Следите за новостями

Цифра дня

138 тыс. цифровых доверенностей оформлено через «Цифровой нотариат» с момента запуска

    Аттестация информационных систем — шаг навстречу качеству

    Интервью с Канатом Абильдиным, первым заместителем директора Республиканского государственного предприятия «Центр технического сопровождения и анализа в области телекоммуникаций» АИС РК о вопросах аттестации и сертификации информационных систем.

    25 сентября 2009 14:40, Димаш Джиталов, Digital Kazakhstan

    В мире существует множество систем аттестации и сертификации программных продуктов, как международных, так и национальных. Подобные системы нужны любому государству, стремящемуся обеспечить собственную безопасность и проверить эффективность капвложений на приобретение или разработку ИС. Законы налагают на информационные системы, связанные с национальной безопасностью, определенные ограничения, которые разработчики программного обеспечения обязаны соблюдать.

    Как известно, закон «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационно-коммуникационных сетей» вызвал большой интерес в обществе и стал предметом оживленных дискуссий. Вместе с тем практически незамеченными остались некоторые важные нововведения, касающиеся вопросов аттестации и сертификации информационных систем. Более подробно на эту тему мы поговорили с Канатом Жанатовичем Абильдиным, первым заместителем директора Республиканского государственного предприятия «Центр технического сопровождения и анализа в области телекоммуникаций» Агентства Республики Казахстан по информатизации и связи.

    Канат Абильдин, первый заместитель директора Республиканского государственного предприятия «Центр технического сопровождения и анализа в области телекоммуникаций»

    — Действительно, изменения, внесенные в Закон Республики Казахстан от 11 января 2007 года «Об информатизации» закрепили необходимость обязательной аттестации государственных информационных систем на их соответствие требованиям информационной безопасности. Негосударственные информационные системы, интегрируемые с государственными информационными системами, также подлежат аттестации на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам.

    Только при условии положительного результата испытаний программных продуктов, программных кодов и экспертизы нормативно-технической документации в испытательной лаборатории информационные системы могут быть введены в эксплуатацию.

    Аттестация программной, как и любой другой продукции, вводится в целях защиты пользователей от недоброкачественной продукции. Она предоставляет определенную гарантию того, что программный продукт соответствует требованиям нормативных документов, условиям и характеристикам, описанным в документации. Нередки случаи, когда в процессе аттестации происходит совершенствование, повышение качества программного средства, как в части уточнения нормативных требований, так и в части решаемых проектных задач.

    Сегодня на казахстанском IT-рынке достаточно широко представлена и применяется программная и аппаратная продукция как мировых, так местных производителей, разработанная по существенно различающимся стандартам и требующая адаптации к требованиям безопасности, принятым в Казахстане.

    — Испытания, аттестация возложены на ваш Центр. О какой степени готовности можно говорить?

    — С ноября 2008 года в нашем Центре действуют три испытательные лаборатории: 1) программных средств и баз данных; 2) в области телекоммуникаций; 3) информационной безопасности.

    Испытательная лаборатория программных средств и баз данных имеет Аттестат аккредитации ТОО «Национальный центр аккредитации» о соответствии требованиям СТ РК ИСО/МЭК 17025 «Общие требования к компетентности испытательных и калибровочных лабораторий». Основная цель этой лаборатории — повышение качества национальных продуктов в области информатизации и исключение фактов недоработки программных продуктов при их вводе в промышленную эксплуатацию. Лаборатория испытывает программные продукты и проводит экспертизу нормативно-технической документации согласно области аккредитации.

    — Какие конкретно услуги предлагаются?

    — В первую очередь, это определение базовых показателей качества ПО, расчет показателей качества программных средств, статический и динамический анализ программных средств и баз данных. Далее — экспертиза программной документации посредством проверки нормативно-технической документации по комплектности, содержанию и оформлению и, наконец, оценка качества программной документации.

    Если говорить о двух следующих лабораториях, то основные направления испытательной лаборатории в области телекоммуникаций — это определение характеристик структурированных кабельных сетей на основе медного кабеля и оптоволоконных линий связи и проверка их соответствия стандартным требованиям.

    Деятельность испытательной лаборатории по информационной безопасности направлена на обеспечение условий для проведения испытаний объектов информатизации с целью определения уровня состояния их информационной безопасности.

    Испытания включают в себя анализ состояния защищенности объектов информатизации, оценку соответствия объектов информатизации требованиям существующих нормативных документов по информационной безопасности, определение недостатков и уязвимостей в обеспечении информационной безопасности согласно принятой классификации, анализ и оценку средств защиты информации объектов информатизации, оценку соответствия средств защиты информации требованиям безопасности.

    — Что необходимо для того, чтобы провести испытания, какие необходимо предоставить документы?

    — Заявку, анкету-вопросник и комплект материалов в зависимости от проводимого испытания: Заявка оформляется для проведения экспертной оценки программных средств и баз данных. Анкета-вопросник заполняется для определения характеристик испытуемого образца и является конфиденциальной.

    По завершении проведения испытаний, испытательной лабораторией формируется Протокол, удостоверяющий результаты испытаний программного средства, замечания и рекомендации.

    — Сколько уже проведено испытаний?

    — Более 60. По итогам ряда испытаний были даны рекомендации, реализация которых на практике позволила программным средствам пройти сертификацию.

    Я также хотел бы добавить, что наши испытательные лаборатории, кроме проведения испытаний, осуществляют еще несколько важных задач: Во-первых, лаборатории принимают участие в разработке и реализации отраслевых политик стандартизации и сертификации в области информационно-коммуникационных технологий и информационной безопасности.

    Во-вторых, они участвуют в разработке и внедрении отраслевых стандартов и нормативных документов системной сертификации программных средств и баз данных, объектов информатизации и кабельной продукции на соответствие требованиям в области информатизации, защиты информации и телекоммуникаций.

    В-третьих, лаборатории задействованы в развитии межотраслевой базы, включая различные программно-аппаратные комплексы для проведения испытаний и сертификации программного обеспечения, объектов информатизации и кабельной продукции.

    И, в-четвертых, лаборатории участвуют в осуществлении мониторинга при проведении тестовых испытаний и ведении отраслевых реестров сертифицированных программных средств и баз данных, средств защиты информации и кабельной продукции.

    Испытательные лаборатории отвечают современным международным стандартам. Статус республиканского государственного предприятия позволяет лабораториям быть независимыми от разработчиков информационных систем, производителей и потребителей телекоммуникационного оборудования. Текущие результаты работы испытательных лабораторий подтверждают техническую компетентность и высокую квалификацию работающих в них специалистов.

    — Спасибо за беседу.

    Подписывайтесь на каналы Profit.kz в Facebook и Telegram.

    Комментарии