مذكرة توضيحية للمشروع الفني. مذكرة توضيحية مذكرة توضيحية لمشروع APCS

28.06.2022عنوان: البناء

27.10.2016 09:57:23

تتناول هذه المقالة مرحلة المشروع الفني، والتي تتعلق بإحدى مراحل دورة حياة نظام أمن المعلومات (ISS) - مرحلة "التصميم"، والتي، وفقًا للمعيار المحلي GOST 34.601-90، تتبع مباشرة تطوير الشروط المرجعية لنظام أمن المعلومات.

1. تطوير وثائق التصميم الفني لبنك الاستثمار القومي

دورة حياة نظام أمن المعلومات (فيما يلي - ISS) في منظر عاميتكون من الخطوات التالية:

تحليل متطلبات أنظمة أمن المعلومات؛
تصميم؛
تطبيق؛
تطبيق؛
استغلال.

تتناول هذه المقالة مرحلة المشروع الفني، التي تنتمي إلى مرحلة "التصميم"، ووفقًا للمعيار المحلي GOST 34.601-90، تتبع مباشرة تطوير الاختصاصات لنظام أمن المعلومات.

1.1. لماذا تطوير الوثائق لبنك الاستثمار القومي على الإطلاق؟

ينبغي النظر في الإجابة على هذا السؤال في طائرتين: في مستوى مالك موارد المعلومات (الذي تم إنشاء نظام أمن المعلومات لحمايته) وفي مستوى المطور المباشر لنظام أمن المعلومات.

بالنسبة لمالك موارد المعلومات، من المهم الحصول على النتيجة في شكل نظام فعال لأمن المعلومات يقلل من مخاطر المساس بمعلومات الوصول المقيدة في المنظمة. يعمل المشروع الفني في هذه الحالة على تطوير المبادئ الأساسية للنظام المستقبلي، أي أنه يتضمن وصفًا لكيفية بناء محطة الفضاء الدولية وعملها، وما هي التدابير والوسائل التي ستضمن حماية المعلومات، وما هي إمكانيات التطوير والتحسين النظام. عند الانتهاء من تطوير مشروع تقني لنظام أمن المعلومات، يتلقى العميل مجموعة شاملة من الوثائق لنظام أمن المعلومات، تصف جميع الفروق الفنية الدقيقة للنظام المستقبلي.

بالنسبة للمنفذ المباشر، في مرحلة المشروع الفني، من الضروري وضع بنية SIS الأكثر ملاءمة، وكذلك إجراء الاختيار الصحيحتدابير ووسائل حماية المعلومات في المنظمة. ومن المهم أيضًا التأكد من مطابقة خصائص وخصائص النظام للمواصفات الفنية، أو تبرير، بمشاركة وموافقة العميل، تعديل المتطلبات المحددة في المواصفات الفنية من أجل زيادة كفاءة النظام الذي تم إنشاؤه.

وبالتالي، نتيجة لتطوير وثائق التصميم الفني، سيكون لدى العميل إجابات على الأسئلة التالية:

ما هو الهيكل العام لبنك الاستثمار القومي؟
ما هي التدابير والوسائل التي سيتم استخدامها لتنفيذ متطلبات حماية المعلومات؛
كيف سيعمل بنك الاستثمار القومي؛
ما هي التغييرات في التنظيم اللازمة لزيادة مستوى أمن المعلومات التي ستتبع نتيجة لتنفيذ محطة الفضاء الدولية؟
هل سيتم أخذ متطلبات العميل (متطلبات العمل) ومتطلبات الإجراءات القانونية التنظيمية في مجال أمن المعلومات في الاعتبار عند تطوير وتنفيذ نظام أمن المعلومات، وإذا كان الأمر كذلك، فكيف.

في عملية تطوير الوثائق الفنية للمشروع، سيحصل المقاول على النتائج التالية:

أساس للانتقال إلى المراحل التالية لبناء محطة الفضاء الدولية، وهي مراحل توثيق العمل والتنفيذ؛
فهم البنية والتقنيات والأدوات المستخدمة وترتيب بناء النظام؛
كيفية تنفيذ متطلبات العميل (متطلبات العمل) والوثائق التنظيمية في مجال أمن المعلومات للنظام.

1.2. مراجعة طرق تطوير وثائق المشروع الفنية

غالبًا ما يتم تطوير المشروع الفني لنظام أمن المعلومات على أساس المعايير والوثائق التوجيهية ذات الصلة. ولل وكالات الحكومةاستخدامها إلزامي، ولكن يوصى به للاستخدام التجاري. من الناحية العملية، تستخدم المنظمات التجارية أيضًا معايير الدولة عند تطوير وثائق المشروع الفنية للأسباب التالية:

نهج تم اختباره مرارا وتكرارا لإنشاء نظم المعلومات؛
هيكل مدروس ومحتوى الوثائق؛
مجموعة من المستندات الكافية لتطوير ووصف أي نظام تقريبًا.

لتطوير الوثائق الخاصة بمرحلة المشروع الفني (TP) لبنك الاستثمار القومي، يتم استخدام معايير الدولة والوثائق التوجيهية للسلسلة 34:

GOST 34.201-89 "أنواع المستندات واكتمالها وتعيينها عند الإنشاء الأنظمة الآلية" يحدد هذا المعيار:
- أنواع وأسماء المستندات في مرحلة TP؛
- اكتمال الوثائق؛
- تسميات المستندات المقبولة؛
- قواعد تعيين نظم المعلومات وأجزائها.
GOST 34.003-90 "المصطلحات والتعاريف"؛
GOST 34.601-90 "الأنظمة الآلية. مراحل الخلق." يحدد المعيار:
- قائمة مراحل العمل المنجزة في المرحلة الفنية؛
- وصف تفصيليالعمل المنجز في المرحلة الفنية.
- قائمة المنظمات المشاركة في إنشاء محطة الفضاء الدولية؛
RD 50-34.698-90 "الأنظمة الآلية. متطلبات محتوى الوثائق." تحدد وثيقة التوجيه هذه متطلبات محتوى المستندات في مرحلة TP.

من المهم أن نفهم أنه وفقًا لسلسلة المعايير الـ 34، فإن التصميم الفني هو مرحلة إنشاء نظام، وليس مجرد مجموعة من المستندات. ومن الناحية العملية، غالبًا ما يتم دمج هذه المرحلة مع مرحلة التصميم الأولي، والتي تعمل على تطوير العديد من الحلول الأولية وتبرير الحل الأكثر ملاءمة. يسمح المعيار بمثل هذا المزيج، ولكن يجب أن يؤخذ في الاعتبار أن هذا لا ينفي الحاجة إلى تحقيق أهداف مرحلة التصميم الأولية.

في أغلب الأحيان، يتم تطوير مرحلة التصميم الأولي في حالة إمكانية تنفيذ متطلبات المواصفات الفنية للنظام بعدة طرق مختلفة بشكل أساسي، وأيضًا عندما لا توجد طرق مفضلة بوضوح بين هذه الطرق.

ومع ذلك، تجدر الإشارة إلى أن المعايير المذكورة أعلاه عامة جدًا وتنفذ بشكل أساسي وظائف التصميم والهيكل العام. لتطوير الجزء الموضوعي من وثائق مرحلة المشروع الفنية، يستخدم المصممون المعلومات من المصادر التالية:

الوثائق التنظيمية الحالية (RLA) التي تنظم متطلبات حماية بعض معلومات الوصول المقيد. تقدم هذه الأفعال القانونية التنظيمية متطلبات تدابير حماية المعلومات في نظم المعلومات، وتصف الفروق الدقيقة في تنفيذ هذه التدابير و تدابير إضافيةيكسب. ومن بين الأفعال القانونية الحالية ما يلي:

أمر FSTEC الروسي بتاريخ 18 فبراير 2013 رقم 21 "بشأن الموافقة على تكوين ومحتوى التدابير التنظيمية والفنية لضمان أمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية"؛
أمر FSTEC الروسي بتاريخ 11 فبراير 2013 رقم 17 "بشأن الموافقة على متطلبات حماية المعلومات التي لا تشكل سر دولة موجودًا في أنظمة معلومات الدولة"
أمر FSTEC الروسي بتاريخ 14 مارس 2014 رقم 31 "بشأن الموافقة على متطلبات ضمان أمن المعلومات في أنظمة الإنتاج الآلي وإدارة الإنتاج العمليات التكنولوجيةفي المرافق الحيوية، والمرافق التي يحتمل أن تكون خطرة، فضلاً عن المرافق التي تشكل خطراً متزايداً على حياة الإنسان وصحته وعلى البيئة؛
الوثيقة المنهجية "تدابير حماية المعلومات في أنظمة معلومات الدولة" التي تمت الموافقة عليها من قبل FSTEC في روسيا في 11 فبراير 2014.

تختلف متطلبات حماية الوصول المحدود إلى المعلومات وقوائم تدابير الحماية بالنسبة لأنظمة المعلومات ذات مستويات/فئات الأمان المختلفة. إذا كانت المعلومات الموجودة في منظمة ما غير محمية وفقًا للقوانين الفيدرالية للاتحاد الروسي (على سبيل المثال، الأسرار الرسمية)، فيمكن لمالك هذه المعلومات استخدام الأساليب المقترحة في هذه الإجراءات القانونية التنظيمية لبناء نظام أمن معلومات الشركة .

تصف المعايير الروسية والأجنبية الأساليب المختلفة لطرق تنفيذ مراحل دورة حياة بناء محطة الفضاء الدولية، بما في ذلك مرحلة التصميم الفني:

سلسلة معايير الدولة GOST R ISO/IEC 2700X، المطابقة للمعايير الدولية ISO/IEC 2700X. تصف هذه المعايير نهج عملية PDCA (التخطيط، التنفيذ، التحقق، التصرف) لتنفيذ دورة حياة نظام إدارة أمن المعلومات، والذي يعد جزءًا لا يتجزأ من نظام أمن المعلومات؛
NIST SP 800-64 هو معيار المعهد الوطني الأمريكي للمعايير والتكنولوجيا الذي يصف دورة حياة تطوير أنظمة المعلومات؛
NIST SP 800-37 هو معيار المعهد الوطني الأمريكي للمعايير والتكنولوجيا الذي يوفر إرشادات لدمج إدارة المخاطر في دورة حياة تطوير أنظمة المعلومات.

الوثائق التشغيلية للشركة المصنعة لمعدات أمن المعلومات والمعدات المساعدة. تحتوي هذه الوثائق شاملة معلومات تقنيةحول الأدوات المستخدمة في بناء أنظمة أمن المعلومات، بما في ذلك تلك المرتبطة بشكل مباشر بتنفيذ تدابير أمن المعلومات التي لا تتعلق، على سبيل المثال، بالخوادم وأنظمة تخزين البيانات وأدوات المحاكاة الافتراضية وغيرها. تختلف المجموعة العامة من هذه المستندات من مصنع لآخر وتعتمد، من بين أمور أخرى، على تنفيذ أداة معينة (أجهزة/برامج). فيما يلي مجموعة قياسية من الوثائق التشغيلية لأدوات أمن المعلومات المستخدمة لتطوير المستندات في مرحلة المشروع الفني:

الوصف العام (ورقة البيانات)؛
دليل المسؤول (قد يتضمن دليل الإدارة المحلي والمركزي)؛
دليل المستخدم؛
دليل التثبيت والنشر السريع (لأنظمة حماية معلومات الأجهزة)؛
دليل المشغل؛
إرشادات للنشر في البنية التحتية الافتراضية (لأنظمة أمن المعلومات البرمجية)؛

معلومات عامة حول بنيات ISS المتاحة، وأفضل الممارسات فيما يتعلق ببناء ISS، وإرشادات للأمن وتكامل أنظمة أمن المعلومات مع بعضها البعض، ومعلومات حول مشاكل تفاعل بعض أنظمة أمن المعلومات. قد تتضمن أمثلة هذه المعلومات المستندات التالية:

أدلة حول بنيات أنظمة أمن المعلومات، على سبيل المثال: Defense-in-Depth، وCisco SAFE، وCheck Point SDP وغيرها؛
أفضل الممارسات في مجال أمن المعلومات، على سبيل المثال، متاحة على هذه الروابط (https://www.sans.org/reading-room/whitepapers/bestprac/، http://csrc.nist.gov/publications/nistpubs/ 800-14 /800-14.pdf). يتم تقديم هذه الوثائق في أغلب الأحيان على اللغة الإنجليزيةومع ذلك، فإن أي مصنع روسي لمعدات الحماية لديه أفضل الممارسات الخاصة به لتنفيذ معدات الحماية ويمكنه توفيرها عند الطلب؛
المبادئ التوجيهية الأمنية لأمن المعلومات وبيئات التشغيل. ومن الأمثلة على ذلك قسم "الأمان" على بوابة Microsoft الرسمية (https://technet.microsoft.com/ru-ru/library/dd637672.aspx).

1.3. تطوير مشروع فني لبنك الاستثمار القومي وفقًا لـ GOST 34

غالبًا ما يتم تطوير الوثائق في مرحلة المشروع الفني لمحطة الفضاء الدولية بواسطة من يتكاملون مع هذه الخدمات ويتم تنفيذها بشكل أساسي وفقًا للخطة التالية:

تحديد قائمة الوثائق التي سيتم تطويرها - يشار إلى هذه المعلومات في الاختصاصاتعلى بنك الاستثمار القومي. في بعض الحالات، يجوز لمطور المستندات، بالاتفاق مع العميل، توسيع هذه القائمة أو تقليلها، إذا تم النص على هذا الاحتمال في المواصفات الفنية؛

تطوير قوالب المستندات لمرحلة TP - يتم استخدام الهيكل وفقًا لـ RD 50-34.698-90 وGOST 2.106 (بالنسبة لبعض المستندات)، المنسق وفقًا لـ GOST 2.105-95؛

تطوير الجزء الموضوعي من الوثائق. تم تحديد متطلبات النظام في المواصفات الفنية لـ NIB. ووفقاً لهذه المتطلبات يتم تحديد قائمة بالإجراءات الوقائية الفنية والتنظيمية المطلوبة للتنفيذ في النظام. يمكن تحديد تدابير الحماية في اللوائح ذات الصلة (اعتمادًا على نوع المعلومات التي تتم حمايتها)، ومعايير الشركة وسياسات أمن المعلومات، وكذلك بناءً على وجود التهديدات الأمنية الحالية التي تم تحديدها أثناء تطوير نموذج التهديد الخاص بالمنظمة. بناءً على قائمة تدابير الحماية، يختار مطور نظم المعلومات أدوات أمن المعلومات المناسبة ويطور الهيكل الوظيفي لنظام أمن المعلومات (الأنظمة الفرعية والمكونات). مزيد من الوصف في وثائق التصميم الفني التنفيذ العمليتدابير الحماية المبنية على أمن المعلومات أو التدابير التنظيمية المختارة في البنية التحتية للمنظمة.

تنسيق الوثائق المطورة والحلول المقدمة فيها مع عميل النظام.

عند تطوير وثائق المشروع الفنية، في أغلب الأحيان ليس من الضروري تطوير قائمة كاملة من الوثائق المحددة في GOST 34.201-89، لأن هذا المعيار قديم وبعض الوثائق لا تأخذ في الاعتبار اتجاهات التطوير وتقنيات نظم المعلومات الحديثة . الحد الأدنى لمجموعة المستندات المطلوبة لوصف نظام أمن المعلومات هو كما يلي:

بيان التصميم الفني؛
مذكرة توضيحية للمشروع الفني؛
مخطط الهيكل الوظيفي.
مخطط هيكلي لمجموعة من الوسائل التقنية؛
مخطط الهيكل التنظيمي؛
قائمة العناصر المشتراة.

بناءً على طلب العميل أو في حالة كون ISS عبارة عن نظام معقد متعدد المكونات، يمكن أيضًا تطوير المستندات التالية بشكل إضافي:

مخطط الأتمتة
وصف الوظائف الآلية؛
وصف دعم المعلومات للنظام؛
وصف مجمع الوسائل التقنية؛
وصف البرنامج؛
وصف الهيكل التنظيمي.

تجدر الإشارة إلى أن GOST 34.201-89 يسمح بتوسيع نطاق الوثائق في مرحلة TP، ولكن في الممارسة العملية هناك أكثر من كافية من هذه الوثائق.

ورقة التصميم الفني

التعيين: TP.

تهدف هذه الوثيقة إلى وصف قائمة الوثائق التي تم تطويرها في مرحلة المشروع الفني. يشار أيضًا إلى عدد صفحات كل وثيقة من الوثائق التي تم تطويرها.

مذكرة توضيحية للمشروع الفني

التسمية: P2.

هذه الوثيقة هي الوثيقة الرئيسية لمرحلة TP وتتضمن وصفًا لبنية محطة الفضاء الدولية، والتدابير الفنية والتنظيمية، ووظائف محطة الفضاء الدولية، وأنظمة البرامج والأجهزة، وأشياء أخرى. ووفقا للمعيار، فإنه يتكون من أربعة أقسام رئيسية:

الأحكام العامة؛
وصف عملية النشاط؛
الحلول التقنية الأساسية؛
تدابير لإعداد كائن الأتمتة لتشغيل النظام.

مخطط الهيكل الوظيفي

التسمية: C2.

تصف هذه الوثيقة البنية المنطقية لمحطة الفضاء الدولية، وهي:

الأنظمة الفرعية والمكونات المنطقية المضمنة في محطة الفضاء الدولية؛
الوظائف التي يتم تنفيذها عن طريق الأنظمة الفرعية والمكونات؛
اتصالات المعلومات بين العناصر المنطقية لنظام SIS وأنواع الرسائل أثناء التبادل.

رسم تخطيطي لمجموعة من الوسائل التقنية

التسمية: C1.

تتضمن هذه الوثيقة وصفًا للعناصر التالية لمحطة الفضاء الدولية:

الوسائل التقنية كجزء من النظم الفرعية المنطقية ومكونات أنظمة أمن المعلومات؛
قنوات الاتصال والتبادل بين الوسائل التقنية مع الإشارة إلى بروتوكولات النقل.

الهيكل التنظيمي

التعيين: C0.

تصف هذه الوثيقة الهيكل التنظيمي للمنظمة من حيث إدارة محطة الفضاء الدولية، وهي:

الأقسام والأشخاص المسؤولين في المنظمة المشاركين في عمل محطة الفضاء الدولية؛
المهام المنجزة والاتصالات بين الإدارات والأشخاص المسؤولين.

قائمة العناصر المشتراة

التعيين: نائب الرئيس.

تتضمن هذه الوثيقة قائمة بجميع البرامج والأجهزة، بالإضافة إلى التراخيص المستخدمة لإنشاء نظام أمن المعلومات. تم تطويره وفقًا لـ GOST 2.106.

ملحوظة.ومن الجدير بالذكر هنا أيضًا أن الوثيقة التوجيهية RD 50-34.698-90 تسمح بإضافة أي وثيقة في مرحلة TP (إدراج أقسام ومعلومات مختلفة عن تلك المقترحة)، ودمج الأقسام، وكذلك الاستبعاد من بعض الأقسام الفردية. يتم اتخاذ القرارات المتعلقة بهذا الأمر بواسطة مطور المستندات في مرحلة TP وتستند إلى ميزات NIB التي تم إنشاؤها.

1.4. قواعد تطوير الوثائق

الامتثال الهيكلي لمعايير الدولة ؛
الالتزام الصارم بمتطلبات المواصفات الفنية للنظام؛
تطبيق قوالب المستندات (استخدام الأنماط الموحدة، والعلامات، والحقول، وما إلى ذلك)؛
نهج فردي والاستخدام المتزامن للتطورات الحالية عند ملء أقسام الوثائق.

مذكرة توضيحية للمشروع الفني:

يتم تطوير المستند في برنامج Microsoft Word، وبعد اكتمال التطوير، يوصى بتحويل المستند إلى تنسيق PDF للراحة؛
يجب أن تكون المصطلحات والاختصارات متسقة في جميع أقسام الوثيقة؛
يوصى بتجنب التكرار الواضح والزيادة غير الضرورية في طول المستند؛
يجب وصف الحلول التقنية بأكبر قدر ممكن من التفاصيل، مع الإشارة إلى ما يلي:
- الهندسة المعمارية والتقنيات المستخدمة؛
- مواقع البرامج والأجهزة في البنية التحتية للمنظمة؛
- أدوات أمن المعلومات المستخدمة مع وصف خصائصها، والوظائف المنفذة، ومعلومات حول الشهادات؛
- الإعدادات الأساسية لأدوات أمن المعلومات من حيث آليات الحماية والعنونة والتوجيه والتفاعل مع الأنظمة والأدوات ذات الصلة وما إلى ذلك؛
- الضوابط وطرق الوصول إليها وأماكن تركيبها؛
- الرسوم البيانية (الهيكلية والوظيفية والتنظيمية):
  - تطوير الرسوم البيانية في Microsoft Visio؛
  - بعد التطوير، قم بإدراج الرسوم البيانية في المستند باستخدام مربع الحوار "لصق خاص" بتنسيق EMF (ملف تعريف Windows)؛
  - تطوير مخططات منفصلة للنظام والأنظمة الفرعية ومكونات الأنظمة الفرعية؛
  - جعل تصميم الرسوم البيانية موحدًا، باستخدام نفس العناصر والاختصارات والأيقونات وأنماط النص وما إلى ذلك.

1.5. موارد لمساعدتك في تطوير الوثائق

يحتوي الإنترنت على كمية هائلة من المعلومات التي يمكن أن تساعد بدرجة أو بأخرى في تطوير الوثائق الفنية للمشروع. يتم عرض الموارد الرئيسية في الجدول أدناه.

طاولة. موارد التصميم الفني SIS

نوع المورد	معلومة	أمثلة على الموارد
بوابات الإنترنت للسلطات التنفيذية الاتحادية	أنظمة، القواعد الارشاديةوالسجلات (بما في ذلك أنظمة أمن المعلومات المعتمدة)، وقواعد البيانات (بما في ذلك قواعد بيانات نقاط الضعف والتهديدات)	fstec.ru clsz.fsb.ru minsvyaz.ru/ru/
بوابات الإنترنت لمصنعي أمن المعلومات وموزعي حلول أمن المعلومات	وصف حلول أمن المعلومات، والوثائق التشغيلية لأمن المعلومات، والمواد والمقالات التحليلية	Securitycode.ru kaspersky.ru/ drweb.ru/ ptsecurity.ru/ infowatch.ru/ infotecs.ru/ cisco.com/c/ru_ru/index.html نقطة تفتيش.كوم altx-soft.ru
مصادر أمن المعلومات المتخصصة	مقارنة حلول أمن المعلومات، مراجعة مقالات عن حلول أمن المعلومات، اختبارات حلول أمن المعلومات، معلومات تقنية متعمقة حول تقنيات أمن المعلومات	anti-malware.ru مكرر-expert.ru Safe.cnews.ru Securitylab.ru/ vulners.com/ csrc.nist.gov itsecurity.com owasp.org بلا.org

1.6. أمثلة على وثائق مرحلة المشروع الفنية

لفهم متطلبات محتوى الوثائق في مرحلة TP، فيما يلي أمثلة لملء المستندات الرئيسية (أقسام المستندات).

1.6.1. مذكرة توضيحية للمشروع الفني

تعد المذكرة التوضيحية وثيقة ضخمة إلى حد ما، لذا إليك مثال على محتوى قسم "الحلول التقنية الأساسية" في جزء من أحد أنظمة SIS الفرعية - النظام الفرعي لتحليل الأمان.

النظام الفرعي لتحليل أمن محطة الفضاء الدولية

هيكل وتكوين النظام الفرعي

تم تصميم النظام الفرعي لتحليل الأمان (SAS) لمراقبة الحالة الأمنية لمحطات العمل الآلية (AWS) للموظفين وخوادم المؤسسة بشكل منهجي. أساس ESD هو أداة برمجية "اختبارية" تنتجها شركة Information Security LLC. تم اعتماد اختبار SZI من قبل FSTEC في روسيا للامتثال للمواصفات الفنية (TU) لأمن المعلومات وللمستوى الرابع من التحكم في غياب القدرات غير المعلنة.

يتضمن ESD المكونات التالية:

خادم إدارة خادم الاختبار؛
وحدة تحكم إدارة وحدة التحكم الاختبارية.

ويرد وصف لمكونات النظام الفرعي في الجدول أدناه.

طاولة. مكونات البيئة والتنمية المستدامة

عنصر	وصف
اختبار خادم إدارة الخادم	يوفر إدارة مهام المسح، وينفذ وظائف مراقبة الحالة الأمنية لمحطة العمل وخوادم المؤسسة. يتم تعيين معلمات الفحص بواسطة مسؤول أمن المعلومات على خادم إدارة خادم الاختبار. يتم تخزين جميع المعلومات المجمعة حول نتائج الفحص في وحدة تخزين خادم Test Server استنادًا إلى نظام إدارة قاعدة بيانات Microsoft SQL Server 2008
وحدة تحكم الاختبار	يسمح لمسؤول أمن المعلومات بالاتصال بخادم الاختبار وعرض تكوينه وتغييره وإنشاء مهام المسح وتعديلها وعرض معلومات حول تقدم المهام ونتائج تنفيذها. يتم تثبيت وحدة التحكم الإدارية على محطة عمل مسؤول أمن المعلومات

عنصر

وصف

اختبار خادم إدارة الخادم

يوفر إدارة مهام المسح، وينفذ وظائف مراقبة الحالة الأمنية لمحطة العمل وخوادم المؤسسة. يتم تعيين معلمات الفحص بواسطة مسؤول أمن المعلومات على خادم إدارة خادم الاختبار. يتم تخزين جميع المعلومات المجمعة حول نتائج الفحص في وحدة تخزين خادم Test Server استنادًا إلى نظام إدارة قاعدة بيانات Microsoft SQL Server 2008

وحدة تحكم الاختبار

يسمح لمسؤول أمن المعلومات بالاتصال بخادم الاختبار وعرض تكوينه وتغييره وإنشاء مهام المسح وتعديلها وعرض معلومات حول تقدم المهام ونتائج تنفيذها. يتم تثبيت وحدة التحكم الإدارية على محطة عمل مسؤول أمن المعلومات

توفير الوظائف

يوفر ESD الوظائف التالية:

تنفيذ الحماية الاستباقية لمحطات العمل والخوادم الخاصة بالمنظمة من خلال مراقبة حالة أمن المعلومات؛
أتمتة عمليات مراقبة الامتثال السياسيين المحليينومعايير معينة للسلامة؛
خفض تكاليف التدقيق والرقابة الأمنية، وإعداد تقارير الحالة؛
أتمتة عمليات جرد الموارد وإدارة الثغرات الأمنية ومراقبة الامتثال لسياسات الأمان والتحكم في التغيير.

حل لمجموعة معقدة من أدوات الأجهزة والبرامج

يتم عرض قائمة برامج وأجهزة ESD المستخدمة في الجدول أدناه.

طاولة. برامج وأجهزة ESD

خادم التحكم ESD

الوسائل التقنية

يجب أن يفي الخادم الفعلي المستخدم كخادم إدارة ESD بالمتطلبات الفنية للبرنامج ونظام التشغيل المثبت عليه، كما هو موضح في الجدول أدناه.

طاولة. متطلبات نظام التشغيل والبرامج لخادم التحكم ESD

برمجة	متطلبات تقنية
برمجة	وحدة المعالجة المركزية	ذاكرة الوصول العشوائي، ميغابايت
مايكروسوفت ويندوز سيرفر 2008 R2	3000 ميجاهيرتز، 4 نوى	8192
مايكروسوفت SQL خادم 2008 R2
برنامج خادم الاختبار

برمجة

نظام تشغيل خادم الإدارة

يتم تثبيت نظام التشغيل Windows 2008 R2 على خادم الإدارة بالطريقة العادية من توزيع التمهيد.

تتم إدارة نظام تشغيل خادم الإدارة محليًا من وحدة التحكم وعبر بروتوكول RDP.

خادم إدارة قواعد البيانات (DBMS).

يتم تثبيت قاعدة بيانات Microsoft SQL Server 2008 R2 ضمن حساب يتمتع بحقوق المسؤول المحلي باستخدام معالج التثبيت القياسي من مجموعة التوزيع التي يوفرها مطور المنتج.

برنامج خادم الاختبار

يتم تثبيت برنامج Test Server على خادم الإدارة باستخدام معالج التثبيت القياسي.

يتم تنفيذ الإعداد الأولي والإدارة اللاحقة لبرنامج Test Server في الوضع العادي باستخدام وحدة تحكم إدارة Test Console المثبتة على محطة عمل مسؤول IS.

محطة عمل مسؤول IS

الوسائل التقنية

يتم استخدام محطة العمل الحالية لموظف قسم المنظمة المسؤول عن توفير أمن المعلومات، وتشغيل عائلة أنظمة التشغيل Microsoft Windows، كمنصة.

يجب أن تتمتع الوسائل التقنية لمحطة عمل مسؤول أمن المعلومات بخصائص تكوين الأجهزة التالية (على الأقل مستحسن):

وحدة المعالجة المركزية 2 جيجا هرتز؛
ذاكرة الوصول العشوائي 4 جيجابايت؛
القرص الصلب 80 جيجابايت.

برمجة

اختبار برامج وحدة التحكم

يجب أن تعمل محطة عمل مسؤول أمن المعلومات التي تم تثبيت برنامج Test Console عليها ضمن أحد أنظمة التشغيل التالية:

مايكروسوفت ويندوز 7، 32 و 64 بت؛
مايكروسوفت ويندوز 8/8.1، 32 و 64 بت.

بالإضافة إلى ذلك، لكي يعمل برنامج وحدة تحكم إدارة وحدة التحكم الاختبارية بشكل صحيح، يجب تثبيت Microsoft .NET Framework الإصدار 3.5 SP1 أو أعلى على محطة عمل مسؤول أمن المعلومات، ويجب أن تسمح إعدادات الأمان لنظام التشغيل المستخدم بالوصول إلى خادم الاختبار.

يتم تثبيت برنامج Test Console على محطة عمل مسؤول ESD باستخدام معالج تثبيت برنامج Test Server القياسي مع الخيار المحدد لتثبيت وحدة تحكم إدارة Test Console والإعدادات الافتراضية الأخرى.

التفاعل مع الأنظمة المجاورة

بالنسبة لـ ESD، المجاورة هي:

أدوات النظام الفرعي لجدار الحماية؛
خدمات الدليل الدليل النشط;
محطة العمل والخوادم الخاصة بالمنظمة.

لضمان تفاعل الشبكة مع الأنظمة المجاورة وبشكل مباشر بين مكونات ESD نفسها، يجب تنظيم مرور حركة مرور الشبكة الضرورية.

لضمان القدرة على تلقي تحديثات لقاعدة المعرفة ووحدات برامج الاختبار للماسح الضوئي لخادم الاختبار، من الضروري توفير الوصول إلى خادم الويب update.com الخاص بشركة Information Security LLC عبر المنفذ 443/tcp.

عند إجراء المسح الضوئي في وضع PenTest، يتم التفاعل بين الماسح الضوئي لخادم الاختبار ومحطة العمل وخوادم المؤسسة عبر بروتوكول IP. عند المسح في وضعي التدقيق والامتثال، يتم استخدام بروتوكولات الإدارة عن بعد WMI وRPC وما إلى ذلك. لفحص الأجهزة المضيفة على الأجهزة التي تحتوي على وظائف جدار الحماية، يجب عليك السماح بالاتصالات من خادم الاختبار إلى المضيفين الذين تم فحصهم عبر IP. وبناءً على ذلك، يجب تزويد خادم الاختبار بإمكانية الوصول إلى منافذ الشبكة الخاصة بالمضيفين الذين تم فحصهم باستخدام بروتوكولات التحكم عن بعد المناسبة.

نظرًا لأن ESD، عند المسح في أوضاع التدقيق والامتثال، يستخدم بروتوكولات التحكم عن بعد للتحليل، يجب أن تخضع أدوات فحص برامج الاختبار للمصادقة والترخيص على العقدة الممسوحة ضوئيًا. في ESD، لفحص العقد في وضعي التدقيق والامتثال، يتم استخدام الحسابات ذات الامتيازات الإدارية في كل نوع من العقد (محطة العمل، الخادم، أنظمة التطبيقات، نظم إدارة قواعد البيانات، وما إلى ذلك).

يتم تخزين جميع أحداث أمان المعلومات المسجلة في Microsoft SQL DBMS. يمكن إرسال هذه الأحداث إلى النظام الفرعي لمراقبة أحداث أمن المعلومات باستخدام موصلات خاصة.

تشغيل وصيانة ESD

مستخدمي النظام الفرعي

يتم تشغيل وصيانة أدوات ESD من قبل موظفي المنظمة الذين يلعبون الدور الوظيفي "لمسؤول IS".

يتم تعريف مسؤول أمن المعلومات على أنه متخصص تشمل مهامه ما يلي:

تحديد معلمات المسح لعقد المنظمة؛
إعداد وبدء مهام المسح؛
تحليل نتائج المسح لوجود نقاط الضعف في أنظمة المعلومات أو أخطاء التكوين أو عدم الامتثال للمعايير الفنية؛
السيطرة على القضاء على نقاط الضعف.
تشكيل المعايير والمتطلبات التي تنطبق على ضمان أمن محطات العمل والخوادم في المنظمة.

أوضاع تشغيل النظام

وضع التشغيل العادي

في التشغيل العادي، يعمل نظام ESD 24 ساعة في اليوم، 7 أيام في الأسبوع.

في التشغيل العادي، يقوم مسؤول أمن المعلومات بما يلي:

المسح المجدول وغير المجدول للعقد؛
توليد التقارير؛
تحديث قواعد المعرفة ووحدات برامج الاختبار.

تجهيزات أو تحضيرات الإسعاف

إذا تعطل أداء معدات السلامة، فسيتم تعطيل عمل النظام الفرعي. لا يؤثر الفشل في تشغيل معدات ESD على عمل محطات العمل والخوادم الآلية الخاصة بالمؤسسة.

1.6.2. مخطط الهيكل الوظيفي

يمكن تطوير المخططات الوظيفية لنظام أمن المعلومات بأكمله أو لجزء منه، على سبيل المثال، نظام فرعي أو مكون.

مثال عام رسم بياني وظيفييظهر NIB في الشكل أدناه.

1.6.3. رسم تخطيطي لمجموعة من الوسائل التقنية

يمكن تطوير مخطط كتلة لمجموعة معقدة من الوسائل التقنية لمحطة الفضاء الدولية بأكملها ولأجزائها - الأنظمة الفرعية والمكونات. يتم تحديد جدوى تطوير الرسوم البيانية لأجزاء من نظام أمن المعلومات من خلال حجم النظام والتفاصيل المطلوبة.

مثال مخطط الكتلةيتم عرض مجمع الوسائل التقنية لـ NIB في الشكل أدناه.

اسم الوثيقة:
رقم المستند:	1.16-78
نوع الوثيقة:	غوست
سلطة الاستلام:	معيار الدولة لاتحاد الجمهوريات الاشتراكية السوفياتية
حالة:	غير نشط
نشرت:
تاريخ القبول:	30 نوفمبر 1978
تاريخ البدء:	01 يوليو 1979
تاريخ انتهاء الصلاحية:	01 يناير 1987
تاريخ المراجعة:	01 يناير 1983

غوست 1.16-78

المجموعة T50

معيار الدولة لاتحاد الجمهوريات الاشتراكية السوفياتية

نظام توحيد الدولة

مذكرة توضيحية لمشروع المعيار. البناء والمحتوى والعرض والتصميم

نظام الدولة للتوحيد القياسي. مذكرة توضيحية لمشروع المعيار. التصميم والمحتويات والصياغة والعرض الرسمي

تاريخ التقديم 1979-07-01

بموجب مرسوم صادر عن لجنة الدولة للمعايير في اتحاد الجمهوريات الاشتراكية السوفياتية بتاريخ 30 نوفمبر 1978 N 3205 ، تم تحديد تاريخ التقديم من 07/01/79

إعادة إصدار مع التغيير رقم 1، تمت الموافقة عليه في نوفمبر 1981 (IUS 3-82)

يحدد هذا المعيار متطلبات بناء ومحتوى وعرض وتنفيذ الملاحظات التوضيحية لمشروع معايير الدولة والصناعة والمعايير الجمهورية ومعايير المؤسسات بجميع أنواعها.

1. أحكام عامة

1.1. يتم إعداد مذكرة توضيحية لمشروع المعيار لكل مراجعة للمسودة يتم إرسالها للمراجعة وإرسالها للموافقة عليها وتقديمها للموافقة.

1.2. يجب إعداد مذكرة توضيحية لمشروع المعيار من قبل المنظمة (المؤسسة) التي طورت المعيار.

إذا كان هناك العديد من المطورين، يتم وضع مذكرة توضيحية لمسودة المعيار من قبل المطور الرئيسي (المؤسسة).

1.3. يتم إعداد مذكرة توضيحية مستقلة لكل معيار يتم تطويره.

يُسمح بوضع مذكرة توضيحية واحدة أثناء التطوير المتزامن والتحضير للتنسيق والموافقة على المعايير المترابطة من نفس الفئة لأشياء التقييس المتجانسة.

2. متطلبات البناء والمحتوى وتقديم المذكرة التوضيحية

2.1. يشير عنوان المذكرة التوضيحية إلى الفئة والاسم الكامل للمعيار، والرقم التسلسلي لمشروع مراجعة المعيار و (أو) معلومات حول مرحلة تطوير المعيار.

على سبيل المثال:

مذكرة توضيحية

إلى مشروع معيار الدولة "خيوط الخياطة المصنوعة من الحرير الطبيعي. الشروط الفنية" (أرسلت الطبعة الأولى للمراجعة).

مذكرة توضيحية

إلى مشروع معيار الدولة "أجهزة رسم الخرائط. المصطلحات والتعاريف" (تم تقديم الطبعة النهائية للموافقة عليها)

2.2. يجب أن تتكون المذكرة التوضيحية لمشروع المعيار من أقسام مرقمة بالتسلسل في جميع أنحاء المذكرة التوضيحية ومحددة بالأرقام العربية مع نقطة في نهاية الرقم. يجب أن تكون عناوين الأقسام بأحرف كبيرة.

إذا لزم الأمر، يمكن تقسيم المذكرة التوضيحية إلى أقسام فرعية وفقرات وفقرات فرعية وفقًا للمتطلبات المحددة في GOST 1.5-68 * للمعايير.
________________
* الوثيقة غير صالحة على أراضي الاتحاد الروسي. تم استبداله بـ GOST 1.5-85 (تم إلغاؤه دون استبدال)، فيما يلي في النص

2.3. يجب أن تتكون المذكرة التوضيحية من أقسام مرتبة بالتسلسل التالي:

أساس تطوير المعيار؛

أهداف وغايات التطوير القياسي ؛

بيانات عن توحيد الكائن في بداية تطوير مشروع المعيار؛

خصائص كائن التقييس؛

المستوى العلمي والتقني لموضوع التقييس؛

الكفاءة الفنية والاقتصادية من تنفيذ المعيار؛

التاريخ المتوقع لتطبيق المعيار والفترة المتوقعة لصلاحيته.

العلاقة مع المعايير الأخرى.

معلومات حول توزيع التعليقات (لجميع إصدارات مسودة المعيار، باستثناء الإصدار الأول)؛

معلومات حول الموافقة (فقط للنسخة النهائية من مسودة المعيار المقدم للموافقة)؛

مصدر المعلومات؛

معلومات إضافية.

عند تجميع الملاحظات التوضيحية للطبعة الثانية والإصدارات اللاحقة (باستثناء النهائية) من مشروع المعيار، يُسمح بعدم تضمين أقسام في هذه الملاحظات التوضيحية لم يتغير محتواها.

2.4. تم إعداد مذكرة توضيحية لكل طبعة من مسودة المعيار بناءً على المؤشرات والمعايير والخصائص والمتطلبات الواردة في هذه الطبعة، مع مبررات التغييرات فيها.

2.5. في قسم "أسس تطوير المعيار" يجب الإشارة إلى رقم الموضوع حسب الخطة المعتمدة وتاريخ واسم المنظمة التي وافقت على الاختصاصات.

في حالة تطوير مسودة معيار غير مدرجة في خطة التقييس (موضوع غير مخطط له)، يجب الإشارة إلى الوثائق التوجيهية الصادرة عن الجهات العليا التي يتم تطوير المعيار على أساسها.

ويجب أيضًا الإشارة إلى برنامج التقييس الشامل الذي يتم تطوير المعيار بموجبه، إن وجد.

2.6. في قسم "أهداف وغايات تطوير المعيار" يجب الإشارة إلى النتائج النهائية التي سيتم تحقيقها باستخدام المعيار، والمهام التي سيتم حلها أثناء تطوير المعيار.

2.7. في قسم "بيانات توحيد كائن ما مع بداية تطوير مسودة المعيار"، قم بالإشارة إلى المعلومات التي يتم تطوير المعيار لأول مرة، أو معلومات حول المعايير الحالية والمواصفات الفنية والتعليمات والوثائق الأخرى التي كانت سارية في بداية تطوير مسودة المعيار لكائن التقييس هذا.

2.8. في قسم "خصائص موضوع التقييس"، اعتمادًا على الكائن الذي يتم توحيده (المنتجات والمؤشرات والمعايير والخصائص والمتطلبات ذات الطبيعة التنظيمية والمنهجية والتقنية العامة)، تشير فئة ونوع المعيار إلى المؤشرات الرئيسية، معايير وخصائص ومتطلبات مشروع المواصفة القياسية التي تحدد المستوى العلمي والفني لموضوع التقييس ودراسة جدواها.

قد تكون المؤشرات والمعايير والخصائص والمتطلبات الرئيسية لمشروع المعيار هي متطلبات الاتجاهات الرئيسية لتنمية الاقتصاد الوطني لاتحاد الجمهوريات الاشتراكية السوفياتية ومؤشرات خطط التوحيد والمواصفات الفنية لتطوير المعايير ومؤشرات استخدام المواد موارد.

يقدم هذا القسم معلومات من التقارير عن نتائج أعمال البحث والتطوير المنجزة أو روابط للتقارير التي تشير إلى موقع التقارير، بالإضافة إلى معلومات عن نتائج أبحاث براءات الاختراع حول موضوع التقييس، وعن الاكتشافات المحلية والأجنبية المثبتة و الاختراعات المنشورة خلال السنوات العشر الأخيرة قبل الموافقة على المعيار، والاستنتاج بشأن اختبار النماذج الأولية أو الدفعات التجريبية من المنتجات التي يجري توحيدها.

2.9. في قسم "المستوى العلمي والفني لكائن التقييس" يتم توفير تحليل مقارن للمؤشرات والمعايير والخصائص والمتطلبات المنصوص عليها في مشروع المعيار؛

مع المؤشرات والمعايير والخصائص ومتطلبات المعايير (التوصيات) CMEA، ISO، IEC، وغيرها منظمات دولية;

مع المؤشرات والقواعد والخصائص ومتطلبات المعايير المحلية والأجنبية؛

مع أفضل الأمثلة على المعدات والسلع من الإنتاج المحلي والشركات الأجنبية؛

مع أعلى الإنجازات الحديثة للعلوم والتكنولوجيا والخبرة المحلية والأجنبية المتقدمة في هذا المجال.

يجب أن يعكس هذا القسم مدى الالتزام بالمؤشرات والمعايير والخصائص ومتطلبات مشروع المعيار:

المهام المحددة في الاتجاهات الرئيسية لتنمية الاقتصاد الوطني لاتحاد الجمهوريات الاشتراكية السوفياتية؛

البرامج العلمية والتقنية المعقدة، بما في ذلك موضوع التقييس؛

برامج التقييس الشاملة.

في هذا القسم، واستنادًا إلى البيانات المذكورة أعلاه، يتم تقديم استنتاج عام حول المستوى العلمي والتقني للمؤشرات والمعايير والخصائص والمتطلبات الخاصة بموضوع التقييس.

إذا تم إرسال جداول مقارنة المؤشرات أو خريطة المستوى الفني وجودة المنتجات وفقًا لـ GOST 2.116-71* بشكل منفصل، مع الإصدار النهائي لمشروع المعيار المقدم للموافقة عليه، فإن المذكرة التوضيحية لهذه الطبعة تشير فقط نتائج التحليل المقارن وتعطي نتيجة عامة حول المستوى العلمي والتقني للمؤشرات والمعايير والخصائص ومتطلبات موضوع التقييس.
________________
غوست 2.116-84. - مذكرة الشركة المصنعة لقاعدة البيانات.

2.10. في قسم "الكفاءة الفنية والاقتصادية من تنفيذ المعيار" يجب الإشارة إلى الكفاءة الاقتصادية المتوقعة والمزايا الاقتصادية لهدف التقييس والمصادر الرئيسية للحصول على التأثير الاقتصادي.

إذا كان من المستحيل حساب الكفاءة الاقتصادية لتنفيذ المعيار، فيجب تقديم المبررات اللازمة. ويبين هذا القسم مؤشرات الكفاءة الاجتماعية من تطبيق المعيار (إن وجدت).

2.11. في قسم "التاريخ المقدر لدخول المعيار حيز التنفيذ والمدة المتوقعة لصلاحيته" يجب ذكر ما يلي:

مبررات الإطار الزمني المتوقع لتطبيق المعيار، مع الأخذ في الاعتبار الوقت اللازم لتنفيذ أنشطة تنفيذ المعيار؛

تبرير الأنشطة الرئيسية لتنفيذ المعيار، بما في ذلك تبرير إمكانية تنظيم الإنتاج المركزي (المتخصص) للمنتجات؛

مبرر الموافقة على مسودة المعيار دون تحديد فترة الصلاحية أو مبرر فترة الصلاحية المتوقعة للمعيار.

2.12. في قسم "العلاقة بالمعايير الأخرى" يجب الإشارة إلى:

انتماء مشروع المواصفة القياسية إلى مجموعة المواصفات المدرجة في النظام؛

بيانات عن علاقة مشروع المعيار بالمعايير الأخرى، بالإضافة إلى معايير وتوصيات CMEA والمنظمات الدولية الأخرى؛

مقترحات معقولة بشأن الحاجة إلى مراجعة أو تطوير التغييرات أو إلغاء المعايير المترابطة القائمة.

في حالة مراجعة معيار المنتج، يتم توفير معلومات حول إمكانية تبادل المنتجات وفقًا للمعايير والتدابير المطورة والحالية لضمان تشغيل وإصلاح المنتجات المصنعة وفقًا للمعيار الحالي.

2.13. في قسم "معلومات حول المراجعات البريدية"، يجب الإشارة إلى:

عدد المنظمات (المؤسسات) التي تم إرسال مشروع المعيار إليها؛

عدد المنظمات (المؤسسات) التي أرسلت المراجعات؛

وصف عام موجز للمراجعات؛

نتائج مراجعة المراجعات.

2.14. في قسم "معلومات الموافقة" يجب عليك تقديم معلومات حول الموافقة على مشروع المعيار مع المنظمات المهتمة (المؤسسات)؛ بشأن عقد اجتماعات التوفيق؛ يعطي وصف مختصرالقضايا التي تم النظر فيها؛ تشير إلى الخلافات التي ظلت قائمة أثناء تطوير مشروع المعيار.

إذا كان مشروع المعيار لا يتطلب الموافقة، فيجب أن تشير المذكرة التوضيحية إلى أن المعيار غير خاضع للموافقة.

2.15. في قسم "مصادر المعلومات" يجب عليك الإشارة إلى مصادر المعلومات المستخدمة في تطوير مسودة المعيار، بما في ذلك:

الأفعال المعيارية للتشريعات الحالية؛

لوائح الوزارات والإدارات والجمعيات والمؤسسات؛

المعايير المحلية والمواصفات الفنية (تسمياتها)؛

المعايير الأجنبية والدولية وغيرها من وثائق المنظمات الدولية (تسميةها وأسمائها) ؛

تقارير أبحاث براءات الاختراع؛

تقارير عن أعمال البحث والتطوير المكتملة وغيرها.

2.16. في قسم "المعلومات الإضافية"، إذا لزم الأمر، يمكنك تضمين:

خيارات لحل بعض المشكلات و (أو) الأسئلة الفردية المتعلقة بمشروع المعيار مع طلب من المنظمات (المؤسسات) التي يتم إرسال مشروع المعيار إليها للمراجعة للتعبير عن رأيها؛

وأسئلة أخرى.

2.17. يجب تقديم المذكرة التوضيحية وفقًا للمتطلبات المحددة في GOST 1.5-68، القسم 1، للمعايير.

3. متطلبات استكمال المذكرة التوضيحية

3.1. يجب طباعة المذكرة التوضيحية لمشروع المعيار وفقًا لمتطلبات GOST 6.38-72*.
________________
* الوثيقة غير صالحة على أراضي الاتحاد الروسي. GOST R 6.30-2003 صالح. - مذكرة الشركة المصنعة لقاعدة البيانات.

3.2. يجب توقيع مذكرة توضيحية لمشروع معايير الدولة والصناعة والمعيار الجمهوري من قبل رئيس (نائب رئيس) المنظمة الرائدة (المؤسسة) - المطور، ورئيس خدمة التقييس، ورئيس التطوير (الموضوع) والمنفذين.

يجب أن يتم التوقيع على المذكرة التوضيحية لمشروع معيار المؤسسة من قبل رئيس قسم التطوير (القسم)، ورئيس التطوير (الموضوع) وفناني الأداء.

توجد التوقيعات في الصفحة الأخيرة من المذكرة التوضيحية لمشروع المعيار.

3.3. يجب أن تحتوي الملاحظة التوضيحية لمشروع المعيار على أرقام صفحات منفصلة وألا تحتوي على غلاف.

نص الوثيقة الإلكترونية
تم إعداده بواسطة Kodeks JSC وتم التحقق منه مقابل:
النشر الرسمي
نظام الدولة
التقييس: جمع GOSTs. -
م: دار المواصفات والمواصفات، 1983

غوست 1.16-78 جي إس إس. مذكرة توضيحية لمشروع المعيار. البناء والمحتوى والعرض والتصميم (مع التغيير رقم 1)

اسم الوثيقة:	غوست 1.16-78 جي إس إس. مذكرة توضيحية لمشروع المعيار. البناء والمحتوى والعرض والتصميم (مع التغيير رقم 1)
رقم المستند:	1.16-78
نوع الوثيقة:	غوست
سلطة الاستلام:	معيار الدولة لاتحاد الجمهوريات الاشتراكية السوفياتية
حالة:	غير نشط
نشرت:	النشر الرسمي. نظام توحيد الدولة: جمع GOSTs. - م: دار المواصفات، 1983
تاريخ القبول:	30 نوفمبر 1978
تاريخ البدء:	01 يوليو 1979
تاريخ انتهاء الصلاحية:	01 يناير 1987
تاريخ المراجعة:	01 يناير 1983

الوزارة النمو الإقتصاديوالتجارة في الاتحاد الروسي

انا اعتمدت

عقد الدولة رقم 000-05-07 بتاريخ 29 أكتوبر 2007، المبرم بين وزارة التنمية الاقتصادية والتجارة في الاتحاد الروسي وشركة CJSC PROGNOZ، لتنفيذ العمل حول موضوع "تطوير وحدة آلية للمراقبة الفيدرالية للأحداث الاجتماعية". - التنمية الاقتصادية للكيانات المكونة للاتحاد الروسي في إطار إنشاء نظام معلومات موحد لرصد المؤشرات الرئيسية للتنمية الاجتماعية والاقتصادية للاتحاد الروسي ومراقبة أداء الهيئات الحكومية في تحقيقها.

عند تطوير هذه الوثيقة، تم استخدام الوثيقة التوجيهية للتوحيد القياسي GOST RD 50-34.698-90.

1. أحكام عامة.. 5

1.1. الاسم الكامل للنظام...5

1.2. المستندات التي يتم على أساسها تنفيذ التصميم.. 5

1.3. المراحل والمواعيد النهائية.. 5

1.4. الأهداف والغايات.. 7

1.5. مطابقة الحلول التصميمية لمتطلبات السلامة .. 8

1.6. الوثائق التنظيمية والفنية... 9

2. وصف عملية النشاط.. 10

2.1. قائمة المهام 10

2.2. الوظائف الرئيسية التي تؤديها الوحدة... 11

3. الحلول التقنية الأساسية.. 13

3.1. هيكل الوحدة، قائمة الأنظمة الفرعية... 13

3.1.1. النظام الفرعي لتخزين البيانات المركزية. 14

3.1.2. مكون الواجهة 15

3.1.3. مكونات برنامج المحول. 16

3.6.3. درجة القدرة على التكيف مع الانحرافات في معلمات كائن الأتمتة. 26

3.6.4. الحدود المقبولة لتحديث وتطوير النظام.. 26

3.6.5. متطلبات الموثوقية. 27

3.6.6. متطلبات الأمن. 27

3.6.7. متطلبات بيئة العمل والجماليات التقنية. 28

	قائمة الأعمال	النتائج المتوقعة للعمل
	تطوير مستودع بيانات مركزي (CDW) للمعلومات الاجتماعية والاقتصادية المستخدمة في تنفيذ المراقبة الفيدرالية لمؤشرات التنمية الاجتماعية والاقتصادية (PSED) للكيانات المكونة للاتحاد الروسي والبلديات	النظام الفرعي لتخزين البيانات المركزية
	تطوير مخططات بيانات PSED وملفات تعريف مواصفات التكنولوجيا التي تصف بروتوكولات التفاعل مع مكون الواجهة وتنسيقات بيانات PSED المنشورة	مخططات بيانات PSER وملفات تعريف مواصفات التكنولوجيا التي تصف بروتوكولات التفاعل مع مكون الواجهة وتنسيقات بيانات PSER المنشورة؛ تقرير عن مناقشة مسودة مواصفات مخططات البيانات وملفات تعريف مواصفات التكنولوجيا، مع التعليقات والاقتراحات المسجلة من المشاركين في المناقشة.
	التطوير والاختبار في مواقع التنفيذ التجريبية وتحسين البرامج عبر الأنظمة الأساسية لمكون الواجهة، وفقًا للتعليقات المحددة	مكونات الواجهة
		مكون محول إلزامي
	تطوير مكونات محولات محددة توفر استرجاعًا آليًا للمعلومات حول EMS من مصادر بيانات AIS القديمة ونشرها من خلال مكون واجهة وفقًا لمواصفاتها. يجب أن تحتوي المحولات المحددة على كتلة التحقق والتحقق من موثوقية المعلومات الإحصائية	مكونات محول محددة؛ لوائح التجميع التلقائي للمعلومات المستخدمة في تنفيذ المراقبة الفيدرالية والمقدمة من المواقع الإلكترونية ومن AIS للوزارات والإدارات الفيدرالية والكيانات المكونة للاتحاد الروسي والبلديات وفقًا للمواصفات المطورة لمعلمات الإخراج المخصصة لتوفير المعلومات من خلال مصادر البيانات هذه
	تطوير أدوات للعرض الجدولي والرسوم البيانية ورسم الخرائط والنص لنتائج رصد وتحليل التنمية الاجتماعية والاقتصادية للكيانات المكونة للاتحاد الروسي.	النظام الفرعي للعرض الجدولي والرسوم البيانية ورسم الخرائط والنص لبيانات الرصد ونتائج تحليل التنمية الاجتماعية والاقتصادية للكيانات المكونة للاتحاد الروسي
	تطوير نظام فرعي للوحدة مصمم لحساب معايير تقييم تطور القطاعات الاقتصادية للكيانات المكونة للاتحاد بناءً على المعلومات التي تم جمعها في عملية المراقبة الفيدرالية	نظام فرعي لحساب معايير تقييم تطور القطاعات الاقتصادية للكيانات المكونة للاتحاد الروسي (مع القدرة على تحديد المجموعات الإقليمية) بناءً على المعلومات التي تم جمعها في عملية المراقبة الفيدرالية
	تطوير نظام فرعي للوحدة مصمم لحساب المؤشرات المتكاملة وتقييمات التنمية الاجتماعية والاقتصادية للمواضيع الفيدرالية بناءً على المعلومات التي تم جمعها في عملية المراقبة الفيدرالية	نظام فرعي لحساب المؤشرات المتكاملة وتقييمات التنمية الاجتماعية والاقتصادية للكيانات المكونة للاتحاد الروسي بناءً على المعلومات التي تم جمعها في عملية المراقبة الفيدرالية
	تطوير نظام فرعي للوحدة مخصص لنشر المعلومات حول نظام الطاقة الإلكتروني وفقًا لمتطلبات اللوائح الحالية والمطورة في إطار المشروع، بالإضافة إلى مواصفات مكون الواجهة	نظام فرعي لنشر المعلومات الأولية والمحولة المتاحة للجمهور حول نظام الطاقة الإلكتروني المخزن في الوحدة
	تطوير النظام الفرعي للإدارة	النظام الفرعي للإدارة
		حزمة كاملة من وثائق التصميم لوحدة المراقبة الفيدرالية وفقًا لمتطلبات GOST 34
	إجراء اختبارات القبول، ووضع اللمسات الأخيرة على الوحدة وفقًا لتعليقات العميل

الغرض الرئيسي من وثيقة المذكرة التوضيحية هو توفير معلومات عامةحول النظام ومبررات القرارات الفنية المتخذة في عملية تطويره. ولذلك، فإن أساس تطوير المذكرة التوضيحية سيكون أساسًا الاختصاصات.

تعتبر المذكرة التوضيحية من أهم وثائق المشروع الفني. يتم تطوير التصميم الفني بهدف تحديد الحلول التقنية النهائية التي تقدم صورة كاملة لتصميم المنتج.
عند تطوير برنامج لإنشاء مذكرة توضيحية، يوصى باستخدام GOST 19.404-79 "ملاحظة توضيحية. متطلبات المحتوى والتصميم."

لإنشاء مذكرة توضيحية لمشروع تقني يصف النظام الآلي (AS)، يوصى باستخدام المعيار RD 50-34.698-90 "الأنظمة الآلية. متطلبات محتوى الوثائق ".

تتداخل العديد من أقسام المستندات المذكورة أعلاه، لذلك سنأخذ على سبيل المثال وثيقة المذكرة التوضيحية التي تم إنشاؤها على أساس RD 50-34.698-90

1. أحكام عامة

1.1 اسم المتحدث المصمم

يحتوي هذا القسم من وثيقة المذكرة التوضيحية على الاسم الكامل والمختصر لـ AS.

على سبيل المثال: "في هذه الوثيقة، يُطلق على النظام الذي يتم إنشاؤه اسم بوابة معلومات الشركة. يُسمح أيضًا باستخدام الاسم المختصر "KIP" أو "النظام".

1.2 الوثائق التي تم تصميم النظام على أساسها

يجب أن يحتوي هذا القسم من وثيقة المذكرة التوضيحية على إشارات إلى العقد والشروط المرجعية لتطوير النظام الآلي.

1.3 المنظمات المشاركة في تطوير النظام

يشير هذا القسم من مستند المذكرة التوضيحية إلى أسماء مؤسسات العملاء والمطورين.

1.4 أهداف تطوير AS

ويجب الإشارة في هذا القسم من وثيقة المذكرة التوضيحية إلى الفوائد الفنية والاقتصادية والإنتاجية التي سيحصل عليها العميل بعد تطبيق النظام المطور.

على سبيل المثال: "الغرض من النظام الذي يتم إنشاؤه هو:

تحسين تدفق المستندات الخاصة بالشركة؛
دعم الثقافة المؤسسية للشركة؛
تحسين الاتصالات بين موظفي الشركة. »

1.5 الغرض ونطاق استخدام نظام السماعات المطور

يجب أن يتضمن هذا القسم من مستند المذكرة التوضيحية وصفًا لنوع النشاط الذي تتم أتمتته وقائمة بالعمليات التي يهدف النظام إلى أتمتتها.

على سبيل المثال: "تم تصميم KIP لتوفير معلومات كاملة وفي الوقت المناسب، بالإضافة إلى التنظيم الفعال لعمل الموظفين. يجب أن يضمن النظام تنظيم العمل المشترك للموظفين باستخدام الإمكانيات التالية:

إنشاء مؤتمرات لمناقشة القضايا؛
إرسال/استقبال رسائل البريد الإلكتروني؛
ضمان التعاون بشأن الوثائق؛
تنسيق الوثائق؛
الاحتفاظ بسجلات للوثائق الواردة والصادرة."

1.6 معلومات حول الوثائق التنظيمية والفنية المستخدمة في التصميم

يجب أن يشير هذا القسم إلى المعايير التي تم استخدامها لإنشاء مستند المذكرة التوضيحية.

على سبيل المثال: "تم استخدام المستندات التنظيمية والفنية التالية أثناء التصميم:

GOST 34.201-89 "تكنولوجيا المعلومات. مجموعة معايير للأنظمة الآلية. أنواع واكتمال وتعيينات الوثائق عند إنشاء أنظمة آلية"؛
GOST 34.602-89 "تكنولوجيا المعلومات. مجموعة معايير للأنظمة الآلية. المواصفات الفنية لإنشاء نظام آلي"؛
GOST 34.003-90 "تكنولوجيا المعلومات. مجموعة معايير للأنظمة الآلية. الأنظمة الآلية. المصطلحات والتعاريف"؛
GOST 34.601-90 "تكنولوجيا المعلومات. مجموعة معايير للأنظمة الآلية. الأنظمة الآلية. مراحل الخلق"؛
RD 50-682-89 "التعليمات المنهجية. تكنولوجيا المعلومات. مجموعة من المعايير والمبادئ التوجيهية للأنظمة الآلية. الأحكام العامة"؛
RD 50-680-88 "التعليمات المنهجية. الأنظمة الآلية. الأحكام الأساسية"؛
RD 50-34.698-90 "التعليمات المنهجية. تكنولوجيا المعلومات. مجموعة من المعايير والمبادئ التوجيهية للأنظمة الآلية. الأنظمة الآلية. متطلبات محتوى الوثائق."

1.7. تسلسل إنشاء النظام

بالنسبة للأنظمة التي تم إنشاؤها في عدة تكرارات، يجب أن تشير المذكرة التوضيحية إلى نطاق العمل لكل تكرار. بشكل منفصل، من الضروري تسليط الضوء على العمل المخطط لهذا التكرار.

على سبيل المثال: "تم التخطيط لتنفيذ مشروع بوابة معلومات الشركة على مرحلتين.

تتضمن المرحلة الأولى من الأجهزة تنظيم العمل المشترك لموظفي الشركة بسبب إدخال إمكانيات مثل:

رسالة فورية؛
تنظيم المؤتمر؛
الإرسال/الاستقبال بريد إلكتروني;
تنسيق المستندات باستخدام النظام."

2 وصف عملية النشاط

يجب أن يعكس هذا القسم من وثيقة المذكرة التوضيحية العمليات والوظائف المؤتمتة بواسطة النظام طوال عملية الأعمال بأكملها.

لتوضيح المادة في المذكرة التوضيحية، يُسمح باستخدام رموز UML أو ARIS أو IDF0، بالإضافة إلى الصور التخطيطية التي تم إنشاؤها باستخدام التطبيقات القياسية (Visio).

لفهم العلاقة بين الوظائف الآلية وغير الآلية في مستند المذكرة التوضيحية، من الضروري التمييز بوضوح بين إجراءات المستخدم وإجراءات النظام.

على سبيل المثال: "1. يقوم المستخدم بإنشاء مستند

يبدأ المستخدم عملية تقديم مستند للموافقة عليه
يقوم النظام بتغيير حالة المستند إلى "للموافقة". »
الحلول التقنية الرئيسية

2.1. قرارات بشأن هيكل النظام والأنظمة الفرعية.

يقدم هذا القسم من الوثيقة المذكرة التوضيحية حلولاً بشأن الهيكل الوظيفي للنظام وأنظمته الفرعية.

2.2. وسائل وطرق التفاعل بين مكونات النظام. الربط مع الأنظمة الخارجية

في هذا القسم من مستند المذكرة التوضيحية، من الضروري الإشارة إلى قائمة الأنظمة التي يجب أن يتفاعل معها المنتج الذي تم إنشاؤه. عند وصف تفاعل مكونات النظام في المذكرة التوضيحية، من الضروري الإشارة إلى تنسيق تبادل البيانات.

على سبيل المثال: "كجزء من تفاعل الأجهزة والأنظمة الخارجية، يتم استخدام التقنيات التالية:
- "محاسبة المؤسسات" - تبادل الملفات بتنسيق XML / Excel المحدد.

2.3. قرارات بشأن أوضاع التشغيل

يتضمن هذا القسم من وثيقة المذكرة التوضيحية قائمة ووصفًا لأوضاع تشغيل النظام. عادة ما يتم تمييز الأوضاع التالية: الوضع العادي، وضع التشغيل الاختباري، وضع الخدمة. ويجب أن تقدم المذكرة التوضيحية وصفًا لكل من النظام نفسه والحالات التي يتم تقديمه فيها.

2.4. - القرارات الخاصة بعدد ومؤهلات ومهام العاملين بالحزب الوطني

ينظم هذا القسم من الوثيقة المذكرة التوضيحية أنشطة موظفي الصيانة والموظفين الوظيفيين. ويجب أن تشير المذكرة التوضيحية إلى فئة الموظفين التي تنتمي إلى نوع معين من الموظفين وتصف وظائفهم في إطار النظام.

على سبيل المثال: "مسؤول البوابة الإلكترونية مسؤول عن:

سلامة قاعدة البيانات والبرمجيات؛
التدابير الوقائية لضمان سلامة البيانات؛
توزيع حقوق الوصول وتسجيل المستخدمين في النظام. »

2.5. التأكد من خصائص المستهلك للنظام المحددة في المواصفات الفنية

تم إنشاء هذا القسم من مستند المذكرة التوضيحية على أساس متطلبات جودة المنتج المحددة في المواصفات الفنية. من الضروري هنا وصف المعلمة التي يتم من خلالها تحديد جودة النظام. كما تشير المذكرة التوضيحية إلى الحلول التي تم من خلالها تحقيق هذه الخاصية في النظام.

على سبيل المثال: "يتم ضمان التسامح مع الأخطاء وقابلية التشغيل لوحدات برامج الأجهزة من خلال استخدام منصات البرامج الصناعية IBM WebSphere Portal, Enterprise Oracle 10g."

2.6. تكوين الوظائف ومجموعة المهام التي ينفذها النظام

يحتوي هذا القسم من مستند المذكرة التوضيحية على قائمة بالمهام التي يحلها النظام. ويمكن في المذكرة التوضيحية عرض الوظائف ومجموعة المهام على شكل قائمة غير مرقمة.

2.7. قرارات بشأن مجموعة من المعدات التقنية ووضعها في الموقع

يحتوي هذا القسم من وثيقة المذكرة التوضيحية على قرارات بشأن البنية الفنية للنظام ومتطلبات مجموعة الوسائل التقنية اللازمة لضمان عمله بشكل صحيح.

ويوصى بوضع المتطلبات الخاصة بمجموعة الوسائل التقنية في المذكرة التوضيحية على شكل جدول.
على سبيل المثال: "

معدات	المواصفات الفنية
خادم قاعدة البيانات
نسخة مثبتة على الرف	لا يزيد عن 4U
بنية المعالج	ريسك (64 بت)
تردد وحدة المعالجة المركزية	1.5 جيجا هرتز على الأقل
ذاكرة التخزين المؤقت لوحدة المعالجة المركزية	1 ميغابايت على الأقل
نظام التشغيل	ويندوز 2003 SP2
العدد المحتمل للمعالجات المثبتة	على الأقل 4
عدد المعالجات المثبتة
حجم ممكن ذاكرة الوصول العشوائي	32 جيجابايت مع ECC
سعة ذاكرة الوصول العشوائي	الحد الأدنى 8 جيجابايت
توافر واجهات	واجهات إيثرنت 10/100/1000 Base-T قطعتان؛ Ultra320 SCSI 2 قطعة؛ USB 4 قطع. واجهة تسلسلية 1 جهاز كمبيوتر. فتحات توسعة PCI 64 بت 6 قطع.
بطاقة فيديو:	ما لا يقل عن 8 ميغابايت.
العدد المحتمل لمحركات الأقراص الثابتة المثبتة	على الأقل 4
عدد الأقراص المثبتة
قارئ
مزود الطاقة	معلمات الإدخال: 200-240 فولت، التردد الحالي: 50-60 هرتز؛ الحد الأقصى لطاقة الإدخال لا يزيد عن 1600 واط؛ ما لا يقل عن 2 من مصادر الطاقة التي توفر التسامح مع الخطأ.

عند وصف وضع كائنات مجمع الوسائل التقنية في المذكرة التوضيحية، من الضروري الاسترشاد بمتطلبات SNiP 11-2-80 للمباني من الفئة "B".

2.8. الحجم والتكوين وطرق التنظيم وتسلسل معالجة المعلومات

يتضمن دعم المعلومات دعم المعلومات داخل الجهاز وخارجه. يتم توفير دعم المعلومات الداخلية من خلال قاعدة البيانات (DB)، ووثائق الإدخال والإخراج القادمة من الأنظمة الخارجية.

تتكون قاعدة المعلومات خارج الجهاز من البيانات الموجودة في المستندات الورقية. في كثير من الأحيان، عند تطوير الأنظمة الآلية، يتم استخدام قاعدة المعلومات الموجودة في الجهاز فقط، لذلك يجب أن يكون التركيز الرئيسي في مستند المذكرة التوضيحية على محتوى هذا القسم.

عند وصف قاعدة المعلومات الداخلية في وثيقة المذكرة التوضيحية، من الضروري الإشارة إلى مستندات ورسائل الإدخال والإخراج لجميع الأنظمة الفرعية والأنظمة الخارجية.

على سبيل المثال: "معلومات الإدخال للنظام الفرعي لإدارة المستندات الإلكترونية هي: