– Технический писатель (ТП) – специалист, создающий документацию на ИС в удобном и доступном для понимания виде для разработчиков, технических специалистов по обслуживанию и пользователей системы.
Тема информационной безопасности стала актуальной с начала 21 века, когда развитие сети Интернет (WWW) позволило создавать ИС, использующие для передачи данных эту сеть. Затем банковские и торговые системы начали внедрять пользовательские интерфейсы, работающие через Интернет, что породило возрастающее количество инцидентов, связанных с атаками хакеров на подобные системы. Большинство современных ИС используют в своей работе Интернет и безопасность информации, которая в них хранится и обрабатывается, потребовало создания целой отрасли стандартов, рассматривающих методы и средства защиты этой информации. К сожалению, устаревшие стандарты на производство и развитие ИС (и документации на них), созданные в конце 80-х годов 20 века такого развития и использования Интернета не предусматривали. Поэтому, до появления новых стандартов, учитывающих современное состояние дел, разработчикам ИС и ТП необходимо самостоятельно включать в документацию на ИС разделы по информационной безопасности.
Стандарты
Стандарты, имеющие отношение к разработке, внедрению и сопровождению информационных систем можно разделить на четыре группы:
1)Стандарты по документации на ИС;
2)Стандарты по процессам документирования ИС;
3)Стандарты по оценке качества документации на ИС;
4)Стандарты по информационной безопасности (кибербезопасности), относящиеся к процессам документирования ИС.
Рассмотрим подробно эти группы стандартов.
Стандарты по документации на ИС
Перечень программной документации на ИС зависит от вида и назначения конкретной системы и определяется техническим заданием на разработку, согласованным между Поставщиком и Заказчиком в рамках Договора на оказание услуг. Разработка программной документации регулируется сводом стандартов, объединенных в комплекс с индексом «19» под общим названием ЕСПД.
Единая система программной документации (ЕСПД) – комплекс государственных стандартов Российской Федерации (межгосударственных стандартов для стран СНГ), устанавливающих взаимосвязанные правила разработки, оформления и обращения программ и программной документации.
В стандартах ЕСПД устанавливаются требования, регламентирующие разработку, сопровождение, изготовление и эксплуатацию программ, что обеспечивает возможность:
– унификации программных изделий для взаимного обмена программами и применения ранее разработанных программ в новых разработках;
– снижения трудоемкости и повышения эффективности разработки, сопровождения, изготовления и эксплуатации программных изделий;
– автоматизации изготовления и хранения программной документации.
Часть программной документации создается для сложных автоматизированных систем (АСУ и АСУ ТП, включающих как программные, так и технические компоненты) и регулируется комплексом стандартов с индексом «34» – Информационная технология. Комплекс стандартов на автоматизированные системы (КСАС). При этом необходимо учитывать, что для документации на программные компоненты систем разработчикам необходимо соблюдать требования ЕСПД, а в отношении документации на технические компоненты – требования ЕСКД.
Единая система конструкторской документации (ЕСКД) – комплекс стандартов, содержащий требования к технической документации, выпускаемой и применяемой на всех стадиях жизненного цикла продукта. В книге не рассматривается разработка документации на технические компоненты автоматизированной системы по ЕСКД.
В таблице 3 представлен полный перечень документации (программной и эксплуатационной) на АС согласно ГОСТ (или ИС, которая может считаться видообразующим типом АС), который может быть использован разработчиком.
Таблица 3. Перечень документации на ИС
Стандарты по процессам документирования
Перечень стандартов, которые нужно использовать при разработке документации на ИС:
ГОСТ 2.105-95 «Общие требования к текстовым документам»;
ГОСТ 2.610-2006 «Правила выполнения эксплуатационных документов»;
ГОСТ 2.601-95 «Эксплуатационные документы»;
РД 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы, требования к содержанию документов»;
ГОСТ 19.101-77 «ЕСПД. Виды программ и программных документов»;
ГОСТ 19.105-78 «ЕСПД. Общие требования к программным документам»;
ГОСТ 19.106-78 «ЕСПД. Требования к программным документам, выполненным печатным способом»;
ГОСТ 19.604-78 «ЕСПД. Правила внесения изменений в программные документы, выполненные печатным способом»;
ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;
ГОСТ Р ИСО/МЭК 15910-2006 «Процесс создания документации пользователя программного средства»;
Р 50-34.126-92 «Рекомендация. Информационная технология. Правила проведения работ при создании автоматизированных систем».
Стандарты по оценке качества документации
Перечень стандартов, которые следует учитывать при разработке документации и по которым проводится сертификация или аттестация ИС:
ГОСТ 28195-89 «Оценка качества программных средств. Общие положения» – по части оценки программной документации;
ГОСТ Р ИСО/МЭК 25041-2014 «Информационные технологии (ИТ). Системная и программная инженерия. Требования и оценка качества систем и программного обеспечения (SQuaRE). Руководство по оценке для разработчиков, приобретателей и независимых оценщиков» – по части оценки эксплуатационной документации;
ГОСТ Р ИСО/МЭК ТО 9294-93 «Информационная технология. Руководство по управлению документированием программного обеспечения» – по части определений, терминологии и типологии документации;
СТ РК 34.010-2002 «Информационная технология. Сертификация программных средств. Порядок проведения экспертизы программной документации» – сборка по стандартам ГОСТ комплексов 19, 24, 34 и ГОСТ Р ИСО/МЭК.
Стандарты по информационной безопасности, относящиеся к процессам документирования
Перечень стандартов по ИБ, которые следует учитывать при составлении документации на ИС:
ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»;
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»
Р 50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»;
ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;
ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;
ГОСТ Р ИСО/МЭК 27001 «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта – ISO/IEC 27001:2005;