СОЛ 9
База знаний
Руководство пользователя
АС - Автоматизированная система
САУИБ - Система автоматизированного управления информационной безопасностью
ПО - Программное обеспечение
SD - Service Desk
АННОТАЦИЯ
Документ содержит руководство пользователя системы автоматизированного управления информационной безопасностью (далее по тексту — САУИБ) и отражает её основные функциональные возможности. Документ разработан и включен в комплект рабочей документации в соответствии с требованиями ГОСТ Р 34.601–90 «Автоматизированные системы. Стадии создания», ГОСТ Р 59795– 2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».
1.ВВЕДЕНИЕ
1.1. Область применения средства автоматизации
Область применения комплекса САУИБ включает в себя обеспечение целостности и подтверждение подлинности корпоративных электронных документов. Внедрение данного ПО позволяет существенно снизить операционные и правовые риски, связанные с использованием неаутентичных или скомпрометированных данных. Основные аспекты применения САУИБ:
1) Обеспечение доверенной среды для проверки документов: Система предоставляет авторизованный доступ к функциям верификации, гарантируя легитимность операций по подтверждению подлинности.
2) Противодействие несанкционированному изменению данных: САУИБ является ключевым инструментом для подтверждения того, что документы не были изменены или скомпрометированы, предотвращая использование фальсифицированной информации.
3) Выявление фактов компрометации документов: Система позволяет своевременно обнаруживать расхождения между эталонными и проверяемыми данными, сигнализируя о возможных инцидентах нарушения целостности.
4) Формирование доказательной базы: По итогам проверки система генерирует официальное заключение (сертификат), которое служит доказательством подлинности документа и может использоваться во внутреннем и внешнем документообороте.
Область применения САУИБ обширна и может адаптироваться под различные сценарии бизнеса. САУИБ является важным элементом управления внутренними процессами, повышающим доверие к корпоративному документообороту и укрепляющим общую систему информационной безопасности.
1.2. Краткое описание возможностей средства автоматизации
1) Верификация документов: Система предоставляет пользователю возможность безопасно загружать электронные документы через веб-форму для проведения автоматизированного анализа их целостности и неизменности.
2) Формирование сертификата подлинности: По результатам успешной проверки система автоматически генерирует цифровой сертификат, который официально подтверждает аутентичность предоставленного документа на момент проверки.
3) Доступ к результатам проверки: Пользователь получает возможность скачать сформированный сертификат подлинности в виде отдельного файла для последующего хранения, использования или предоставления третьим лицам.
4) Контроль доступа: Система обеспечивает безопасный доступ к функционалу верификации через механизмы строгой аутентификации, гарантируя, что операции выполняются только авторизованными пользователями.
1.3. Уровень подготовки пользователя
Ниже приведено описание минимального уровня подготовки пользователя:
Владение базовыми навыками работы со стандартным (веб-браузер, офисные пакеты, редакторы, и т.п.) и специализированным ПО.
2. НАЗНАЧЕНИЕ И УСЛОВИЯ ПРИМЕНЕНИЯ
2.1. Виды деятельности, функции, для автоматизации которых предназначена система
Ниже приведены основные виды деятельности и функций, для которых предназначено данное средство автоматизации САУИБ:
1) Верификация подлинности электронных документов:
САУИБ автоматизирует процесс проверки целостности и аутентичности электронных документов путем их безопасной загрузки и анализа, обеспечивая надежное подтверждение их неизменности.
2) Предоставление единой точки доступа к сервису верификации:
САУИБ реализует концепцию «единого окна», предоставляя пользователям централизованный и защищенный веб-интерфейс для выполнения всех операций, связанных с проверкой подлинности документов.
3) Автоматизация формирования доказательной базы:
Система использует автоматизированные инструменты для генерации официального заключения — сертификата подлинности — по результатам проверки, что исключает человеческий фактор и ускоряет процесс документирования результатов контроля.
4) Интеграция в корпоративный документооборот:
Обеспечение возможности использования генерируемых сертификатов подлинности в смежных бизнес-процессах и информационных системах компании для подтверждения легитимности данных.
2.2. Условия применения средства автоматизации в соответствии с назначением
Операционная среда и общесистемные программные средства:
Операционная система: Сервер работает под управлением операционной системы семейства Linux.
ПО: Веб-приложение САУИБ, разработанное с использованием JavaScript, NodeJS, HTML и др.
Входная информация:
Учетные данные пользователя: уникальные идентификатор пользователя в соответствии с Active Directory (службой каталогов) и набор символов для аутентификации и авторизации в системе.
Требования к подготовке специалистов:
Администраторы: Необходимы специалисты по обслуживанию серверной инфраструктуры, знакомые с установкой, настройкой и обновлением операционных систем и баз данных.
Пользователи: Обучение пользователей работе с интерфейсом системы и индивидуальной настройки системы.
Прочие условия:
Интеграция с другими системами: Возможность интеграции с существующими системами предприятия для оптимизации процесса получения доступа и первичной настройки ПО.
Безопасность данных: Реализация механизмов аутентификации и авторизации для защиты конфиденциальных данных.
Условия применения: Надежность и доступность: Обеспечение непрерывной работы системы с минимальным временем простоя.
Поддержка и обновления: Гарантированная техническая поддержка и регулярные обновления для исправления ошибок и внедрение новых функциональных возможностей.
3. ПОДГОТОВКА К РАБОТЕ
3.1. Состав и содержание носителя данных, содержащего загружаемые программы и данные
Носитель данных/путь к виртуальному хранилищу содержащий загружаемые программы и данные для САУИБ, может включать в себя следующие компоненты:
1) Исполняемые файлы программ:
Серверная часть: Набор исполняемых файлов, отвечающих за обработку и хранение данных на стороне сервера.
Клиентская часть: Файлы, предназначенные для установки на компьютеры пользователей и обеспечивающие интерфейс взаимодействия с системой.
2) Конфигурационные файлы:
Конфигурация серверной части: Файлы, определяющие параметры работы сервера, такие как настройки безопасности, параметры подключения к AD, и другие настройки.
Конфигурация клиентской части: Файлы, содержащие настройки пользовательского интерфейса, параметры подключения к серверу и другие конфигурационные параметры.
3) Справочная и документационная информация:
Руководства пользователя: Документы, описывающие процессы работы с системой, инструкции по использованию интерфейса и функциональности.
Техническая документация: Описание архитектуры системы, принципов работы, структуры базы данных и прочие технические аспекты.
4) Установщики и обновления:
Установщики программ: Файлы, необходимые для установки серверной части системы.
Файлы обновлений: Пакеты данных, предназначенные для обновления программных компонентов серверной составляющей до новых версий.
5) Лог-файлы:
Логи серверной части: Файлы, в которых фиксируются события, происходящие на стороне сервера, для отслеживания ошибок, производительности и безопасности.
6) Формат носителя данных:
CD, DVD или USB-накопители: Физические носители для дистрибуции программ и данных.
3.2. Порядок загрузки программ и данных
Порядок загрузки программ и данных для веб-приложения САУИБ выглядит следующим образом:
1) Подготовка к установке:
Пользователь получает доступ к веб-приложению по предоставленной администратором ссылке.
Веб-приложение доступно через веб-браузер, поэтому пользователь открывает браузер и вводит адрес приложения в адресной строке.
2) Регистрация и авторизация:
Пользователь на странице авторизации вводит свой логин и пароль, используемые для входа в учетную запись на рабочем компьютере.
3) Приветственный экран:
После успешной авторизации, пользователь видит интерфейс веб- приложения. Также пользователю будет доступен полный функционал сервиса.
Пользователя перенаправит на страницу с рекомендованными к ознакомлению документами об использовании продукта.
4) Настройка параметров:
Пользователь может настроить параметры системы в соответствии с его потребностями. Это может включать в себя дополнительную настройку логики системы для улучшения пользовательского опыта.
5) Модуль проверки подлинности документов:
При необходимости Пользователь может перейти по ссылке продукта или внутри системы перейти на соответствующий модуль.
6) Тестирование функционала:
Для старта проверки загрузите файлы любого формата (.doc, .pdf, .xlsx, .xlsm) и нажмите кнопку "Сравнить файлы". Результатом проверки является статус в нижней части экранной формы:
Подлинный - загруженные файлы идентичны;
Измененный - загруженные файлы различны.
Для скачивания сертификата подлинности Пользователь может нажать кнопку скачивания и загрузить сертификат с соответствующими проверке данными на свой персональный компьютер.
7) Техническая поддержка и обновление:
Предоставляется техническая поддержка для решения возможных
проблем.
Разработчики выпускают обновления веб-приложения, которые могут
включать улучшения и новые функции.
3.3. Порядок проверки работоспособности
Порядок проверки работоспособности САУИБ включает следующие этапы:
1) Запуск веб-клиента в веб-браузере:
Проверка доступности страницы веб-приложения в веб-браузере.
2) Авторизация и аутентификация:
Вход пользователя в систему под доменной учётной записью.
3) Интерфейс пользователя:
Проверка корректности работы интерфейса пользователя. Все элементы управления должны быть доступны и реагировать на взаимодействие.
В случае возникновения технических проблем рекомендуется обратиться в службу технической поддержки.
*подробное описание с примерами иллюстраций интерфейса системы вы найдете в разделе Документация нашего сайта
Инструкция администратора
САУИБ - Система автоматизированного управления информационной безопасностью
ПО - Программное обеспечение
АС - Автоматизированная система
АННОТАЦИЯ
Документ «Руководство программиста» посвящен описанию основных аспектов разработки и поддержки программного обеспечения (далее по тексту — ПО) для системы автоматизированного управления информационной безопасностью (далее по тексту — САУИБ). В нем представлены информация о назначении и условиях применения программы, ее характеристиках, процедурах обращения к программе, организации входных и выходных данных, сообщениях и дополнительных материалах. Руководство предназначено для программистов, разрабатывающих и поддерживающих ПО данной АС, и является ключевым источником информации для обеспечения эффективного функционирования САУИБ.
1. НАЗНАЧЕНИЕ И УСЛОВИЯ ПРИМЕНЕНИЯ ПРОГРАММ
САУИБ предназначена для обеспечения целостности и подтверждения подлинности корпоративных электронных документов. Основные функции САУИБ включают:
1) Верификация документов: Система предоставляет пользователю возможность безопасно загружать электронные документы через веб-форму для проведения автоматизированного анализа их целостности и неизменности.
2) Формирование сертификата подлинности: По результатам успешной проверки система автоматически генерирует цифровой сертификат, который официально подтверждает аутентичность предоставленного документа на момент проверки.
3) Доступ к результатам проверки: Пользователь получает возможность скачать сформированный сертификат подлинности в виде отдельного файла для последующего хранения, использования или предоставления третьим лицам.
4) Контроль доступа: Система обеспечивает безопасный доступ к функционалу верификации через механизмы строгой аутентификации, гарантируя, что операции выполняются только авторизованными пользователями.
Перечисленные функции и задачи помогают компании эффективно управлять процессами проектирования и доступности к внутригрупповым АС, повышать производительность отдельных подразделений, снижать риски использования вредоносного и непрофильного ПО.
Для обеспечения функционирования САУИБ необходимы следующие условия:
Аппаратные требования: Минимальный объем оперативной памяти — 4 ГБ; современный многоядерный процессор с тактовой частотой не менее 2 ГГц.
Программное обеспечение: Совместимая операционная система (Windows, macOS, Linux).
Сетевое подключение: Стабильное соединение с корпоративной сетью, пропускной способностью не менее 100 Мбит/с.
Веб-интерфейс: Поддержка современных веб-браузеров (например, Яндекс) с минимальной скоростью интернет-соединения 1 Мбит/с для работы с графическими и текстовыми данными.
2. ХАРАКТЕРИСТИКА ПРОГРАММЫ
Система автоматизированного управления информационной безопасностью (САУИБ) представляет собой программный комплекс, предназначенный для автоматизированной проверки подлинности и целостности электронных документов через защищенный веб-интерфейс.
Основные характеристики включают:
Архитектура: САУИБ реализована как система с веб-интерфейсом, обеспечивающим безопасную загрузку документов, их передачу на сервер для анализа и последующее предоставление пользователю сгенерированного сертификата подлинности.
Производительность: Система оптимизирована для быстрой обработки запросов на верификацию, поддерживая стабильное функционирование при значительном потоке документов за счет эффективных алгоритмов анализа данных и генерации цифровых сертификатов.
Надежность: САУИБ включает механизмы строгой валидации загружаемых файлов и контроля целостности процесса проверки, что минимизирует риски ошибок и обеспечивает высокую достоверность результатов.
Масштабируемость: Архитектура программы позволяет адаптировать систему к растущим объемам проверок, а также интегрировать поддержку новых форматов документов и алгоритмов верификации без нарушения общей производительности.
Эти характеристики обеспечивают надежный и эффективный процесс подтверждения подлинности документов, укрепляя безопасность и доверие в рамках корпоративного документооборота.
3. НАСТРОЙКА И ОБРАЩЕНИЕ К ПРОГРАММЕ
Процедуры обращения к программе в САУИБ представляют собой механизмы передачи входных параметров данных для выполнения определенных операций или функций.
Перед внедрением системы необходимо установить серверный компонент для выполнения алгоритмов JavaScript – Node.JS.
Сохраните Node.JS – https://nodejs.org/en/download, после успешной загрузки в командной строке последовательно пропишите следующие команды:
node –v
npm -vСтруктура проекта для развёртывания системы в периметре заказчика:
project/
└── public/
├── index.html
├── script.js
├── server.crt
├── server.js
├── server.key
└── styles.cssДля настройки системы в инфраструктуре заказчика включает адаптацию конфигурационных параметров для интеграции с корпоративной средой:
1. const LDAP_URL = "ldap://ldap.company.local:***"; // Ввести сервер AD
2. const dnFormats = [
`CN=${sanitizedUsername},DC=company,DC=local`,
`${sanitizedUsername}@company.local`,
`company\\${sanitizedUsername}`
]; // Ввести доменные компоненты
3. app.use(session({
secret: "CompanySecretKey123!@#",
resave: false,
saveUninitialized: false,
cookie: { secure: true } // Если используется HTTPS
}));
const PORT = ****; // Ввести нужный порт
app.listen(PORT, () => {
log("INFO", `Server started on http://localhost:${PORT}`);
});
4. const logFile = "/var/log/ldap_auth.log"; // Ввести путь к лог-файлуДля запуска серверной части, после настройки всех параметров, необходимо указать путь хранения файлов системы и вызвать команду node server.js.Вызов программы доступен через веб-интерфейс: пользователь взаимодействует с программой через экранные формы системы, вводя необходимые данные и запуская соответствующие функции. Программа получает данные от пользователя, обрабатывает их и возвращает результаты операций.4. ВХОДНЫЕ И ВЫХОДНЫЕ ДАННЫЕОрганизация входной и выходной информации в САУИБ играет важную роль для эффективной работы ПО. Основные аспекты организации входных и выходных данных приведены ниже:
1) Входная информация:
Формат: Учетные данные пользователя (идентификатор и пароль) в текстовом формате, предоставляемые на этапе авторизации.
Валидация: Система выполняет проверку входных данных на соответствие информации, хранящейся в корпоративной службе каталогов (Active Directory), с выводом уведомления в случае несоответствия.
2) Выходная информация:
Формат: Интерактивный программный интерфейс, предоставляющий доступ к системе класса управления рисками.
Механизм предоставления: Результаты отображаются в веб-интерфейсе системы, обеспечивая пользователю оперативное взаимодействие с результатами.
Таким образом, организация входной и выходной информации в САУИБ должна быть гибкой и универсальной, чтобы ПО отвечало запросам пользователей, а также требованиям к целостности и доступности информации.5. СООБЩЕНИЯВ ходе выполнения ПО САУИБ могут возникать сообщения, информирующие программиста или пользователя о текущем состоянии программы или о возникших проблемах. Ниже приведен пример типового текста сообщений, их содержание и действия, которые необходимо предпринять в ответ на эти сообщения:
Оповещения о некорректных введенных данных при авторизации:
Содержание сообщения: «Неверный логин или пароль».
Действие: Вернуться на страницу авторизации САУИБ и повторно ввести данные учетной записи. При неоднократном повторении проблемы авторизации обратиться в техническую поддержку.*подробное описание с примерами иллюстраций интерфейса системы вы найдете в разделе Документация нашего сайта
Описание языка программирования
АС - Автоматизированная система
САУИБ - Система автоматизированного управления информационной безопасностью
АННОТАЦИЯ
Документ «Описание языка» составлен в соответствии с требованиями ГОСТ 19.506–79 и содержит информацию о языках программирования, используемых в системе автоматизированного управления информационной безопасностью (далее по тексту — САУИБ). В документе представлено назначение и описание общих характеристик каждого языка, а также основные возможности и области их применения в рамках разработки и функционирования САУИБ.
1.ОБЩИЕ СВЕДЕНИЯ
Для САУИБ используются следующие языки программирования:
1) JavаScript:
Назначение: Высокоуровневый интерпретируемый язык, используемый для реализации клиентской и серверной логики САУИБ, включая обработку пользовательских запросов, интеграцию с корпоративными сервисами и управление авторизацией.
Характеристики: Поддерживает объектно-ориентированное, функциональное и императивное программирование. Динамическая типизация обеспечивает гибкость при обработке данных, таких как учетные записи Active Directory.
2) HTML:
Назначение: Язык разметки, применяемый для структурирования веб-интерфейса САУИБ, обеспечивающего доступ к корпоративным сервисам и инструментам проектирования.
Характеристики: Определяет логическую структуру веб-страниц, включая формы для авторизации и элементы для отображения доступных ресурсов.
3) CSS:
Назначение: Язык стилей, используемый для оформления пользовательского интерфейса САУИБ, обеспечивающего интуитивно понятное взаимодействие с системой.
Характеристики: Позволяет задавать визуальные параметры элементов, такие как расположение, цвета и шрифты, для унифицированного представления портала.
Ниже перечислены основные возможности каждого из используемых в системе автоматизированного управления проектированием языков программирования:
1) JavаScript:
Статическая типизация: JavaScript использует динамическую типизацию — типы данных определяются автоматически во время выполнения. Это делает язык более гибким, но требует внимательной проверки кода, так как ошибки типов могут проявляться только при запуске программы.
Новые возможности Jav * aScript: функциональность языка непрерывно совершенствуется по мере принятия стандарта ECMAScript.
2) HTML:
Структурирование содержимого: HTML используется для определения структуры веб-страницы, включая заголовки, абзацы, списки, таблицы и другие элементы.
Формы и элементы ввода: HTML предоставляет широкий спектр элементов для создания форм и сбора информации от пользователей.
Встраивание мультимедиа: с помощью HTML можно встраивать изображения, видео, аудио и другие мультимедийные элементы на веб- страницу.
3) CSS:
Установка параметров внешнего вида: CSS позволяет задавать цвета, шрифты, стили, расположение отдельных блоков и других аспектов представления внешнего вида веб-страниц.
Эти возможности помогают разработчикам создавать динамические, структурированные и стильные веб-страницы для управления проектированием и доступами, обеспечивая лучший пользовательский опыт и эффективную работу с данными.
Ниже приведены основные области применения и прочие сведения об используемых в системе автоматизированного управления проектированием языках:
1) JavаScript:
Область применения: универсальный язык программирования, позволяющий работать с серверной и клиентской частью системы, API и сетью.
Преимущества: поддерживает несколько стилей программирования: объектно-ориентированный, функциональный и классический императивный, что делает его гибким инструментом для разных задач.
2) HTML:
Область применения: HTML используется для создания структуры веб-страниц, определения содержимого и его организации.
Преимущества: Предоставляет широкий спектр элементов для создания интерфейсов веб-приложений, включая текстовые блоки, изображения, формы, таблицы и другие.
3) CSS:
Область применения: CSS предназначен для представления внешнего вида документа, написанного на HTML или XML.
Преимущества: является инструментом свободной веб-разработки, позволяющий самостоятельно реализовать параметры разметки и дизайна сайта.
Эти языки являются основой для разработки пользовательского интерфейса и логики веб-страниц системы автоматизированного управления проектированием, обеспечивая гибкость, надежность и эффективность в разработке и поддержке.
2. ЭЛЕМЕНТЫ ЯЗЫКА
Ниже приведено описание синтаксиса языков программирования, используемых в САУИБ.
JavaScript — это язык программирования с открытым исходным кодом, широко применяемый для создания интерактивных веб-страниц. Он поддерживает динамическую работу с данными и позволяет добавлять функциональность на стороне клиента.
CSS — это язык стилей, который используется для оформления веб-страниц. Он отвечает за внешний вид элементов, таких как цвета, размеры, расположение и анимации.
HTML — это стандартизированный язык разметки, используемый для создания веб-страниц. Он определяет структуру содержимого веб-страницы с помощью элементов и атрибутов.
Описание семантики базовых и составных элементов языка:
1. JavаScript: Базовые элементы: Переменные (для хранения данных, например, учетных записей), функции (для реализации логики, например, проверки авторизации), объекты (для структурирования данных, таких как параметры интеграции).
Семантика: Обеспечивает динамическую обработку пользовательских запросов, включая валидацию учетных данных через Active Directory и вызов API для интеграции с сервисами.
2. HTML: Базовые элементы: Теги (например, <form> для авторизации, <div> для отображения ресурсов), атрибуты (например, data-* для хранения метаданных).
Семантика: Определяет структуру веб-интерфейса САУИБ, обеспечивая отображение портала с доступными сервисами и формами для взаимодействия 3. HTML: Базовые элементы: Селекторы (для выбора элементов интерфейса), свойства (например, display, color), значения (например, размеры, цвета).
Семантика: Формирует визуальное представление портала, обеспечивая единообразие и интуитивность интерфейса для пользователей.
3. СПОСОБЫ СТРУКТУРИРОВАНИЯ ПРОГРАММЫ
Способы вызова процедур передачи управления и другие элементы структурирования программы могут различаться в зависимости от используемого языка программирования. Ниже приведены общие принципы и элементы структурирования программы для языков JavaScript, HTML, CSS используемых в САУИБ:
1. JavаScript:
Вызов процедур передачи управления: В JavaScript процедуры вызываются с использованием синтаксиса вызова функций. Например: functionName().
Структурирование программы: Программы на JavaScript обычно структурируются с использованием функций, объектов и модулей. Функции задают логику выполнения, объекты группируют данные и методы, а модули помогают организовать код в независимые блоки.
2. CSS:
Вызов процедур передачи управления: В CSS нет прямых процедур передачи управления, так как это язык стилей, а не программирования. Однако псевдоклассы и псевдоэлементы (например, :hover) косвенно управляют поведением стилей.
Структурирование программы: Программы на CSS структурируются с использованием селекторов, блоков правил и каскадности. Это позволяет логически разделять стили и применять их к нужным элементам страницы.
3. HTML:
Вызов процедур передачи управления: В HTML нет процедур передачи управления, поскольку HTML определяет структуру веб-страницы, а не логику программы.
Структурирование программы: HTML структурируется с использованием различных тегов для разметки контента веб-страницы. Элементы такие как <div>, <section>, <header> и <footer> используются для организации контента и создания структуры страницы.
4. СРЕДСТВА ОБМЕНА ДАННЫМИ
Для описания языковых средств обмена данными в контексте системы автоматизированного управления проектированием используются основные средства ввода-вывода, внутреннего обмена данными и другие связанные инструменты:
1) Ввод данных:
HTML-формы: Применяются для сбора учетных данных пользователей при авторизации через веб-интерфейс портала.
Поля ввода: Элементы, такие как <input> и <button>, обеспечивают взаимодействие пользователей с интерфейсом для инициации запросов.
2) Вывод данных:
HTML/CSS-отображение: Используются для представления списка доступных сервисов и инструментов проектирования в унифицированном интерфейсе.
3) Серверное взаимодействие:
Node.js: Обеспечивает асинхронную обработку запросов, например, проверку учетных данных через Active Directory.
Express.js: Реализует маршрутизацию для интеграции с корпоративными системами, обеспечивая доступ к сервисам и инструментам управления рисками в виртуализированной среде.
5. ВСТРОЕННЫЕ ЭЛЕМЕНТЫ
Для САУИБ, которая использует JavaScript, встроенные элементы включают в себя функции, классы и другие конструкции языка. Ниже представлены их описание и правила использования:
1) Функции:
Описание: Функции в JavaScript могут быть объявлены с использованием ключевого слова function и принимать аргументы, возвращать значения.
Правила использования: Функции могут быть именованными или анонимными, а также вызываться из любого участка кода после их объявления или с учетом поднятия (hoisting).
2) Классы:
Описание: Классы в JavaScript используются для создания объектов с заданными свойствами и методами. Они поддерживают конструкторы для инициализации объектов.
Правила использования: Классы могут включать свойства, методы и конструкторы. Они поддерживают наследование через ключевое слово extends для создания иерархии классов.
3) Модули:
Описание: Модули в JavaScript служат для организации кода и разделения его на независимые части, позволяя экспортировать и импортировать функции, объекты или классы.
Правила использования: Модули создаются в отдельных файлах и подключаются в другие части приложения с использованием ключевых слов export и import.
6. СРЕДСТВА ОТЛАДКИ ПРОГРАММЫ
В JavaScript доступны различные средства отладки, которые помогают разработчикам выявлять и исправлять ошибки в коде.
Для разработки и поддержки САУИБ применяются следующие средства отладки JavаScript:
1) Консольные команды: Описание: Разработчики могут использовать консольные команды для вывода значений переменных, объектов или результатов выполнения функций.
Семантика: Команда console.log() применяется для вывода сообщений в консоль браузера или среды выполнения.
Рекомендации по применению: Применять для мониторинга запросов к Active Directory.
2) Отладчик в браузере:
Описание: Современные браузеры и среды разработки предлагают встроенные инструменты отладки.
Семантика: Отладчик позволяет устанавливать точки останова, проверять значения переменных, выполнять код пошагово и анализировать его выполнение.
Рекомендации по применению: Используйте отладчик для детального изучения работы кода и поиска сложных ошибок.
3) Использование debugger:
Описание: Ключевое слово debugger добавляется в код для создания точки останова, где выполнение программы приостанавливается.
Семантика: При достижении оператора debugger выполнение кода останавливается, и управление передается инструменту отладки.
Рекомендации по применению: Применяйте debugger для временной остановки программы в нужной точке и анализа ее состояния.
4) Использование инструкций console.assert() и console.error():
Описание: Эти инструкции служат для проверки условий и вывода сообщений об ошибках соответственно.
Семантика: console.assert() выводит сообщение в консоль, если условие ложно, а console.error() используется для явного указания ошибок.
Рекомендации по применению: Используйте эти команды для проверки ожидаемого поведения программы и выделения проблемных участков кода.
Эти средства отладки помогают разработчикам идентифицировать и исправлять ошибки в коде, улучшая процесс разработки и качество конечного продукта.
Пояснительная записка
ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АРМ - Автоматизированное рабочее место
САУИБ - Система автоматизированного управления информационной безопасностью
АС - Автоматизированная система
СУБД - Система управления базами данных
Система автоматизированного управления информационной безопасностью (далее по тексту — САУИБ) представляет собой программный комплекс, предназначенный для централизованного управления процессами обеспечения информационной безопасности, контроля доступа к информационным ресурсам, мониторинга событий безопасности и автоматизации процедур защиты информации в корпоративной инфраструктуре организации.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Полное наименование программы
Полное наименование АС/ПО — Система автоматизированного управления информационной безопасностью.
1.2. Краткое наименование программы
Краткое наименование АС — САУИБ.
1.3. Основания для проведения работ
Работы выполняются на основании служебного и технического задания
1.4. Наименование организаций — Заказчика и Разработчика 1.5. Цели, назначения и области использования автоматизированной системы
САУИБ разработана для повышения уровня защищенности информационных ресурсов, обеспечения устойчивого функционирования информационных систем, минимизации рисков несанкционированного доступа, а также автоматизации процессов управления информационной безопасностью в соответствии с требованиями действующего законодательства Российской Федерации и нормативных документов в области защиты информации.
Основными целями создания САУИБ являются:
1. Обеспечение централизованного управления средствами и процессами информационной безопасности.
2. Контроль и разграничение прав доступа пользователей к информационным ресурсам.
3. Повышение уровня защищенности данных, обрабатываемых в автоматизированных системах.
4. Автоматизация регистрации, учета и анализа событий информационной безопасности.
5. Снижение вероятности возникновения инцидентов информационной безопасности и минимизация последствий их реализации.
6. Обеспечение контроля целостности, конфиденциальности и доступности информации.
7. Повышение эффективности взаимодействия пользователей с корпоративными информационными ресурсами и службами технической поддержки.
Назначение системы включает:
- управление учетными записями и полномочиями пользователей;
- идентификацию и проверку подлинности субъектов доступа;
- ведение журналов событий безопасности и действий пользователей;
- мониторинг состояния информационной безопасности;
- контроль изменений конфигурации системы;
- централизованное управление доступом к корпоративным сервисам;
- обеспечение безопасного взаимодействия со смежными информационными системами;
- поддержку процессов резервного копирования и восстановления данных;
- формирование отчетности и уведомлений по событиям безопасности;
- обеспечение выполнения требований нормативных правовых актов и внутренних регламентов организации в области защиты информации.
В состав САУИБ могут входить:
- подсистема управления доступом;
- подсистема регистрации и аудита событий;
- подсистема мониторинга информационной безопасности;
- подсистема управления инцидентами;
- подсистема резервного копирования и восстановления;
- средства интеграции с корпоративными службами каталогов и информационными системами;
- пользовательский программный портал для администрирования и контроля состояния безопасности.
Реализация согласованного взаимодействия с внутрикорпоративными платформами для формирования единого информационного пространства.
Система применима в организациях, где требуется централизованный доступ к специализированным инструментам проектирования и информационным ресурсам, включая предприятия с развитой корпоративной инфраструктурой.
1.6. Подтверждение соответствия проектных решений действующим нормам и правилам техники безопасности, пожаро- и взрывобезопасности и т. п.
Проектные решения по разработке АС, утвержденные в соответствии с действующими нормами и правилами техники безопасности, пожаро- и взрывобезопасности, подтверждены экспертным путем на основе документов ООО «СОЛТЕХ» и согласованы с техническим заданием на разработку системы. Важно подчеркнуть следующие аспекты:
1) Техника безопасности:
Обеспечение безопасности системы должно соответствовать действующим стандартам и нормативам техники безопасности.
Учёт требований к физической безопасности и защите от несанкционированного доступа.
2) Пожаро- и взрывобезопасность:
Применение решений, соответствующих требованиям по пожаробезопасности и предотвращению взрывов, если это применимо в контексте системы.
3) Защита информации:
Система защиты информации должна соответствовать классу защищённости 1Д по классификации Гостехкомиссии РФ.
Функции управления доступом, включая идентификацию и проверку подлинности субъектов доступа, а также разграничение доступа, должны быть реализованы в системе.
Технические средства хранения исходного текста и объектного кода, а также компиляции исходного текста в объектный код, размещены на территории Российской Федерации.
4) Управление доступом:
Идентификация и проверка подлинности субъектов доступа при входе в систему должны быть обеспечены средствами системы.
Разграничение доступа к информационным ресурсам системы должно быть реализовано на уровне системы.
5) Регистрация и учёт:
Функции регистрации и учёта субъектов доступа, включая регистрацию входа/выхода, должны осуществляться средствами системы.
Обеспечение надежной регистрации всех событий в системе, включая изменения в данных и управлении доступом.
При проектировании системы управления проектированием использовались следующие нормативно- технические документы:
Государственные стандарты:
1) ГОСТ Р 34.201–2020 «Виды, комплектность и обозначение документов при создании автоматизированных систем» — устанавливает порядок разработки документации для автоматизированных систем.
2) ГОСТ Р 34.601–2021 «Автоматизированные системы. Стадии создания» — определяет этапы создания автоматизированных систем.
3) ГОСТ Р 34.602–2020 «Техническое задание на создание автоматизированной системы» — регламентирует структуру и содержание технического задания.
4) ГОСТ Р ИСО/МЭК 25010–2023 «Виды испытаний автоматизированных систем».
5) ГОСТ Р 59795–2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».
6) ГОСТ 12.2.003 и ГОСТ 12.2.007 — стандарты, регламентирующие безопасность технического оборудования.
7) СанПиН 1.2.3685–21 — «Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организации работы».
8) ГОСТ 12.2.032–78 — «Рабочее место при выполнении работ сидя. Общие эргономические требования».
9) ГОСТ 32594–2023 — стандарты, регламентирующие климатические условия эксплуатации и хранения компонентов автоматизированных систем.
10) ГОСТ Р 51904–2002 «Процессы и средства обеспечения качества программного обеспечения. Основные положения».
11) ГОСТ Р ИСО/МЭК 12207 «Инженерия программных систем и систем:
Процессы жизненного цикла программных систем».
Федеральные законы:
1) Федеральный закон № 152-ФЗ «О персональных данных» — устанавливает правила обработки и защиты персональных данных.
Нормативные акты по информационной безопасности:
1) Федеральный закон № 187–ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — определяет требования к обеспечению безопасности критической информационной инфраструктуры.
Стандарты по безопасности и защите информации:
1) ГОСТ Р ИСО/МЭК 27001–2016 «Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования» — устанавливает требования к системам управления информационной безопасностью.
Стандарты по процессам управления:
1) ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» — предоставляет общие принципы систем управления качеством.
2) ГОСТ Р ИСО 14001–2016 «Системы экологического менеджмента. Требования и руководство по применению».
3) ГОСТ Р ИСО 45001-2020 «Системы менеджмента безопасности труда и охраны здоровья. Требования и руководство по применению».
Требования к хранению данных:
1) Федеральный закон № 149–ФЗ «Об информации, информационных технологиях и о защите информации» — определяет требования к хранению данных.
Прочие нормативные акты:
1) Приказы и рекомендации соответствующих регулирующих органов, применимые к конкретной отрасли или области деятельности.
1.7. Сведения о научно-исследовательской работе, передовом опыте, изобретениях, использованных при разработке проекта
Создание данного программного продукта основано на изучении научных исследований в области автоматизации процессов доступности сервисов. Особое внимание было уделено безопасности, надежности и масштабируемости системы, что позволило обеспечить её интеграцию в корпоративную инфраструктуру с минимальными изменениями в существующих процессах.
1.8. Очередность создания автоматизированной системы и объем каждой очереди
Разработка системы осуществлялась в одну очередь в соответствии с этапами и сроками их выполнения, приведенными в Таблице 1. Объёмы работ, определённые на этапе разработки технического проекта, могут уточняться на этапе разработки рабочей документации АС. Модернизация промышленной версии, при выявлении потребности, осуществляется в три этапа; сроки определяются в дополнительной документации.
2. ОПИСАНИЕ ПРОЦЕССОВ ДЕЯТЕЛЬНОСТИ ОБЪЕКТА АВТОМАТИЗАЦИИ
Система автоматизированного управления проектированием оптимизирует взаимодействие пользователей с процессами проектирования и управления доступом к корпоративным ресурсам.
Основные процессы включают:
Автоматизированное подключение к ресурсам: Система предоставляет унифицированный программный интерфейс, обеспечивающий оперативный доступ к специализированным инструментам управления рисками в виртуализированной среде и интеграцию с корпоративными сервисами через синхронизацию с службой каталогов (Active Directory).
Неавтоматизированные операции: Первичная авторизация пользователей с вводом учетных данных и начальная настройка параметров системы администраторами.
Эти процессы формируют единый рабочий цикл, минимизируя ручные операции и повышая эффективность взаимодействия с корпоративной инфраструктурой.
3. ОСНОВНЫЕ ТЕХНИЧЕСКИЕ РЕШЕНИЯ
3.1. Решения по структуре автоматизированной системы и ее подсистем, по взаимодействию подсистем, по связям между компонентами автоматизированной системы
При разработке САУИБ были приняты следующие решения по структуре системы и взаимодействию ее подсистем:
1) Веб-ресурс:
Система реализована как веб-приложение, обеспечивающее централизованный интерфейс для взаимодействия с корпоративными сервисами и подключения к системам класса управления рисками в виртуализированной среде. Портал интегрируется с корпоративной службой каталогов (Active Directory) для управления доступом и синхронизации данных.
3.2. Решения по взаимодействию автоматизированной системы со смежными системами и обеспечению совместимости
При проектировании САУИБ были приняты следующие решения по взаимодействию со смежными системами и обеспечению их совместимости:
– Интеграция с корпоративными сервисами и системами управления рисками:
Система САУИБ интегрируется с используемыми системами для формирования единого информационного периметра компании.
Для обеспечения совместимости используются стандартизированные протоколы подключения к информационным источникам.
Приведённые выше решения позволяют эффективно интегрировать САУИБ
с внедренными системами и обеспечивают ее совместимость с различными технологиями и платформами.
3.3. Сведения об обеспечении заданных в техническом задании на автоматизированную систему потребительских характеристик системы, определяющих ее качество.
Для обеспечения заданных в техническом задании потребительских характеристик системы были приняты следующие меры:
– Качество данных:
Система реализована с применением современных подходов к разработке веб-приложений, гарантирующих точность и целостность данных.
– Надежность:
В системе реализованы механизмы аутентификации пользователя и настроено соединение с Active Directory, что обеспечивает надежный уровень информационной безопасности.
Проведены тестирования на надежность и стабильность работы системы в различных условиях эксплуатации.
– Производительность:
Архитектура системы спроектирована с учетом высокой производительности и эффективности использования ресурсов.
Проведены тесты производительности, позволяющие оценить скорость работы системы и ее способность обрабатывать большие объемы данных.
– Удобство использования:
Интерфейс системы разработан с учетом принципов юзабилити, что обеспечивает простоту и удобство использования для конечных пользователей.
Проведены пользовательские тесты и опросы для оценки удовлетворенности интерфейсом и функционалом системы.
Эти меры обеспечивают соответствие САУИБ заданным в техническом задании потребительским характеристикам.
3.4. Состав функций, комплексов задач, реализуемых автоматизированной системой.
САУИБ реализует следующие функции:
1) Управление доступом к информационным ресурсам:
- идентификация и проверка подлинности пользователей;
- разграничение прав доступа в соответствии с установленными ролями и полномочиями;
- централизованное управление учетными записями пользователей;
- контроль предоставления, изменения и прекращения доступа.
2) Регистрация и учёт событий безопасности:
- ведение журналов регистрации действий пользователей;
- учет попыток входа в систему и несанкционированного доступа;
- фиксация изменений конфигурации и параметров системы;
- хранение и обработка сведений о событиях информационной безопасности.
3) Мониторинг состояния информационной безопасности:
- контроль состояния защищенности информационных ресурсов;
- выявление нарушений политики безопасности;
- обнаружение подозрительной активности и потенциальных угроз;
- формирование уведомлений о событиях безопасности.
4) Защита информации:
- обеспечение конфиденциальности, целостности и доступности данных;
- контроль целостности программных компонентов и информационных ресурсов;
- предотвращение несанкционированного доступа к информации;
- поддержка применения средств криптографической защиты информации при необходимости.
5) Управление инцидентами информационной безопасности:
- регистрация инцидентов;
- сопровождение процессов реагирования на инциденты;
- анализ причин возникновения нарушений безопасности;
- формирование отчетности по инцидентам и мероприятиям по их устранению.
6) Резервное копирование и восстановление данных
- создание резервных копий данных и конфигурации системы;
- обеспечение восстановления работоспособности системы после сбоев;
- контроль сохранности резервных копий.
7) Интеграция со смежными системами:
- взаимодействие с корпоративными службами каталогов;
- обмен данными с информационными системами организации;
- поддержка стандартных протоколов информационного взаимодействия;
- централизованный обмен сведениями о событиях безопасности.
8) Контроль и администрирование системы:
- управление параметрами функционирования системы;
- контроль работоспособности компонентов;
- централизованное администрирование пользователей и ресурсов;
- ведение отчетности о состоянии системы.
9) Поддержка нормативных требований:
- обеспечение выполнения требований законодательства Российской Федерации в области защиты информации;
- поддержка внутренних регламентов и политик информационной безопасности;
- подготовка данных для проведения проверок и аудита информационной безопасности.
Реализуемые меры обеспечивают автоматизацию процессов управления информационной безопасностью, повышение защищенности корпоративной инфраструктуры и снижение рисков нарушения безопасности информации..
3.5. Решения по комплексу технических средств, его размещению на объекте.
Разработка и внедрение комплекса технических средств (далее по тексту — ТС) для САУИБ требует внимательного подхода к выбору, размещению и обеспечению работоспособности необходимого оборудования. Ниже приведены используемые в данной АС решения по комплексу технических средств, его размещению на объекте:
– Автоматизированные «рабочие места» оператора (далее по тексту — АРМ ):
Выбор АРМ оператора: использование современных устройств с достаточной производительностью.
Настройка ПО: п и настройка необходимого ПО.
Обновление антивирусных программ: регулярное обновление и использование антивирусных программ для защиты от вредоносных программ.
– Техническое обслуживание:
Мониторинг оборудования: реализация системы мониторинга состояния оборудования для оперативного выявления и устранения неисправностей.
Техподдержка: обеспечение функционирования службы технической поддержки для оперативного реагирования на возможные проблемы.
Обновление и модернизация: регулярное обновление и модернизация оборудования для соответствия требованиям и повышения производительности.
Приведённые выше решения обеспечивают надежность, безопасность, эффективность и долгосрочную работоспособность САУИБ. Технические средства хранения исходного текста и объектного кода системы, а также технические средства компиляции исходного текста в объектный код упомянутого ПО находятся на территории Российской Федерации.
3.6. Решения по составу информации, способам ее организации, входным и выходным документам и сообщениям.
В САУИБ используются следующие способы организации информации и данных:
– Интерфейс пользователя: Интерфейс системы разработан с учетом эргономических принципов, обеспечивая эффективное взаимодействие пользователей с функциональностью.
– Виртуальные рабочие пространства: Используется для оптимизации доступа к комплексу программных решений для проектирования. Взаимодействие пользователя осуществляется через интерфейс ПК.
3.7. Решения по составу программных средств, применяемым языкам программирования, алгоритмам процедур и операций, и методам их реализации.
При разработке САУИБ были приняты следующие решения по составу программных средств:
– Языки программирования:
JavaScript(язык программирования): Использован для реализации серверной логики и обработки запросов, включая управление доступом и интеграцию с внешними системами.
HTML (язык гипертекстовой разметки): Применен для структурирования веб-интерфейса системы, обеспечивающего отображение доступных ресурсов.
CSS (язык таблиц стилей): Использован как язык стилей для оформления интерфейса, обеспечивающего единообразное визуальное представление.
При разработке системы были приняты следующие решения по применяемым языкам программирования:
JavaScript (язык программирования): Серверная часть разработанной системы реализована с использованием языка программирования JavaScript.
HTML (язык гипертекстовой разметки) + CSS (язык таблиц стилей) : Для разработки веб-версии пользовательского интерфейса использовались языки разметки HTML и декодирования CSS.
4. МЕРОПРИЯТИЯ ПО ПОДГОТОВКЕ ОБЪЕКТА АВТОМАТИЗАЦИИ К ВВОДУ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ В ДЕЙСТВИЕ
4.1. Мероприятия по созданию необходимых подразделений и рабочих мест.
Для обеспечения эффективной работы персонала и обработки информации с использованием автоматизированной системы были проведены следующие мероприятия по обучению и проверке квалификации:
– Обучение персонала: Организованы учебные программы, включающие теоретические и практические занятия по использованию программного портала САУИБ, в частности, авторизации через корпоративную службу каталогов, доступа к инструментам управления рисками в виртуализированной среде и формирования запросов в техническую поддержку.
– Обновление знаний и навыков: Предусмотрены регулярные обновления и повторные курсы обучения для персонала с целью поддержания и улучшения их знаний и навыков в области работы с системой.
– Обратная связь и коррекция: Предусмотрены механизмы обратной связи и коррекции для адаптации программы обучения к конкретным потребностям сотрудников и обеспечения непрерывного улучшения процесса обучения.
*подробное описание с примерами иллюстраций интерфейса системы вы найдете в разделе Документация нашего сайта
Жизненный цикл продукта
АС - Автоматизированная система
САУИБ - Система автоматизированного управления проектированием
Бэклог - Список задач по продукту
ЖЦ - Жизненный цикл
ПО - Программное обеспечение
Релиз - Выпуск
АННОТАЦИЯ
Документ содержит описание процессов жизненного цикла программного обеспечения (далее по тексту — ПО) системы автоматизированного управления информационной безопасностью (далее по тексту — САУИБ). Документ разработан и включен в комплект рабочей документации в соответствии с требованиями ГОСТ Р 34.601–90 «Автоматизированные системы. Стадии создания», ГОСТ Р 59795–2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».
1. ВВЕДЕНИЕ
Область применения комплекса САУИБ включает в себя обеспечение целостности и подтверждение подлинности корпоративных электронных документов. Внедрение данного ПО позволяет существенно снизить операционные и правовые риски, связанные с использованием неаутентичных или скомпрометированных данных. Основные аспекты применения САУИБ:
1) Обеспечение доверенной среды для проверки документов: Система предоставляет авторизованный доступ к функциям верификации, гарантируя легитимность операций по подтверждению подлинности.
2) Противодействие несанкционированному изменению данных: САУИБ является ключевым инструментом для подтверждения того, что документы не были изменены или скомпрометированы, предотвращая использование фальсифицированной информации.
3) Выявление фактов компрометации документов: Система позволяет своевременно обнаруживать расхождения между эталонными и проверяемыми данными, сигнализируя о возможных инцидентах нарушения целостности.
4) Формирование доказательной базы: По итогам проверки система генерирует официальное заключение (сертификат), которое служит доказательством подлинности документа и может использоваться во внутреннем и внешнем документообороте.
Область применения САУИБ обширна и может адаптироваться под различные сценарии бизнеса. САУИБ является важным элементом управления внутренними процессами, повышающим доверие к корпоративному документообороту и укрепляющим общую систему информационной безопасности.
2. ПЛАНИРОВАНИЕ ПРОЦЕССОВ ЖИЗНЕННОГО ЦИКЛА РАЗРАБОТКИ
Жизненный цикл (далее по тексту — ЖЦ) включает период создания и использования САУИБ, начиная с момента возникновения потребности в продукте, заканчивая разработкой, тестированием и отладкой, поставкой программной продукции, ее эксплуатацией и технической поддержкой.
ЖЦ определен с учетом положений следующих стандартов:
1. ГОСТ Р ИСО/МЭК 12207–2010 «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств»;
2. ГОСТ Р 56939–2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
3. ГОСТ РВ 0015–002–2012 «Системы менеджмента качества. Общие требования».
4. ГОСТ Р 51904–2002 «Процессы и средства обеспечения качества программного обеспечения. Основные положения».
5. ГОСТ Р ИСО/МЭК 12207 – 2010 «Инженерия программных систем и систем: Процессы жизненного цикла программных систем».
В ООО «СОЛТЕХ» принята итерационная модель ЖЦ.
Разработка САУИБ осуществляется в соответствии с итерационной моделью жизненного цикла, обеспечивающей регулярное обновление функциональности системы с заданной периодичностью (см. Рис. 1). Каждая итерация охватывает этапы планирования и оценки задач, реализации программных компонентов, проведения функционального и интеграционного тестирования, а также актуализации эксплуатационной документации.
Модель ЖЦ обеспечивает необходимый контроль над разработкой и сопровождением САУИБ.
В ООО «СОЛТЕХ» процессы управления конфигурацией сервиса осуществляются с использованием репозитория дистрибутивов, стенда сборки и системы контроля версий.
3. ФОРМИРОВАНИЕ И ОЦЕНКА ЗАДАЧ
Ниже описан порядок формирования и оценки задач:
1. Ответственный за продукт аналитик определяет задачи, которые должны быть выполнены в итерацию.
2. Ответственный за продукт аналитик определяет требования к задачам; технический менеджер, ответственный за продукт аналитик совместно с командой разработки проводят оценку задач.
3. Технический менеджер продукта устанавливает ответственность за разработку, распределяя задачи между членами команды разработки.
4. Технический менеджер продукта осуществляет мониторинг этого процесса (установлены критерии и методы оценки результативности процесса).
Управление задачами ведётся с использованием выпусков (далее по тексту — релизов), т.е. все задачи, запланированные в релиз, помечаются соответствующим образом. Именование версий происходит по методологии semver. Задачи, не включенные в какой-либо релиз, остаются в списке задач по продукту (далее по тексту — бэклог) и не участвуют в разработке, а используются только для планирования будущих работ.
Результатами этапа являются:
1. Сформированный бэклог на итерацию и релиз.
2. Спецификация требований и/или техническое описание по каждой задаче.
3. Назначение по каждой задаче исполнителя.
4. ПРОЕКТИРОВАНИЕ И РАЗРАБОТКА
Процесс проектирования и разработки САУИБ включает следующие этапы:
1. Разработка системной архитектуры клиент-серверного приложения, обеспечивающей безопасную загрузку электронных документов через веб-интерфейс, их серверную обработку для анализа подлинности и последующую генерацию сертификата для пользователя.
2. Реализация программных компонентов, включая пользовательский интерфейс для загрузки файлов, серверную часть для их приема и обработки, основной модуль верификации, реализующий алгоритмы проверки, и компонент для генерации итогового сертификата.
3. Формирование спецификаций для сборки программных пакетов, определяющих зависимости и конфигурацию веб-приложения для его стабильного и безопасного функционирования.
4. Сборка и размещение готовых программных компонентов в репозитории для последующего развертывания на веб-сервере. Разработка по задачам идёт до тех пор, пока все задачи в рамках итерации не будут закрыты.
При работе с кодом команда придерживается методологии, известной как гитфлоу, но с несколькими упрощениями.
Так, в каждом репозитории есть три основных ветки и соответствующих им окружения:
1. Дев (с англ. Develop, в терминологии гитфлоу) — базовая ветка для разработки, от неё идут все ветки задач (feature ветки);
2. Стейдж (с англ. Stage, в терминологии гитфлоу) — ветка готовящегося релиза;
3. Мастер (с англ. Master, в терминологии гитфлоу) — ветка последнего стабильного релиза.
Порядок обновления ПО приведен ниже:
1) Модернизация программной архитектуры, а также разработка решений по построению всех составных компонентов;
2) Модернизация исходных кодов, написание файлов спецификации для сборки пакетов прикладного ПО;
3) Сборка пакетов прикладного ПО и добавление их в репозиторий ПО;
4) Сборка дистрибутивов из репозитория ПО;
5) Проверка работоспособности;
6) Устранение проблем (тестирование и отладка);
7) Рассылка уведомления пользователям об обновленной версии ПО.
5. ТЕСТИРОВАНИЕ И ОТЛАДКА
Проведение тестирования является обязательным перед передачей новой версии потребителю. Тестирование проводится лицами, ответственными за проведение тестирования программной продукции. Для тестирования и отладки программной продукции собирается стенд, выдается задание на тестирование. По результатам тестирования осуществляется устранение ошибок и осуществляется (при необходимости) доработка системы.
Процессом тестирования и отладки определен порядок:
1. Сборка дистрибутивов ПО — ответственный за продукт инженер по внедрению проводит слияние develop в stage и сборку в stage окружении.
2. Проведение тестирования ПО — ответственный за продукт инженер- тестировщик проводит тестирование в среде разработки, а также дымовое тестирование (с англ. smoke testing) в окружении разработки всего продукта.
3. Устранение выявленных недостатков ПО — описанием дефекта (недостатка ПО), далее проводится повторное дымовое тестирование (ре-тест).
4. При завершении дымового тестирования (в том числе повторного) проводится регрессионное тестирование всей функциональности продукта.
5. При положительном результате регрессионного тестирования проводится добавление в репозиторий эталонных версий дистрибутивов и исходных текстов ПО.
6. Ответственный за продукт инженер по внедрению проводит перенос проверенного кода из тестовой среды в промышленный контур с проставлением тега релиза (x.y.z) и сборку в промышленном окружении.
7. Корректировка программной документации.
По итогам тестирования и отладки сотрудник, ответственный за выпуск новой версии, формирует заключение о качестве версии с оценкой уровня исправления ошибок и запускает процесс согласования разрешения на выпуск версии со следующими лицами:
1. Сотрудник проектной группы, ответственный за разработку ПО САУИБ.
2. Руководитель проекта.
3. Руководитель подразделения, утверждающий разрешение на выпуск версии ПО САУИБ.
6. ЭКСПЛУАТАЦИЯ И СОПРОВОЖДЕНИЕ
6.1. Техническая поддержка
Техническая поддержка пользователей САУИБ направлена на обеспечение бесперебойного взаимодействия с системой и оперативное решение запросов. Поддержка включает консультирование пользователей и администраторов по вопросам доступа к сервисам, настройки параметров и управления данными через централизованный программный интерфейс:
1. Помощь в доступе к веб-порталу.
2. Помощь в поиске и устранении проблем в случае некорректной работы веб-портала.
3. Описание функционала ПО, помощь в эксплуатации.
4. Предоставление актуальной документации по установке/настройке/работе ПО.
В заявке на техническую поддержку пользователь должен указать следующую информацию:
1. Описание проблемы (шаги воспроизведения проблемы).
2. Предпринятые попытки решения проблемы.
3. Дополнительная информация: Когда в последний раз пользователь работал с системой, если работал, и была ли ошибка.
После доставки ответа пользователю запрос считается завершенным, и находится в статусе «завершен, требует подтверждения пользователя». В случае аргументированного несогласия пользователя с завершением запроса, выполнение запроса продолжается.
Завершенный запрос переходит в состояние закрытого после получения подтверждения от пользователя о решении запроса. В случае отсутствия ответа пользователя о завершении запроса в течение 14 рабочих дней, в случае если иное не оговорено в соглашении о расширенной технической поддержки, запрос считается закрытым. Закрытие запроса может инициировать пользователь, если надобность в ответе на запрос по каким-либо причинам более не требуется.
6.2. Персонал, обеспечивающий работу на местах
Ниже приведено описание минимального уровня подготовки пользователя:
Владение базовыми навыками работы со стандартным ПО (веб-браузер, офисные пакеты, редакторы, и т.п.).
6.3. Персонал, обеспечивающий техническую поддержку и развитие системы
1) Технические навыки:
Технический персонал должен обладать высоким уровнем квалификации и практическим опытом выполнения работ по установке, настройке и администрированию программных и технических средств, применяемых в системе, иметь обширные знания в области используемого стека технологий (описание предоставлено в Пояснительной записке) и опыт работы с серверами, базами данных, операционными системами, Active Directory, RDP.
2) Знание ПО:
Понимание логики работы системы управления информационной безопасностью, способность осуществлять её настройку и поддержание работоспособности технических средств, на которых устанавливается ПО.
Умение работать с веб-технологиями, Active Directory (службе каталогов), RDP, а также знание принципов информационной безопасности.
3) Обеспечение безопасности:
Знание методов обеспечения безопасности информации и опыт применения соответствующих мер для защиты данных системы автоматизированного управления информационной безопасностью.
4) Управление пользователями:
Навыки управления пользователями в Active Directory (службе каталогов), в том числе выдача прав доступа, настройка профилей и решение проблем с учетными записями.
5) Техническая поддержка:
Готовность оказывать техническую поддержку пользователям, в том числе решение проблем, связанных с функциональностью системы.
*подробное описание с примерами иллюстраций интерфейса системы вы найдете в разделе Документация нашего сайта
Общее описание системы
САУИБ - Система автоматизированного управления информационной безопасностью
ПО - Программное обеспечение
АСУП - Автоматизированная система управления предприятиемСТП - Служба технической поддержки (Service Desk)
АННОТАЦИЯ
Документ «Описание программы» представляет собой документацию, посвященную программному обеспечению (далее по тексту — ПО) системе автоматизированного управления информационной безопасностью (далее по тексту — САУИБ). Данный документ предоставляет обзор основных характеристик системы, ее функций, компонентов, а также взаимосвязей с другими системами. Он содержит информацию о перечне объектов автоматизации, функциях системы, структуре и взаимосвязях ее частей, а также о предназначении системы. Документ разработан и включен в комплект рабочей документации в соответствии с требованиями ГОСТ Р 34.601–90 «Автоматизированные системы. Стадии создания», ГОСТ Р 59795–2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».
1. НАЗНАЧЕНИЕ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ
1.1. Вид деятельности, для автоматизации которой предназначена система
САУИБ разработана для управления процессами проектирования различных объектов и их компонентов, а также для оптимизации деятельности предоставления доступов к внутрикорпоративным информационным ресурсам.
Основные виды деятельности, для автоматизации которых предназначена данная система, включают в себя:
1) Обеспечение доступа к инструментам проектирования: САУИБ предоставляет унифицированный программный интерфейс для оперативного подключения к системам класса управления рисками в виртуальной среде, минимизируя необходимость локальной настройки.
2) Управление правами доступа: Система оптимизирует предоставление доступа к корпоративным информационным ресурсам и специализированным инструментам, обеспечивая централизованное управление учетными данными.
3) Интеграция корпоративных ресурсов: САУИБ реализует централизованный портал для взаимодействия с внутрикорпоративными информационным ресурсами, обеспечивая согласованный доступ к функциональности.
4) Автоматизация взаимодействия с технической поддержкой: Система поддерживает формирование и обработку запросов в службу поддержки для оперативного решения вопросов, связанных с доступом и эксплуатацией информационных ресурсов.
Эти виды деятельности являются основными направлениями работы САУИБ и представляют собой ключевые задачи, автоматизируемые с применением разработанной системы.
1.2. Перечень объектов автоматизации, на которых используется автоматизированная система
САУИБ применяется на следующих объектах автоматизации, связанных с деятельностью группы компаний солнечного бизнеса:
1) Отдел проектирования программно-аппаратных комплексов.
2) Управление бизнес-приложений.
3) Управление по льготному финансированию и страхования.
4) Отделы, ответственные за реализацию локальной и международной проектной деятельности.
5) Другие организационные подразделения.
САУИБ используется на различных уровнях управления и оперативной деятельности организации, обеспечивая работникам беспрерывный и непрерывный доступ в корпоративные системы и информационные ресурсы.
1.3. Перечень функций, реализуемых автоматизированной системой
САУИБ позволяет решать широкий спектр задач управления процессами проектирования различных объектов и их компонентов, и оптимизации деятельности предоставления доступов к внутрикорпоративным информационным ресурсам.
САУИБ предназначена для автоматизации процессов управления доступом к корпоративным информационным ресурсам, централизованного управления учетными данными пользователей, а также обеспечения безопасного взаимодействия работников с информационными системами организации.
Система обеспечивает:
- централизованную аутентификацию и авторизацию;
- контроль и регистрацию действий пользователей;
- безопасный обмен данными между подсистемами;
- управление правами доступа;
- взаимодействие с корпоративными автоматизированными системами;
- обработку запросов пользователей через службу технической поддержки.
В состав системы входят:
- веб-интерфейс пользователя;
- сервер обработки запросов;
- модуль интеграционного взаимодействия;
- подсистема мониторинга событий информационной безопасности;
- подсистема резервного копирования и восстановления.
Для обеспечения безопасности функционирования системы применяются:
- многоуровневое разграничение доступа;
- контроль полномочий пользователей;
- средства криптографической защиты информации;
- антивирусная защита;
- мониторинг событий безопасности;
- хранение журналов аудита;
- контроль конфигурации программного обеспечения.
Ниже приведены основные функции, которые реализует данная система:
1) Централизованное управление доступом к системам класса управления рисками: САУИБ предоставляет унифицированный интерфейс для взаимодействия с системами класса управления рисками, обеспечивая автоматизированное подключение к необходимым программным продуктам в виртуальной среде.
2) Оптимизация предоставления доступа: Система реализует структурированный подход к управлению правами доступа к корпоративным информационным ресурсам и специализированным инструментам управления рисками, минимизируя временные затраты.
3) Интеграция корпоративных информационных ресурсов: САУИБ объединяет доступ к разнородным внутрикорпоративным системам через единый программный портал, обеспечивая согласованное и понятное взаимодействие пользователей с информационным ресурсами.
4) Автоматизация взаимодействия с технической поддержкой: Система поддерживает комплексный механизм обработки пользовательских запросов, связанных с проверкой подлинности документов и подтверждением результатов проверки.
2. ОПИСАНИЕ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ
2.1. Описание взаимосвязей автоматизированной системы с другими автоматизированными системами
В САУИБ настроен непрерывный доступ к различными информационными системами в рамках организации, что обеспечивает целостность информационного пространства и эффективное функционирование бизнес-процессов. Ниже приведены основные взаимосвязи САУИБ с другими информационными системами:
1) Корпоративные системы финансового учета и отчетности.
2) Система управления проектами.
3) Система кадрового электронного документооборота.
4) Система электронного документооборота.
5) Корпоративные порталы и веб-приложения.
6) Система бизнес-аналитики.
Взаимосвязь САУИБ с другими информационными системами обеспечивает быстрый доступ к внутренним информационным ресурсам для работников ГК, что способствует повышению производительности подразделений.
2.2. Структура автоматизированной системы и назначение ее частей
САУИБ состоит из нескольких взаимосвязанных компонентов, каждый из которых выполняет определенные функции.
Ниже приведена структура САУИБ и описание ее основных частей:
1) Клиентский веб-интерфейс:
Программный ресурс, обеспечивающий интерактивное взаимодействие пользователей с системой. Интерфейс поддерживает авторизацию, отображение доступных корпоративных информационных ресурсов и инициацию подключения к специализированным инструментам управления рисками в виртуальной среде.
2) Серверная часть:
Компонент, отвечающий за обработку пользовательских запросов, реализацию логики обработки данных и координацию взаимодействия между клиентским интерфейсом и интегрированными системами.
3) Интеграционный модуль:
Интеграционный модуль: Подсистема, обеспечивающая согласованное взаимодействие с корпоративными информационными системами, включая синхронизацию данных и управление доступом.
Структура САУИБ разработана таким образом, чтобы обеспечить эффективное выполнение всех функций системы, удобство использования для пользователей и надежность работы. Каждая часть системы выполняет определенные функции и взаимодействует с другими компонентами для достижения общих целей автоматизации процессов компании.
2.3. Сведения об автоматизированной системе и её частях, необходимые для обеспечения эксплуатации
Ниже представлены сведения об АС и ее частях, необходимые для обеспечения эффективной эксплуатации:
1) Цель системы:
Целью САУИБ является автоматизация процессов управления проектированием и доступами к приложениям и информационным ресурсам.
2) Функциональные возможности:
Система предоставляет возможности для проектирования различных объектов и компонентов с использованием разнообразных систем управления рисками.
Организация всех доступных для работника информационных ресурсов в едином информационный ресурсе.
3) Структура системы:
САУИБ состоит из веб-интерфейса, серверной части и интеграционных модулей.
Система обеспечивает выполнение требований информационной безопасности, включая разграничение прав доступа пользователей,
регистрацию событий безопасности, контроль целостности данных, централизованную аутентификацию, защиту каналов передачи данных, резервное копирование, отслеживание действий пользователей и контроль несанкционированного доступа.
4) Требования к оборудованию:
Для работы системы требуется серверное оборудование для размещения серверной части, а также клиентские устройства для доступа пользователей к веб-интерфейсу системы.
5) Требования к ПО:
Для установки и работы системы необходимы операционные системы и программные компоненты, указанные в технических требованиях и рекомендациях по установке системы.
6) Поддержка и обслуживание:
Для обеспечения бесперебойной работы системы необходимо регулярное техническое обслуживание серверного оборудования, а также оперативное реагирование на возникающие проблемы и запросы пользователей.
Данные сведения об АС и ее частях необходимы для обеспечения эффективной эксплуатации САУИБ и поддержания ее работоспособности в рамках группы компаний солнечного бизнеса.
2.4. Описание функционирования автоматизированной системы и ее частей.
1) Клиентское веб-приложение:
Клиентское веб-приложение представляет собой веб-интерфейс, доступный пользователям через браузер.
Пользователи могут войти в систему, используя свои учетные данные, после чего получают доступ к функционалу САУИБ.
В клиентском приложении пользователи могут просматривать реестр доступных для использования приложений и в случае отсутствия доступа к одному из них, не покидая системы, направить запрос настройки доступа в службу технической поддержки. В случае наличия доступа к необходимому ПО пользователю предоставляется возможность его использования.
2) Серверная часть:
Серверная часть системы выполняет обработку запросов от клиентских приложений и управление данными.
Серверная часть содержит бизнес-логику системы, которая обрабатывает запросы пользователей и обеспечивает выполнение задач в соответствии с правилами и процедурами компании.
3) Интеграционные модули:
Интеграционные модули обеспечивают доступ к другим информационным системам компании.
Они осуществляют автоматическую переадресацию пользователя в целевой программный продукт.
Описанные выше части АС взаимодействуют между собой для обеспечения эффективной работы и выполнения задач по управлению проектированием.
2.5. Перечень автоматизированных систем, с которыми взаимодействует данная система.
Перечень АС, с которыми взаимодействует САУИБ, включает:
1) Корпоративные системы финансового учета и отчетности.
2) Система управления проектами.
3) Система кадрового электронного документооборота.
4) Система управления документооборотом.
5) Корпоративные порталы и веб-приложения.
6) Система бизнес-аналитики.
2.6. Описание связей между автоматизированными системами.
Описание связей между АС представляет собой описание взаимодействия между ними и потоков информации между различными системами. В контексте САУИБ это описание включает в себя:
1) Интеграцию данных: Обмен учетных данных для обеспечения механизмов бесшовной авторизации в системах.
САУИБ обеспечивает безопасное взаимодействие с корпоративными автоматизированными системами, реализуя авторизованный доступ к их ресурсам через единую точку входа с разграничением прав пользователей.
3. ОПИСАНИЕ ПОДСИСТЕМ
3.1. Структура подсистем и назначение их частей.
Структура подсистем САУИБ может быть разделена на несколько частей, каждая из которых выполняет определенные функции. Ниже приведена типовая структура подсистемы и ее составляющих частей:
1) Веб-интерфейс пользователя:
Графический веб-интерфейс пользователя: Предоставляет пользователю возможность взаимодействовать с системой через графические элементы, такие как кнопки, поля ввода, меню и т.д.
2) Бизнес-логика:
Обработка данных: Часть системы, отвечающая за обработку входных данных, выполнение бизнес-правил и формирование результатов.
Управление бизнес-процессами: Включает в себя механизмы управления жизненным циклом бизнес-процессов, автоматизацию рабочих потоков и т.д.
3) Интеграция:
Внешние системы и информационные ресурсы: Предоставляет возможность взаимодействия с другими внешними системами и информационным ресурсами благодаря бесшовной интеграции.
4) Модуль управления проектированием:
Обеспечивает оперативное подключение к системам управления рисками через виртуализированную среду, предоставляя пользователям унифицированный доступ к инструментам проектирования без необходимости локальной настройки.
5) Безопасность:
Аутентификация и авторизация: Обеспечивает механизмы аутентификации пользователей и управления их доступом к ресурсам системы.
Эти части образуют основные функциональные блоки системы и обеспечивают ее эффективное функционирование.
3.2. Сведения о подсистемах и их частях, необходимые для обеспечения их функционирования
Каждая подсистема в АС состоит из различных частей, которые взаимодействуют между собой для обеспечения ее функционирования. Вот некоторые ключевые сведения о подсистемах и их составляющих:
1) Интерфейс пользователя:
Графический веб-интерфейс пользователя: Включает элементы управления (кнопки, поля ввода, списки и т.д.), дизайн пользовательского интерфейса и логику взаимодействия с пользователем.
2) Бизнес-логика:
Модели данных: Определяет структуру данных и их отношения в системе, а также бизнес-правила и логику обработки данных.
Функции системы и контроллеры: Включают методы и функции, реализующие бизнес-логику и обработку запросов от пользователей.
3) Безопасность:
Механизмы аутентификации и авторизации: Содержат логику проверки подлинности пользователей ввиду интеграции с службой каталогов Active Directory и управления их доступом к ресурсам системы.
3.3. Описание функционирования подсистем и их частей
Функционирование подсистем и их частей в АС играет ключевую роль в обеспечении эффективности и надежности работы системы в целом. Вот общее описание функций каждой подсистемы и их составляющих:
6) Веб-интерфейс пользователя:
Графический веб-интерфейс пользователя: Предоставляет пользователю возможность взаимодействовать с системой через графические элементы, такие как кнопки, поля ввода, меню и т.д.
7) Бизнес-логика:
Обработка данных: Часть системы, отвечающая за обработку входных данных, выполнение бизнес-правил и формирование результатов.
Управление бизнес-процессами: Включает в себя механизмы управления жизненным циклом бизнес-процессов, автоматизацию рабочих потоков и т.д.
8) Интеграция:
Внешние системы и информационные ресурсы: Предоставляет возможность взаимодействия с другими внешними системами и информационным ресурсами благодаря бесшовной интеграции.
9) Модуль управления проектированием:
Организация доступа к единому электронному ресурсу, содержащему все доступные инструменты для реализации процессов проектирования объектов и их компонентов.
10) Безопасность:
Аутентификация и авторизация: Обеспечивает механизмы аутентификации пользователей и управления их доступом к ресурсам системы.
Каждая подсистема состоит из определенных компонентов, которые взаимодействуют друг с другом для обеспечения выполнения своих функций. Эти компоненты обеспечивают работу системы в соответствии с ее целями и требованиями пользователей.
*подробное описание с примерами иллюстраций интерфейса системы вы найдете в разделе Документация нашего сайта
- ИНН 9728076107
- ОКВЭД ОСН. 62.01
- ОКВЭД ДОП. 62.02.1, 62.02.4, 62.09, 62.03.13, 63.11.1
© 2026 Все права защищены
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "СОЛТЕХ"