b) Процесса поставки, используемого организа- циями для поставок продукции или оказания услуг.
Данные процессы определяют действия, необ- ходимые для достижения соглашения между двумя организациями. В результате осуществления процес- са приобретения обеспечиваются условия для веде- ния дел с поставщиком продукции, используемой как действующей системой и службами ее поддержки, так и элементами системы, разрабатываемой в рамках проекта. В результате процесса поставки обеспечива- ются условия для управления проектом, результатом которого является продукт или услуга, поставляемые приобретающей стороне.
Процессы предприятия управляют способнос- тью организации приобретать и поставлять продук- цию или услуги посредством запуска проектов, их поддержки и контроля. Процессы предприятия обес- печивают ресурсы и инфраструктуру, необходимые для осуществления проектов, и гарантируют дости- жение целей и исполнение обязательств организации

210
Методы оценки и измерения
характеристик информационных систем
по соглашениям. Эти процессы не рассматриваются в качестве исчерпывающей совокупности бизнес-про- цессов, которые делают возможным стратегическое управление деятельностью организации.
Процессы предприятия включают в себя:
a) процесс управления средой предприятия;
b) процесс управления инвестициями;
c) процесс управления процессами жизненного цикла системы;
d) процесс управления ресурсами;
e) процесс управления качеством.
Процессы проекта используются для установле- ния и выполнения планов, оценки фактических дости- жений и продвижений проекта в соответствии с плана- ми и для контроля выполнения проекта вплоть до его завершения. Отдельные процессы проекта могут осу- ществляться в любой момент жизненного цикла и на любом уровне иерархии проектов как в соответствии с проектными планами, так и с учетом непредвиденных обстоятельств. Уровень точности и формализации, с которой осуществляются процессы проекта, зависит от сложности самого проекта и проектных рисков.
Процессы проекта состоят из следующих процессов:
a) процесс планирования проекта;
b) процесс оценки проекта;
c) процесс контроля проекта;
d) процесс принятия решений;
e) процесс управления рисками;
f) процесс управления конфигурацией;
g) процесс управления информацией.
Технические процессы используются для опре- деления требований к системе, преобразования этих требований в эффективный продукт, позволяющий

211
Стандартизация и сертификация программного обеспечения
осуществлять, при необходимости, устойчивое вос- производство этого продукта, использовать его для обеспечения требуемых услуг, поддерживать обес- печение этими услугами и удалять продукт, когда он изымается из обращения.
Технические процессы определяют совокупность работ, которые позволяют в рамках задач предприятия и проекта оптимизировать прибыли и уменьшать риски, возникающие вследствие принятия технических реше- ний и осуществления соответствующих действий. Эти работы обеспечивают условия для того, чтобы продук- ция и услуги были нужными и полезными, экономичес- ки выгодными, функциональными, надежными, пригод- ными к обслуживанию, производству и использованию и обладали другими качествами, необходимыми для того, чтобы удовлетворить требования как приобретающих организаций, так и организаций-поставщиков. Они так- же обеспечивают условия для того, чтобы продукция и услуги соответствовали ожиданиям или законодатель- ным требованиям общества, включая требования к фак- торам здоровья, безопасности, защиты и экологии.
Технические процессы включают в себя:
a) процесс определения требований правообла- дателей;
b) процесс анализа требований;
c) процесс проектирования архитектуры;
d) процесс реализации элементов системы;
e) процесс комплексирования;
f) процесс верификации;
g) процесс передачи;
h) процесс валидации;
i) процесс функционирования;
j) процесс технического обслуживания;
k) процесс изъятия и списания.

212
Методы оценки и измерения
характеристик информационных систем
Шесть стадий жизненного цикла информацион- ной системы:
a) стадия замысла;
b) стадия разработки;
c) стадия производства;
d) стадия применения;
e) стадия поддержки применения;
f) стадия прекращения применения и списания.