Разработка автоматизированных систем защиты информации

 Подсистема обеспечения  целостности  должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом:  целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;  целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;  должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;  должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;  должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.

 

 

 

 

 

 

           3. Описание заданной методологии проектирования и модели жизненного цикла АС.

Разработка и проектирование АИС  начинается с создания концептуальной модели использования системы. Прежде всего должна быть определена целесообразность создания системы, ее конкретные функции и подлежащие автоматизации задачи. Должна быть выполнена оценка не только целей, но и возможностей создания системы. Далее проводится анализ требований к АИС, детальное проектирование, взаимосвязь этапов, программирование и тестирование, минимизация потерь при переходе от одного уровня представления информации к другому, интеграция в существующую систему, внедрение и поддержка.

Существует три класса методологий  проектирования АИС:

 концептуальное моделирование предметной области;

 выявление требований и спецификация  информационной системы через  ее макетирование; системная архитектура  программных средств, поддерживаемая  инструментальными средствами CASE-технологии (CASE — Computer Aided Software Engineering — технология создания и сопровождения ПО различных систем).

Современные методологии проектирования систем должны обеспечивать описание объектов автоматизации, описание функциональных возможностей АИС, спецификацию проекта, гарантирующую достижение заданных характеристик системы, детальный план создания системы с оценкой сроков разработки, описание реализации конкретной системы.

Спецификация — точное, полное, ясно сформулированное описание требований для данной задачи.

Жизненный цикл АИС

 

В основе создания и использования АИС лежит понятие жизненного цикла (ЖЦ).

 

Жизненный цикл является моделью создания и использования АИС, которая  отражает различные состояния системы  с момента возникновения в  данном комплексе средств до момента  его полного выхода из употребления.

Для АИС условно выделяют следующие  основные этапы их жизненного цикла: анализ — определение того, что  должна делать система;

 проектирование — определение  того, как система будет функционировать:  прежде всего спецификация подсистем,  функциональных компонентов и способов их взаимодействия в системе; разработку — создание функциональных компонентов и отдельных подсистем, соединение подсистем в единое целое; тестирование — проверку функционального и параметрического соответствия системы показателям, определенным на этапе анализа; внедрение — установку и ввод системы в действие; сопровождение — обеспечение штатного процесса эксплуатации системы на предприятии заказчика.

Этапы разработки, тестирования и  внедрения АИС обозначаются единым термином — реализация. ЖЦ образуется в соответствии с принципом нисходящего проектирования и, как правило, носит итерационный характер: реализованные этапы, начиная с самых ранних, циклически повторяются в соответствии с изменениями требований и внешних условий, введением дополнительных ограничений и т. п.

На каждом этапе жизненного цикла  порождается определенный набор  технических решений и отражающих их документов, при этом для каждого  этапа исходными являются документы  и решения, принятые на предыдущем этапе.

Существующие модели жизненного цикла определяют порядок исполнения этапов в процессе создания системы, а также критерии перехода от этапа к этапу. Наибольшее распространение получили три следующие модели.

Каскадная модель предполагает переход  на следующий этап после полного завершения работ предыдущего этапа. Эта модель используется при построении АИС, для которых в самом начале разработки можно достаточно точно и полно сформулировать все требования. Это дает разработчикам свободу реализовать их как можно лучше с технической точки зрения. В эту категорию попадают сложные расчетные системы, системы реального времени и другие. Однако, этот подход имеет ряд недостатков, вызванных прежде всего тем, что реальный процесс создания системы никогда полностью не укладывается в жесткую схему. Например, в процессе создания программного обеспечения возникает потребность в возврате к предыдущим этапам и уточнении или пересмотре ранее принятых решений.

Поэтапная итерационная модель. Эта  модель создания АИС предполагает наличие циклов обратной связи между этапами. Преимущество такой модели заключается в том, что межэтапные корректировки обеспечивают большую гибкость и меньшую трудоемкость по сравнению с каскадной моделью. Однако время жизни каждого из этапов может растянуться на весь период создания системы.

Спиральная модель опирается на начальные этапы жизненного цикла: анализ, предварительное и детальное  проектирование.

 Каждый виток спирали соответствует  поэтапной модели создания фрагмента  или версии системы, на нем  уточняются цели и характеристики проекта, определяется его качество, планируются работы следующего витка спирали. Основная проблема - определение момента перехода на следующий этап. Для ее решения необходимо ввести временные ограничения на каждый из этапов ЖЦ. Переход осуществляется в соответствии с планом, который составляется на основе статистических данных, полученных в предыдущих проектах, и личного опыта разработчиков. Недостатком этого подхода являются нерешенные вопросы и ошибки, допущенные на этапах анализа и проектирования. Они могут привести на последующих этапах к проблемам и даже к неуспеху всего проекта. По этой причине анализ и проектирование должны выполняться особенно тщательной.

 

Методы разработки АИС

 

Существует три метода разработки АИС: оригинальный, типовой, автоматизированный.

Метод оригинального проектирования охватывает все виды работ для  различных объектов, выполняемых  по специальным проектам, включающим оригинальные методики и средства выполнения работ. Методики на всех этапах работ  создаются для конкретного объекта по мере необходимости. Недостатками этого метода являются высокая трудоемкость, большие сроки проектирования, плохие модернизируемость и сопровождаемость.

Метод типового проектирования предполагает разбиение системы на отдельные  модули (элементы, подсистемы, объекты) и разработку для каждого из них законченного проекта. Это позволяет при внедрении адаптировать каждый модуль к конкретным условиям функционирования системы. Например, элементами могут быть ИО, ПО, ТО.

Подсистемами могут выступать функциональные подсистемы сбора информации, распространения информации и т. д.

Метод автоматизированного проектирования предполагает автоматизацию основных этапов создания АИС, начиная от выбора состава задач и заканчивая автоматическим получением проектной документации. Для реализации этого метода используют представленные и выполненные на ЭВМ типовые проекты и типовые проектные решения, ППП, ОС, САПР, CASE-технологии.

Процесс создания АИС многообразен и довольно продолжителен. Он требует  достаточно больших трудовых и денежных затрат. Этот процесс делят на стадии и этапы, на каждом из которых в соответствии с поставленными целями и решаемыми задачами работают специалисты разного профиля и уровня.

 

 

4. Основные стадии создания АИС

 

Стадия создания автоматизированной системы — часть процесса создания АС, установленная нормативными документами и заканчивающаяся выпуском документации на АС, которая должна содержать модель системы на уровне данной стадии, изготовление несерийных компонентов или приемку АС в эксплуатацию.

Каждая стадия выделена по соображениям рационального планирования и организации  работ и обязательно должна заканчиваться  определенным результатом. Содержание документации на каждой стадии определяется составом и спецификой работ.

В ГОСТ 34.601-90 определено восемь стадий создания автоматизированных систем:

Формирование требований к АС.

 Разработка концепции АС.

 Техническое задание.

 Эскизный проект.

 Технический проект.

 Рабочая документация.

 Ввод в действие.

 Сопровождение АС.

Можно выделить три периода создания системы: предпроектный, проектирование, ввод в эксплуатацию.

Стадии 1, 2, 3 относятся к первому  периоду, стадии 4, 5, 6 — ко второму  периоду, стадии 7, 8 — к третьему.

В предпроектный период разрабатывают  технико-экономическое обоснование (ТЭО) и техническое задание (ТЗ) на проектирование системы. В этот период на стадии формирования требований к АС проводят три этапа работ:

обследование объекта предметной области и обоснование необходимости создания системы; формирование требований пользователей к системе; составление отчета о выполненной работе и заявки на разработку системы.На стадии разработки концепции АС проводят четыре этапа работ:изучение объекта; проведение научно-исследовательских работ; выбор варианта концепции системы из нескольких разработанных; составление отчета о выполненной работе.

На 3-й стадии разрабатывают и  утверждают техническое задание  на создание АС.

Техническое задание (ТЗ) — это  перечень основных эксплуатационных, технологических экономических  и других требований, которым должен удовлетворять проектируемый объект на всех этапах его существования.

После утверждения ТЗ начинается второй период создания АС — период проектирования системы.

Проектирование — процесс обоснованного  выбора характеристик системы, формирования логико-математических и экономико-математических моделей, разработки документации.

В начале проектирования разрабатывают  документацию, достаточную для утверждения  намеченных затрат, доходов, дополнительной численности персонала, дополнительных площадей и организационно-технических решений, а при дальнейшем проектировании — для заказа и комплектации оборудования и материалов, его монтажа и наладки, для организации работы АСУ и ее внедрения.

Проектирование АС должна выполнять  специализированная организация — проектировщик АС, соисполнителем может быть генпроектировщик отрасли.

На стадии создания эскизного проекта  на 1-м этапе разрабатывают предварительные  проектные решения по системе  и ее частям, на 2-м — документацию на АС и ее части.

 

На 5-й стадии при создании технического проекта в четыре этапа проводят разработку:

 проектных решений по системе  и ее частям;

 документации на АС и ее  части;

 документации на поставку  изделий для комплектования АС  и ТЗ на их разработку;заданий  н# проектирование в смежных частях проекта объекта автоматизации.

Технический и рабочий проекты  должны пройти экспертизу и утверждение, т. е. оценку экономической эффективности  проекта высококвалифицированными специалистами различных организаций  с целью сведения к минимуму всех видов потерь. После утверждения проекта предприятие получает средства для финансирования.

Экспертизу и утверждение проекта  выполняют генпроекти-ровщик и автоматизируемое предприятие, специализированная проектная  организация.

 На 6-й стадии выполняется  разработка рабочей документации. На 1 -м этапе создают рабочую документацию на систему и ее части. На 2-м этапе осуществляют разработку или адаптацию программ.

Третий период — ввод в эксплуатацию АС. Обеспечивают разработку нестандартного оборудования, комплектацию оборудования, материалов, покупных изделий, монтаж, наладку, внедрение.

Разработка нестандартного оборудования — задание и выполнение НИР (научно-исследовательских  работ) и ОКР (опытно-конструкторских  работ) на необходимое нестандартное  оборудование, включая программное обеспечение.

Разработку нестандартного оборудования выполняют СКБ (специальные конструкторские  бюро), ОКБ и НИИ Министерства приборостроения, средств автоматизации  и систем управления, комплектацию — предприятие через государственные и частные фирмы.

Монтаж начинается после изготовления нестандартного оборудования и комплектации стандартного. Проводит его специализированная монтажная организация.

Наладка — приведение в рабочее  состояние всех технических средств  и обеспечение готовности их работы в процессе опробования испытаний и принадлежностей.

Внедрение — процесс перехода к  практическому применению решений  проекта, когда технические средства системы используются для управления производством по новой технологии, разработанной в проекте.

На 7-й стадии система вводится в  эксплуатацию в восемь этапов:

 подготовка объекта автоматизации  к вводу АС;

 подготовка персонала;

 комплектация АС программными, техническими, информационными средствами  и изделиями;

 строительно-монтажные работы;

 пусконаладочные работы;

 предварительные  испытания;

 опытная  эксплуатация;

 приемочные испытания.

На 8-й стадии: на 1-м этапе предусматриваются  работы по обязательствам гарантийного обслуживания и на 2-м — послегарантийного  обслуживания. Осуществляется авторский надзор генеральным проектировщиком АС (специализированная проектная организация), генеральным проектировщиком отрасли и разработчиком нестандартного оборудования.