ЛР / ИМ ЛР1

ГУАП

КАФЕДРА №82

ОТЧЕТ ЗАЩИЩЕН С ОЦЕНКОЙ

ПРЕПОДАВАТЕЛЬ

ОТЧЕТ О ЛАБОРАТОРНОЙ РАБОТЕ №1

СТАНДАРТЫ И МЕТОДОЛОГИИ СОЗДАНИЯ И ЭКСПЛУАТАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ

по курсу: ИНФОРМАЦИОННЫЙ МЕНЕДЖМЕНТ

РАБОТУ ВЫПОЛНИЛ СТУДЕНТ ГР. №

Санкт-Петербург 2023

Цель работы

Изучение российских стандартов, регламентирующих создание,

эксплуатацию и аудит информационных систем.

Ход работы

1. Систематизировать комплекс государственных и международных стандартов, регламентирующих процессы разработки ИС.

При этом необходимо отразить назначение стандарта, наименование стандарта, их взаимосвязь (идентичность).

Разработка информационных систем (ИС) регулируется множеством государственных и международных стандартов. Ниже перечислены некоторые из них, с указанием их назначения, наименования и взаимосвязи:

a) Стандарт ISO/IEC 12207:2008 "Жизненный цикл программного обеспечения" - определяет процессы и задачи, которые необходимо выполнить в ходе разработки программного обеспечения. Этот стандарт включает в себя процессы, связанные с управлением проектом, требованиями,

проектированием, кодированием, тестированием и сопровождением программного обеспечения.

b)Стандарт ISO/IEC 27001:2013 "Информационная технология.

Методы обеспечения безопасности. Системы менеджмента информационной безопасности" - устанавливает требования к системам менеджмента информационной безопасности. Он определяет, какие меры безопасности должны быть реализованы для защиты конфиденциальности, целостности и доступности информации.

c) Стандарт ISO/IEC 15288:2015 "Системная инженерия. Жизненный цикл систем" - определяет процессы и задачи, необходимые для успешного завершения проекта по разработке системы. Он включает в себя процессы,

связанные с управлением проектом, требованиями, проектированием,

тестированием, внедрением и сопровождением системы.

2

d)Стандарт ISO/IEC 12207:2017 "Жизненный цикл программных средств" - аналогичен стандарту ISO/IEC 12207:2008, но включает дополнительные процессы, связанные с использованием стороннего программного обеспечения и адаптацией программного обеспечения для конкретной среды.

e)Стандарт ISO/IEC 15504:2012 "Оценка процессов. Процессы жизненного цикла программных средств" - предоставляет методы оценки качества процессов разработки программного обеспечения. Он включает в себя шкалу оценки, определяющую уровень зрелости процессов в разработке

программного обеспечения.

2. Дать краткую характеристику основных международных методологий и стандартов, применяющихся при создании, эксплуатации и аудите ИС.

Существует множество методологий и стандартов, которые используются при создании, эксплуатации и аудите информационных систем

(ИС). Эти методологии и стандарты определяют требования к ИС и помогают обеспечить их безопасность и эффективность.

a) ITIL (Information Technology Infrastructure Library) - методология управления ИТ-инфраструктурой и сервисами. Она предоставляет набор практик и процессов, которые помогают организациям управлять своими ИТ-

сервисами и обеспечивать их высокое качество.

b)COBIT (Control Objectives for Information and Related Technology) -

фреймворк для управления ИТ-услугами. Он предоставляет набор стандартов,

которые позволяют оценить эффективность управления ИТ-ресурсами и разработать планы по улучшению управления ИТ-сервисами.

c) ISO 27001 - стандарт для управления информационной безопасностью. Он определяет требования к системе управления информационной безопасностью (СУИБ) и помогает организациям обеспечить защиту конфиденциальности, целостности и доступности информации.

3

d)ISO 20000 - стандарт для управления ИТ-сервисами. Он определяет требования к системе управления ИТ-сервисами (СУИТ) и

помогает организациям обеспечить высокое качество ИТ-услуг для своих клиентов.

e)NIST SP 800-53 - стандарт для управления информационной безопасностью. Он определяет требования к системе управления

информационной безопасностью и содержит список контролов безопасности,

которые должны быть реализованы для защиты информации.

f) PCI DSS (Payment Card Industry Data Security Standard) - стандарт безопасности данных платежных карт. Он определяет требования к защите конфиденциальной информации, связанной с платежными картами, и

помогает организациям обеспечить безопасность транзакций с использованием платежных карт.

Вышеупомянутые методологии и стандарты играют важную роль в обеспечении безопасности и эффективности ИС. Они помогают организациям управлять своими ИТ-сервисами, защищать информацию от несанкционированного доступа, модификации и уничтожения, и обеспечивать высокое качество ИТ-услуг для клиентов.

3. Изучить ГОСТ 34.201-89 "Виды, комплектность и обозначение документов при создании автоматизированных систем". Описать виды и назначение документов, разрабатываемых на стадиях "Эскизный проект", "Технический проект", "Рабочая документация".

ГОСТ 34.201-89 "Виды, комплектность и обозначение документов при создании автоматизированных систем" определяет виды документов,

необходимых на различных стадиях создания автоматизированных систем

(АС). Каждая стадия проектирования АС требует разработки определенных типов документов, которые включают в себя:

4

a)Эскизный проект:

•Техническое задание (ТЗ) – документ, содержащий требования к АС, ее функциональность, производительность, надежность и другие характеристики;

•Схема организации АС – документ, описывающий структуру АС,

ееосновные компоненты и взаимосвязи между ними;

•Описание функций АС – документ, описывающий функциональность АС и ее возможности.

b)Технический проект:

•Спецификация требований – документ, содержащий подробное описание функций АС, ее производительности, надежности, безопасности и других характеристик;

•Проектная документация – документы, описывающие детали реализации АС, ее компонентов и программного обеспечения, схемы и диаграммы.

c)Рабочая документация:

•Руководство пользователя – документ, описывающий, как пользоваться АС;

•Инструкции по установке и настройке – документы, описывающие процесс установки и настройки АС на конкретной системе;

•Технические описания – документы, содержащие технические характеристики компонентов АС и их взаимодействие.

Цель разработки всех этих документов заключается в том, чтобы обеспечить понимание требований, дизайна, функций и деталей реализации АС всеми участниками процесса создания, эксплуатации и поддержки АС.

5

4. Изучить ГОСТ 34.601-90 "Автоматизированные системы стадии создания". Описать стадии и этапы создания АС.

ГОСТ 34.601-90 "Автоматизированные системы стадии создания"

определяет следующие стадии создания автоматизированных систем (АС):

•Разработка технического задания на создание АС.

c)Эскизный проект:

•Разработка общей концепции АС;

•Разработка схемы организации АС;

•Разработка описания функций АС.

d) Технический проект:

• Разработка проектной документации, описывающей все

компоненты АС, включая аппаратное и программное обеспечение, а также методы испытаний и контроля;

• Разработка спецификаций на АС. e) Рабочий проект:

• Разработка рабочей документации на установку и настройку АС;

• Разработка руководства пользователя;

• Разработка технических описаний на компоненты АС. f) Ввод в эксплуатацию:

•Установка АС;

•Настройка АС;

•Проверка работоспособности АС;

•Обучение пользователей.

6

g)Техническое обслуживание:

•Регулярное техническое обслуживание АС;

•Обеспечение сопровождения и поддержки АС;

•Внесение изменений и улучшений в АС.

5. Классифицировать законодательные акты в области информационных систем и технологий в соответствии со следующими критериями:

-основные нормативно-правовые акты Информационного права;

-основное законодательство о программах для ЭВМ (и БД);

-законодательство, связанное с Интернет-деятельностью;

-подзаконные акты.

a)Основные нормативно-правовые акты информационного права:

•Конституция Российской Федерации;

•Федеральный закон "О персональных данных";

•Федеральный закон "Об информации, информационных технологиях и о защите информации";

•Федеральный закон "О связи";

•Федеральный закон "Об электронной цифровой подписи".

b)Основное законодательство о программах для ЭВМ (и БД):

•Федеральный закон "Об авторском праве и смежных правах";

•Закон Российской Федерации "О защите программ для электронных вычислительных машин и баз данных";

•Федеральный закон "О коммерческой тайне".

c)Законодательство, связанное с Интернет-деятельностью:

•Федеральный закон "Об информации, информационных технологиях и о защите информации";

•Федеральный закон "О связи";

•Федеральный закон "Об электронной торговле";

•Федеральный закон "Об электронной подписи".

7

d)Подзаконные акты:

•Приказы Министерства связи и массовых коммуникаций Российской Федерации;

•Постановления Правительства Российской Федерации;

•Нормативные документы Федеральной службы по техническому и экспортному контролю.

6.В справочно-правовой системе "Консультант Плюс", "Гарант"

или др. найти Гражданский кодекс (ч. 4,) и изучить Главу 69. "Общие положения" Раздела VII. "Права на результаты интеллектуальной деятельности и средства индивидуализации". Дать письменный ответ на вопрос: Какие объекты интеллектуальной собственности, касающиеся области ИТ, являются объектом правового регулирования гл. 69

Гражданского кодекса?

Объекты интеллектуальной собственности, касающиеся области ИТ,

которые являются объектом правового регулирования главы 69 Гражданского кодекса Российской Федерации, включают:

a)Программы для электронных вычислительных машин (ПО);

b)Базы данных (БД);

c)Средства индивидуализации юридических лиц, товаров, работ и услуг, включая товарные знаки, знаки обслуживания, фирменные наименования;

d)Результаты интеллектуальной деятельности в области компьютерной графики, включая анимационные и мультимедийные произведения;

e)Топологии интегральных микросхем;

f)Ноу-хау, как конфиденциальная информация, включая технические, экономические, организационные знания, носящие

конфиденциальный характер и имеющие коммерческую ценность.

Глава 69 Гражданского кодекса устанавливает правовые основы охраны этих объектов интеллектуальной собственности, а также определяет порядок

8

иусловия их использования, передачи и защиты.

7.В справочно-правовой системе найти Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и защите информации". Дать письменный ответ на вопрос: Какие виды ответственности за правонарушения в сфере информации, информационных технологий и защиты информации предусмотрены данным Федеральным законом?

Федеральный закон "Об информации, информационных технологиях и о защите информации" определяет различные виды ответственности за нарушения в сфере информации, информационных технологий и защиты информации. К ним относятся:

a)Административная ответственность - предусмотрена для лиц,

которые нарушают требования закона в области информации,

информационных технологий и защиты информации. К таким нарушениям относятся, например, непредставление или представление заведомо ложной информации, распространение запрещенной информации, нарушение порядка работы информационных систем и т.д. За такие нарушения могут быть наложены административные штрафы, а в некоторых случаях и административное приостановление деятельности.

b)Гражданская ответственность - предусмотрена для лиц,

причинивших вред другим лицам в результате нарушения правил в области информации, информационных технологий и защиты информации. К таким нарушениям относятся, например, нарушение прав на интеллектуальную собственность, раскрытие коммерческой тайны и т.д. За такие нарушения могут быть возмещены материальный и моральный ущерб, а также компенсированы другие понесенные потери.

c) Уголовная ответственность - предусмотрена для наиболее серьезных нарушений в области информации, информационных технологий и защиты информации, например, незаконный доступ к компьютерной информации, создание или распространение вирусов, хакерских атак и т.д. За

9

такие преступления могут быть назначены различные виды наказания,

включая лишение свободы, штрафы и т.д.

Кроме того, Федеральный закон предусматривает и другие виды ответственности, например, дисциплинарную ответственность для государственных служащих за нарушения правил в области информации и защиты информации, а также административную ответственность для юридических лиц.

10