ID intern unic: 334338
Версия на русском
Republica Moldova
din 17.09.2009
cu privire la aprobarea unor reglementări tehnice
În temeiul Legii privind activitatea de reglementare tehnică nr. 420-XVI din 22.12.2006 şi întru executarea Hotărîrii Guvernului “Cu privire la unele acţiuni de implementare a Strategiei Naţionale de edificare a societăţii informaţionale – “Moldova electronică” în anul 2007” nr. 606 din 1.06.2007, precum şi a Hotărîrii Guvernului “Cu privire la aprobarea repartizării mijloacelor Fondului pentru realizarea Programului naţional de elaborare a reglementărilor tehnice” nr. 564 din 21.05.2007,
a) modul de evidenţă a serviciilor publice electronice, conform anexei nr. 1;
b) prestarea serviciilor publice electronice. Cerinţe tehnice, conform anexei nr. 2;
c) asigurarea securităţii informaţionale la prestarea serviciilor publice electronice. Cerinţe tehnice, conform anexei nr. 3;
d) determinarea costului de elaborare şi implementare a sistemelor informaţionale automatizate. Normativele şi estimarea cheltuielilor de lucru, conform anexei nr. 4.
2. Reglementările tehnice menţionate în punctul 1 vor intra în vigoare în termen de trei luni de la data publicării în Monitorul Oficial al Republicii Moldova.
3. Controlul asupra executării prezentului ordin se pune în sarcina dlui Pavel Şincariuc, director al Direcţiei generale dezvoltarea societăţii informaţionale.
VICEMINISTRUL DEZVOLTĂRII
INFORMAŢIONALE Oleg ROTARU
Nr. 94. Chişinău, 17 septembrie 2009.
Prezenta reglementare stabileşte destinaţia, obiectivele, principiile şi modul de realizare a evidenţei şi înregistrării serviciilor publice electronice.
Serviciile publice electronice (în continuare – servicii publice), reprezintă o parte integrantă a activităţii oricăror autorităţi ale administraţiei publice, organizaţii şi întreprinderi de stat.
O parte însemnată a serviciilor publice conţin masive şi produse informaţionale, acordate prin intermediul mijloacelor electronice, ce reflectă rezultatele activităţii acestor întreprinderi într-o sferă sau alta. Gestionarea serviciilor publice trebuie să fie realizată nemijlocit în procesul activităţii autorităţilor administraţiei publice.
În procesul gestionării serviciilor publice trebuie să fie asigurată realizarea următoarelor sarcini:
- completitudinea creării masivelor şi produselor informaţionale primare şi derivate, care constituie serviciile publice;
- păstrarea şi protecţia sigură a serviciilor publice;
- accesul liber al cetăţenilor şi organizaţiilor la serviciile publice, care nu conţin informaţii ce constituie secret de stat, comercial, de serviciu sau personal;
- crearea condiţiilor pentru utilizarea eficientă a serviciilor publice în activitatea autorităţilor administraţiei publice.
Pentru a asigura realizarea sarcinilor fixate, este necesar de a introduce reguli şi proceduri unice de evidenţă.
Prestarea serviciilor publice are drept scop asigurarea accesului la informaţia oficială pentru populaţie şi mediul de afaceri, ridicarea nivelului calităţii serviciilor publice, sporirea gradului de participare a cetăţenilor în procesul de prestare a serviciilor.
În acest sens, participanţi la procesul de prestare a serviciilor publice sînt:
- instituţiile publice de nivel local şi central;
- cetăţenii;
- sectorul de afaceri.
Furnizorii de servicii publice sînt autorităţile administraţiei publice, instituţiile sau organizaţiile de stat care execută comanda de stat pentru prestarea unui anumit tip de servicii în limitele competenţei şi obligaţiilor funcţionale ale acestora.
Consumatori de servicii publice sînt cetăţenii sau organizaţiile care au apelat direct sau prin intermediul reprezentantului lor la furnizorul de servicii publice pentru realizarea drepturilor sau intereselor legitime, sau executarea obligaţiilor stabilite prin acte normative.
2. Baza juridico-normativă
Prezenta reglementare este elaborată în baza următoarelor acte legislative ale Republicii Moldova:
- Legea Republicii Moldova „Privind dreptul de autor şi drepturile conexe” nr. 293-XIII din 23.11.1994;
- Legea Republicii Moldova „Privind accesul la informaţie” nr. 982-XIV din 11.05.2000;
- Legea Republicii Moldova „Cu privire la informatizare şi la resursele informaţionale de stat” nr. 467-XV din 21.11.2003;
- Legea Republicii Moldova „Cu privire la documentul electronic şi semnătura digitală” nr. 264-XV din 15.07.2004;
- Legea Republicii Moldova „Privind comerţul electronic” nr. 284-XV din 22.07.2004;
- Legea Republicii Moldova „Privind activitatea de reglementare tehnică” nr. 420-XVI din 22.12.2006;
- Legea Republicii Moldova „Cu privire la protecţia datelor cu caracter personal” nr. 17-XVI din 15.02.2007;
- Legea Republicii Moldova „Cu privire la registre” nr. 71-XVI din 22.03.2007;
- Legea Republicii Moldova „Cu privire la secretul de stat” nr. 245 din 27.11.2008.
3. Terminologie
În prezenta reglementare sînt utilizaţi următorii termeni:
Date de evidenţă – datele de o anumită componenţă despre persoanele, obiectele şi/sau fenomenele de orice natură identificate, care constituie obiectul evidenţei.
Evidenţa de stat – evidenţă, a cărei organizare este realizată de către autorităţile administraţiei publice.
Evidenţa electronică – evidenţa, partea sau totalitatea datelor care pot exista sau pot fi utilizate (inclusiv pentru stabilirea drepturilor şi obligaţiilor persoanelor şi a altor consecinţe de drept) exclusiv în formă electronică.
Organizatorul evidenţei – persoana care duce evidenţa serviciilor publice de sine stătător, sau prin împuternicirea sau obligarea cuiva la realizarea acestei activităţi total sau parţial în interesele sale.
Posesor al informaţiei - subiectul care exercită dreptul de posesiune şi folosinţă asupra resurselor şi sistemelor informaţionale, al tehnologiilor şi mijloacelor de asigurare a acestora şi realizează împuternicirile de dispoziţie în limitele stabilite de legislaţia în vigoare.
Registrator – persoană, ce duce evidenţa serviciilor publice total sau parţial în interesul organizatorului evidenţei, în baza împuternicirilor primite de la acesta sau în baza obligaţiei.
Resursă informaţională cu acces limitat – resursa informaţională, ce conţine informaţie despre secretele de stat şi informaţie confidenţială sau informaţie, accesul la care este limitat de proprietarii resurselor informaţionale.
Sistem de evidenţă – totalitatea mijloacelor ce asigură ţinerea evidenţei serviciilor publice, inclusiv mijloacele pentru lucrările de secretariat, utilajul tehnico-ingineresc şi aplicaţiile computerizate informaţional-comunicaţionale, ce realizează logica evidenţei, precum şi textele originale, documentaţia de sistem şi de utilizare a acestor aplicaţii computerizate.
4. Obiective şi sarcini
Obiectivul prezentei reglementării constă în descrierea modului şi principiilor de evidenţă a serviciilor publice în spaţiul informaţional naţional.
Serviciile publice includ totalitatea resurselor informaţionale şi a serviciilor autorităţilor administraţiei publice. Prestarea serviciilor publice este susţinută de infrastructura informaţional-comunicaţională de stat prin intermediul reţelei centrelor de solicitare şi centrelor de acces public, precum şi prin intermediul Internet-ului, televiziunii digitale şi al telefoanelor mobile.
În scopul realizării unei utilizări eficiente a serviciilor publice este prevăzută distribuirea resurselor informaţionale şi a controlului asupra utilizării acestora. Evidenţa tuturor serviciilor publice serveşte drept instrument pentru organizarea eficientă a lucrărilor orientate spre satisfacerea la timp a necesităţilor noi ale autorităţilor administraţiei publice, precum şi spre reacţionarea rapidă şi la timp la posibilităţile emergente.
Scopul organizării evidenţei serviciilor publice în spaţiul informaţional naţional este şi sporirea eficienţei, capacităţii de gestionare, coordonării activităţii tuturor subdiviziunilor structurale ale autorităţilor administraţiei publice.
Evidenţa serviciilor publice se efectuează în următoarele scopuri:
- colectarea, clasificarea şi utilizarea informaţiilor complete, actuale şi veridice despre serviciile publice create, curente şi lichidate;
- monitorizarea situaţiei sistemului de prestare a serviciilor publice;
- evaluarea eficienţei creării şi utilizării serviciilor publice;
- relevarea solicitărilor de servicii publice din partea utilizatorilor;
- asigurarea caracterului deschis şi transparent al informaţiilor privind activitatea autorităţilor administraţiei publice, legată de formarea şi utilizarea informaţiei cuprinse în serviciile publice;
- determinarea tendinţelor şi direcţiilor de dezvoltare a serviciilor publice.
Prezenta reglementare stabileşte modul de evidenţă a serviciilor publice din punctul de vedere al înregistrării şi actualizării datelor.
Evidenţei obligatorii sînt supuse serviciile publice ale autorităţilor administraţiei publice, alte servicii publice nou- elaborate, create, achiziţionate şi (sau) care funcţionează în baza mijloacelor proprii sau cu atragerea mijloacelor din bugetul de stat, precum şi bazele (băncile) de date separate ce sînt achiziţionate sau transmise spre a fi utilizate de către autorităţile administraţiei publice.
5. Prestarea serviciilor publice
5.1. Clasificarea serviciilor publice
Caracteristicile serviciilor publice sînt:
- prestarea serviciilor publice în sfera activităţii de semnificaţie generală;
- existenţa unui cerc nelimitat de subiecţi ce utilizează serviciile menţionate;
- desfăşurarea activităţii de prestare a serviciilor publice nemijlocit autorităţilor administraţiei publice sau indirect altor subiecţi (în baza unui acord formalizat privind atragerea unei organizaţii terţe la executarea anumitor acţiuni legate de prestarea serviciilor publice prin mijloace electronice);
- baza juridică a prestării serviciilor publice o poate constitui atît proprietatea publică cît şi cea privată.
Serviciile publice se prestează prin mijloace electronice în baza interacţiunii dintre trei categorii de participanţi de bază:
- „Guvern - Cetăţean” – prestarea serviciilor publice se bazează pe interacţiunea dintre cetăţean şi guvern, o mare parte a căreia se realizează în regim on-line. Serviciile publice principale de care beneficiază cetăţenii sînt următoarele:
1) achitarea impozitelor;
2) serviciul de căutare a unui loc de muncă prin intermediul agenţiei de ocupare a forţei de muncă;
3) obţinerea asistenţei sociale;
4) perfectarea actelor personale;
5) înregistrarea mijloacelor de transport;
6) înregistrarea bunurilor imobile;
7) depunerea cererilor şi primirea autorizaţiilor pentru construcţie;
8) depunerea reclamaţiilor la poliţie;
9) serviciile bibliotecilor publice;
10) înregistrarea actelor de stare civilă (certificate de naştere, de înregistrare a căsătoriei, notificarea despre schimbarea domiciliului etc.);
11) înmatricularea în instituţiile superioare de învăţămînt;
12) contribuirea la securitatea publică;
13) serviciile medicale;
- „Guvern - Business” – prestarea serviciilor publice se bazează pe interacţiunea dintre administraţia publică şi mediul de afaceri. Serviciile publice principale din această categorie sînt următoarele:
1) contribuţiile sociale şi de pensii ale angajaţilor şi angajatorilor;
2) achitarea impozitelor de către organizaţii;
3) înregistrarea societăţilor noi;
4) transferul de date către organele statistice;
5) completarea şi depunerea declaraţiilor vamale;
6) primirea autorizaţiilor legate de protecţia mediului;
7) depunerea cererilor şi primirea autorizaţiilor pentru construcţie;
8) efectuarea achiziţiilor publice.
- „Guvern - Guvern” – prestarea serviciilor publice se bazează pe interacţiunea dintre autorităţile administraţiei publice şi instituţiile de stat prin intermediul mijloacelor electronice de comunicaţie.
Din punct de vedere funcţional, serviciile publice se împart în următoarele clase de servicii:
- prestarea serviciilor publice de semnificaţie generală;
- prestarea serviciilor în domeniul informaţiei de afaceri şi comerciale;
- prestarea serviciilor în domeniul înregistrării relaţiilor funciare şi cadastrale;
- prestarea serviciilor în domeniul sistemului financiar-bancar;
- prestarea serviciilor informaţionale în domeniul învăţămîntului – implementarea şi utilizarea noilor tehnologii de comunicaţie şi informaţionale în procesul educaţional;
- prestarea serviciilor informaţionale în domeniul ştiinţei;
- prestarea serviciilor informaţionale în domeniul ocrotirii sănătăţii;
- prestarea serviciilor informaţionale în domeniul informaţiei juridice;
- prestarea serviciilor informaţionale în domeniul asigurărilor sociale;
- prestarea serviciilor informaţionale privind securitatea;
- prestarea serviciilor informaţionale în domeniul patrimoniului cultural;
- prestarea serviciilor informaţionale în domeniul drepturilor omului;
- prestarea serviciilor informaţionale în domeniul turismului.
În funcţie de direcţia de activitate, serviciile publice se clasifică în:
- servicii publice externe:
1) dezvoltarea social-economică;
2) ştiinţa şi cunoştinţele;
3) protecţia mediului ambiant;
4) ocrotirea sănătăţii;
5) protecţia drepturilor, drepturile democratice şi drepturile omului;
6) politica socială;
7) cultura;
8) învăţămîntul;
9) securitatea publică;
10) sistemul judiciar;
11) securitatea şi apărarea naţională;
12) resursele naturale:
- servicii publice interne:
1) reglementarea socială, planificarea şi administrarea serviciilor;
2) gestionarea resurselor umane;
3) gestionarea resurselor financiare;
4) gestionarea informaţiei şi tehnologiilor;
5) gestionarea fondurilor, resurselor;
6) gestionarea comunicaţiilor;
7) gestionarea furnizărilor;
8) administrarea;
9) servicii profesionale.
În funcţie de metoda de acces, serviciile publice se împart în următoarele tipuri:
- informaţie deschisă şi accesibilă tuturor;
- informaţie cu acces limitat: secret de stat, secret comercial, date cu caracter personal.
În funcţie de criteriul de efectuare a plăţii, serviciile publice se clasifică după cum urmează:
- servicii publice cu plată;
- servicii publice gratuite.
În funcţie de gradul de personificare, serviciile publice se împart în:
- individuale;
- colective.
Este posibilă prestarea serviciilor publice conform diferitor nivele de complexitate:
Nivelul 1 – Informarea.
Acest nivel include furnizarea informaţiei privind:
- serviciile publice;
- activitatea autorităţilor administraţiei publice;
- serviciile de deservire informaţională;
- căutarea informaţiei;
- procesarea informaţiei;
- eliberarea datelor (documentelor);
- păstrarea informaţiei.
Nivelul 2 – Interacţiunea.
Acest nivel permite prestarea următoarelor servicii:
- copierea formularelor din reţeaua Internet;
- prelucrarea formularelor, inclusiv autentificarea acestora;
- implementarea sistemului de circulaţie electronică a documentelor;
- serviciile de utilizare a Internet-ului, sistemelor informaţionale, bazelor de date, reţelelor;
- servicii consultative;
- servicii de transmitere a informaţiei;
- servicii de acces la reţeaua Internet;
- servicii de utilizare a poştei electronice şi de creare a paginilor web.
Nivelul 3 – Tranzacţii.
Acest nivel permite prestarea următoarelor servicii:
- transmiterea informaţiei;
- luarea deciziilor şi furnizarea bunurilor şi/sau serviciilor (inclusiv efectuarea plăţilor prin mijloace electronice).
Nivelul 4 – Transformarea.
Acest nivel permite redefinirea actului de gestiune.
5.2. Procesul de prestare a serviciilor publice
Procesul de prestare a serviciilor publice este realizat prin mijloace electronice cu ajutorul unicului punct de acces - Portalul Guvernamental.
Prestarea serviciilor publice se efectuează în baza resurselor şi sistemelor informaţionale (SI) existente sau create şi urmează să cuprindă următoarele procese ale ciclului de viaţă a SI ce funcţionează în cadrul gestionării sistemelor şi tehnologiilor informaţionale:
1) planificarea – lucrările anteproiect – se elaborează concepţia sistemului şi propunerea-business privind prestarea serviciilor publice;
2) elaborarea – elaborarea sistemului informaţional de prestare a serviciilor publice – se determină, analizează, elaborează, creează, testează şi, în caz de necesitate, evaluează mecanismele de interacţiune a elementelor de program şi structurilor organizaţionale, precum şi se stabilesc cerinţele faţă de hardware, infrastructura utilizatorului, instruire şi mentenanţă. Se elaborează sarcina tehnică, proiectul tehnic, versiunea sistemului software, documentaţia tehnică, procesul-verbal de testare de calificare, actul de predare în exploatare experimentală;
3) implementarea – implementarea sistemului informaţional de prestare a serviciilor publice – se pregăteşte infrastructura utilizatorului şi utilajul din încăperile în care va funcţiona produsul software, se testează capacitatea de lucru a produsului software în condiţii reale de exploatare, precum şi se organizează instruirea personalului privind lucrul cu produsul software sau componentele acestuia;
4) exploatarea – exploatarea sistemului informaţional de prestare a serviciilor publice – include procesele legate de utilizarea produselor software pentru prestarea serviciilor, precum şi controlul funcţionării, depistării şi documentării problemelor survenite;
5) suportul şi mentenanţa - mentenanţa sistemului informaţional de prestare a serviciilor publice – se controlează funcţionarea produsului software, se înregistrează problemele pentru analiză, se întreprind acţiuni de prevenire şi corectare, precum şi acţiuni pentru adaptarea şi perfecţionarea produsului software;
6) monitorizarea şi deciziile privind modernizarea sistemelor informaţionale – utilizarea sistemului informaţional de prestare a serviciilor publice – prevede retragerea din exploatare a produsului software şi a subsistemelor software şi proceselor software auxiliare legate de acesta.
În cadrul proceselor de gestionare a tehnologiilor informaţionale sînt create sisteme informaţionale şi resurse de prestare a serviciilor publice destinate să menţină funcţionalitatea eficientă a autorităţilor administraţiei publice şi exercitarea obiectivelor strategice şi tactice de către acestea.
Sistemul de prestare a serviciilor publice trebuie să includă următoarele tipuri de resurse informaţionale:
- resurse informaţionale de stat – resurse informaţionale aflate în proprietatea statului şi care se clasifică în teritoriale, instituţionale şi de bază;
- sisteme informaţionale care constituie subsistemele guvernării electronice;
- pagini web şi domenii ale autorităţilor administraţiei publice;
- clasificatoare, obiecte informaţionale şi servicii informaţionale;
- documentaţie tehnică, certificate de înregistrare a domenelor şi acte de certificare a sistemelor informaţionale.
Aceste sisteme şi resurse informaţionale urmează să fie atribuite la o clasă şi categorie concretă de servicii publice.
6. Evidenţa serviciilor publice
Evidenţa serviciilor publice reprezintă evidenţa componentelor resurselor informaţionale în cadrul căreia urmează să fie reflectate funcţiile şi principiile evidenţei, formarea serviciilor publice, precum şi regimul juridic al acestora.
Evidenţa serviciilor publice trebuie să cuprindă următoarele etape ale ciclului de viaţă la prestarea serviciilor publice:
- punerea iniţială la evidenţă a serviciului public presupune înregistrarea acestuia în registru;
- actualizarea datelor despre serviciul public trebuie să fie efectuată în registru prin modificarea datelor de înregistrare în cazul, în care:
1) se schimbă organizaţia care prestează servicii;
2) se schimbă însuşi serviciul;
3) se schimbă condiţiile de prestare a serviciului;
4) se schimbă documentaţia eliberată la prestarea serviciilor;
5) se schimbă SI de bază pentru prestarea serviciului.
La încetarea procesului de prestare a serviciului public toată informaţia despre serviciul respectiv trebuie să fie anulată.
Sistemul de ţinere a evidenţei serviciilor publice cuprinde:
-baza juridico-normativă;
-documentele de toate nivelurile, care reglementează evidenţa;
-organizaţiile, ce realizează evidenţa;
- suporturile de hîrtie şi electronice şi sistemele informaţionale folosite la ţinerea evidenţei serviciilor publice.
6.1. Funcţiile sistemului de evidenţă a serviciilor publice
Sistemul de evidenţă a serviciilor publice trebuie să îndeplinească următoarele funcţii:
- colectarea, acumularea, prelucrarea, păstrarea şi actualizarea datelor serviciilor publice;
- asigurarea la nivel de stat a evidenţei unice a serviciilor publice;
- asigurarea autorităţilor administraţiei publice cu informaţie operativă şi statistică;
- asigurarea schimbului de informaţie între autorităţile administraţiei publice, precum şi cu autorităţile analogice ale altor ţări;
- controlul asupra respectării modului de evidenţă a serviciilor publice, elaborarea şi realizarea măsurilor de reacţionare oportună la tendinţele şi manifestările negative;
- asigurarea organizatorică, normativă şi metodică a activităţii autorităţilor administraţiei publice, ce exercită nemijlocit funcţiile de evidenţă a serviciilor publice;
- asigurarea funcţionării complexului tehnic de program şi a reţelelor informaţionale autorizate, utilizate în cadrul sistemului de evidenţă a serviciilor publice.
La dezvoltarea serviciilor publice este necesar de aplicat următoarele metode de realizare a funcţiilor de evidenţă:
- perfecţionarea asigurării juridico-normative şi metodice a gestionării serviciilor publice;
- perfecţionarea structurilor organizatorice privind formarea şi utilizarea serviciilor publice;
- organizarea evidenţei serviciilor publice şi elaborarea criteriilor şi metodelor de evaluare a costului acestora;
- elaborarea principiilor şi crearea sistemului de asigurare financiar-economică a activităţii de formare şi utilizare a serviciilor publice;
- elaborarea şi implementarea tehnologiilor unificate de utilizare a reţelelor de telecomunicaţii pentru coordonarea gestionării serviciilor publice;
- organizarea şi realizarea controlului de stat al funcţionării serviciilor publice.
6.2. Principiile de bază ale evidenţei serviciilor publice
Evidenţa serviciilor publice trebuie să fie realizată în conformitate cu următoarele principii de bază:
- principiul legalităţii - prevede la crearea, procurarea, utilizarea şi administrarea serviciilor publice, conformitatea acestora cu legislaţia naţională în vigoare;
- principiul îmbinării publicităţii şi confidenţialităţii - prevede publicarea informaţiei general accesibile, cu excepţia informaţiei recunoscute ca fiind confidenţială, în modul stabilit de legislaţia naţională în vigoare;
- principiul eficienţei şi economicităţii - prevede faptul că procurarea resurselor informaţionale utilizate pentru asigurarea continuităţii procesului de prestare a serviciilor publice este realizată reieşind din necesitatea de satisfacere a necesităţilor informaţionale şi de reducere a cheltuielilor de buget;
- principiul îmbinării plăţii şi gratuităţii de prestare a informaţiei - prevede că informaţia procurată din contul mijloacelor bugetului de stat se acordă gratuit autorităţilor administraţiei publice. Transmiterea informaţiei indicate mai sus altor utilizatori are loc contra unei anumite plăţi, dacă legislaţia nu prevede altfel;
- principiul succesivităţii – prevede, că crearea, procurarea, utilizarea şi administrarea serviciilor publice se desfăşoară pe etape;
- principiul integrităţii - prevede, că sistemul de prestare a serviciilor publice trebuie să fie unul dintre subsistemele de bază ale sistemului informaţional integrat de stat;
- principiul justificării - prevede utilizarea informaţiei documentate în sistemul de prestare a serviciilor publice;
- principiul scalabilităţii - prevede posibilitatea de extindere şi dezvoltare a componentelor sistemului de evidenţă a serviciilor publice;
- principiul unităţii spaţiului informaţional - prevede utilizarea unui sistem unic de clasificatoare, formate de date, protocoale de interacţiune informaţională, standarde, documente normative şi metodice interdependente, condiţie care este necesară pentru formarea spaţiului informaţional unic al sistemului de prestare a serviciilor publice;
- principiul protecţiei datelor personale - prevede crearea şi exploatarea sistemului de evidenţă a serviciilor publice în conformitate cu acordurile şi convenţiile internaţionale, precum şi cu legislaţia naţională în vigoare în domeniul protecţiei drepturilor omului;
- principiul identificării unice - prevede faptul, că toate obiectele informaţionale de evidenţă trebuie să aibă un număr unic de identificare;
- principiul controlului - prevede controlul măsurilor ce asigură calitatea, fiabilitatea resurselor şi sistemelor informaţionale de stat, precum şi păstrarea şi utilizarea raţională a acestora;
- principiul securităţii - prevede asigurarea protecţiei sistemului de prestare a serviciilor publice contra influenţelor de orice natură ce afectează continuitatea procesului de prestare a serviciilor.
6.3. Organizarea evidenţei serviciilor publice
Serviciile publice prestate sînt supuse evidenţei obligatorii.
Evidenţa serviciilor publice se realizează în scopul:
- asigurării informaţionale a autorităţilor administraţiei publice;
- informării cetăţenilor şi organizaţiilor despre serviciile publice, precum şi despre modul de acces la acestea.
Formarea datelor privind evidenţa serviciilor publice trebuie să fie efectuată de către autoritatea administraţiei publice în registru, care trebuie să includă informaţie despre serviciile publice, precum şi despre sistemele şi resursele informaţionale de stat corespunzătoare, care constituie baza pentru prestarea serviciilor publice, în conformitate cu legislaţia naţională în vigoare.
Formele de ţinere a evidenţei serviciilor publice sînt registrele, jurnalele, dosarele, cartelele, cărţile, conturile de evidenţă, înregistrările, iar în cazul utilizării tehnologiilor informaţionale, formele de ţinere a evidenţei sînt fişierele tabelelor electronice, bazele de date, sistemele de fişiere textuale şi alte mijloace de organizare a datelor digitale.
Formele de furnizare a datelor de evidenţă trebuie să fie determinate de următorii factori:
- forma de ţinere a evidenţei;
- mijloacele tehnice ce asigură ţinerea evidenţei;
- organizarea datelor de evidenţă;
- metodele de furnizare a datelor de evidenţă persoanelor interesate.
Formele de furnizare a datelor de evidenţă sînt:
- eliberarea actelor, rapoartelor, extraselor, certificatelor, adeverinţelor;
- înştiinţarea vocală;
- publicaţiile în mijloacele de informare în masă;
- revelarea prin reţele computerizate de uz comun.
6.4. Regimul juridic al serviciilor publice
Regimul juridic al serviciilor publice trebuie să includă:
- modul şi sursele de formare a serviciilor publice;
- modul de documentare a informaţiei;
- dreptul de proprietate asupra anumitor documente şi masive de documente;
- procedura de apărare juridică şi de utilizare a serviciilor publice;
- modul de înregistrare a serviciilor publice şi de includere a serviciilor publice în circuitul economic;
- determinarea categoriei de acces la serviciile publice.
6.4.1. Modul şi sursele de formare a serviciilor publice
Serviciile publice trebuie să fie formate de către autorităţile administraţiei publice respective, responsabile de formarea serviciilor publice în conformitate cu împuternicirile oferite acestora.
Formarea serviciilor publice trebuie să fie realizată în cadrul registrului, incluzînd lista de date privind serviciile publice, sistemele, precum şi paginile web şi domenele autorităţilor administraţiei publice, în conformitate cu legislaţia naţională în vigoare.
Serviciile publice trebuie să includă informaţia furnizată de către autorităţile administraţiei publice, cetăţeni, organizaţii şi asociaţii obşteşti ce îşi desfăşoară activitatea pe teritoriul Republicii Moldova în odinea stabilită de legislaţia în vigoare.
Responsabilitate pentru autenticitatea informaţiei privind serviciile publice o poartă proprietarii de servicii publice.
Modul, condiţiile de prezentare şi conţinutul informaţiei documentate pentru formarea serviciilor publice se stabilesc în conformitate cu Legile Republicii Moldova „Cu privire la registre” nr. 71-XVI din 22.03.2007 şi „Privind accesul la informaţie” nr. 982-XIV din 11.05.2000.
În rezultatul formării serviciilor publice trebuie determinată următoarea informaţie:
– descrierea detaliată a serviciilor publice şi a componentelor necesare;
– metodele de implementare şi prestare a serviciilor publice;
– procedurile de control al nivelului necesar de calitate a serviciilor publice.
6.4.2. Modul de documentare a informaţiei
Serviciile publice trebuie să fie formate pe baza informaţiei documentate. Informaţia documentată constituie obiectul dreptului de proprietate şi este expusă sub formă de document separat sau totalitate de documente, fixate pe un purtător de informaţie cu rechizitele corespunzătoare, inclusiv sub formă de document electronic.
Indiferent de categoria serviciilor publice, conţinutul informaţiei, furnizate utilizatorilor potenţiali de servicii publice, include:
– informaţii privind lista serviciilor publice;
– informaţii despre furnizorul abilitat să presteze un anumit tip de servicii publice;
– informaţii despre persoanele cu funcţii de răspundere care prestează în mod nemijlocit servicii publice utilizatorilor;
– descrierea serviciilor publice prestate în conformitate cu lista serviciilor publice prestate.
Descrierea serviciilor publice prestate reprezintă un document destinat utilizatorilor de servicii publice în care este explicat modul de obţinere a unui anumit serviciu public.
Descrierea serviciilor publice prestate include următoarea informaţie:
– destinaţia serviciului public;
– termenul de obţinere a serviciului;
– documentele necesare pentru obţinerea serviciului;
– datele de contact ale lucrătorilor din cadrul autorităţilor administraţiei publice la care se poate de adresat pentru obţinerea serviciului respectiv;
– informaţii privind condiţiile şi cerinţele înaintate faţă de utilizatorii de servicii;
– modul de obţinere a serviciului în formă electronică;
– informaţia privind achitarea serviciului, în cazul în care este prevăzut că serviciul este cu plată;
– servicii suplimentare, aferente obţinerii serviciului;
– indicatorii cheie ai calităţii serviciilor: oportunitatea, accesibilitatea, continuitatea şi procesul de prezentare a reclamaţiilor.
Pentru anumite tipuri de servicii publice pot fi stabilite particularităţi specifice ale regimului juridic al acestora, în special, rezultante din destinaţia funcţională a acelor servicii publice sau în urma clasării serviciilor publice la o anumită categorie de acces la acestea.
Documentarea informaţiei constituie o condiţie obligatorie pentru includerea informaţiei în serviciile publice. Informaţia documentată din serviciile publice trebuie să fie sistematizată, clasificată şi asigurată cu rechizitele corespunzătoare.
Rechizitele de bază ale informaţiei documentate sînt:
- denumirea documentului;
- proprietarul informaţiei;
- sursa de informaţie;
- data şi ora apariţiei şi documentării;
- modul de utilizare;
- alte rechizite, necesare pentru sistematizare şi clasificare.
La includerea informaţiei în componenţa serviciilor publice trebuie să fie asigurată posibilitatea de căutare a acesteia, în funcţie de clasificare şi conform rechizitelor stabilite. Datele, conţinute în banca centrală a registrului, includ rechizitele şi informaţia în conformitate cu legislaţia în vigoare.
Informaţia în serviciile publice poate fi prezentată în formă textuală, grafică, audio, video şi multimedia (combinaţia formatelor textual, grafic, audio şi video).
Documentul, obţinut din sistemul informaţional automatizat, precum şi păstrat, procesat şi transmis cu ajutorul sistemelor informaţionale şi telecomunicaţionale obţin forţă juridică în modul stabilit de legislaţia în vigoare.
6.4.3. Dreptul de proprietate asupra anumitor documente şi masive de documente
Dreptul de proprietate asupra anumitor documente şi masive de documente este stabilit de Legea Republicii Moldova „Privind dreptul de autor şi drepturile conexe” nr. 293-XIII din 23.11.1994. În conformitate cu prevederile acestui act normativ, dreptul de proprietate asupra resurselor informaţionale de stat aparţin statului.
Responsabilitatea pentru încălcarea drepturilor de proprietate este reglementată de legea menţionată şi de alte acte normative în vigoare.
6.4.4. Procedura de apărare juridică şi de utilizare a serviciilor publice
Serviciile publice sînt prestate utilizatorilor în conformitate cu:
- legislaţia Republicii Moldova;
- Acordul cu privire la nivelul de deservire;
- în baza solicitării;
- conform altor temeiuri.
Raporturile juridice privind prestarea serviciilor publice sînt reglementate de legislaţia naţională în vigoare şi acordurile încheiate cu utilizatorii serviciilor menţionate. În caz de nerespectare a înţelegerilor de către oricare dintre părţi, partea care a comis încălcarea poartă răspundere în conformitate cu prevederile Acordului cu privire la nivelul de deservire, precum şi în conformitate cu legislaţia în vigoare.
Acordul cu privire la nivelul de deservire reprezintă un acord încheiat între furnizorul şi utilizatorul de servicii publice, în care sînt descrise în mod detaliat serviciile prestate, în limba care este înţeleasă de utilizatori şi comodă pentru aceştia, drepturile şi obligaţiile ambelor părţi cu privire la prestarea serviciilor publice, precum şi responsabilităţile părţilor în caz de neexecutare a obligaţiunilor ce le revin.
Persoanele vinovate de divulgarea, modificarea sau distrugerea informaţiei privind serviciile publice poartă răspundere disciplinară, civilă, administrativă sau penală în conformitate cu legislaţia în vigoare.
6.4.5. Modul de înregistrare şi includere a serviciilor publice în circuitul economic
Serviciile publice sînt considerate disponibile pentru a fi înregistrate doar după darea în exploatare a sistemului informaţional şi efectuarea auditului independent după implementare, în limitele cerinţelor interne şi prevederilor legislaţiei.
Proprietarul informaţiei trebuie să pregătească toată documentaţia necesară în conformitate cu modul de documentare, după care în registru sînt introduse datele necesare.
Pentru a înregistra fiecare serviciu public este necesar de introdus următoarea informaţie în registru:
- codul serviciului public;
- tipul serviciului public;
- funcţionalitatea serviciului public;
- orientarea specială;
- data începerii şi termenul de prestare a serviciului;
- numărul de obiecte ale resurselor informaţionale, incluse în serviciu;
- lista resurselor informaţionale, incluse în serviciu;
- tipul confidenţialităţii resurselor informaţionale, incluse în serviciu;
- versiunile software-ului utilizat în procesul de prestare a serviciului;
- autoritatea administraţiei publice responsabilă de prestarea serviciului;
- proprietarul serviciului;
- organizaţia care efectuează controlul asupra prestării serviciului;
- organizaţia care efectuează asigurarea securităţii serviciului şi resurselor informaţionale, incluse în serviciu;
- organizaţia care realizează concepţia celor trei „A” (autentificare, autorizare, administrare);
- statutul serviciului (în conformitate cu ciclul de viaţă);
- mijloacele de prestare a serviciului;
- categoria tipului de subiecţi;
- categoria utilizatorului;
- categoria de plată;
- persoanele cu funcţii de răspundere care prestează serviciul.
Toată informaţia păstrată în registru trebuie să permită obţinerea ultimelor versiuni ale documentaţiei privind serviciile publice prestate.
Datele din registru trebuie să fie revizuite periodic, cel puţin o dată în trei ani sau în caz de:
- modificare a modului de prestare a serviciilor publice;
- modificare a datelor cu condiţia confirmării documentale a autenticităţii datelor de către proprietar;
- modificare a prevederilor legislaţiei în vigoare privind prestarea serviciilor publice.
Persoanele responsabile de introducerea datelor în registru sînt obligate să-şi asume obligaţia de a nu divulga această informaţie. Obligaţia de a nu divulga informaţia rămîne valabilă şi după încetarea activităţii de prestare a serviciilor publice în conformitate cu legea.
După înregistrarea serviciului public se stabileşte formal data lansării procesului de prestare a serviciului respectiv, după care serviciul public se consideră inclus în circuitul economic.
6.4.6. Determinarea categoriei de acces la serviciile publice
Modul de acces la serviciile publice este stabilit în dependenţă de gradul de secretizarea informaţiei conţinute în aceasta şi de destinaţia acesteia.
Serviciile publice sînt deschise şi general accesibile. Excepţia o constituie informaţia documentată atribuită la categoria cu acces limitat în conformitate cu legislaţia în vigoare.
Accesul la serviciile publice general accesibile trebuie să fie realizat fără autentificarea şi evidenţa utilizatorului. Evidenţa acţiunilor, identificarea şi autentificarea utilizatorului sînt obligatorii în cazul accesului la serviciile publice cu acces limitat.
Serviciile publice cu acces limitat se împart, după condiţiile regimului lor juridic, în servicii publice ce conţin informaţie atribuită la secretul de stat şi servicii publice ce conţin informaţie confidenţială. Atribuirea informaţiei la secretul de stat se efectuează în conformitate cu Legea Republicii Moldova „Cu privire la secretul de stat” nr. 245 din 27.11.2008.
Procesul de prestare a serviciilor publice cu acces limitat sînt supuse protecţiei. Pentru asigurarea accesului la serviciile publice cu acces limitat sînt utilizate mecanismele semnăturii digitale şi un sistem informaţional specializat. Modul de aplicare a mecanismelor semnăturii digitale este stabilit de prevederile legislaţiei naţionale în vigoare.
Pentru efectuarea lucrărilor de asigurare a protecţiei procesului de prestare a serviciilor publice cu acces limitat sînt mobilizate organizaţii ce deţin licenţe pentru activitate în domeniul protecţiei criptografice sau tehnice a informaţiei şi după caz certificat de securitate în conformitate cu legislaţia în vigoare. Pentru prelucrarea şi protecţia informaţiei cu acces limitat trebuie să fie utilizate mijloace tehnice certificate în modul stabilit.
Regimul utilizării informaţiei atribuite la categoria cu acces limitat, în partea ce nu se referă la secret de stat, este stabilit în Legea Republicii Moldova „Privind accesul la informaţie” nr. 982-XIV din 11.05.2000.
Autorităţile administraţiei publice trebuie să asigure un acces echitabil pentru toţi subiecţii interesaţi (cetăţeni, organizaţii, autorităţi ale administraţiei publice) la serviciile publice general accesibile şi la informaţia oficială ce ţine de activitatea autorităţilor administraţiei publice.
Dreptul de a utiliza serviciile publice cu acces limitat îl deţin doar autorităţile administraţiei publice în conformitate cu gradul de secretizare a informaţiilor.
Pentru a proteja informaţia contra denaturării intenţionate sau neintenţionate în procesul de prestare a serviciilor publice este necesar de îndeplinit următoarele cerinţe:
- de ţinut evidenţa listei de utilizatori ce operează cu sistemul şi a datelor de evidenţă ale acestora;
- de organizat o protecţie sigură a datelor de evidenţă ale utilizatorilor contra accesului neautorizat;
- de ţinut registrul de evidenţă (audit) a (al) accesului utilizatorilor la resursele informaţionale.
6.5. Evidenţa electronică a serviciilor publice
Evidenţa electronică a serviciilor publice reprezintă evidenţa în care cel puţin o parte din datele de evidenţă sînt utilizate şi oferite utilizatorului exclusiv în formă electronică.
Sistemul de evidenţă electronică a serviciilor publice este destinat pentru:
- confirmarea efectuării procedurilor necesare de evidenţă de către persoanele abilitate ca participanţi la procesele administrative;
- asigurarea importanţei juridice a datelor de evidenţă electronice.
Sistemul de evidenţă electronică a serviciilor publice trebuie să includă următoarele subsisteme:
- de asigurare a încrederii pentru semnăturile digitale (confirmarea identităţii persoanelor abilitate);
- de confirmat electronic (confirmarea timpului de efectuare a înregistrărilor de evidenţă);
- de arhivare exterioară (asigurarea salvării datelor de evidenţă);
- de revelare a informaţiei (asigurarea accesului deschis la datele de evidenţă);
- de înregistrare a sistemelor de evidenţă electronică de stat.
Pentru sistemele de evidenţă de stat a serviciilor publice este necesar să fie menţinută starea de disponibilitate permanentă pentru a trece în regimul extraordinar de funcţionare fără utilizarea tehnologiilor electronice, fapt pentru care evidenţa pe suport de hîrtie trebuie să dubleze evidenţa electronică în regim de timp real (fără a prejudicia importanţa juridică a evidenţei electronice).
La cele mai importante sisteme de evidenţă de stat a serviciilor publice, se atribuie:
- „Registrul de stat al populaţiei”;
- „Registrul de stat al unităţilor de drept”;
- „Sistemul informaţional geografic naţional”;
- „Resursele informaţionale ale autorităţilor administraţiei publice”;
- „Resursele informaţionale în sfera socială”;
- „Resursele informaţionale în sfera economico-financiară”;
- „Cadastrele resurselor naturale şi ale potenţialului tehnogen”.
Sistemele de evidenţă electronică de stat trebuie să asigure posibilitatea exercitării diferitor tipuri de control privind utilizarea acestora, inclusiv controlul intern şi extern, precum şi posibilitatea realizării auditului informaţional privind corespundea cerinţelor, stabilite faţă de aceste sisteme.
Obiectele controlului şi auditului sînt complexele de software şi hardware ce asigură ţinerea evidenţei electronice a serviciilor publice:
- utilajul de calcul şi telecomunicaţii;
- canalele de comunicaţie;
- utilajul tehnico-ingineresc care asigură funcţionarea mijloacelor de calcul şi telecomunicaţii;
- software-ul aplicativ şi de sistem.
7. Asigurarea securităţii informaţionale
Modul de acumulare, procesare, utilizare a informaţiei încadrate în categoria confidenţială, regulile de protecţie a acesteia şi modul de acces la aceasta, sînt reglementate în conformitate cu legislaţia naţională în vigoare.
Modul de acumulare, procesare, utilizare a informaţiei încadrate în categoria date cu caracter personal se stabileşte în conformitate cu Legea „Cu privire la protecţia datelor cu caracter personal” nr. 17-XVI din 15.02.2007.
Pentru asigurarea securităţii informaţionale a sistemului de evidenţă a serviciilor publice este necesar de a îndeplini următoarele cerinţe:
- asigurarea juridică, organizaţională şi tehnică a securităţii serviciilor publice a sistemelor informaţionale, a mijloacelor de comunicare şi a reţelelor informaţionale;
- delimitarea volumelor şi conţinutului informaţiei care poate fi accesibilă diferitor categorii de utilizatori;
- identificarea pericolelor securităţii informaţionale în procesul selectării şi procurării mijloacelor software şi hardware, creării şi exploatării sistemelor informaţionale, profilaxiei şi prevenirii acestora, precum şi în procesul lichidării consecinţelor nefavorabile în caz de survenire a acestora, inclusiv compensarea prejudiciului material;
- respectarea condiţiilor de păstrare şi protecţie a documentelor electronice şi de altă natură, ce asigură păstrarea atributelor ce le identifică;
- respectarea regulilor stabilite de utilizare a mijloacelor de protecţie criptografică.
Mijloacele software şi hardware pentru protecţia sistemului de evidenţă a serviciilor publice trebuie să asigure:
- depistarea şi prevenirea pericolelor securităţii informaţionale;
- integritatea datelor la formarea, utilizarea, prelucrarea, prestarea serviciilor publice;
- protecţia contra accesului neautorizat, introducerii completărilor şi modificărilor în serviciile publice;
- sistemul de rezervare şi restabilire a datelor;
- controlul integrităţii şi capacităţii de lucru a sistemului de asigurare a securităţii informaţionale;
- identificarea serviciilor publice protejate;
- autentificarea serviciilor publice protejate şi a utilizatorilor;
- schimbul de date autentificat;
- delimitarea accesului utilizatorilor la date;
- înregistrarea acţiunilor de intrare a utilizatorilor în sistem şi de ieşire din sistem şi încălcărilor drepturilor de acces la serviciile publice protejate.
În prezenta reglementare sînt stabilite cerinţele generale faţă de procesul prestării serviciilor publice prin mijloace electronice (în continuare – servicii publice).
În prezenta reglementare sînt stabilite cerinţele faţă de organizarea procesului de prestare a serviciilor publice şi sînt specificate componentele obligatorii ale procesului de prestare a serviciilor publice, care asigură calitatea, transparenţa şi eficienţa funcţionării procesului.
În prezenta reglementare este stabilit un ansamblu de procese, lucrări şi sarcini destinate organizării şi gestionării procesului de prestare a serviciilor publice.
Obiectivul prezentei reglementării constă în stabilirea cerinţelor care asigură un acces eficient la informaţia oficială, prestarea serviciilor publice cetăţenilor, comunităţii de afaceri şi organelor administraţiei publice cu aplicarea mijloacelor electronice, perfecţionarea calităţii serviciilor publice, sporirea eficienţei activităţii administraţiei publice, transparenţa în activitatea organelor administraţiei publice, dezvoltarea bazei de implementare a guvernării electronice şi a democraţiei electronice.
Prezenta reglementare este destinată: clienţilor sistemelor informaţionale (SI) automatizate, serviciilor şi produselor software; furnizorilor; elaboratorilor; administratorilor de SI; managerilor de proiect; managerilor responsabili de calitate şi utilizatorilor de produse software, care sînt participanţi la procesul de prestare a serviciilor publice cetăţenilor, comunităţii de afaceri, organelor administraţiei publice prin mijloacele electronice.
2. Baza juridico-normativă
Prezenta reglementare este elaborată în baza următoarelor acte legislative ale Republicii Moldova:
- Legea Republicii Moldova privind accesul la informaţie nr. 982-XIV din 11.05.2000;
- Legea Republicii Moldova cu privire la informatizare şi resursele informaţionale de stat nr. 467-XV din 21.11.2003;
- Legea Republicii Moldova cu privire la documentul electronic şi semnătura digitală nr.264-XV din 15.07.2004;
- Legea Republicii Moldova privind comerţul electronic nr.284-XV din 22.07.2004;
- Legea Republicii Moldova privind activitatea de reglementare tehnică nr.420-XVI din 22.12.2006;
- Legea Republicii Moldova cu privire la protecţia datelor cu caracter personal nr.17-XVI din 15.02.2007;
- Legea Republicii Moldova cu privire la registre nr.71-XVI din 22.03.2007.
3. Terminologie
În prezenta reglementare sînt utilizaţi următorii termeni:
Acord privind nivelul de deservire – acord încheiat în scris între furnizorul de servicii şi client (clienţi), în care se stipulează nivelurile de deservire convenite pentru un serviciu anumit.
Asamblare – ultima etapă a creării unei configuraţii disponibile pentru a fi exploatată.
Baza de date configuraţională a elementelor de evidenţă – bază de date care conţine toate datele necesare cu privire la fiecare element de evidenţă şi date despre legăturile importante dintre acestea.
Biblioteca software – totalitatea controlabilă a elementelor de evidenţă ale configuraţiei tipului de software destinat pentru susţinerea integrităţii stării lor generale şi a tipului, şi care în acelaşi timp stochează elemente în mod separat, pentru a contribui la elaborare, exploatare şi mentenanţă.
Biblioteca software-ului etalon – biblioteca în care sînt stocate sub protecţie versiunile etalon ale tuturor elementelor de evidenţă ale configuraţiei tipului de software.
Catalogul serviciilor – un document de volum mic, de pînă la 7 pagini, în care sînt formulate toate serviciile prestate clientului, în caz de necesitate este indicat costul serviciului, ordinea generală de solicitare a serviciului.
Categoria - clasificarea grupei elementelor de evidenţă, a documentelor despre modificări sau probleme.
Ciclu de viaţă – succesiunea proceselor, acţiunilor şi sarcinilor implicate în elaborarea, exploatarea şi mentenanţa sistemului şi care cuprind toată durata vieţii sistemului.
Controlul configuraţiilor – acţiuni incluse în controlul modificărilor operate în elementele de evidenţă după perfectarea formală a documentaţiei de configuraţie a acestora.
Controlul procesului – proces de planificare şi reglare, al cărui scop constă în desfăşurarea eficientă şi raţională a procesului.
Conturul extern al guvernării electronice – include infrastructura publică care asigură interacţiunea cetăţenilor şi organizaţiilor cu organele administraţiei publice. Acest tip de contur este format din sisteme informaţionale care deservesc procesele de interacţiune a populaţiei şi organizaţiilor cu organele administraţiei publice prin intermediul portalului guvernamental.
Conturul intern al guvernării electronice – include sistemele informaţionale de deservire a proceselor din interiorul sistemului de administrare publică (G2G), inclusiv prestarea serviciilor interne (G2E) structurilor şi funcţionarilor din administraţie atît la nivel central cît şi la cel local.
Delta-release – release parţial care include doar acele elemente de evidenţă în limitele unei unităţi de release care au fost modificate sau elementele de evidenţă noi din momentul ultimului release deplin sau delta-release.
Documentaţie de configuraţie – documentaţia care determină cerinţele faţă de elementul de evidenţă, proiectarea sistemului, asamblarea, producerea şi verificarea elementului de evidenţă.
Element de evidenţă – component al infrastructurii care se află sub controlul gestiunii configuraţiilor (inclusiv hardware, software şi documentaţia).
Eroare cunoscută – incident sau problemă a cărei cauză de bază este cunoscută şi pentru care a fost găsită o soluţie alternativă.
Gestionarea configuraţiilor – procesul de identificare şi determinare a elementelor de evidenţă din sistem, a înregistrărilor şi a rapoartelor privind statutul elementelor de evidenţă şi solicitărilor de modificare, precum şi de verificare a plenitudinii şi corectitudinii elementelor de evidenţă.
Gestionarea modificărilor – procesul de control al modificărilor din infrastructură sau din orice altă componentă a serviciilor prestate, care pune în acţiune în termene minime modificările aprobate.
Graficul de modificări coordonat – graficul ce conţine date despre toate modificările aprobate pentru implementare şi termenele de implementare propuse.
NOTĂ - Graficul de modificări se coordonează cu clientul, gestionarea nivelului de deservire, cu Centrul Informaţional de prestare a serviciilor şi cu gestionarea accesibilităţii.
Identificarea configuraţiei – activitatea care determină structura produsului, ansamblul de elemente de evidenţă şi documentaţia caracteristicilor fizice şi funcţionale ale elementului de evidenţă.
Identificatorul versiunii – numărul versiunii; data versiunii sau data versiunii şi marcajul de timp.
Infrastructura TI – sistemul structurilor organizaţionale şi a mijloacelor tehnice de programă care asigură funcţionarea şi dezvoltarea sistemului informaţional şi a mijloacelor de interacţiune informaţională.
NOTĂ - Infrastructura TI include totalitatea de mijloace hardware, sisteme operaţionale, a reţelei de telecomunicaţii şi sistemului de comunicaţii, a bazelor de date, mijloacelor de suport, mijloacelor multimedia care asigură sistemul de formare, distribuire şi utilizare a tehnologiilor comunicaţionale ce asigură interacţiunea organelor administraţiei publice, permiţînd accesul la resursele informaţionale.
Înregistrarea privind modificarea – înregistrarea de evidenţă ce conţine date despre elementele de evidenţă care sînt influenţate de modificarea aprobată şi modul în care sînt influenţate.
Mediu – totalitatea de hardware şi software, de comunicaţii de reţea şi proceduri care operează împreună în vederea prestării serviciilor publice.
Mediul de program – software utilizat pentru întreţinerea aplicaţiilor, precum sînt sistemul operaţional, sistemul de gestionare a bazei de date, mijloacele de elaborare, compilatoarele şi software-ul aplicativ.
Mijloace de elaborare automată a sistemelor – mijloc software pentru elaboratorii de software-ului, care acordă asistenţă în planificarea, analiza, proiectarea şi documentarea software-ului.
Mijloc de gestionare a configuraţiilor – produs software ce asigură automatizarea susţinerii modificărilor, configuraţiilor şi a controlului versiunilor.
Politica gestionării accesului – regulile de acordare a accesului la sistemele computerizate şi la reţeaua de utilizatori individuali.
Prestarea serviciilor publice – ansamblu de procese interconexe orientate spre realizarea obiectivelor – interacţiunea dintre subiecţii guvernării electronice ce se realizează pe două contururi clare – intern şi extern, care comunică între ele prin intermediul portalului guvernamental.
Problema – cauza primară necunoscută a unuia sau mai multor incidente.
Produs informaţional – informaţie documentată prelucrată în conformitate cu necesităţile utilizatorilor şi prezentată sub formă de produs;.
NOTĂ - Produse informaţionale sînt software-ul, bazele şi băncile de date şi altă informaţie.
Registrul modificărilor – registrul solicitărilor de modificare care au fost perfectate în timpul proiectului, ce arată informaţia despre fiecare modificare, evaluarea acesteia, deciziile luate.
Release – totalitatea elementelor de evidenţă noi şi/sau modificate care sînt supuse testării şi sînt date în exploatare în mod colectiv.
Release complex – toate componentele unei unităţi de release, care sînt colectate, testate, distribuite şi implementate în mod colectiv.
Serviciile informaţionale – servicii оrientate spre satisfacerea necesităţilor informaţionale ale utilizatorilor prin intermediul furnizării produselor informaţionale.
Serviciu public – serviciu, care condiţionează trei tipuri de interacţiuni, părţi componente ale guvernării electronice: interacţiunea „Guvern - Cetăţean” (G2C); interacţiunea „Guvern - Business” (G2B); interacţiunea „Guvern - Guvern” (G2G) cu subcategoria „Interacţiunea dintre Guvern şi angajaţii acestuia” (G2E).
Solicitare de deservire – orice incident ce nu reprezintă un defect în funcţionarea infrastructurii.
Solicitare de modificare – forma utilizată pentru înscrierea datelor despre solicitarea de modificare pentru orice element de evidenţă a infrastructurii sau pentru procedurile şi elementele legate de această infrastructură.
Soluţie de ocolire – metoda ce permite înlăturarea incidentelor sau a problemelor cu ajutorul unei decizii sau metode temporare, datorită căreia clientul nu mai depinde de un anumit aspect al serviciului legat de problemă.
Soluţie permanentă – soluţie, aplicarea căreia înlătură cauza de bază a problemei apărute.
Soluţionarea problemei – procesul înlăturării problemei pe calea elaborării şi aplicării unei soluţii permanente.
4. Cerinţele faţă de organizarea procesului de prestare a serviciilor publice
Esenţa activităţii organizaţiei ce prestează servicii publice constă în gestionarea prestării serviciilor publice. Rezultatele acestei activităţi reprezintă servicii publice justificate ca preţ, sigure, reciproc coordonate şi de calitate corespunzătoare.
Sistemul de prestare a serviciilor publice este prevăzut pentru realizarea următorului complex de sarcini:
- sporirea fiabilităţii de funcţionare a SI;
- reducerea timpului de depistare şi lichidare a defectelor în procesul de prestare a serviciilor publice;
- reglementarea activităţii subdiviziunilor şi sporirea manevrabilităţii serviciilor responsabile de exploatarea SI;
- crearea mecanismelor de evaluare a contribuţiei tehnologiilor informaţionale (TI) în privinţa rezultatelor de producţie şi a mecanismelor de justificare a investiţiilor în infrastructura TI;
- implementarea mijloacelor de planificare şi evaluare a necesităţilor infrastructurii TI;
- optimizarea cheltuielilor pentru exploatarea SI;
- reducerea termenelor de implementare a noilor proiecte de prestare a serviciilor publice;
- asigurarea acumulării şi aplicării cunoştinţelor şi experienţei din sfera exploatării infrastructurii TI.
În prezentul capitol sînt stabilite cerinţele de bază privind organizarea procesului de prestare a serviciilor publice ce ţin de securitate şi calitate, condiţiile de realizare şi aplicare, precum şi criteriile de organizare corectă şi evaluare efectivă a conformităţii serviciilor prestate.
În procesul de prestare a serviciilor publice, este necesar de îndeplinit următoarele procese:
- gestionarea capacităţilor;
- gestionarea finanţelor pentru prestarea serviciilor publice;
- gestionarea accesibilităţii;
- gestionarea nivelului de deservire;
- gestionarea continuităţii acordării serviciilor publice;
- gestionarea securităţii informaţionale;
- gestionarea calităţii serviciilor publice;
- gestionarea serviciilor de reţea.
4.1. Procesul de gestionare a capacităţilor
4.1.1. Obiectivele procesului de gestionare a capacităţilor
Obiectivul procesului de gestionare a capacităţilor constă în asigurarea prestării nivelului necesar de servicii ce corespund cerinţelor, cu cheltuieli minime.
Procesul de gestionare a capacităţilor mijloacelor de echipament şi de telecomunicaţii trebuie să fie orientat spre:
- furnizarea constantă a resurselor informaţionale necesare în conformitate cu parametrii necesităţilor, timpului şi preţului;
- prevenirea investiţiilor nejustificate în SI şi tehnologiile prin utilizarea optimă a resurselor existente;
- sporirea oportună a capacităţii;
- gestionarea utilizării capacităţilor curente ale TI şi SI.
Procesul de gestionare a capacităţilor cu funcţionare optimă trebuie să asigure realizarea următoarelor sarcini:
- reducerea riscurilor legate de serviciile existente prin gestionarea efectivă a resurselor şi monitorizarea permanentă a productivităţii utilajului;
- reducerea pericolului de întrerupere a lucrărilor proceselor de prestare a serviciilor publice în baza cooperării strînse cu procesul de gestionare a modificărilor la determinarea acţiunii modificărilor asupra capacităţilor TI şi mijloacelor de telecomunicaţii şi la prevenirea modificărilor urgente din cauza calculării greşite a capacităţii mijloacelor;
- elaborarea unor pronosticuri mai precise şi reacţionarea rapidă la solicitările clientului sau ale utilizatorilor;
- asigurarea raţionalităţii lucrului prin intermediul asigurării anticipate a echilibrului dintre cerere şi ofertă, legate de serviciile noi şi cele modificate;
- gestionarea (reducerea) cheltuielilor legate de capacitatea mijloacelor, în vederea folosirii mai raţionale a acestora.
4.1.2. Cerinţele de bază faţă de procesul de gestionare a capacităţilor
Faţă de procesul de gestionare a capacităţilor sînt înaintate trei categorii de cerinţe:
- gestionarea capacităţilor organizaţiei — îndeplinirea acestor cerinţe este necesară pentru înţelegerea viitoarelor necesităţi ale utilizatorilor, determinarea tendinţelor, prognozelor, modelarea, crearea prototipului, determinarea volumului şi documentarea viitoarelor necesităţi ale organizaţiei;
- gestionarea capacităţilor de deservire – îndeplinirea acestor cerinţe contribuie la determinarea şi înţelegerea nivelului de utilizare a serviciilor publice de către utilizatori, la monitorizarea, analiza, setarea şi crearea rapoartelor privind productivitatea serviciilor, la stabilirea configuraţiilor de bază şi a profilurilor de utilizare a serviciilor, la gestionarea cererii pentru servicii;
- gestionarea capacităţilor resurselor – aceste cerinţe sînt destinate pentru determinarea şi înţelegerea utilizării infrastructurii TI, monitorizarea, analiza şi crearea rapoartelor privind utilizarea elementelor de evidenţă, determinarea configuraţiilor şi a profilurilor de bază ale utilizării elementelor de evidenţă. În procesul îndeplinirii acestei categorii de cerinţe, o activitate importantă este monitorizarea activă a tendinţelor de dezvoltare.
Tabelul 1. Cerinţele înaintate faţă de procesul de gestionare a capacităţilor
4.1.3 Gestionarea eficienţei procesului de gestionare a capacităţilor
Reducerea riscurilor, sporirea calităţii serviciilor prestate, utilizarea eficientă a resurselor şi sistemelor informaţionale urmează să fie asigurate prin respectarea cerinţelor înaintate procesului de gestionare a capacităţilor. Respectarea cerinţelor trebuie să fie reflectată în indicatorii principali ai eficienţei activităţii procesului de gestionare a capacităţilor. Indicatorii menţionaţi sînt prezentaţi în tabelul 2.
Тabelul 2. Indicatorii eficienţei activităţii procesului de gestionare a capacităţilor
Dările de seamă ale administraţiei privind procesul de gestionare a capacităţilor trebuie să conţină informaţii privind diferenţele dintre utilizarea reala şi cea planificată a capacităţilor, despre tendinţele diferenţelor, despre impactul asupra nivelului de deservire, reducerea/sporirea preconizată a utilizării capacităţilor în perspectivă de durată scurtă sau lungă, precum şi date despre valorile limită pentru atingerea cărora va fi necesară achiziţionarea unor capacităţi suplimentare.
4.2. Procesul de gestionare a finanţelor destinate pentru prestarea serviciilor publice
4.2.1. Obiectivele procesului de gestionare a finanţelor destinate pentru prestarea serviciilor publice
Obiectivul procesului de gestionare a finanţelor constă în asistenţa acordată organizaţiei în gestionarea eficientă a resurselor şi sistemelor informaţionale necesare pentru prestarea serviciilor.
La achitarea facturii pentru serviciile publice prestate, un moment important pentru clienţi este aprecierea în ce măsură cheltuielile justifică avantajele obţinute pentru organizaţie.
Procesul de gestionare a finanţelor pentru prestarea serviciilor publice, cu funcţionare optimă, trebuie să asigure realizarea următoarelor sarcini:
- elaborarea bugetului – planificarea activităţii organizaţiei şi controlul ei;
- evidenţa contabilă – determinarea elementelor de cheltuieli şi a metodelor de structurare a acestora;
- eliberarea facturilor – analiza variantelor posibile de eliberare a facturilor şi stabilirea tarifelor pentru servicii.
4.2.2. Cerinţele de bază faţă de procesul de gestionare a finanţelor pentru prestarea serviciilor publice
Furnizarea informaţiei ample pentru justificarea cheltuielilor, analiza serviciilor publice, restituirea cheltuielilor pentru serviciile publice, elaborarea bugetului şi a planurilor se efectuează luîndu-se în consideraţie următorii factori:
- calitatea – în domeniul activităţii operaţionale: capacitatea (capacitatea de trecere); accesibilitatea; productivitatea; restabilirea după situaţii extraordinare; susţinerea;
- costul – în domeniul cheltuielilor şi investiţiilor;
- cerinţele clientului – costul şi calitatea trebuie să fie în corespundere cu necesităţile clientului.
Faţă de procesul de administrare a finanţelor pentru prestarea serviciilor publice sînt înaintate următoarele cerinţe:
- determinarea cheltuielilor pentru serviciile publice;
- determinarea şi clasificarea structurii cheltuielilor;
- repartizarea corectă a cheltuielilor conform serviciilor publice prestate clienţilor;
- utilizarea diferitor metode de eliberare a facturilor pentru utilizarea serviciilor publice;
- compensarea tuturor cheltuielilor, inclusiv a celor capitale, din contul clientului;
- verificarea regulată a facturilor pentru plata serviciilor publice din punct de vedere a corectitudinii şi corespunderii cu cerinţele clientului;
- includerea devizului de cheltuieli în rapoartele prezentate clienţilor.
Pentru asigurarea rentabilităţii procesului de prestare a serviciilor publice, este necesar de implementat un sistem eficient de control al cheltuielilor care trebuie să îndeplinească următoarele cerinţe:
- susţinerea în elaborarea strategiei de investiţii care să contribuie la flexibilitatea organizaţiei în baza utilizării mijloacelor tehnologice moderne;
- asistenţă la stabilirea priorităţilor în utilizarea resurselor informaţionale;
- asigurarea acoperirii cheltuielilor pentru toate resursele informaţionale utilizate de organizaţie;
- asistenţa pentru administraţie la luarea deciziilor operative cotidiene pentru reducerea riscului financiar în procesul de adoptare a deciziilor pe termen lung;
- asigurarea flexibilităţii şi a capacităţii de a reacţiona rapid la modificările în procesele de prestare a serviciilor publice.
4.2.3. Clasificarea cheltuielilor legate de procesul de prestare a serviciilor publice
Informaţia despre cheltuielile aferente prestării serviciile publice permite de a echilibra cheltuielile şi calitatea, precum şi de a oferi clienţilor un proces de prestare a serviciilor argumentat din punct de vedere financiar.
Pentru fiecare serviciu este necesar de a determina cheltuielile legate direct sau indirect de acesta:
- cheltuieli directe – cheltuielile legate în mod particular şi exclusiv de un anumit serviciu public (de exemplu, locaţiunea unei linii telefonice pentru acces la reţeaua Internet);
- cheltuieli indirecte – cheltuielile ce nu sînt legate direct şi nemijlocit de un anumit serviciu public (de exemplu, cheltuielile pentru încăperi, servicii de mentenanţă şi cheltuieli administrative).
Cheltuielile aferente prestării serviciilor se împart în permanente şi variabile:
- cheltuielile permanente nu depind de volumul serviciilor prestate (investiţiile în hardware, software şi construcţie etc.);
- cheltuieli variabile – cheltuieli al căror nivel se schimbă odată cu modificarea volumului de prestare a serviciilor (cheltuielile pentru personalul atras din exterior, cartuşele imprimatelor, hîrtie, încălzire şi electricitate etc.).
În procesul de prestare a serviciilor publice se formează următoarele tipuri de cheltuieli:
- cheltuieli de echipament – toate cheltuielile legate de hardware (servere, dispozitive de păstrare a informaţiei, comunicaţii şi reţele, imprimante etc.);
- cheltuieli de software – cheltuielile directe şi indirecte privind mentenanţa funcţionării sistemului (software de sistem, sistemul de tranzacţii, sistemul de gestiune a bazelor de date, sistemul de elaborare a aplicaţiilor, aplicaţiile de program etc.);
- cheltuieli organizaţionale – cheltuieli directe şi indirecte privind personalul, care pot fi permanente sau variabile (retribuţia muncii, cheltuieli de instruire, diurne pentru deplasări);
- cheltuieli pentru amplasare - toate cheltuielile directe sau indirecte legate de amplasare (încăperi pentru servere, oficii, alte încăperi şi echipamente);
- cheltuieli de transfer - cheltuieli legate de plăţile interne efectuate între diferite subdiviziuni ale organizaţiei;
- evidenţa cheltuielilor – cheltuielile legate de procesul de gestionare a finanţelor.
4.2.4. Gestionarea eficienţei procesului de gestionare a finanţelor
Indicatorii eficienţei procesului de gestionare a finanţelor pentru prestarea serviciilor determină nivelul de corespundere a acestui proces cu cerinţele care asigură organizarea corectă a funcţionării procesului. Indicatorii principali ai eficienţei procesului de gestionare a finanţelor pentru prestarea serviciilor publice sînt:
- analiza exactă a costului serviciilor prestate;
- satisfacţia clienţilor;
- realizarea obiectivelor financiare de către organizaţie;
- modificarea utilizării serviciilor de către clienţi;
- prezentarea la timp a rapoartelor pentru procesul de gestionare a nivelului de deservire.
4.3. Procesul de gestionare a accesibilităţii
4.3.1. Obiectivele procesului de gestionare a accesibilităţii
Obiectivul procesului de gestionare a accesibilităţii este de a asigura un nivel rentabil şi coordonat de accesibilitate în prestarea serviciilor. Procesul de gestionare a accesibilităţii este neîntrerupt şi se încheie în momentul cînd se termină prestarea serviciului.
Procesul de gestionare a accesibilităţii trebuie să includă:
- servicii noi şi curente;
- relaţiile cu furnizori interni şi externi;
- componentele infrastructurii şi aspectele organizaţionale care influenţează accesibilitatea, cum ar fi nivelul de cunoştinţe ale personalului, procesele, procedurile şi instrumentele de administrare.
Procesul de gestionare a accesibilităţii trebuie îndeplinit luîndu-se în consideraţie următorii factori:
- criteriile de elaborare a arhitecturii informaţionale pentru asigurarea accesibilităţii şi restabilirea serviciilor publice noi şi perfecţionate;
- tehnologiile ce asigură stabilitatea infrastructurii TI;
- garanţiile accesibilităţii, siguranţei şi deservirii componentelor infrastructurii;
- complexitatea infrastructurii TI;
- fiabilitatea componentelor – accesibilitatea serviciului într-o perioadă de timp aprobată, fără nici o defecţiune;
- capacitatea de a reacţiona rapid şi efectiv la defecţiuni;
- calitatea deservirii şi calitatea activităţii organizaţiilor de mentenanţă şi a furnizorilor;
- calitatea şi limitele de competenţă ale proceselor de administrare operaţională.
4.3.2. Cerinţele de bază ale procesului de gestionare a accesibilităţii
În cadrul procesului de gestionare a accesibilităţii se execută următoarele acţiuni:
- planificarea - stabilirea cerinţelor faţă de accesibilitatea serviciului, proiectarea sistemelor pentru realizarea nivelului necesar de accesibilitate şi a capacităţii necesare de restabilire;
- monitorizarea - efectuarea măsurărilor şi întocmirea rapoartelor.
Procesul de gestionare a accesibilităţii în condiţii de funcţionare optimă trebuie să asigure îndeplinirea următoarelor cerinţe:
- crearea unui punct unic de contact pentru chestiunile de accesibilitate a serviciilor publice;
- corespunderea serviciilor prestate cu cerinţele înaintate faţă de accesibilitatea serviciului în conformitate cu legislaţia în vigoare;
- garanţia corespunderii noilor servicii cu cerinţele impuse faţă de acestea şi cu standardul de accesibilitate convenit cu clientul;
- menţinerea nivelului cheltuielilor la un nivel acceptabil;
- monitorizarea continuă a standardelor de accesibilitate şi perfecţionarea acestora pe măsura necesităţilor;
- realizarea măsurilor de restabilire în caz de inaccesibilitate a serviciului;
- reducerea numărului refuzurilor de acces la sisteme şi reducerea perioadei de inaccesibilitate a serviciului;
- transferul de prioritate de la corectarea defectelor la îmbunătăţirea serviciului.
În caz de întrerupere a procesului de prestare a serviciilor publice este necesar de a înlătura rapid şi corect defectul şi de a realiza standardele aprobate de accesibilitate. Procedura de restabilire include aspecte precum sînt: utilizarea procesului eficient de gestionare a incidentelor (a se vedea 5.1) şi procedurile corespunzătoare de escaladare, informare, copiere de rezervă şi restabilire.
4.3.3. Gestionarea eficienţei procesului de gestionare a accesibilităţii
Este necesar de efectuat monitorizarea şi evaluarea conformităţii procesului dat cu cerinţele menţionate. Indicatorii de bază ai eficacităţii funcţionării procesului de gestionare a accesibilităţii:
- durata stagnărilor;
- frecvenţa survenirii stagnărilor;
- durata medie a reparaţiei - durata medie dintre survenirea defectului şi restabilirea serviciului;
- durata medie între defecte - durata medie dintre restabilirea după un defect şi survenirea altuia;
- durata medie între incidentele de sistem – durata medie dintre două incidente succesive;
- coeficientul de accesibilitate (sau inaccesibilitate) a serviciului;
- durata totală de funcţionare şi durata stagnării;
- numărul defectelor;
- informaţia despre defecte;
- durata de depistare, reacţionare, restabilire şi reparaţie a defectului, incidentului sau problemei.
Nivelul de accesibilitate trebuie să asigure accesul permanent la serviciile publice pe calea reducerii timpului de stagnare şi a restabilirii rapide a prestării serviciilor.
4.4. Procesul de gestionare a nivelului de deservire
4.4.1. Scopul procesului de gestionare a nivelului deservirii
Gestionarea nivelului de deservire (serviciului) - este un proces în cadrul căruia au loc negocieri cu privire la prestarea serviciilor, se efectuează stabilirea, evaluarea, gestionarea şi îmbunătăţirea calităţii serviciilor publice cu respectarea nivelului admisibil de cheltuieli. Gestionarea nivelului serviciului necesită o colaborare eficientă şi productivă cu clientul deoarece nivelurile serviciilor solicitate se stabilesc cu participarea acestuia.
Procesul de gestionare a nivelului de deservire este menit să stabilească echilibrul necesar dintre cererea şi oferta pentru serviciile de calitatea necesară, dintre comoditatea utilizării şi cost. Acest proces realizează elaborarea, coordonarea şi executarea Acordurilor cu privire la nivelul de deservire, acordurilor operaţionale privind nivelul de deservire, contractelor externe şi planului de asigurare a calităţii serviciilor.
În cadrul procesului de gestionare a nivelului de deservire trebuie îndeplinite următoarele sarcini:
- integrarea elementelor necesare pentru prestarea serviciilor publice;
- documentarea şi descrierea serviciilor prestate;
- concordarea strategiei TI cu necesităţile organizaţiei;
- controlul îmbunătăţirii prestării serviciilor publice.
Nivelul deservirii trebuie analizat în mod regulat, atrăgîndu-se o atenţie sporită la următoarele aspecte:
- acordul cu privire la nivelul deservirii din momentul ultimei analize;
- problemele apărute în cadrul serviciilor;
- identificarea tendinţelor în activitatea serviciilor;
- modificarea serviciilor în limitele nivelurilor de deservire acordate;
- modificarea procedurilor şi calculelor costului resurselor adiţionale;
- analiza urmărilor defectelor la prestarea nivelurilor acordate ale serviciilor.
Fiabilitatea deservirii trebuie să includă îmbinarea următoarelor caracteristici:
- fiabilitatea componentelor utilizate pentru prestarea serviciilor;
- durabilitatea - capacitatea deservirii sau a componentelor sale de a funcţiona eficient indiferent de defectarea uneia sau a cîteva subsisteme;
- deservirea profilactică pentru prevenirea întreruperii funcţionării.
Deservirea trebuie să cuprindă efectuarea lucrărilor de asigurare a funcţionării procesului de prestare a serviciilor şi restabilire a acestuia după defecte, precum şi efectuarea profilaxiei şi a verificărilor regulamentare şi anume:
- luarea măsurilor de prevenire a defectelor;
- depistarea la timp a defectelor;
- efectuarea diagnosticării, inclusiv a autodiagnosticării automate a componentelor;
- lichidarea defectelor;
- restabilirea funcţionării după defecţiune;
- restabilirea serviciului.
4.4.2. Cerinţele de bază faţă de procesul de gestionare a nivelului de deservire
Cerinţele faţă de nivelul prestării serviciilor – descrierea detaliată a necesităţilor clientului utilizate la elaborarea, modificarea şi iniţierea serviciilor.
În lista cerinţelor urmează să fie incluse următoarele:
- identificarea necesităţilor clientului;
- determinarea serviciilor necesare corespunzător necesităţilor şi cerinţelor clientului, crearea unui plan de asigurare a calităţii serviciilor;
- perfectarea finală a acordului - coordonarea cu clientul a nivelului de deservire necesar şi cheltuielile legate de aceasta, fixarea înţelegerilor convenite în Acordul cu privire la nivelul deservirii, acordul operaţional privind nivelul de deservire, contractele externe şi întocmirea sau reînnoirea catalogului de servicii;
- monitorizarea nivelurilor serviciilor;
- raportarea privind nivelul serviciilor;
- analiza serviciilor în vederea determinării direcţiilor de perfecţionare a acestora;
- descrierea funcţiilor, pe care trebuie să le ofere nivelul de deservire solicitat, din punctul de vedere al clientului;
- timpul şi zilele în care serviciul trebuie să fie accesibil;
- cerinţele faţă de continuitatea procesului de deservire;
- stabilirea funcţiilor informaţionale necesare pentru prestarea serviciilor;
- existenţa referinţelor la metodele operaţionale şi standardele de calitate curente care trebuie luate în consideraţie la stabilirea nivelului de deservire;
- confruntarea calităţii serviciilor cu costul indicat în factură;
- stabilirea obligaţiunilor clientului şi ale organizaţiei care prestează servicii publice;
- existenţa referinţelor la Acordul cu privire la nivelul de deservire.
Procesul de gestionare a nivelului de deservire trebuie să garanteze susţinerea şi perfecţionarea continuă a serviciilor publice solicitate de client, prin coordonarea nivelului calităţii serviciilor organizaţiei, monitorizarea acestora şi prezentarea rapoartelor.
4.4.3. Gestionarea eficienţei procesului de gestionare a nivelului de deservire
Indicatorii eficienţei şi eficacităţii procesului de gestionare a nivelului de deservire:
- parametrii de deservire incluşi în Acordul cu privire la nivelul de deservire;
- parametrii monitorizaţi şi cu neajunsuri raportate;
- parametrii Acordului cu privire la nivelul de deservire, care sînt analizaţi în mod regulat;
- parametrii Acordului cu privire la nivelul de deservire, pentru care au fost obţinute nivelurile convenite de prestare a serviciilor;
- neajunsurile relevate incluse în planul de perfecţionare;
- tendinţele relevate, ţinîndu-se cont de nivelul real de deservire.
Indicatorii menţionaţi servesc drept instrument pentru determinarea conformităţii procesului respectiv cu cerinţele înaintate.
4.5. Procesul de gestionare a continuităţii în prestarea serviciilor publice
4.5.1. Scopurile procesului de gestionare a continuităţii în prestarea serviciilor publice
Obiectivul procesului de gestionare a continuităţii în prestarea serviciilor publice constă în susţinerea procesului de gestionare a continuităţii în activitatea organizaţiei. Esenţa acestei susţineri constă în restabilirea infrastructurii TI şi a serviciilor publice necesare, inclusiv a serviciului de mentenanţă şi a tuturor unităţilor instituţionale care asigură prestarea serviciilor, în decursul unei anumite perioade de timp după survenirea situaţiei excepţionale.
Accesibilitatea serviciilor publice urmează să includă o îmbinare între măsurile de reducere a gradului de risc şi metodele de restabilire.
În procesul de gestionare a continuităţii serviciilor publice trebuie îndeplinite următoarele sarcini:
- evaluarea impactului defecţiunilor asupra activităţii serviciilor publice după survenirea situaţiei excepţionale;
- stabilirea serviciilor de importanţă sporită pentru organizaţie care necesită măsuri suplimentare;
- determinarea perioadei de timp în decursul căreia serviciul urmează să fie restabilit;
- luarea măsurilor de prevenire, depistare, pregătire pentru situaţii excepţionale sau de reducere a gradului lor de influenţă;
- stabilirea metodei generale de abordare a restabilirii serviciilor;
- elaborarea, testarea şi susţinerea planului de restabilire cu un nivel suficient de detaliere, care ar ajuta la depăşirea situaţiei excepţionale şi la restabilirea activităţii normale într-o perioadă de timp prestabilită.
4.5.2. Cerinţele de bază înaintate procesului de gestionare a continuităţii în prestarea serviciilor publice
În procesul de gestionare a continuităţii în prestarea serviciilor publice, trebuie îndeplinite următoarele cerinţe:
- existenţa unui proces eficient de gestionare a configuraţiilor
- mentenanţa procesului de gestionare a continuităţii de către personalul organizaţiei;
- existenţa instrumentelor moderne eficiente;
- efectuarea unei instruiri speciale pentru toţi participanţii la procesul respectiv;
- testarea regulată a planului de restabilire, fără aviz prealabil.
Pentru îndeplinirea cerinţelor menţionate este necesar de realizat următoarele activităţi:
- iniţializarea;
- cerinţele şi strategia;
- implementarea;
- gestionarea operaţională.
Iniţializarea – include activităţile de stabilire a sferei de acţiune a procesului de gestionare a continuităţii serviciilor publice. Pe parcursul iniţializării se stabileşte politica organizaţiei faţă de gestionarea continuităţii serviciilor publice; se selectează metoda de abordare a evaluării riscului; se evidenţiază resursele pentru desfăşurarea mediului informaţional în cazul survenirii situaţiilor excepţionale.
Cerinţele şi strategia – includ tipurile de acţiuni indicate în tabelul 3.
Tabelul 3. Tipurile de acţiuni pentru activitatea „Cerinţele şi strategia”
Implementarea – include tipurile de acţiuni indicate în tabelul 4.
Tabelul 4. Tipurile de acţiuni pentru activitatea „Implementarea”
Gestionarea operaţională – include toate tipurile de acţiuni indicate în tabelul 5.
Tabelul 5. Tipurile de acţiuni pentru activitatea „Gestionarea operaţională”
4.5.3. Gestionarea eficienţei procesului de gestionare a continuităţii în prestarea serviciilor publice
Gestionarea restabilirii SI şi reducerea stagnărilor în activitatea de prestare a serviciilor publice necesită respectarea cerinţelor înaintate procesului de gestionare a continuităţii în prestarea serviciilor publice, conformitatea cărora este reflectată în următorii indicatori:
- numărul erorilor depistate în planurile de restabilire;
- pierderea de către organizaţie a venitului în rezultatul unei situaţii excepţionale;
- costul procesului.
4.6. Procesul de gestionare a securităţii informaţionale
4.6.1. Obiectivele, sarcinile şi principiile procesului de gestionare a securităţii informaţionale
Obiectivul procesului de gestionare a securităţii informaţionale constă în controlul proceselor de asigurare cu informaţie, prevenirea divulgării, pierderii, scurgerii, denaturării şi distrugerii informaţiei şi prevenirea defecţiunilor în activitatea procesului de prestare a serviciilor publice.
Procesul de gestionare a securităţii informaţionale este necesar pentru susţinerea funcţionării continue a organizaţiei. Sarcina procesului constă în asigurarea continuă a securităţii serviciilor la nivelul coordonat cu clientul.
Procesul de gestionare a securităţii informaţionale trebuie să fie desfăşurat în baza următoarelor principii:
- principiul capacităţii echivalente a sistemului de protecţie – asigurarea protecţiei hardware-ului, software-ului, a sistemului de comunicaţii şi a sistemului de gestionare contra tuturor tipurilor de pericole;
- principiul continuităţii protecţiei – în procesul de prestare a serviciilor trebuie să fie asigurată continuitatea protecţiei informaţiei;
- principiul suficienţei rezonabile – aplicarea măsurilor şi a mijloacelor de protecţie rezonabile, raţionale care implică cheltuieli ce nu depăşesc costul încălcării securităţii informaţionale;
- principiul complexităţii – aplicarea tuturor tipurilor şi formelor de protecţie în volum deplin;
- principiul fiabilităţii - metodele, mijloacele şi formele de protecţie trebuie să blocheze în mod sigur toate căile de pătrundere şi canalele posibile de scurgere a informaţiei;
- principiul universalităţii – măsurile de securitate trebuie să blocheze căile pericolelor indiferent de punctul de acţiune potenţială a acestora;
- principiul planificării – elaborarea planurilor de acţiuni detaliate pentru asigurarea protecţiei informaţionale a tuturor componentelor sistemului de prestare a serviciilor publice;
- principiul centralizării – asigurarea independenţei organizaţionale şi funcţionale a procesului de asigurare a securităţii prestării serviciilor publice;
- principiul calificării personalului de deservire – prestarea serviciilor şi deservirea echipamentului trebuie să fie realizate de angajaţii pregătiţi în probleme de exploatare a tehnicii şi aspecte de ordin tehnic privind asigurarea securităţii informaţionale;
- principiul repartizării împuternicirilor – responsabilitatea pentru sistemul de protecţie trebuie să fie repartizată între angajaţii de diferite niveluri şi pe diferite direcţii ale activităţii de protecţie.
4.6.2. Cerinţele de bază faţă de procesul de gestionare a securităţii informaţionale
Reieşind din aspectele accesibilităţii, integrităţii şi confidenţialităţii informaţiei, procesul de gestionare a securităţii informaţionale trebuie să corespundă următoarelor cerinţe:
- să asigure confidenţialitatea informaţiei importante;
- să asigure integritatea informaţiei şi a proceselor legate de aceasta (crearea, introducerea, extragerea, păstrarea, transmiterea etc.);
- să asigure accesibilitatea la timp a informaţiei;
- să asigure funcţionarea fără deficienţe în procesul realizării unor operaţii concrete;
- să asigure monitorizarea în vederea asigurării capacităţii proceselor TI de a fixa orice activitate a utilizatorilor sau a proceselor;
- să ţină evidenţa tuturor proceselor şi evenimentelor legate de informaţie.
Pentru realizarea cerinţelor înaintate procesului de gestionare a securităţii informaţionale este necesar de îndeplinit următoarele condiţii:
- crearea schemei structurale de gestionare;
- crearea structurii organizaţionale de gestionare;
- repartizarea detaliată a responsabilităţilor;
- coordonarea securităţii informaţionale;
- coordonarea instrumentelor;
- descrierea procesului de autorizare a mijloacelor TI;
- acordarea consultaţiilor de către specialişti;
- colaborarea între organizaţii, interacţiunea internă şi externă;
- efectuarea auditului independent al sistemelor informaţionale;
- respectarea principiilor de securitate la accesarea informaţiei persoanelor terţe.
În cadrul procesului de gestionare a securităţii informaţionale sau în cadrul altor procese aflate sub controlul gestionării securităţii informaţionale se realizează următoarele activităţi:
- controlul - politica şi organizarea securităţii informaţionale, formularea planurilor de securitate, realizarea acestora, evaluarea realizării şi includerea evaluării în planurile anuale de securitate. Acest tip de activitate stabileşte subprocesele, funcţiile de securitate, rolurile şi responsabilităţile, descrie structura organizatorică, sistemul de raportare şi fluxurile de gestionare;
- planificarea – se stabileşte conţinutul capitolului privind securitatea din cadrul Acordului cu privire la nivelul de deservire, cu participarea procesului de gestionare a nivelului de deservire şi sînt descrise acţiunile privind aspectele de securitate desfăşurate în cadrul acordurilor externe;
- realizarea;
- evaluarea realizării activităţilor planificate – necesar de aplicat următoarele tipuri de evaluare: evaluarea independentă, auditul intern, auditul extern;
- susţinerea capitolelor corespunzătoare privind securitatea din cadrul Acordurilor cu privire la nivelul de deservire şi din planurile de securitate;
- întocmirea rapoartelor – se prezintă informaţia din cadrul altor procese cu privire la caracteristicile de securitate obţinute şi problemele de securitate.
Realizarea procesului de gestionare a securităţii informaţionale este susţinută prin executarea sarcinilor prezentate în tabelul 6.
Tabelul 6. Sarcinile executate la realizarea procesului de gestionare a securităţii informaţionale
Procesul de gestionare a securităţii informaţionale asigură cu instrucţiuni privind structura activităţii legate de securitate, altele procese, cum ar fi:
- proces de gestionare a incidentelor - este un proces important care informează despre existenţa unor incidente legate de securitate. Orice incident, care poate împiedica executarea cerinţelor de securitate indicate în Acordul cu privire la nivelul de deservire şi care poate crea obstacole în obţinerea nivelului de bază al securităţii interne, se clasifică ca incident de securitate;
- procesul de gestionare a problemelor - este un proces responsabil de identificarea şi înlăturarea defecţiunilor structurale de securitate care pot conduce la apariţia unor riscuri pentru sistemul de securitate. Orice măsuri de siguranţă legate de introducerea modificărilor trebuie să fie realizate concomitent cu efectuarea acestor modificări, iar testarea acestora trebuie să fie efectuată în paralel. La testarea securităţii este verificată nu doar accesibilitatea funcţiilor de securitate, ci şi absenţa funcţiilor nedorite care ar putea reduce nivelul de securitate a sistemului.
4.6.3. Gestionarea eficienţei procesului de asigurare a securităţii informaţionale
Indicatorii în baza cărora se evaluează corespunderea procesului de asigurare a securităţii informaţionale cu cerinţele şi condiţiile sînt următorii:
- parametrii serviciilor prestate indicaţi în Acordul cu privire la nivelul de deservire;
- deficienţele relevate incluse în planul de perfecţionare;
- corectarea la timp a deficienţelor ajustate, identificate în rezultatul auditului şi analizei;
- numărul de pericole aferente securităţii identificate;
- numărul de depistări şi lichidări ale intruziunilor;
- probabilitatea realizării pericolelor, incidentelor, problemelor;
- indicatorii evaluării riscului;
- parametrii de reacţionare la incidentele legate de încălcarea securităţii;
- rezultatele monitorizării securităţii informaţionale;
- datele privind controlul curent al stării securităţii TI.
4.7. Procesul de gestionare a calităţii serviciilor publice
4.7.1. Obiectivele procesului de gestionare a calităţii serviciilor publice
Obiectivul principal al procesului de gestionare a calităţii serviciilor constă în formarea şi menţinerea în stare actualizată a catalogului de servicii, a Acordului cu privire la nivelul de deservire, precum şi a acordurilor operaţionale interne în care sînt stabilite cerinţele faţă de personal şi faţă de serviciile prestate.
În Acordul cu privire la nivelul de deservire sînt enumeraţi toţi parametrii serviciilor prestate din acordul încheiat cu organizaţia care prestează servicii informaţionale.
Rezultatul procesului de gestionare a calităţii serviciilor este format din informaţia semnificativă şi oportună despre prestarea serviciilor, obţinută în rezultatul unei monitorizări specializate eficiente:
- rapoarte privind starea necorespunzătoare a îndeplinirii serviciului;
- notificarea despre problemele care tind să obţină un caracter cronic;
- notificarea despre modalităţile de utilizare a serviciului;
- analiza aprecierilor cu privire la servicii.
Procesul de gestionare a calităţii serviciilor se realizează în conformitate cu următoarele principii:
- aplicarea metodei de abordare procesuală în organizarea prestării serviciilor;
- măsurarea indicatorilor calităţii proceselor;
- controlul proceselor în conformitate cu anumite criterii şi perfecţionarea continuă a acestora.
4.7.2. Cerinţele de bază faţă de procesul de gestionare a calităţii serviciilor
În procesul de gestionare a calităţii serviciilor este necesar de respectat următoarele cerinţe:
- recepţionarea informaţiei de la procesele de administrare a reţelei, procesele de formare şi prestare a serviciilor şi de la procesele de deservire a clienţilor;
- elaborarea şi aprobarea unei liste complete a serviciilor prestate;
- planificarea îmbunătăţirii calităţii serviciilor, prin formarea programului de dezvoltare a calităţii;
- adoptarea măsurilor necesare pentru menţinerea nivelului serviciilor în limitele aprobate pentru fiecare clasă de servicii şi pentru satisfacerea necesităţilor clienţilor.
În cadrul procesului de gestionare a calităţii serviciilor, faţă de personalul care prestează serviciile publice sînt înaintate următoarele cerinţe:
- personalul trebuie să conceapă clar cerinţele clienţilor;
- personalul trebuie să poată descrie serviciile în termeni accesibili pentru client;
- personalul trebuie să descrie clar cerinţele de prestare a serviciilor pentru executori.
4.7.3. Gestionarea eficienţei procesului de gestionare a calităţii serviciilor
Indicatorii principali ai eficienţei procesului de gestionare a calităţii serviciilor, ce caracterizează corespunderea serviciilor prestate cu cerinţele calităţii indicate în Acordul cu privire la nivelul de deservire, sînt următorii:
- numărul de servicii comandate;
- numărul de solicitări de deservire primite;
- timpul utilizat pentru prestarea serviciilor;
- numărul solicitărilor de deservire expirate;
- numărul incidentelor survenite;
- timpul de staţionare a echipamentului;
- durata de inaccesibilitate a serviciului;
- termenul de înlocuire a elementului defectat în infrastructura TI şi condiţiile înlocuirii acestuia cu echipament temporar.
4.8. Procesul de gestionare a serviciilor de reţea
4.8.1. Obiectivele procesului de gestionare a serviciilor de reţea
Obiectivul gestionării serviciilor de reţea constă în asigurarea securităţii sistemelor conectate în reţea şi în controlul conexiunilor la sistemele conectate în reţea.
Gestionarea serviciilor de reţea trebuie să asigure transferul datelor dintr-un sistem în altul. Acest grup de servicii trebuie să includă semantica mediului comun de transferul datelor, reţeaua fizică care cuprinde reţelele locale şi globale, canalele şi protocoalele transferului de date.
Accesul direct la funcţiile serviciilor de reţea este necesar pentru telefonia computerizată, schimbul de informaţii video, conferinţa electronică. Sarcina gestionării serviciilor de reţea este de a stabili ansamblul de proceduri aplicate pentru instalarea dinamică, mentenanţa şi întreruperea conexiunilor necesare pentru schimbul de date între utilizatorii reţelei şi nodurile de comutaţie.
4.8.2. Funcţiile şi controlul procesului de gestionare a serviciilor de reţea
Funcţiile de gestionare a serviciilor de reţea stabilesc succesiunea şi formatul necesar al mesajelor, schimbul cărora se efectuează prin interfaţa de reţea.
În procesul de gestionare a serviciilor de reţea este necesar de efectuat controlul conexiunilor la sistemele conectate prin reţea. Controlul limitării capacităţii conexiunilor de reţea se efectuează în conformitate cu cerinţele politicii de gestionare a accesului.
Controlul se efectuează prin:
- gateway între reţele, care filtrează datele transmise prin reţea cu ajutorul tabelelor şi regulilor prestabilite;
- firewall-uri personale ale utilizatorilor, care filtrează traficul computerului protejat;
- interfeţele serviciului între reţele;
- algoritmul de autentificare a utilizatorilor la distanţă, a sistemelor computerizate şi a echipamentului;
- controlul deplin al accesului la SI;
- servicii de sistem şi programe aplicative care urmăresc conţinutul traficului Web şi de poştă electronică recepţionat de calculator.
4.8.3. Cerinţele de bază faţă de organizarea procesului de gestionare a serviciilor de reţea
Faţă de procesul de gestionare a serviciilor de reţea sînt înaintate următoarele cerinţe ce caracterizează evaluarea nivelului de corespundere cu cerinţele procesului respectiv:
- monitorizarea stării echipamentului activ de reţea;
- prelucrarea evenimentelor critice care survin în reţea;
- notificarea personalului tehnic despre evenimentele critice în reţea;
- acumularea informaţiei statistice despre funcţionarea, productivitatea, încărcarea elementelor critice ale infrastructurii de reţea;
- asigurarea controlului capacităţii de muncă, accesibilităţii, productivităţii echipamentului de server şi aplicaţiilor.
5. Gestionarea procesului de prestare a serviciilor
În prezentul capitol sînt examinate procesele integrate de gestionare a incidentelor, problemelor, configuraţiilor, modificărilor şi a release-urilor.
5.1. Gestionarea incidentelor
Obiectivul procesului de gestionare a incidentelor constă în restabilirea rapidă a procesului de prestare a serviciilor publice şi în minimalizarea impactului negativ al incidentelor, asigurînd-se susţinerea celor mai înalte niveluri ale calităţii deservirii şi accesibilităţii.
Incidentele survenite ca urmare a deficienţelor sau erorilor din infrastructura TI conduc la devieri reale sau potenţiale în raport cu activitatea planificată a serviciilor publice. La identificarea cauzei care a provocat incidentul este necesar de perfectat o înregistrare despre problemă cu ajutorul căreia se identifică eroarea de bază. Se realizează o succesiune logică, începînd cu notificarea iniţială şi finalizînd cu soluţionarea problemei iniţiale.
5.1.1. Cerinţele de bază faţă de procesul de gestionare a incidentelor
Faţă de procesul de gestionare a incidentelor sînt înaintate următoarele cerinţe:
- înregistrarea automată a incidentelor şi notificarea în caz de depistare a defecţiunii în mainframe-uri, în reţele şi servere;
- posibilitatea escaladării automate în vederea asigurării prelucrării la timp a incidentelor şi solicitărilor de deservire;
- nivelul înalt de flexibilitate şi marşrutizare a incidentelor;
- selectarea automată a datelor din Вaza de date configuraţională a elementelor de evidenţă privind elementele de evidenţă defectate şi afectate de incidente;
- software specializat;
- disponibilitatea mijloacelor şi modulelor de diagnosticare.
Centrul de guvernare electronică (CGE) de prestare a serviciilor este responsabil de monitorizarea procesului de reglare a tuturor incidentelor înregistrate. Incidentele pe care CGE de prestare a serviciilor nu le poate soluţiona imediat trebuie să fie transmise pentru a fi prelucrate de către grupuri specializate care dispun de abilităţi mai specializate, de timp suplimentar şi de alte resurse pentru soluţionarea incidentelor. Soluţionarea sau soluţia de ocolire trebuie să fie prezentată în termene cît mai restrînse pentru restabilirea deservirii utilizatorilor cu impact minim asupra activităţii lor. După înlăturarea cauzei incidentului şi restabilirea serviciului aprobat, incidentul urmează să fie închis şi este necesar de a întocmi documentaţia corespunzătoare.
Statutul incidentului trebuie să reflecte starea sa actuală în cadrul ciclului de viaţă. Este necesar ca înregistrarea despre incident să fie menţinută în stare actuală în decursul ciclului de viaţă al incidentului, ceea ce permite obţinerea unor date actualizate privind procesul de prelucrare a solicitării.
Este necesar de a înregistra următoarele actualizări ale înregistrării despre incident:
- colaboratorul care a efectuat modificarea înregistrării;
- descrierea detaliată a modificării;
- data şi ora modificării;
- cauza efectuării modificării;
- timpul utilizat.
Prioritatea incidentului este determinată de influenţa acestuia asupra proceselor din cadrul organizaţiei şi urgenţa cu care trebuie asigurată soluţionarea sau soluţia de ocolire. Indicatorii speciali pentru soluţionarea incidentelor sau prelucrarea solicitărilor urmează să fie incluşi în Acordul cu privire la nivelul de deservire.
Toate incidentele urmează să fie înregistrate în CGE de prestare a serviciilor în mod automat sau de către colaboratori.
După primirea notificării despre incident, CGE de prestare a serviciilor urmează să înregistreze datele de bază, inclusiv timpul şi detaliile obţinute privind simptomele, după care, în cazul existenţei unei solicitări de deservire, solicitarea este prelucrată. Pentru o înregistrare suplimentară despre incident conform Bazei configuraţionale de date a elementelor de evidenţă are loc selectarea elementelor de evidenţă care constituie cauza incidentului. Următoarele acţiuni efectuate de către CGE de prestare a serviciilor sînt stabilirea priorităţii respective, evaluarea incidentului, oferirea unor recomandări privind soluţionarea acestuia. După soluţionarea reuşită a incidentului se efectuează închiderea înregistrării despre acesta şi înregistrarea acţiunilor legate de soluţionarea acestuia. După o tentativă nereuşită de soluţionare a incidentului sau în caz de depistare a necesităţii de a aplica un nivel mai înalt de mentenanţă, are loc transmiterea incidentului către un grup specializat.
În procesul de soluţionare se verifică conform bazei de date legăturile incidentului cu problemele, erorile şi incidentele cunoscute. În cazul existenţei unei soluţii de ocolire sau soluţionare, incidentul trebuie să fie soluţionat imediat, în caz contrar, procesul de gestionare a incidentelor este responsabil pentru soluţionare sau căutarea unei soluţii de ocolire cu o întrerupere minimă a proceselor organizaţiei. Soluţia de ocolire urmează să fie analizată de echipa de gestionare a problemelor, care actualizează înregistrarea respectivă despre problemă.
5.1.2. Acţiunile realizate în procesul de gestionare a incidentelor
Pentru a asigura productivitatea funcţionării procesului de gestionare a incidentelor sînt necesare următoarele:
- o Bază de date configuraţională a elementelor de evidenţă actualizată la timp;
- elaborarea unei baze de date ale problemelor şi erorilor, actualizate la timp, pentru păstrarea soluţionărilor şi soluţiilor de ocolire existente;
- trebuie asigurată o legătură strînsă cu procesul de gestionare a nivelurilor de deservire pentru determinarea indicatorilor necesari privind timpul de reacţionare la incident.
Procesul de gestionare a incidentelor recepţionează informaţia necesară de prelucrat din următoarele surse:
- datele despre incident prezentate de către CGE de prestare a serviciilor, subdiviziunea de deservire a reţelelor sau serviciul de exploatare;
- datele despre configuraţia din Baza de date configuraţională a elementelor de evidenţă;
- rezultatele relaţionării incidentelor cu problemele şi erorile cunoscute; date referitoare la soluţionarea acestora;
- răspunsul la solicitarea de modificare, care conduce la soluţionarea incidentelor.
Pe parcursul realizării acţiunilor şi cerinţelor procesului de gestionare a incidentelor este necesar de obţinut următoarea informaţie:
- solicitarea de modificare pentru reglarea incidentului;
- înregistrarea actualizată a incidentului,
- incidentele soluţionate şi închise;
- comunicaţiile cu clienţii;
- informaţia administrativă, raportarea.
Procesul de gestionare a incidentelor trebuie să fie compus din următoarele acţiuni:
- depistarea şi înregistrarea incidentelor;
- clasificarea şi mentenanţa iniţială;
- investigarea şi diagnosticarea;
- soluţionarea şi restabilirea;
- închiderea incidentului;
- controlul, monitorizarea, urmărirea şi comunicaţiile.
În vederea asigurării controlul asupra întregului ciclu de viaţă al incidentului, pentru fiecare acţiune urmează să fie înregistrate: numele/identificatorul grupului de specialişti care înregistrează acţiunile, tipul acţiunii (marşrutizarea, diagnosticarea, restabilirea, soluţionarea, închiderea etc.), data/ora acţiunii, descrierea şi rezultatul acţiunii.
5.1.2.1. Depistarea şi înregistrarea incidentului
În procesul de depistare şi înregistrare a incidentului trebuie să parvină datele despre incident, în baza cărora are loc înregistrarea datelor principale despre acesta, după care urmează, notificarea grupului specializat de mentenanţă în caz de necesitate şi începerea procedurilor de prelucrare a solicitării de deservire. Toate incidentele urmează să fie înregistrate, pentru ca acestea să fie introduse apoi în baza de date destinată gestionării incidentelor. Simptomele, datele esenţiale necesare pentru diagnosticare şi informaţia despre elementele de evidenţă referitoare la incident trebuie să fie incluse în înregistrarea despre incident în timpul depistării şi înregistrării acestuia.
În înregistrările despre incident trebuie să fie incluse următoarele date:
- numărul unic de înregistrare;
- clasa incidentului;
- data / timpul creării sau modificării înregistrării;
- numele / identificatorul specialistului sau grupului de specialişti care creează sau modifică înregistrarea de evidenţă;
- numele / subdiviziunea / numărul de telefon / locaţia utilizatorului solicitant;
- mijlocul de feedback;
- descrierea simptomelor;
- categoria sau subcategoria;
- impactul / urgenţa / prioritatea;
- statutul incidentului (activ, în aşteptare, închis, soluţionat, în funcţiune, nou, transmis specialistului);
- elementele de evidenţă implicate în incident;
- grupul de susţinere / specialistul, căruia i-a fost transmis incidentul;
- problema / eroarea cunoscută care are legătură cu incidentul;
- data şi timpul soluţionării;
- categoria închiderii;
- data şi timpul închiderii.
Aceste date sînt necesare pentru soluţionarea incidentului, pentru restabilirea ulterioară şi pentru informaţia administrativă privind tipurile incidentelor şi statistica de survenire a acestora. Incidentul trebuie prelucrat în conformitate cu procedurile standard de gestionare a nivelului de deservire.
5.1.2.2. Clasificarea şi mentenanţa iniţială a incidentelor
În procesul de clasificare şi de mentenanţă iniţială urmează să parvină datele referitoare la configuraţie din Baza de date configuraţională a elementelor de evidenţă, precum şi rezultatul relaţionării incidentului cu problemele şi erorile cunoscute.
Pentru identificarea cauzei incidentului, este necesar de analizat înregistrările din baza de date a gestionării incidentelor şi de întreprins următoarele acţiuni:
- clasificarea incidentelor (a se vedea 5.1.3);
- relaţionarea cu problemele şi erorile cunoscute;
- informarea procesului de gestionare a problemelor privind depistarea problemelor noi şi privind incidentele pentru care nu au fost identificate analogii;
- atribuirea nivelului de impact şi de urgenţă;
- determinarea priorităţii;
- evaluarea datelor referitoare la configuraţiile interconexe;
- oferirea mentenanţei iniţiale;
- închiderea incidentului sau marşrutizarea acestuia către grupul specializat de mentenanţă, informarea utilizatorului.
Incidentul urmează să fie clasificat. În procesul de clasificare, trebuie determinate cauzele incidentului precum şi acţiunile corespunzătoare de soluţionare a acestuia. Clasificarea este utilizată pentru determinarea serviciului prestat de care este legat incidentul, pentru determinarea relaţiei acestuia cu Acordul cu privire la nivelul de deservire, pentru selectarea specialiştilor pentru prelucrarea incidentului, pentru determinarea priorităţii şi a impactului incidentului asupra proceselor organizaţiei, pentru determinarea existenţei legăturilor cu erorile şi soluţiile cunoscute. În procesul de clasificare a incidentelor, este necesar de furnizat o cantitate maximă de informaţie.
Un aspect important în gestionarea incidentului constă în determinarea priorităţii acestuia. Responsabilitatea pentru determinarea priorităţii îi revine procesului de gestionare a nivelului de deservire. Prioritatea incidentului este determinată în funcţie de următorii factori: impactul asupra proceselor de prestare a serviciilor publice, urgenţa, proporţiile, limitele, complexitatea, accesibilitatea resurselor necesare pentru înlăturarea defecţiunii.
În procesul de determinare a gradului de influenţă, este necesar de a dispune de accesul la Baza de date configuraţională a elementelor de evidenţă pentru stabilirea numărului de utilizatori supuşi influenţei incidentului.
Urgenţa incidentului reprezintă viteza cu care acesta urmează să fie soluţionat.
5.1.2.3. Investigarea şi diagnosticarea incidentelor
În decursul procesului de investigare şi diagnosticare a incidentului trebuie să parvină date actualizate despre incident, despre configuraţia din Baza de date configuraţională a elementelor de evidenţă, precum şi să fie întreprinse acţiuni pentru analiza şi colectarea datelor despre incident, căutarea unei soluţii de ocolire sau transmiterea incidentului respectiv către grupul de mentenanţă.
După transmiterea incidentului către grupul de mentenanţă, acesta urmează să întreprindă următoarele acţiuni:
- să prelucreze incidentul;
- să indice data şi timpul pentru actualizarea regulată a statutului incidentului;
- să prezinte recomandări CGE de prestare a serviciilor privind soluţiile de ocolire identificate;
- să compare incidentul cu erorile, problemele, soluţiile cunoscute;
- să determine modul de soluţionare a incidentului, să actualizeze datele necesare;
- să transmită incidentul CGE de prestare a serviciilor pentru a fi închis.
Procesul de investigare şi diagnosticare poate fi repetat ciclic, pe măsura înlăturării cauzelor apariţiei incidentelor.
5.1.2.4. Soluţionarea incidentului şi restabilirea serviciului
Rezultatele procesului de soluţionare a incidentului şi de restabilire a serviciului trebuie să fie date actualizate despre incident, răspunsurile la solicitarea de modificare care conduc la soluţionarea incidentelor, soluţii de ocolire şi mijloace de soluţionare a incidentelor.
În procesul de soluţionare şi restabilire este necesar de întreprins acţiuni de soluţionare a incidentului cu ajutorul mijlocului de soluţionare, soluţiei de ocolire sau solicitării de modificare, precum şi acţiuni de restabilire. După soluţionare reuşită a incidentului personalul specializat purcede la restabilirea serviciului.
5.1.2.5. Închiderea incidentului
Rezultatele procesului de închidere a incidentului trebuie să includă date actualizate despre incident şi incidentul soluţionat.
În decursul procesului de închidere a incidentului, soluţionarea incidentului trebuie să fie confirmată de către solicitant. După închiderea incidentului, CGE de prestare a serviciilor trebuie să se asigure că:
- informaţia despre acţiunile de soluţionare a incidentului este laconică şi accesibilă;
- există o clasificare exactă a cauzei apariţiei incidentului;
- acţiunile întreprinse în vederea soluţionării incidentului au fost coordonate cu clientul.
5.1.2.6. Controlul, monitorizarea, urmărirea şi comunicaţiile
Controlul, monitorizarea, urmărirea şi comunicaţiile trebuie să includă înregistrările referitoare la incidente. În decursul procesului de control, monitorizare, urmărire şi comunicare trebuie realizată monitorizarea escaladării incidentelor, informarea utilizatorilor.
CGE de prestare a serviciilor este responsabil pentru controlul şi monitorizarea asupra soluţionării tuturor incidentelor deschise. Pentru aceasta trebuie să întreprindă următoarele acţiuni în mod regulat:
- să urmărească statutul şi procesul de soluţionare a tuturor incidentelor deschise;
- să verifice corespunderea cu nivelurile de deservire;
- să specifice incidentele transmise între grupurile specializate;
- să acorde prioritate monitorizării incidentelor cu un grad înalt de influenţă;
- să informeze utilizatorii afectaţi de incident.
Rezultatele îndeplinirii acestor acţiuni sînt rapoartele de gestionare privind procesul de soluţionare a incidentului, rapoartele şi comunicaţiile cu clientul.
5.1.3. Clasificarea incidentelor
Clasificarea incidentelor trebuie realizată corect pentru următoarele scopuri:
- determinarea utilajului sau a serviciului cu care este legat incidentul;
- selectarea specialiştilor care vor asigura înlăturarea optimă a incidentului;
- determinarea priorităţii şi a impactului asupra funcţionării procesului de prestare a serviciilor publice;
- determinarea criteriilor de relaţionare la selectarea unei anumite decizii;
- determinarea matricei de raportare pentru informaţia administrativă.
Nivelurile de clasificare depind de nivelul necesar de detaliere. Clasificarea detaliată asigură utilizarea mai eficientă a informaţiei administrative, care urmează să fie analizată periodic în vederea aplicării doar a celor mai recente date.
5.1.4. Indicatorii eficienţei procesului de gestionare a incidentelor
În scopul perfecţionării monitorizării şi informaţiei administrative privind calitatea serviciilor, asigurării reducerii impactului asupra proceselor de prestare a serviciilor publice, utilizării eficiente a personalului, excluderii incidentelor şi cererilor de deservire ratate sau introduse incorect, este necesar de a măsura următorii indicatori:
- numărul total de incidente;
- timpul mediu efectiv utilizat pentru soluţionarea incidentului sau identificarea unei soluţii de ocolire;
- procentul incidentelor prelucrate în limitele timpului aprobat de reacţionare;
- suma medie de cheltuieli legate de incident;
- procentul incidentelor închise de CGE de prestare a serviciilor fără apelare la grupurile specializate;
- incidentele prelucrate la fiecare staţie de lucru a CGE de prestare a serviciilor;
- numărul şi procentul incidentelor soluţionate la distanţă.
5.2. Procesul de gestionare a problemelor
Obiectivul procesului de gestionare a problemelor constă în minimalizarea numărului şi gradului de impact negativ al incidentelor şi problemelor, cauzate de erorile din cadrul infrastructurii TI, exercitat asupra proceselor de prestare a serviciilor publice. Pentru realizarea acestui obiectiv este necesar de identificat cauzele incidentelor şi de efectuat acţiuni pentru îmbunătăţirea sau corectarea situaţiei.
Procesul de gestionare a problemelor trebuie să cuprindă acţiunile legate de reacţionarea la incidente şi acţiunile preventive. Acţiunile de gestionare a problemelor trebuie să includă actualizarea soluţiilor de ocolire recomandate şi a înregistrării despre problemă în vederea susţinerii controlului incidentelor.
Rezultatul procesului de gestionare a problemelor trebuie să fie prezentarea informaţiei privind problemele depistate, erorile cunoscute şi cererile de modificare perfectate.
5.2.1. Cerinţele de bază faţă de procesul de gestionare a problemelor
Faţă de procesul de gestionare a problemelor sînt înaintate următoarele cerinţe:
- informaţia păstrată trebuie să fie organizată şi uşor accesibilă;
- actualizarea documentaţiei (tehnologiile, soluţiile externe accesibile, experienţa practică, frecvenţa şi impactul incidentelor repetate) trebuie să fie efectuată în mod regulat;
- analiza detaliată a procesului de gestionare a problemelor şi perfectarea documentaţiei corespunzătoare;
- existenţa personalului calificat;
- existenţa depozitului de informaţii bazat pe mijloace integrate de gestionare a serviciilor;
- utilizarea sistemelor profesionale.
Problemele şi erorile cunoscute sînt relevate cu ajutorul analizei incidentelor pe măsura survenirii acestora şi la intervale diferite de timp, cu ajutorul analizei infrastructurii TI, pregătirii bazei de cunoştinţe, activităţii elaboratorilor şi furnizorilor la darea în exploatare a produselor noi.
5.2.2. Acţiunile procesului de gestionare a problemelor
În cadrul procesului de gestionare a problemelor este necesar de a efectua controlul problemelor şi erorilor care anticipează gestionarea problemelor. Toate problemele trebuie să fie cunoscute şi înregistrate în cadrul procesului de gestionare a problemelor.
Pentru realizarea procesului de gestionare a problemelor sînt necesare datele despre incidente, datele despre configuraţia din Baza de date configuraţională a elementelor de evidenţă, soluţiile de ocolire.
La realizarea procesului de gestionare a problemelor trebuie de recepţionat şi de documentat următoarea informaţie: erorile cunoscute, solicitările de modificare, înregistrările actualizate privind problemele, problemele soluţionate, înregistrările închise despre probleme, informaţia administrativă.
Procesul de gestionare a problemelor constă din următoarele acţiuni:
- controlul problemelor;
- controlul erorilor;
- prevenirea preventivă a problemelor;
- determinarea tendinţelor;
- obţinerea informaţiei administrative;
- analiza problemelor majore (se efectuează după soluţionarea fiecărei probleme majore).
5.2.2.1. Controlul problemelor
Controlul problemelor constă în prelucrarea eficientă şi rezultativă a problemelor. Obiectivul principal este identificarea cauzei de bază care a provocat defecţiunea şi asigurarea CGE de prestare a serviciilor cu informaţie şi recomandări privind soluţiile de ocolire. Controlul problemelor depinde de calitatea controlului incidentelor şi furnizează recomandări privind soluţiile optime de ocolire.
În procesul de efectuare a controlului problemelor este necesar de întreprins următoarele acţiuni:
- identificarea şi înregistrarea problemei;
- clasificarea problemei;
- analiza şi diagnosticarea problemei;
- solicitarea de modificare;
- soluţionarea şi închiderea problemei.
5.2.2.1.1. Identificarea şi înregistrarea problemei
Identificarea problemei trebuie să fie efectuată în cazul în care se respectă una sau mai multe din condiţiile enumerate mai jos:
- în cadrul mentenanţei iniţiale şi clasificării incidentului a eşuat relaţionarea acestuia cu problemele existente şi erorile cunoscute;
- incidentul se repetă;
- incidentul nu este legat de problemele existente şi erorile cunoscute;
- analiza infrastructurii TI a depistat problema care potenţial poate aduce la incidente;
- survenirea unui incident major semnificativ pentru care este necesar de a găsi o soluţie structurală.
Înregistrările privind problemele trebuie să fie păstrate în Baza de date configuraţională a elementelor de evidenţă. Înregistrările despre probleme sînt relaţionate cu toate înregistrările aferente despre incidente.
5.2.2.1.2. Clasificarea problemelor
În procesul de clasificare este necesar de determinat volumul eforturilor necesare pentru identificarea şi restabilirea elementelor de evidenţă defectate, categoria, impactul, urgenţa şi prioritatea problemei. Categoriile de probleme sînt distribuite pe grupuri sau domenii de cunoştinţe corespunzătoare (hardware, software, mijloace de comunicaţii, software de mentenanţă etc.).
Influenţa problemei determină distribuirea eforturilor pentru mentenanţa serviciilor publice. La stabilirea priorităţii problemei este necesar de luat în consideraţie urgenţa, impactul, riscurile şi accesibilitatea resurselor.
La rîndul său, urgenţa determină gradul de reţinere ce poate fi admis la soluţionarea problemei sau erorii. Urgenţa problemei este influenţată de următoarele aspecte:
- accesibilitatea eliminării temporare a erorii;
- existenţa soluţiei de ocolire;
- posibilitatea reţinerii planificate a soluţionării problemei;
- impactul problemei, care indică gradul de vulnerabilitate a proceselor legate de prestarea serviciilor publice.
5.2.2.1.3. Analiza şi diagnosticarea problemelor
Analiza şi diagnosticarea problemei trebuie să determine cauza defecţiunii în elementul de evidenţă înregistrat, după care este necesar de iniţiat activitatea sistemului de control al erorilor.
Pentru diagnosticarea problemei este necesar de a asigura proceduri eficiente de colectare a datelor analitice legate de soluţionarea problemelor, precum şi necesită datele exacte de evidenţă despre ultimele modificări deoarece acestea pot indica cauzele problemelor.
În cadrul analizei structurale şi diagnosticări problemelor trebuie aplicate următoarele metode:
- Kepner şi Trego – conform acestei metode, analiza problemelor trebuie să reprezinte un proces sistematic, îndreptat spre soluţionarea acestora. Metoda evidenţiază fazele de analiză a problemelor:
1) identificarea problemei;
2) descrierea problemei, inclusiv esenţa, particularităţile, locaţia, timpul şi dimensiunile;
3) determinarea cauzelor posibile;
4) testarea celei mai probabile cauze;
5) verificarea cauzei reale;
- diagramele lui Ishikava – diagrame cauză-efect care indică factorii ce influenţează problema;
- metoda “brainstorming”;
- metodele schemelor-bloc.
În procesul de analiză şi diagnosticare a problemelor este necesar de a dispune de accesul la documentaţia privind toate produsele din infrastructura TI, în calitate de informaţie de referinţă, atît pentru proces, cît şi pentru personalul serviciului de mentenanţă. Această informaţie trebuie să includă documentaţia privind sistemele aplicative, software-ul de sistem, programele interne de service, hardware-ul şi software-ul de reţea, diagramele generale ale configuraţiilor reţelelor.
5.2.2.2. Controlul erorilor
Controlul erorilor trebuie să includă procesele implicate în desfăşurarea lucrărilor legate de erorile cunoscute pînă în momentul înlăturării acestora. Obiectivul principal al acestui proces constă în notificarea despre erori, monitorizarea şi înlăturarea acestora.
Controlul erorilor are menirea să unească mediul de elaborare cu mediul de exploatare. Erorile din software la etapa de elaborare pot influenţa activitatea în mediul de exploatare. Informaţia despre erorile cunoscute depistate în mediul de elaborare sau în mediul de mentenanţă trebuie să fie transmisă în mediul de exploatare.
În cadrul controlului erorilor trebuie întreprinse următoarele acţiuni:
- identificarea şi înregistrarea erorilor;
- evaluarea erorilor;
- înregistrarea privind procesul de soluţionare a erorilor;
- închiderea erorilor;
- monitorizarea problemelor şi a progresului în soluţionarea erorilor.
Controlul erorilor este legat în mod direct şi acţionează concomitent cu procesele de gestionare a modificărilor. Procesul de control al erorilor trebuie să fie format din etapele de depistare şi înregistrare a erorii, de evaluare a erorii, de înregistrare a deciziei privind eroarea, de închidere a erorii şi a problemei aferente.
Eroarea trebuie să fie determinată atunci cînd este identificat elementul de evidenţă, este stabilită cauza de bază a problemei şi este găsită o soluţie de ocolire. Sursele datelor privind erorile cunoscute trebuie să fie subsistemele de control al problemelor în mediul de elaborare şi în mediul de exploatare. Înregistrarea despre eroarea cunoscută trebuie să conţină identificatorul solicitării de modificare.
Erorile trebuie să fie identificate şi înregistrate în procesul investigării şi diagnosticării – acţiunilor privind controlul problemelor.
Procedura soluţionării fiecărei erori cunoscute trebuie să fie înregistrată în sistemul de gestionare a problemelor. Este necesar ca toate datele privind elementele de evidenţă, simptomele, acţiunile pentru soluţionarea sau soluţie ocolită, legate de toate erorile cunoscute, să se afle în baza de date a erorilor cunoscute. Aceste date trebuie să fie accesibile pentru relaţionarea incidentelor, identificarea unor soluţii de ocolire şi furnizarea informaţiei administrative.
După implementarea modificărilor pentru înlăturarea erorii, înregistrările corespunzătoare despre eroarea cunoscută trebuie să fie închise împreună cu toate înregistrările conexe despre incidente şi probleme. Controlul erorilor este responsabil de monitorizarea desfăşurării lucrărilor legate de soluţionarea erorilor cunoscute.
Pregătirea solicitării de modificare face parte din obligaţiile procesului de control al erorilor.
5.2.2.3. Prevenirea premeditată a problemelor
Prevenirea premeditată a problemelor trebuie să includă acţiunile orientate spre depistarea şi soluţionarea problemelor pînă la survenirea acestora, reducînd la minimum impactul negativ asupra prestării serviciilor publice.
În acest scop este necesar de întreprins următoarele acţiuni:
- analiza tendinţelor;
- acţiuni de mentenanţă;
- asigurarea organizaţiei cu informaţie.
Prevenirea premeditată a problemelor trebuie să asigure îmbunătăţirea calităţii prestării serviciilor publice şi o utilizare mai eficientă a resurselor informaţionale accesibile.
Sarcina de bază a gestionării preventive a problemelor constă în direcţionarea eficientă a resurselor limitate de mentenanţă a serviciilor, determinarea zonelor problematice care exercită cel mai negativ impact asupra procesului de prestare a serviciilor.
Activitatea preventivă principală din cadrul procesului de gestionare a problemelor constă în analiza tendinţelor şi a direcţiilor acţiunilor de prevenire a apariţiei problemelor. Rapoartele privind analiza incidentelor şi a problemelor trebuie să ofere informaţii despre măsurile preventive care pot spori calitatea serviciilor publice prestate. Analiza incidentelor şi a problemelor trebuie să determine tendinţele, defecţiunile de un anumit tip care se află la etape incipiente, incidentele ce se repetă şi problemele legate de survenirea lor.
5.2.2.4. Determinarea tendinţelor
Determinarea tendinţelor conduce la determinarea zonelor potenţial problematice care necesită a fi investigate. Determinarea şi analiza tendinţelor trebuie să ducă la identificarea defecţiunilor în infrastructura TI, determinarea zonelor problematice generale care necesită o atenţie sporită din partea serviciului de mentenanţă.
5.2.2.5. Obţinerea informaţiei administrative
Obţinerea informaţiei administrative trebuie să asigure înţelegerea esenţei eforturilor şi resurselor aplicate de către organizaţie pentru investigarea, diagnosticarea şi soluţionarea problemelor şi a erorilor cunoscute.
Informaţia administrativă trebuie să includă:
- numărul solicitărilor de modificare perfectate;
- influenţa solicitărilor de modificare asupra accesibilităţii şi fiabilităţii serviciilor publice prestate;
- timpul utilizat pentru investigarea şi diagnosticarea problemei pentru fiecare unitate organizaţională;
- numărul şi influenţa incidentelor ce survin pînă la închiderea problemei de bază;
- proporţia eforturilor depuse pentru reacţionare în vederea susţinerii, în raport cu eforturile planificate în procesul de gestionare a problemelor;
- planurile de soluţionare a problemelor deschise în raport cu resursele şi bugetul;
- descrierea acţiunilor întreprinse.
5.2.2.6. Analiza problemelor majore
În procesul de soluţionare a fiecărei probleme majore este necesar de efectuat analiza acesteia. Analiza este necesară pentru determinarea acţiunilor corecte şi incorecte în vederea eliminării problemei, a măsurilor de prevenire a survenirii repetate a problemei respective.
Procesul de gestionare a problemelor trebuie să efectueze monitorizarea influenţei pe termen lung a problemelor şi erorilor cunoscute asupra serviciilor publice prestate.
5.2.3. Indicatorii eficienţei procesului de gestionare a problemelor
Informaţia istorică privind controlul incidentelor şi problemelor oferă posibilitatea de a obţine metricele care indică calitatea deservirii şi productivitatea procesului de prestare a serviciilor publice. Frecvenţa şi durata problemelor reprezintă metrica eficienţei în raport cu nivelurile aprobate de deservire.
Pentru îmbunătăţirea calităţii serviciilor publice prestate, reducerea numărului incidentelor, îmbunătăţirea procesului de instruire a personalului, sporirea procentului de cereri, soluţionate în timpul primei solicitări, CGE de prestare a serviciilor urmează să ia în consideraţie următorii indicatori:
- numărul total de probleme;
- numărul total de erori;
- timpul mediu efectiv consumat pentru soluţionarea problemelor sau căutarea soluţiei de ocolire;
- cheltuielile medii pentru soluţionarea problemei sau erorii;
- numărul şi procentajul problemelor soluţionate la distanţă;
- numărul problemelor prevenite în cadrul infrastructurii TI, inclusiv şi de procesul de gestionare a accesibilităţii.
Interacţiunea dintre procesul de gestionare a problemelor şi procesul de gestionare a accesibilităţii conduce la sporirea calităţii deservirii.
Procesul de gestionare a problemelor trebuie să analizeze în mod regulat realizările obţinute conform tuturor indicatorilor speciali.
5.3. Procesul de gestionare a modificărilor
Obiectivul procesului de gestionare a modificărilor constă în asigurarea aplicării metodelor şi procedurilor standard pentru prelucrarea productivă şi la timp a modificărilor, pentru minimalizarea impactului incidentelor legate de modificări asupra calităţii serviciilor publice prestate.
Informaţia despre procesele de gestionare a modificărilor trebuie să fie deschisă pentru trecerea la o stare nouă în timpul efectuării modificărilor.
Pentru realizarea procesului în cauză este necesară existenţa solicitărilor de modificare, a Bazei de date configuraţionale a elementelor de evidenţă şi a graficului coordonat al modificărilor.
În procesul de gestionare a modificărilor este necesar de elaborat graficul coordonat al modificărilor, solicitările de modificare şi rapoartele de gestionare a modificărilor.
5.3.1. Cerinţele de bază faţă de procesul de gestionare a modificărilor
Procesul de gestionare a modificărilor trebuie să gestioneze zilnic modificările ce au loc.
Faţă de procesul de gestionare a modificărilor sînt înaintate următoarele cerinţe:
- filtrarea modificărilor;
- elaborarea planului modificărilor;
- analiza şi închiderea solicitărilor de modificare;
- raportarea administrativă.
5.3.1.1. Filtrarea modificărilor
Filtrarea modificărilor trebuie îndeplinită în raport cu următoarele obiecte informaţionale:
- hardware;
- dispozitivele şi software-ul de comunicaţii;
- software-ul de sistem;
- software-ul aplicativ aflat în exploatare;
- documentaţia şi procedurile de mentenanţă şi susţinere a sistemelor aflate în exploatare.
În cadrul procesului de gestionare a modificărilor este necesar de a oferi confirmarea pentru oricare din modificările propuse. Gestionarea modificărilor nu este responsabilă de identificarea componentelor afectate de modificare, actualizarea înregistrărilor despre modificări, release-urile componentelor noi sau modificate. Toate acţiunile în procesul de modificare trebuie să fie înregistrate pe măsura efectuării lor în registrul de gestionare a modificărilor.
Pe măsura înregistrării modificărilor în cadrul procesului de gestionare a modificărilor este necesar de efectuat examinarea succintă a fiecărei solicitări, iar solicitările nepractice urmează să fie filtrate.
Pînă la aprobarea fiecărei modificări este necesară examinarea riscurilor pentru procesele de prestare a serviciilor publice, precum şi examinarea evaluării impactului şi a resurselor. Aprobarea modificării trebuie să includă aprobarea financiară, tehnică şi organizaţională. Aprobarea financiară determină limitele bugetului modificării. Aprobarea tehnică determină fezabilitatea, raţionalitatea şi posibilitatea de realizare a modificării fără a prejudicia procesul de prestare a serviciilor. Aprobarea organizaţională determină cerinţele condiţionate de prestarea serviciilor publice şi aşteptările participanţilor la interacţiune şi a utilizatorilor de servicii publice.
5.3.1.2. Elaborarea planului modificărilor
Pentru îmbunătăţirea procesului de gestionare a modificărilor este necesară coordonarea elaborării şi distribuirii planului şi graficului coordonat al modificărilor, precum şi a accesibilităţii planificate a serviciilor. Această documentaţie urmează să fie general accesibilă.
Planul şi graficul coordonat al modificărilor trebuie să conţină informaţii despre toate modificările aprobate pentru implementare şi datele preconizate pentru implementarea acestora. Accesibilitatea preconizată a serviciului trebuie să conţină date despre modificările în cadrul Acordului cu privire la nivelul de deservire şi despre accesibilitatea serviciilor, ţinîndu-se cont de modificările planificate.
5.3.1.3. Analiza solicitărilor de modificare
În procesul de gestionare a modificărilor trebuie de efectuat analiza tuturor modificărilor introduse. Scopul analizei este de a constata dacă:
- modificarea a dus la efectul scontat şi a atins scopurile fixate;
- utilizatorii sînt satisfăcuţi de rezultate;
- toate carenţele au fost determinate;
- nu au survenit efecte secundare în funcţionalitatea, accesibilitatea, productivitatea, securitatea, posibilitatea de deservire;
- volumul resurselor utilizate pentru introducerea modificării a corespuns volumului planificat;
- modificarea a fost introdusă la timp;
- planul de recul a funcţionat corect.
În cazul în care modificarea nu şi-a atins scopurile, este necesar de a lua decizia cu privire la acţiunile ulterioare. Procesul de gestionare a modificărilor iniţiază acţiunile ulterioare pentru înlăturarea tuturor problemelor sau neajunsurilor care au apărut în sistemul de gestionare a modificărilor în rezultatul unor modificări ineficiente.
5.3.1.4. Raportarea administrativă
La crearea rapoartelor administrative este necesar de a examina următoarea informaţie şi statistică:
- numărul de modificări implementate în perioada de timp respectivă;
- distribuirea modificărilor conform cauzelor efectuării lor;
- numărul de modificări efectuate cu succes;
- numărul de returnări la starea anterioară în procesul efectuării modificărilor;
- numărul şi cauzele incidentelor care au dus la modificări;
- numărul solicitărilor de modificare;
- numărul de modificări implementate analizate şi numărul de modificări ce urmează să fie analizate;
- numărul de solicitări de modificare respinse;
- solicitările ce urmează să fie implementate.
Această informaţie este utilizată ca bază pentru evaluarea productivităţii şi eficienţei procesului de gestionare a modificărilor.
Auditul procesului de gestionare a modificărilor trebuie efectuat cel puţin o dată pe an.
Auditul trebuie să includă verificarea următoarelor elemente:
- solicitările de modificare selectate la întîmplare;
- înregistrările despre modificări;
- analiza solicitărilor de modificare.
5.3.2. Acţiunile procesului de gestionare a modificărilor
Procesul de gestionare a modificărilor joacă un rol de supraveghere în testarea tuturor modificărilor.
Solicitările de modificare pot fi legate de orice parte a infrastructurii TI, orice serviciu şi activitate. Este necesar de a determina procedurile de documentare a solicitărilor de modificare.
Toate solicitările de modificare acceptate sînt înregistrate şi primesc un număr de identificare.
În procesul de realizare a gestionării modificărilor trebuie de îndeplinit următoarele acţiuni:
- determinarea cauzelor solicitărilor de modificare;
- stabilirea formularului solicitării de modificare;
- stabilirea priorităţilor solicitărilor de modificare;
- elaborarea, testarea şi implementarea modificărilor;
- aplicarea software-ului pentru gestionarea modificărilor.
5.3.2.1. Depistarea cauzelor solicitărilor de modificare
Pentru elaborarea solicitărilor de modificare trebuie depistate următoarele cauze:
- decizia indicată în raportul privind incidentul sau problema;
- insatisfacţia utilizatorului de nivelul deservirii;
- propunerea de introducere sau eliminare a elementului de evidenţă;
- propunerea de modernizare a componentelor infrastructurii TI;
- modificarea cerinţelor sau a conţinutului proceselor ce asigură prestarea serviciilor publice;
- prevederile noi sau modificările în legislaţie;
- schimbarea locaţiei;
- modificări în serviciile prestate.
5.3.2.2. Stabilirea formularului solicitării de modificare
Formularul solicitării de modificare trebuie să conţină următoarele elemente:
- numărul de ordine al solicitării de modificare cu referinţă încrucişată la numărul raportului privind problema;
- descrierea şi identificarea elementului care trebuie să fie modificat;
- cauza introducerii modificării;
- consecinţele în cazul neimplementării modificării;
- versiunea elementului modificat;
- rechizitele persoanei care propune modificarea;
- data propunerii modificării;
- prioritatea modificării;
- evaluarea influenţei şi resursele;
- recomandările comitetului consultativ pentru modificări;
- introducerea planificată;
- date privind grupul elaboratorilor modificării;
- evaluarea şi gestionarea riscurilor;
- statutul solicitării de modificare.
Raportul privind rezultatele finalizării modificării trebuie transmis persoanelor responsabile de gestionarea modificărilor, după care modificarea este aprobată. Pe măsura avansării modificării în ciclul de viaţă, este necesar de actualizat solicitarea de modificare şi Baza configuraţională de date a elementelor de evidenţă.
5.3.2.3. Stabilirea priorităţilor solicitărilor de modificare
Fiecărei solicitări de modificare trebuie să i se atribuie o prioritate, reieşind din influenţa problemei şi urgenţa necesităţii restabilirii. La atribuirea priorităţii, o importanţă deosebită o are evaluarea riscului implementării sau devierii de la modificare. Pentru fiecare prioritate este necesar de determinat anumite limite de timp. Priorităţile se împart în:
- urgente – reţinerea de scurtă durată a examinării modificării duce la întreruperea prestării serviciilor sau la probleme grave; înalte – modificarea are o influenţă considerabilă asupra activităţii a cîţiva utilizatori;
- medii – influenţa modificării este nesemnificativă, dar măsurile de înlăturare nu pot fi amînate pînă la următorul release conform graficului;
- reduse – modificarea este justificată şi necesară, dar poate aştepta pînă la următorul release conform graficului.
Prioritatea trebuie să indice ordinea în care urmează să fie înlăturate problemele.
5.3.2.4. Elaborarea, testarea şi introducerea modificărilor
Solicitările de modificare aprobate trebuie transmise grupurilor tehnice corespunzătoare pentru elaborare şi pregătirea pentru implementarea modificării. Pregătirea pentru implementarea modificării trebuie să includă:
- asamblarea noului modul;
- crearea versiunii noi a unui sau mai multor module de program;
- procurarea externă sau primirea echipamentului;
- pregătirea modificării hardware-ului;
- pregătirea documentaţiei noi sau actualizate;
- pregătirea utilizatorilor.
Pentru fiecare modificare autorizată este necesară pregătirea şi documentarea procedurilor de recul, pentru activizarea lor în cazul survenirii erorilor cu impact negativ asupra calităţii serviciilor prestate.
Pentru prevenirea impactului negativ al modificărilor asupra calităţii serviciilor publice prestate, este necesar de a testa modificarea în prealabil.
Testarea modificării trebuie să ia în consideraţie următoarele aspecte:
- productivitatea;
- securitatea;
- posibilitatea deservirii;
- capacitatea de susţinere;
- fiabilitatea şi accesibilitatea;
- funcţionalitatea.
Gestionarea modificărilor trebuie să evalueze riscurile pentru procesele de prestare a serviciilor publice la fiecare modificare implementată fără o testare deplină. Testarea trebuie să includă un nivel suficient de testare regresivă pentru a se demonstra exhaustiv absenţa impactului negativ a modificării asupra altor componente ale infrastructurii.
Graficul implementării modificărilor trebuie să fie elaborat astfel încît să aibă o influenţă minimă asupra serviciilor aflate în exploatare.
Toate modificările trebuie să fie prevăzute şi planificate şi este necesar de a lua în consideraţie accesibilitatea resurselor pentru elaborarea şi testarea acestor modificări.
Pentru modificările urgente este necesară elaborarea procedurilor pentru prelucrarea rapidă a acestora fără pierderea nivelului normal al controlului administrativ.
5.3.2.5. Utilizarea software-ului pentru gestionarea modificărilor
Software-ul procesului de gestionare a modificărilor trebuie să deţină următoarele caracteristici:
- solicitările de modificare şi înregistrările despre probleme sînt păstrate într-o bază de date în format uşor accesibil;
- posibilitatea găsirii legăturii între solicitările de modificare, înregistrările problemelor şi elementele de evidenţă;
- posibilitatea relaţionării solicitărilor de modificare cu proiectele;
- crearea automată a solicitărilor de evaluare a influenţei elementelor de evidenţă implicate;
- susţinerea înregistrării acţiunilor conform etapelor autorizării şi implementării solicitărilor;
- înregistrarea informaţiei privind elaborarea şi testarea modificărilor;
- determinarea procedurilor de recul în caz de modificări nereuşite;
- notificarea automată privind efectuarea analizei modificărilor implementate;
- pregătirea automată a informaţiei administrative legate de modificări;
- capacitatea asamblării modificărilor;
- crearea automată a solicitărilor de modificare;
- urmărirea procesului de gestionare a modificărilor şi consecutivităţii acţiunilor întreprinse.
Software-ul trebuie să dispună de capacitatea actualizării la distanţă a bazelor de date centralizate.
5.3.3. Indicatorii eficienţei procesului de gestionare a modificărilor
Pentru îmbunătăţirea coordonării serviciilor publice, furnizarea mai multor informaţii privind modificări, îmbunătăţirea evaluării riscurilor, reducerea impactului negativ al modificărilor asupra calităţii serviciilor, reducerea numărului de modificări, îmbunătăţirea gestionării problemelor şi accesibilităţii, sporirea productivităţii activităţii utilizatorilor şi prelucrarea volumelor mari de modificări, este necesar de a utiliza următorii indicatori:
- numărul impactelor negative asupra calităţii serviciilor;
- numărul de incidente survenite în rezultatul implementării modificărilor;
- numărul de reculuri ale modificărilor;
- numărul de modificări urgente;
- corespunderea dintre graficul aprobat al modificărilor şi implementarea reală a modificărilor;
- lipsa solicitărilor de modificare cu prioritate înaltă în lista de aşteptare;
- analiza regulată a solicitărilor de modificare şi a modificărilor implementate;
- coeficientul implementării reuşite a modificărilor;
- procentul solicitărilor de modificare respinse în mod nejustificat.
Pentru gestionarea eficientă a procesului de prestare a serviciilor este necesară efectuarea organizată a modificărilor, fără erori şi decizii incorecte. Pentru prestarea satisfăcătoare a serviciilor este necesar de gestionat modificările în mod raţional.
5.4. Procesul de gestionare a configuraţiilor
Obiectivul procesului de gestionare a configuraţiilor constă în evidenţa tuturor activelor şi configuraţiilor informaţionale în cadrul organizaţiei şi serviciilor acesteia, furnizarea documentaţiei pentru susţinerea proceselor de gestionare a serviciilor, furnizarea şi verificarea informaţiei despre configuraţie, precum şi asigurarea bazei pentru procesele de gestionare a incidentelor, problemelor, modificărilor, release-urilor.
Gestionarea configuraţiilor trebuie să cuprindă identificarea, evidenţa şi rapoartele privind componentele informaţionale ale infrastructurii TI. Elementele care trebuie să fie controlate de gestionarea configuraţiilor includ toate componentele infrastructurii TI şi software-ul.
Gestionarea configuraţiilor trebuie să fie legată de elaborarea de sistem, testarea, gestionarea modificărilor şi gestionarea release-urilor, să menţină şi să asigure securitatea bazei configuraţionale, a conţinutului, documentaţiei şi a rapoartelor acesteia.
Sistemul de gestionare a configuraţiilor trebuie să asigure:
- controlul securităţii;
- susţinerea elementelor de evidenţă cu grad diferit de dificultate;
- adăugarea uşoară a elementelor noi de evidenţă şi eliminarea celor vechi;
- verificarea automată a datelor introduse;
- instalarea automată a tuturor conexiunilor elementului nou de evidenţă în momentul adăugării acestuia;
- susţinerea elementelor de evidenţă cu diferite coduri de modele, numere de versiuni şi copii;
- păstrarea înregistrărilor istorice cu privire la toate elementele de evidenţă;
- mijloacele flexibile de raportare.
5.4.1. Cerinţele de bază faţă de procesul de gestionare a configuraţiilor
Faţă de procesul de gestionare a configuraţiilor urmează să fie înaintate următoarele cerinţe:
- рlanificarea – stabilirea destinaţiei, volumului, politicii, scopurilor, procedurilor pentru gestionarea configuraţiei;
- identificarea configuraţiilor – selectarea structurii configuraţiei a tuturor elementelor de evidenţă, care aparţin infrastucturii, interacţiunile dintre acestea şi documentaţiei de configuraţie. Identificarea trebuie să includă distribuirea identificatorilor, numerelor versiunilor elementelor de evidenţă, aplicarea marcajului pe fiecare element de evidenţă şi înregistrarea datelor despre ele în Baza de date configuraţională a elementelor;
- controlul configuraţiilor – asigurarea primirii şi înregistrării elementelor de evidenţă autorizate şi identificate pe parcursul ciclului de viaţă a acestora. Controlul trebuie să asigure disponibilitatea documentaţiei corespunzătoare supuse controlului la adăugare, modificare, schimbare sau excluderea fiecărui element de evidenţă;
- evidenţa statutelor configuraţiilor prevede raportarea după toate datele curente şi istorice pentru fiecare element de evidenţă pe parcursul ciclului de viaţă a acestuia. Evidenţa statutelor trebuie să urmărească modificările în elementele de evidenţă şi înregistrările acestora;
- efectuarea verificărilor şi auditului configuraţiilor – succesiunea examinărilor şi auditurilor pentru a verifica existenţa fizică a elementelor de evidenţă şi corectitudinea înregistrării acestora în sistemul de gestionare a configuraţiilor.
5.4.1.1. Planificarea gestionării configuraţiilor
Planificarea gestionării configuraţiilor trebuie să determine:
- strategia, politica, limitele şi obiectivele gestionării configuraţiilor;
- politicile, standardele şi procesele aferente procesului de gestionare a serviciilor;
- rolurile şi responsabilităţile gestionării configuraţiilor;
- analiza stării curente a activelor şi configuraţiilor;
- acţiunile tehnice şi administrative ale procesului de gestionare a configuraţiilor;
- politica proceselor de gestionare a modificărilor şi gestionării release-urilor;
- interacţiunea între proiecte, furnizori, aplicaţii şi grupurile de susţinere;
- amplasarea depozitelor şi bibliotecilor pentru păstrarea hardware-ului, software-ului şi documentaţiei.
Gestionarea configuraţiilor trebuie să includă planificarea detaliată a controlului infrastructurii TI şi serviciilor în toate sistemele distribuite. Mijloacele sistemelor de gestionare a configuraţiilor ale proiectelor aflate în proces de elaborare trebuie să funcţioneze în mod integrat.
Acţiunile de bază ale procesului de gestionare a configuraţiilor pentru planificare sînt:
- analiza detaliată a interacţiunii procesului de gestionare a configuraţiilor cu alte procese de gestionare a prestării serviciilor;
- analiza posibilităţilor procesului de gestionare a configuraţiilor;
- examinarea datelor configuraţionale;
- colectarea şi reexaminarea datelor privind cerinţele şi specificaţiile funcţionale;
- selectarea mijloacelor de automatizare a Bazei de date configuraţionale a elementelor de evidenţă;
- determinarea tipurilor elementelor de evidenţă, atributelor acestora, tipurilor de interconexiuni;
- elaborarea proceselor şi a procedurilor de gestionare a configuraţiilor;
- planificarea şi asigurarea depozitelor sigure ale elementelor de evidenţă, împreună cu procesul de gestionare a release-urilor.
5.4.1.2. Identificarea configuraţiilor
Identificarea configuraţiilor trebuie să determine selectarea, identificarea şi marcarea structurilor configuraţionale şi a elementelor de evidenţă. Identificarea configuraţiei trebuie să includă atribuirea unor identificatori elementelor de evidenţă şi documentaţia configuraţională a acestora, şi să determine nivelul la care trebuie să fie efectuat controlul şi nivelul divizării elementelor generalizate de evidenţă pe componente.
5.4.1.2.1. Baza de date configuraţională a elementelor de evidenţă
Identificarea şi documentarea configuraţiei trebuie să sporească eficienţa gestionării modificărilor. Procesul de gestionare a configuraţiilor necesită utilizarea mijloacelor de susţinere pentru păstrarea copiilor etalon ale software-ului şi documentaţiei, inclusiv ale Bazei de date configuraţionale a elementelor de evidenţă.
Baza de date configuraţională a elementelor de evidenţă trebuie să conţină legăturile între toate componentele sistemului, inclusiv incidentele, problemele, erorile cunoscute, modificările şi release-urile. Baza de date configuraţională a elementelor de evidenţă trebuie să conţină informaţia privind incidentele, erorile şi problemele cunoscute, inclusiv datele despre angajaţi, furnizori, utilizatori, subdiviziuni organizaţionale pentru fiecare element de evidenţă. Ea trebuie să fie actualizată în mod automat, atunci cînd este modificat statutul elementelor de evidenţă şi al release-urilor.
Configuraţia infrastructurii TI trebuie să fie divizată în părţi, cărora le sînt atribuiţi identificatori unici, ceea ce permite controlul şi înregistrarea eficientă a elementelor de evidenţă, formarea rapoartelor detaliate.
5.4.1.2.2. Componentele procesului de identificare a configuraţiei
Procesul de identificare a configuraţiei trebuie să includă hardware-ul şi software-ul utilizat pentru asamblarea, release-urile, verificarea, instalarea, distribuirea, susţinerea, restabilirea şi trecerea la cheltuieli a elementelor de evidenţă. Componentele obligatorii pentru care este necesar de efectuat identificarea configuraţiilor sînt următoarele:
- hardware-ul, inclusiv componentele de reţea;
- software-ul de sistem;
- sistemele şi aplicaţiile organizaţiei elaborate la comandă;
- pachetele de program gata, produsele standard şi produsele lucrului cu bazele de date;
- bazele configuraţionale;
- release-urile de software;
- documentaţia configuraţională, licenţele, acordurile privind mentenanţa, acordul cu privire la nivelul de deservire.
Componentele trebuie să fie clasificate conform tipurilor elementelor de evidenţă (de exemplu, produsele de program, software-ul de sistem, hardware-ul), ceea ce permite determinarea şi documentarea elementelor utilizate, a statutului şi amplasării acestora.
5.4.1.2.3. Atributele elementelor de evidenţă
La gestionarea configuraţiilor este necesar de a planifica atributele care trebuie să fie înregistrate. Atributele diferă pentru diferite tipuri de elemente de evidenţă.
Pentru înregistrarea elementelor de evidenţă trebuie folosită următoarea listă de atribute:
- denumirea elementului de evidenţă;
- numărul copiei, numărul de serie (identificatorul unic al elementului de evidenţă);
- categoria elementului de evidenţă;
- tipul elementului de evidenţă;
- numărul modelului, pentru hardware;
- data expirării termenului de garanţie;
- numărul versiunii elementului de evidenţă;
- locaţie elementului de evidenţă;
- posesorul responsabil;
- sursa, furnizorul elementului de evidenţă;
- licenţa;
- datele de livrare şi primire;
- statutul elementului de evidenţă;
- legăturile elementului de evidenţă cu toate celelalte elemente de evidenţă;
- numerele solicitărilor de modificare, modificărilor, problemelor, incidentelor.
Baza configuraţională trebuie determinată pentru un scop anumit, iar informaţia şi elementele de evidenţă care fac parte din aceasta trebuie să fie controlate.
Este necesară determinarea sistemului de gestionare a informaţiei pentru identificarea elementelor de evidenţă, documentaţiei configuraţionale, modificărilor, bazelor configuraţionale, release-urilor şi asamblărilor. Sistemul de gestionare a informaţiei trebuie să fie unic şi să ia în consideraţie structura corporativă a organizaţiei. Acesta trebuie să permită gestionarea interconexiunilor ierarhice între elementele de evidenţă, modificări şi incidente.
Toate elementele de evidenţă trebuie să fie marcate cu identificatorul configuraţiei. Toate mijloacele de evidenţă ale hardware-ului necesită marcare fizică ce nu poate fi înlăturată. Toate cablurile şi liniile de conexiune trebuie să fie marcate clar la fiecare capăt şi în toate punctele de verificare.
Copiile etalon ale software-ului în biblioteca software-ului etalon trebuie să aibă marcajul software, care să conţină denumirea elementului de evidenţă şi numărul versiunii. Toţi purtătorii care conţin software trebuie să fie marcaţi în mod clar cu denumirea elementului de evidenţă, numărul copiei şi numărul versiunii fiecărui element al software-ului, care se conţine pe purtător.
5.4.1.3. Controlul configuraţiilor
Scopul controlului configuraţiilor constă în asigurarea înregistrării în Baza de date configuraţională numai pentru elementele de evidenţă autorizate şi identificabile. Procedurile de control al configuraţiilor trebuie să asigure integritatea datelor organizaţiei, sistemelor şi proceselor.
Procesul de control al configuraţiilor trebuie să asigure accesul numai software-ului autorizat şi licenţiat în biblioteca software-ului etalon, precum şi protecţia acestora. Numai personalul autorizat poate avea acces la biblioteca software-ului etalon. Elementele existente aflate sub controlul gestionării configuraţiilor nu trebuie să fie modificate fără autorizare. Toate versiunile neautorizate ale elementelor de evidenţă şi înseşi elementele de evidenţă trebuie să fie lichidate sau transmise sub controlul gestionării configuraţiilor.
Procedurile permanente de control al configuraţiilor trebuie să includă:
- înregistrarea tuturor elementelor de evidenţă noi şi a versiunilor acestora;
- actualizarea înregistrărilor privind elementele de evidenţă (modificarea statutului, actualizarea atributelor, modificări în posesie sau roluri, actualizarea atributelor, modificări în posesiune sau roluri, versiuni noi ale documentaţiei, controlul licenţelor);
- actualizarea solicitărilor de modificare;
- protecţia integrităţii configuraţiilor;
- actualizarea Bazei de date configuraţionale a elementelor de evidenţă.
După efectuarea controlului calităţii, software-ul devine autorizat pentru primire şi copiere în biblioteca software-ului etalon. Software-ul nu trebuie să fie deteriorat sau modificat în timpul proceselor de copiere şi distribuire. Documentaţia corespunzătoare, certificatele privind testarea şi licenţa trebuie să fie amplasate în biblioteca controlată a documentelor.
Modificările în atributele elementelor de evidenţă în Baza de date configuraţională a elementelor de evidenţă trebuie să fie actualizate împreună cu solicitările respective de modificare.
Este necesar de a efectua controlul eliminării şi înlăturării elementelor de evidenţă din motive financiare şi pentru asigurarea securităţii. Este necesară existenţa procedurilor de trecere la cheltuieli a hardware-ului sau software-ului în scopul asigurării actualizării elementelor corespunzătoare de evidenţă. Procesele de achiziţie, păstrare, expediere, primire, eliberare a mărfurilor trebuie să asigure integritatea hardware-ului, software-ului şi documentaţiei.
Gestionarea configuraţiilor trebuie să asigure integritatea elementelor de evidenţă păstrate de tip software cu ajutorul:
- selectării purtătorului pentru păstrare, în scopul minimalizării erorilor legate de restabilirea şi deteriorarea posibilă a datelor;
- efectuării verificărilor şi actualizărilor elementelor de evidenţă din arhivă;
- păstrării duplicatelor în locuri controlabile.
Dublarea permanentă a elementelor de evidenţă este importantă pentru asigurarea lipsei elementelor străine.
5.4.1.4. Evidenţa statutelor configuraţiilor
Rapoartele privind evidenţa statutului elementelor de evidenţă trebuie să includă identificatorii unici ai componentelor elementelor de evidenţă, statutul curent, bazele configuraţionale, release-urile, versiunile de software, persoana responsabilă pentru modificarea statutului, istoria modificărilor, problemele deschise.
Pînă la trecerea în mediul de exploatare, release-urile noi, asamblările, echipamentul şi standardele trebuie supuse verificării în baza cerinţelor înaintate. Pentru confirmarea verificării este necesară prezenţa certificatului cu privire la testare.
5.4.1.5. Verificarea şi auditul configuraţiilor
Pentru verificarea Bazei de date configuraţionale a elementelor de evidenţă în ceea ce priveşte corespunderea cu starea fizică a tuturor elementelor de evidenţă este necesară existenţa planurilor controalelor regulate de audit al configuraţiilor. Auditurile trebuie să confirme existenţa versiunilor corecte şi autorizate ale elementelor de evidenţă. La efectuarea auditului configuraţiilor este necesară verificarea faptului dacă înregistrările despre modificări şi release-uri sînt autorizate de gestionarea modificărilor.
Auditul configuraţiilor trebuie efectuat în urma:
- implementării unui sistem nou de gestionare a configuraţiilor;
- unor modificări majore în infrastructura TI;
- release-ului software-ului;
- restabilirii care urmează după un accident major;
- depistării unor elemente de evidenţă neautorizate.
Mijloacele de audit automat trebuie să efectueze verificări sistematice la un anumit interval de timp. Auditul permanent al configuraţiilor contribuie la utilizarea mai eficientă a resurselor.
5.4.1.6. Întocmirea rapoartelor administrative
Rapoartele administrative privind procesul de gestionare a configuraţiilor trebuie să includă următoarele:
- rezultatele auditului configuraţiilor;
- informaţia despre elementele de evidenţă neînregistrate sau înregistrate incorect depistate;
- informaţia despre numărul de elemente de evidenţă înregistrate şi versiunile acestora, cu clasificare în categorii, tipuri şi statut;
- informaţia privind rapiditatea introducerii modificărilor în Baza de date configuraţională;
- informaţia despre reţineri şi cauze în activitatea procesului de gestionare a configuraţiilor;
- analiza eficienţei, creşterii şi auditului în gestionarea configuraţiilor;
- valoarea şi locaţia elementelor de evidenţă.
În baza rapoartelor administrative se va stabili dezvoltarea ulterioară a gestionării configuraţiilor, luîndu-se în consideraţie sarcina planificată pentru procesul de gestionare a configuraţiilor şi creşterea preconizată.
5.4.2. Acţiunile procesului de gestionare a configuraţiilor
În procesul de gestionare a configuraţiilor este necesar de îndeplinit următoarele acţiuni:
- furnizarea informaţiei corecte şi exacte privind configuraţiile şi specificaţiile fizice şi funcţionale ale acestora personalului procesului de gestionare şi susţinere a serviciilor publice;
- determinarea şi documentarea procedurilor procesului de gestionare a configuraţiilor;
- identificarea, marcarea, înregistrarea denumirilor şi versiunilor elementelor de evidenţă;
- controlul şi păstrarea copiilor etalon autorizate şi verificate ale specificaţiilor, documentaţiei şi software-ului;
- urmărirea şi înregistrarea datelor privind configuraţiile în conformitate cu starea actuală a infrastructurii informaţionale;
- raportare privind metricele elementelor de evidenţă;
- auditul şi raportarea privind încălcările standardelor infrastructurii şi procedurilor de gestionare a configuraţiilor.
În cadrul realizării procesului de gestionare a configuraţiilor trebuie să fie aplicate bibliotecile fizice şi electronice de software care urmează să fie identificate cu ajutorul următoarei informaţii:
- conţinutul, locaţia şi purtătorul pentru fiecare bibliotecă;
- condiţiile furnizării elementului la păstrare;
- măsurile de protecţie a bibliotecii şi procedurile de restabilire;
- condiţiile şi controlul accesului pentru grupurile de utilizatori pentru înregistrarea, citirea, actualizarea, copierea, transferul sau eliminarea elementelor de evidenţă.
Mijloacele de susţinere permit efectuarea controlului software-ului aplicativ de la analiza şi proiectarea iniţială de sistem pînă la exploatare. Mijloacele de gestionare a configuraţiilor infrastructurii TI trebuie să transmită informaţia procesului de gestionare a configuraţiilor din sistemul de gestionare a configuraţiilor pentru elaborarea software-ului în Baza de date configuraţională a elementelor de evidenţă fără introducere repetată.
Mijloacele de gestionare a configuraţiilor trebuie să efectueze susţinerea automată a următoarelor acţiuni:
- identificarea elementelor de evidenţă conexe;
- implementarea modificărilor;
- înregistrarea modificărilor la statutele elementelor de evidenţă în cazul introducerii modificărilor autorizate şi a release-urilor;
- înregistrarea bazelor configuraţionale ale elementelor de evidenţă şi ale pachetelor elementelor de evidenţă.
În procesul de gestionare a configuraţiilor trebuie să fie utilizate tehnologiile Internet şi diferite mijloace software de susţinere, cum sînt:
- sistemele de gestionare a circuitului de documente;
- mijloacele de construire a arhitecturii sistemului;
- mijloacele de elaborare automată a sistemelor;
- mijloacele de gestionare a auditului bazelor de date;
- mijloacele de distribuire şi instalare;
- mijloacele de comparare, implementare a release-urilor şi asamblării;
- mijloacele de comprimare, gestionare a listelor şi a bazelor configuraţionale;
- mijloacele de depistare şi restabilire.
5.4.3. Indicatorii eficienţei procesului de gestionare a configuraţiilor
Pentru furnizarea informaţiei exacte privind elementele de evidenţă, controlul elementelor de evidenţă valoroase, accesibilitatea informaţiei privind modificările efectuate în software, participare la planificarea acţiunilor în situaţii excepţionale, îmbunătăţirea securităţii prin intermediul controlului versiunilor utilizate ale elementelor de evidenţă, precum şi pentru acordarea posibilităţii de reducere a utilizării software-ului nesancţionat este necesar de aplicat următorii indicatori speciali:
- numărul de elemente neautorizate de evidenţă ale configuraţiei;
- incidentele şi problemele care reprezintă consecinţa unor modificări efectuate incorect;
- modificările timpului mediu şi ale cheltuielilor pentru diagnosticarea şi reglarea adresărilor în CGE de prestare a serviciilor;
- modificarea numărului şi gravităţii situaţiilor de încălcare a Acordului cu privire la nivelul de deservire;
- solicitările de modificare care nu au fost soluţionate cu succes;
- timpul ciclului între aprobarea şi implementarea modificărilor;
- numărul de licenţe de software pierdute şi neutilizate;
- datele primite în rezultatul efectuării auditului configuraţiilor;
- modificările numărului şi semnificaţiei incidentelor şi problemelor;
- numărul de modificări lunare în Baza de date configuraţională a elementelor de evidenţă din cauza erorilor depistate.
5.5. Procesul de gestionare a release-urilor
Obiectivele procesului de gestionare a release-urilor:
- planificarea şi supravegherea desfăşurării reuşite a software-ului şi a hardware-ului aferent acestuia;
- proiectarea şi implementarea procedurilor pentru distribuirea şi instalarea modificărilor;
- asigurarea instalării doar a versiunilor corecte, autorizate şi testate;
- interacţiunile cu clienţii şi controlul aşteptărilor clientului în timpul planificării şi desfăşurării release-urilor noi;
- aprobarea conţinutului exact al release-ului şi al planului de desfăşurare al acestuia;
- implementarea release-urilor noi de hardware şi software în mediul de exploatare cu utilizarea proceselor de gestionare a configuraţiilor (a se vedea 5.4) şi gestionare a modificărilor (a se vedea 5.3);
- asigurarea păstrării în siguranţă a copiilor întregului software;
- asigurarea securităţii şi posibilităţii de urmărire la desfăşurarea sau modificarea hardware-ului.
În procesul de gestionare a release-urilor este necesar de acordat atenţie protecţiei mediului de exploatare şi a serviciilor acestuia prin intermediul procedurilor şi verificărilor.
Gestionarea release-urilor trebuie să fie finanţată din contul bugetului şi nu trebuie inclusă în cheltuielile privind prestarea serviciilor clienţilor.
5.5.1. Cerinţele de bază faţă de procesul de gestionare a release-urilor
În procesul de gestionare a release-urilor este necesar de respectat cerinţele de planificare, proiectare, asamblare, configurare şi testare a hardware-ului şi software-ului.
Cerinţele de bază respectate în procesul de gestionare a release-urilor sînt următoarele:
- elaborarea politicii şi planificarea release-urilor;
- proiectarea, asamblarea şi configurarea release-urilor;
- primirea release-urilor;
- planificarea desfăşurării release-urilor;
- testarea release-urilor multilaterale conform criteriilor de primire stabilite;
- confirmarea finalizării release-ului pentru implementarea ulterioară;
- comunicaţiile, pregătirea şi instruirea personalului;
- efectuarea auditului hardware-ului şi software-ului pînă la şi după implementarea modificărilor;
- instalarea echipamentului nou şi modernizat;
- păstrarea software-ului controlat în sisteme centralizate şi distribuite;
- release-ul, distribuirea şi instalarea software-ului.
5.5.1.1. Elaborarea politicii şi planificarea release-urilor
5.5.1.1.1. Elaborarea politicii release-urilor
Politica release-urilor trebuie să includă regulile de numerotare a release-urilor, frecvenţa lor şi nivelurile în infrastructură care vor fi controlate de aceste release-uri. Numărul necesar şi frecvenţa release-urilor trebuie să fie determinate în funcţie de dimensiunile şi tipul sistemelor. Fiecare release trebuie să aibă un identificator unic, care va fi folosit în procesul de gestionare a configuraţiilor conform schemei determinate în politica release-urilor. Identificarea release-urilor trebuie să includă referinţa la componenta infrastructurii (elementul de evidenţă), pe care îl prezintă acest release, şi numărul versiunii. În caz de modificare a infrastructurii, politica release-urilor trebuie să fie revizuită şi extinsă.
Politica release-urilor trebuie să explice clar rolurile şi obligaţiile în procesul de gestionare a release-urilor.
Politica release-urilor trebuie să includă următoarea informaţie:
- nivelul controlului infrastructurii pentru fiecare tip de release;
- regulile de denumire şi numerotare a release-urilor;
- determinarea release-urilor complexe şi parţiale;
- indicaţii privind frecvenţa efectuării release-urilor complexe şi parţiale;
- rezultatele scontate pentru fiecare tip de release;
- indicaţii referitor la modul şi locul în care trebuie să fie documentate release-urile;
- crearea şi testarea planurilor de recul;
- descrierea procesului de control al gestionării release-urilor;
- documentarea configuraţiei bibliotecii software-ului etalon şi determinarea criteriilor de primire pentru adăugarea software-ului nou.
5.5.1.1.2. Planificarea release-urilor
Planificarea release-urilor trebuie să includă:
- constituirea acordului comun privind conţinutul release-ului;
- convenirea asupra etapelor în timp;
- alcătuirea graficului generalizat al release-urilor;
- desfăşurarea sondajelor de opinie pentru evaluarea hardware-ului şi software-ului utilizat;
- planificarea nivelurilor de încărcare a personalului;
- coordonarea rolurilor şi obligaţiilor;
- propuneri privind procurarea software-ului şi hardware-ului nou;
- elaborarea planurilor de recul;
- elaborarea planului de asigurare a calităţii release-ului;
- planificarea primirii de către grupurile de susţinere şi de către client.
5.5.1.2. Proiectarea, asamblarea şi configurarea release-urilor
Este necesar de a planifica şi documenta procedurile pentru asamblarea release-urilor de software. Instrucţiunile privind asamblarea release-ului fac parte din determinarea release-ului.
Acţiunile de asamblare trebuie să includă compilarea şi legarea modulelor aplicaţiilor elaborate independent şi a întregului software procurat. Asamblarea trebuie să conţină acţiuni de creare a bazelor de date şi completare a acestora cu date de test sau date statistice din indicatoare.
Toate software-urile, parametrii, datele de test, software-urile de susţinere a executării programelor, necesare pentru release, trebuie să se afle sub controlul gestionării configuraţiilor. Evidenţa deplină a rezultatelor asamblării trebuie să fie înregistrată în Baza de date configuraţională a hardware-ului.
Controlul asamblării şi release-urilor trebuie să asigure asamblarea corectă şi distribuirea versiunilor actualizate de hardware şi software.
Procedurile de asamblare şi automatizarea trebuie să fie controlate ca elemente de evidenţă separate. Procedurile de gestionare a asamblării şi distribuirii software-ului trebuie să fie testate pînă la începutul utilizării lor. La prima etapă de exploatare, este necesar de a acorda timp pentru soluţionarea problemelor legate de introducerea inovaţiilor.
Procedurile, şabloanele, recomandările trebuie să fie planificate pentru îndeplinirea eficientă a release-urilor de hardware şi software.
5.5.1.3. Primirea release-urilor
Testarea trebuie să includă procedurile de instalare şi integritatea funcţională a sistemului gata. Este necesar de a efectua confirmarea finalizării fiecărei etape de testare.
Primirea release-ului trebuie efectuată în mediul de testare controlat care poate fi restabilit în baza configuraţiei cunoscute a software-ului şi hardware-ului. Aceste configuraţii trebuie să fie caracterizate în descrierea release-ului şi să fie păstrate în Baza de date configuraţională a elementelor de evidenţă împreună cu toate celelalte elemente de evidenţă.
Dacă release-ul este respins, atunci acesta trebuie să fie replanificat pentru un alt timp de gestionare a modificărilor şi trebuie să fie urmărit în rapoartele de gestionare a modificărilor în calitate de modificări nereuşite.
Rezultatul final al acţiunilor de verificare trebuie să fie confirmarea finalizării depline şi exacte a întregului release.
5.5.1.4. Planificarea desfăşurării release-urilor
Planificarea desfăşurării trebuie să extindă planul release-ului şi să includă următoarea informaţie:
- pregătirea orarului exact şi detaliat al evenimentelor împreună cu informaţia despre persoană si sarcinile executate;
- listele elementelor de evidenţă pentru instalare şi trecerea la cheltuieli;
- formarea descrierii release-ului şi comunicaţiilor;
- planificarea comunicaţiilor cu utilizatorul final;
- elaborarea planului de achiziţii;
- procurarea software-ului şi hardware-ului.
În cazul unui eşec parţial sau total în desfăşurarea release-ului, trebuie să fie elaborat un plan de recul pentru documentarea acţiunilor de restabilire a serviciului. Sînt posibile două abordări:
- desfăşurarea nereuşită revine integral la starea iniţială pînă la restabilirea completă a serviciilor la starea lor anterioară cunoscută;
- întreprinderea măsurilor privind restabilirea mai completă a prestării serviciilor, dacă acestea nu pot fi restabilite integral (este posibilă varianta delta-release-ului).
Planul de recul trebuie să fie verificat în procesul evaluării riscurilor în planul general de desfăşurare şi să fie recunoscut drept suficient de către client.
5.5.1.5. Testarea de primire şi confirmarea finalizării release-ului
Pînă la desfăşurarea release-ului în mediul de exploatare, acesta trebuie să fie supus testării şi primirii obligatorii de către client, care se împarte în:
- testarea funcţională;
- testarea operaţională;
- testarea exploataţională;
- testarea integraţională.
Pînă la desfăşurarea release-ului, utilizatorul trebuie să confirme finalizarea release-ului. Cea mai frecventă cauză a modificărilor şi release-urilor nereuşite este testarea insuficientă.
5.5.1.6. Comunicaţiile, pregătirea şi instruirea personalului
Personalul de gestionare a release-urilor trebuie să fie instruit în teoria şi practica gestionării modificărilor şi gestionării configuraţiilor, elaborarea şi mentenanţa software-ului, utilizarea mijloacelor de suport şi a programelor auxiliare.
Personalul care interacţionează cu clientul, personalul clientului şi personalul CGE de prestare a serviciilor trebuie să fie la curent cu acţiunile planificate şi modul în care aceste acţiuni pot influenţa prestarea serviciilor. Este necesar de înştiinţat toate părţile interesate despre problemele şi modificările survenite, pentru a le informa cu privire la situaţia curentă şi pentru a le forma aşteptările.
5.5.1.7. Release-ul, distribuirea şi instalarea software-ului
Distribuirea release-urilor de software din mediul de asamblare în mediul de exploatare trebuie să aibă loc concomitent cu toate modificările din hardware. Distribuirea software-ului trebuie să fie proiectată astfel, încît să fie menţinută integritatea software-ului în timpul prelucrării, ambalării şi livrării. După distribuirea software-ului şi după ce release-ul ajunge la locul de destinaţie, este necesar de a verifica completitudinea acestui release.
Baza de date configuraţională a elementelor de evidenţă trebuie să fie actualizată după instalarea sau înlăturarea software-ului sau hardware-ului, ceea ce va asigura existenţa datelor actualizate în Baza de date configuraţională a elementelor de evidenţă.
În procesul de gestionare a release-urilor trebuie efectuat controlul următoarelor componente:
- aplicaţii software de elaborare proprie;
- software la comandă;
- software auxiliar;
- software de sistem;
- hardware şi specificaţiile sale;
- instrucţiuni privind asamblarea şi documentaţie.
Toate componentele enumerate mai sus trebuie să fie gestionate în mod eficient, de la elaborarea sau procurarea lor şi pînă la setare şi configurare, de la testare şi implementare şi pînă la funcţionare în mediul de exploatare.
5.5.2. Tipurile şi clasificarea release-urilor
5.5.2.1. Tipurile release-urilor
Unitatea de release descrie o parte a infrastructurii software-ului. Unitatea de release depinde de tipul sau elementul software-ului şi hardware-ului.
La selectarea nivelului unităţii de release trebuie să se ţină cont de următorii factori:
- volumul modificărilor necesare;
- volumul resurselor şi timpul necesar pentru asamblarea, testarea, distribuirea şi implementarea release-urilor la fiecare nivel;
- simplitatea implementării;
- complexitatea interfeţelor între unitatea propusă şi restul infrastructurii;
- spaţiul accesibil pe disc în mediul de asamblare, în mediul de testare, în mediul de distribuire şi în mediul de exploatare.
Există următoarele tipuri de release-uri:
- release-ul complex – toate componentele unităţii de release sînt asamblate, testate, distribuite şi implementate împreună. În acest release este exclus pericolul utilizării unor versiuni învechite ale elementelor de evidenţă. Neajunsul unei astfel de abordări este creşterea volumului, eforturilor şi resurselor computerizate implicate în asamblarea, testarea, distribuirea şi implementarea release-urilor. Este necesară efectuarea unei testări regresive pentru excluderea înrăutăţirii funcţiilor de sistem sau a comportamentului sistemului;
- delta-release-ul (parţial) – cuprinde în cadrul unităţii de release doar acele elemente de evidenţă care au fost modificate sau elementele de evidenţă noi;
- release-ul de pachet – gruparea unor release-uri separate care reduce posibilitatea utilizării unui software vechi sau incompatibil, ceea ce contribuie la testarea deplină a funcţionării mixte a grupurilor de programe şi sisteme.
5.5.2.2. Clasificarea release-urilor
Release-ul trebuie folosit pentru descrierea grupului de modificări din cadrul serviciului. Release-ul constă din decizii privind înlăturarea problemelor şi îmbunătăţirile serviciilor prestate. Release-ul trebuie format din software-ul necesar nou sau modificat şi din hardware-ul nou sau modificat necesare pentru implementarea deciziilor aprobate.
Release-urile se clasifică în modul următor:
- release-urile mari de software şi modernizarea hardware-ului – funcţiile noi voluminoase care duc la înlocuirea acţiunilor inutile de corectare a unor probleme;
- release-uri mici de software şi modernizarea hardware-ului – îmbunătăţiri şi corectări nesemnificative;
- corectări urgente ale software-ului şi hardware-ului – corectările unui număr mic de probleme cunoscute.
Dependenţa dintre versiunea specială a software-ului şi hardware-ul necesar pentru funcţionarea acesteia duce la îmbinarea software-ului şi hardware-ului într-un release cu alte cerinţe funcţionale.
Pe măsură ce creşte eficienţa gestionării release-urilor, creşte şi eficacitatea activităţii personalului implicat în prestarea serviciilor.
5.5.3. Mijloacele specializate ale sistemului de gestionare a release-urilor
Gestionarea release-urilor trebuie să utilizeze:
- mijloace de gestionare a modificărilor – pentru înregistrarea informaţiei privind modificările planificate, pentru păstrarea informaţiei despre release-uri şi referinţele la modificări;
- mijloace de gestionare a configuraţiilor – pentru înregistrarea elementelor de evidenţă ale software-ului şi hardware-ului în Baza de date configuraţională a elementelor de evidenţă;
- mijloace de gestionare a configuraţiilor software-ului – pentru gestionarea versiunilor codului de program în timpul elaborării care pot prelucra pachete de modificări, pentru integrarea cu informaţia despre problemă şi solicitările de modificare;
- mijloace ale procesului de gestionare a asamblării – pentru asamblarea automată a release-urilor noi ale aplicaţiilor de program, pentru generarea şi lansarea versiunilor executate ale fişierelor;
- mijloace de distribuire etalon a software-ului – pentru livrarea garantată a fişierelor de program, pentru optimizarea capacităţii de transmitere a reţelei, pentru păstrarea versiunilor noi ale aplicaţiilor în stare de aşteptare;
- mijloace de efectuare a auditului software-ului şi hardware-ului –pentru identificarea software-ului instalat şi pentru depistarea celor mai critice momente în configuraţia hardware-ului;
- mijloace de gestionare a staţiilor de lucru – pentru configurarea corectă a parametrilor sistemului de operare şi controlul acestora, pentru păstrarea tuturor fişierelor de instalare pe server şi actualizarea acestor fişiere pe măsura adăugării release-urilor noi în biblioteca software-ului etalon;
- mijloace de gestionare a server-elor – pentru controlul la distanţă al operaţiilor pe server, pentru monitorizarea la distanţă a registrului de înregistrare a evenimentelor, pentru monitorizarea utilizării resurselor procesorului, memoriei şi spaţiului pe disc.
5.5.3.1. Baza de date configuraţională a elementelor de evidenţă
Baza de date configuraţională a elementelor de evidenţă trebuie să conţină următoarea informaţie pentru susţinerea procesului de gestionare a release-urilor:
- descrierea release-urilor planificate, inclusiv elementele de evidenţă ale hardware-ului şi software-ului, împreună cu referinţele la solicitările iniţiale de modificare;
- înregistrările privind elementele de evidenţă asupra cărora acţionează release-urile planificate şi cele din trecut;
- informaţia şi locaţia specială de destinaţie a componentelor release-ului.
5.5.3.2. Biblioteca software-ului etalon
Biblioteca software-ului etalon este un depozit sigur în care sînt păstrate în siguranţă versiunile etalon ale tuturor elementelor de evidenţă de tip software, atît software elaborat în organizaţie, cît şi procurat. Acest depozit trebuie să fie format din una sau mai multe biblioteci sau depozite de fişiere separate de depozitele fişierelor pentru elaborare, testare sau exploatare.
Biblioteca software-ului etalon este parte a politicii release-urilor şi trebuie să conţină:
- tipul purtătorului, locaţia fizică, hardware-ul şi software-ul presupus;
- acordurile privind atribuirea denumirilor pentru depozitele de fişiere şi purtătorii fizici;
- mediile suportate;
- măsurile de securitate pentru perfectarea modificărilor şi lansării software-ului;
- perioada de păstrare a release-urilor vechi de software;
- planul de dezvoltare a capacităţilor pentru bibliotecă;
- procedurile de audit;
- procedurile de asigurare a protecţiei bibliotecii contra modificărilor greşite.
Depozitul hardware-ului etalon este locul pentru păstrarea în siguranţă a hardware-ului etalon de rezervă (componentele de rezervă şi modulele asamblate).
5.5.4. Indicatorii eficienţei procesului de gestionare a release-urilor
Pentru garanţia calităţii software-ului şi hardware-ului, îmbunătăţirea utilizării resurselor, susţinerea înregistrărilor depline ale modificărilor în mediul de exploatare, de controlul şi protecţia activelor de hardware şi software, efectuarea unui număr mare de modificări în sisteme este necesar de analizat următorii indicatori:
- corespunderea asamblării şi implementării release-ului cu graficul şi limitele bugetului;
- rata deficienţelor la asamblare;
- securitatea şi gestionarea exactă a bibliotecii software-ului etalon;
- absenţa în biblioteca software-ului etalon a elementelor de evidenţă care nu au trecut verificarea calităţii;
- corespunderea spaţiului pe disc cerinţelor bibliotecii software-ului etalon;
- respectarea tuturor restricţiilor legislative privind software-ul procurat;
- distribuirea exactă a release-urilor;
- implementarea la timp a release-urilor;
- absenţa cazurilor de utilizare a unor software neautorizate;
- înregistrarea exactă şi la timp a tuturor acţiunilor privind asamblarea, distribuirea şi implementarea în Baza de date configuraţională a elementelor de evidenţă;
- corespunderea conţinutului planificat al release-ului cu conţinutul real;
- cota release-urilor reuşite;
- concordarea proceselor legate de release-urile platformelor de hardware sau ale mediilor de program;
- numărul minim de întreruperi în prestarea serviciilor;
- stabilitatea mediului de testare şi mediului de exploatare;
- numărul de erori care ajung în mediul de exploatare;
- posibilitatea apariţiei şi utilizării copiilor ilegale de software;
- utilizarea TI şi a resurselor umane;
- numărul de release-uri desfăşurate pentru clienţi;
- timpul depistării versiunilor şi copiilor incorecte de software;
- perioada de emitere a release-urilor;
- perioada de asamblare şi control al software-ului.
6. Infrastructura TI a prestării serviciilor publice
Infrastructura TI reprezintă sistemul structurilor organizaţionale şi al mijloacelor tehnice care asigură formarea, distribuirea şi utilizarea tehnologiilor informaţional-comunicaţionale, care permit asigurarea interacţiunii organelor administraţiei publice, oferind acces la resursele informaţionale.
Componentele de bază ale infrastructurii TI sînt următoarele:
- mijloacele hardware – reprezintă complexul dispozitivelor electronice, electrice şi mecanice care intră în componenţa sistemelor şi reţelelor informaţionale ale organelor administraţiei publice;
- sistemele operaţionale – asigură executarea programelor şi aplicaţiilor, distribuirea resurselor, planificarea, introducerea-ieşirea şi gestionarea datelor, precum şi determină grupul conex de protocoale de nivele superioare pentru îndeplinirea funcţiilor de bază ale reţelei;
- bazele de date - reprezintă o totalitate de date conexe, organizate conform unor reguli stabilite care stabilesc principiile generale de descriere, păstrare şi procesare a datelor;
- reţeaua de telecomunicaţii – reprezintă totalitatea componentelor de bază ale prelucrării informaţiei şi telecomunicaţiilor care asigură schimbul de date prin intermediul complexului de mijloace software şi hardware conexe;
- mijloacele de susţinere – asigură susţinerea funcţionării tuturor sistemelor şi reţelelor informaţionale (de exemplu, mijloacele gestionării productivităţii serverului, mijloacele de gestionare a păstrării datelor);
- mijloacele multimedia – asigură chemarea semnalului televizat către monitor, ieşirea video complexă, desfăşurarea imaginilor video vii pe ecran, filtrarea digitală şi manevrarea scării imaginilor video, compresiunea de aparate digitale şi decompresiunea video, precum şi accelerarea operaţiilor grafice legate de grafica tridimensională.
Fiecare componentă a infrastructurii TI trebuie folosită pentru automatizarea gestionării acţiunilor realizate, legate de fiecare sarcină în ciclul de viaţă al serviciilor publice – de la planificarea unui serviciu nou pînă la scoaterea acestuia din utilizare.
Complexitatea componentelor infrastructurii TI trebuie să depindă de nomenclatura serviciilor publice prestate, precum şi de nivelul interacţiunii organelor administraţiei publice şi de funcţiile îndeplinite de acestea.
6.1. Cerinţele faţă de componentele infrastructurii TI
Pentru a obţine un nivel înalt de calitate a serviciilor publice prestate, este necesar de a asigura funcţionarea cuvenită, optimizarea, utilizarea şi securitatea tuturor componentelor infrastructurii TI prin intermediul realizării tuturor proceselor de gestionare a prestării serviciilor publice.
Cerinţele faţă de componentele infrastructurii TI în cadrul etapelor ciclului de viaţă trebuie să includă următoarele:
- planificarea şi elaborarea componentei noi:
1) este necesar de verificat compatibilitatea şi posibilitatea integrării componentei noi cu componentele existente ale infrastructurii, examinîndu-se procesele de gestionare şi arhitectura fiecărei componente;
2) este necesar de evaluat avantajele în urma implementării, cerinţele şi necesităţile componentei noi, stabilitatea funcţionării componentei noi şi durata preconizată a ciclului de viaţă al acesteia, precum şi analiza şi gestionarea riscurilor legate de implementarea componentei noi;
3) este necesar de determinat tipul elaborării componentei noi: elaborarea funcţională (formarea setului de specificaţii funcţionale ale cerinţelor şi criteriilor privind componentele) sau elaborarea tehnică (stabilirea parametrilor tehnici ai componentei noi în infrastructura curentă);
- implementarea componentelor:
1) este necesar de elaborat, de susţinut şi de gestionat planul de desfăşurare a componentelor care să conţină perioada de timp şi resursele necesare pentru implementarea fiecărei componente a infrastructurii;
2) este necesar de selectat o echipă de specialişti cu calificare necesară şi abilităţi pentru executarea implementării;
3) este necesar de evaluat riscurile care pot surveni în procesul implementării componentelor, nivelul corespunderii caracteristicilor funcţionale şi tehnice cu cerinţele fixate, stabilitatea şi caracterul adecvat al întregii infrastructuri TI în raport cu fiecare componentă nouă;
4) este necesar de aplicat diferite nivele de integrare: integrarea evenimentelor (capacitatea de a efectua schimbul de informaţii între componente), integrarea datelor (capacitatea de a distribui un set comun de date diferitor componente) şi integrarea funcţională (capacitatea componentelor de a interacţiona şi de a coordona comportamentul lor funcţional între ele);
5) este necesar de asigurat existenţa şi accesibilitatea documentaţiei privind implementarea pentru suportul şi deservirea tehnică ulterioară a componentelor infrastructurii;
- deservirea componentelor:
1) deservirea trebuie să reprezinte un proces neîntrerupt;
2) toate sarcinile de deservire trebuie să fie coordonate şi aprobate de persoanele responsabile din cadrul organizaţiei;
3) deservirea trebuie să includă monitorizarea şi controlul evenimentelor legate de toate componentele infrastructurii TI;
4) rezultatele deservirii componentelor trebuie să includă stabilitatea şi fiabilitatea componentelor, documentaţia ce conţine datele privind deservirea componentelor, precum şi registrul sau baza de date cu toate evenimentele de deservire, alarme şi semnale.
La toate etapele ciclului de viaţă al componentelor infrastructurii TI este necesar de îndeplinit cerinţele securităţii faţă de componentele infrastructurii şi faţă de mijloacele de asigurare a securităţii.
6.2. Criteriile de selectare a componentelor infrastructurii TI
La alegerea componentelor infrastructurii TI pentru prestarea serviciilor publice este necesar de a lua în consideraţie următorii factori:
- cerinţele tot mai complicate ale utilizatorilor;
- insuficienţa abilităţilor în domeniul TI;
- restricţiile bugetare;
- dependenţa organizaţiei de serviciile publice de calitate;
- complexitatea în creştere a infrastructurii;
- apariţia modificărilor în standardele internaţionale şi în legislaţie;
- scara ascendentă şi frecvenţa modificărilor în prestarea serviciilor publice.
La planificarea achiziţiilor de componente ale infrastructurii TI este necesar de utilizat următoarele criterii de evaluare a acestora:
- corespunderea în proporţie de 80% cu cerinţele de exploatare;
- conformitatea tuturor cerinţelor obligatorii;
- necesitatea minoră sau lipsa necesităţii unor lucrări de finisare;
- structura rezonabilă a datelor şi a procesării acestora;
- orientarea spre cerinţele concrete ale prestării serviciilor publice şi nu spre tehnologii;
- flexibilitatea în implementare, utilizare;
- comoditatea în procesul de utilizare, facilitatea generală în utilizare, oferită de interfaţa utilizatorului;
- integrarea şi contradictorialitatea cu componentele existente ale infrastructurii diferitor furnizori;
- asigurarea continuităţii, rezervării, controlului şi securităţii;
- dependenţa de furnizori, parteneri;
- corelaţia dintre preţul şi calitatea componentelor;
- cheltuielile pentru administrare şi susţinere sînt în limitele bugetului.
În procesul de selectare a componentelor infrastructurii TI pentru sistemul de prestare a serviciilor publice este necesar de luat decizia privind utilizarea componentelor moderne ce sînt implementate sau elaborarea completă a noilor componente. Dacă se ia decizia de a elabora o componentă nouă, este necesar de stabilit dacă elaborarea va fi realizată de propriul personal sau în baza utilizării serviciilor de outsourcing.
În caz de adoptare a deciziei privind utilizarea serviciilor de outsourcing pentru elaborarea componentelor infrastructurii TI, se vor lua în consideraţie următorii factori:
- cheltuielile de elaborare prin utilizarea forţelor proprii în raport cu costul serviciilor de outsourcing;
- riscurile de încălcare a regimului de securitate informaţională;
- riscurile de încetare a colaborării cu organizaţia care prestează servicii de outsourcing şi dezvoltarea ulterioară a aplicaţiei elaborate.
7. Monitorizarea procesului de prestare a serviciilor publice
7.1. Monitorizarea şi evaluarea procesului de prestare a serviciilor publice
Organizaţia care prestează servicii publice trebuie să efectueze monitorizarea consecventă a productivităţii pentru evaluarea rezultatelor şi productivităţii proceselor de prestare a serviciilor.
Monitorizarea şi evaluarea serviciilor este procesul de primire de către personal a datelor actuale privind starea serviciilor prestate: starea proceselor, încărcarea serverelor, timpul de reacţie a aplicaţiilor.
Se deosebesc următoarele tipuri de monitorizare şi evaluare a prestării serviciilor:
- monitorizarea internă şi evaluarea internă – sînt planificate şi efectuate cu forţele organizaţiei care prestează servicii publice;
- monitorizarea externă şi evaluarea externă – sînt efectuate de o structură independentă, special invitată pentru efectuarea lor.
Monitorizarea trebuie să includă un complex de urmăriri dinamice, evaluare analitică şi pronosticare a stării de integritate a sistemului informaţional de prestare a serviciilor.
7.1.1. Obiectivele şi sarcinile monitorizării şi evaluării prestării serviciilor publice
Obiectivele şi sarcinile monitorizării şi evaluării prestării serviciilor sînt următoarele:
- efectuarea monitorizării proceselor de prestare a serviciilor;
- procesul de urmărire şi evaluare a productivităţii prestării serviciilor – trebuie să fie reflectat în registre, înregistrări de control şi rapoarte;
- evaluarea caracterului adecvat al controlului intern;
- automatizarea evaluării continue a eficienţei controlului intern;
- obţinerea garanţiilor independente ale calităţii serviciilor prestate;
- asigurarea conformităţii cu documentele normative;
- actualizarea Bazei de date configuraţionale a elementelor de evidenţă în procesul scanării automate a elementelor infrastructurii, care permite efectuarea evaluării continue a riscurilor şi diminuarea acestora;
- asigurarea auditului independent.
Funcţiile de bază ale sistemului de monitorizare şi evaluare sînt următoarele:
- informaţională – furnizarea datelor privind desfăşurarea procesului de prestare a serviciilor;
- analitică – analiza procesului de prestare a serviciilor pentru furnizarea informaţiei administrative şi luarea deciziilor;
- de pronosticare – determinarea tendinţelor şi pronosticurilor pentru planificarea procesului de gestionare a nivelului de deservire;
- de diagnosticare – determinarea factorilor care asigură stabilitatea şi fiabilitatea prestării serviciilor;
- de orientare – determinarea punctelor forte şi slabe ale procesului de prestare a serviciilor;
- profilactică – efectuarea auditului în scopul minimalizării impactului negativ asupra prestării serviciilor.
7.1.2. Componentele procesului de monitorizare
Procesul de monitorizare trebuie să includă indicatorii lucrului, raportarea sistematică şi la timp, care include parametrii eficienţei prestării serviciilor, şi acţiunile imediate pentru reacţionarea la solicitări.
Procesul de monitorizare trebuie să includă următoarele componente:
- metoda de abordare a monitorizării – stabileşte structura generală şi metoda de abordare a monitorizării care determină posibilităţile, metodologia şi procesul însoţit de evaluarea procesului de prestare a serviciilor;
- determinarea şi colectarea datelor de control – determinarea ansamblului de scopuri, compararea lor, identificarea datelor accesibile pentru măsurarea scopului;
- determinarea metodei de monitorizare – sînt folosite diferite metode de control, care iau în consideraţie scopurile şi scara de acoperire a procesului de prestare a serviciilor;
- evaluarea lucrărilor executate în procesul de prestare a serviciilor – revizuirea periodică a lucrărilor executate, analiza cauzelor devierilor de la scopurile stabilite, acţiunile de corectare pentru înlăturarea cauzelor de bază, precum şi efectuarea analizei încrucişate a cauzelor primare ale devierilor;
- gestionarea resurselor – controlul utilizării şi distribuirii resurselor în procesul de prestare a serviciilor prin intermediul evaluării sistematice a operaţiunilor care efectuează distribuirea resurselor şi nivelarea obiectivelor strategice curente şi viitoare;
- gestionarea riscurilor – evaluarea sistematică a riscurilor şi influenţelor legate de acestea;
- raportarea administrativă – se indică nivelul de realizare a obiectivelor planificate, resursele planificate şi utilizate, ansamblul de contraobiective şi determinarea lucrărilor de minimalizare a riscurilor;
- acţiunile de corectare – îndeplinirea acţiunilor de corectare bazate pe controlul şi evaluarea procesului de prestare a serviciilor. Controlul este efectuat prin intermediul urmăririi rezultatelor acţiunilor transmise, revizuirilor acestui proces, stabilirii persoanelor responsabile de corectare;
- efectuarea auditului intern sau extern pentru stabilirea corespunderii nivelului serviciilor prestate în baza standardelor şi procedurilor, metodelor general acceptate şi legislaţiei.
Procesul de monitorizare trebuie să realizeze urmărirea permanentă a indicatorilor eficienţei prestării serviciilor.
7.2. Procesele de gestionare şi audit al prestării serviciilor publice
Procesele de gestionare şi audit al prestării serviciilor sînt destinate controlului proceselor de prestare a serviciilor în organizaţie. Obiectivul acestor procese constă în crearea unui instrument eficient pentru clasificarea şi evaluarea proiectelor legate de prestarea serviciilor şi garantarea respectării calităţii la executarea comenzilor de prestare a serviciilor.
7.2.1. Analiza modelului de maturitate a proceselor de gestionare a TI
Analiza modelului de maturitate a proceselor de gestionare a TI este destinată pentru determinarea statutului şi stării procesului de gestionare a TI, precum şi pentru organizarea gestionării eficiente a TI şi SI. Nivelul modelului de maturitate a proceselor de gestionare a TI stabilesc modalităţile de control al corectitudinii realizării proceselor principale şi metodele de corectare a acestora.
În funcţie de nivelul de dezvoltare şi maturitate al proceselor de gestionare a TI, trebuie determinată strategia şi tactica dezvoltării operaţionale a funcţiilor şi componentelor infrastructurii TI.
Scara modelelor de maturitate trebuie să includă următoarele niveluri:
- nivelul zero – „Nu există” – nu există procese de gestionare a prestării serviciilor informaţionale, precum şi nu există date despre probleme;
- nivelul unu – „De bază” – nu există o schemă exactă şi nici procedura de realizare a proceselor de gestionare a TI, există probleme în gestionarea prestării serviciilor publice şi necesitatea pricepută de a le soluţiona;
- nivelul doi – „Repetat” – procesele de gestionare a TI sînt realizate într-o anumită dependenţă şi consecutivitate; probleme existente în gestionarea prestării serviciilor publice sînt examinate în vederea minimalizării lor;
- nivelul trei - „Formalizat” - procedura de realizare a proceselor de gestionare a TI este documentată şi este adusă la cunoştinţă; există o legătură urmărită în mod riguros între rezultat şi indicatorii productivităţii proceselor de prestare a serviciilor publice; sînt implementate procese de planificare şi monitorizare. Indicatorii productivităţii sînt fixaţi şi urmăriţi în vederea sporirii eficienţei întregii organizaţii;
- nivelul patru – „Gestionat” – toate procesele de gestionare a TI sînt supuse monitorizării; devierile sînt urmărite şi corectate; există o înţelegere deplină a problemelor de gestionare în prestarea serviciilor publice la toate nivelurile organizaţiei; este efectuată instruirea permanentă a personalului. Determinarea şi menţinerea în starea actuală a Acordului cu privire la nivelul de deservire, distribuirea responsabilităţii, determinarea nivelului de cunoaştere a proceselor sînt practici general acceptate;
- nivelul cinci – „De optimizare a proceselor de gestionare a TI” – cele mai bune practici de gestionare a TI sînt realizate în conformitate cu standardele şi în baza TI moderne; există o înţelegerea aprofundată a gestionării în prestarea serviciilor publice la toate nivelurile organizaţiei. Instruirea şi comunicarea sînt susţinute de cele mai moderne mijloace informaţional-comunicaţionale.
În gestionarea prestării serviciilor este necesar de aplicat următoarele concepţii:
- factorii critici ai succesului;
- indicatorii principali ai scopului;
- indicatorii principali ai rezultatului.
7.2.2. Factorii critici ai succesului
Factorii critici ai succesului determină cele mai importante condiţii, resurse şi acţiuni necesare pentru realizarea scopurilor şi sarcinilor proceselor TI. Aceşti factori trebuie să fie gestionaţi, orientaţi spre succes şi să descrie îndeplinirea acţiunilor strategice, tehnice, organizaţionale sau procedurale necesare.
Factorii critici ai succesului sînt următorii:
- gestionarea procesului de prestare a serviciilor contribuie la realizarea scopurilor organizaţiei: strategice, tactice, utilizarea tehnologiilor pentru dezvoltarea proceselor de prestare a serviciilor, suficienţa resurselor şi satisfacerea cerinţelor;
- determinarea, formalizarea şi realizarea acţiunilor de gestionare a procesului de prestare a serviciilor în baza cerinţelor organizaţiei clientului;
- elaborarea metodelor de gestionare pentru sporirea productivităţii, utilizarea optimă a resurselor şi sporirea eficienţei proceselor;
- gestionarea riscurilor şi studierea deficienţelor acestora;
- determinarea gradului de conformitate cu standardele stabilite şi legislaţia în vigoare;
- efectuarea auditului pentru evitarea defecţiunilor şi erorilor în sistemul de control intern;
- standardizarea proceselor TI şi orientarea acestora spre realizarea cerinţelor proceselor de gestionare a serviciilor publice;
- determinarea grupurilor utilizatorilor de procese TI şi a cerinţelor acestora;
- asigurarea posibilităţii de stabilire a limitelor proceselor TI şi a gestionării optime a resurselor în cadrul acestor procese;
- existenţa procedurilor de control şi sporire a calităţii proceselor TI.
7.2.3. Indicatorii principali ai scopului
Indicatorii principali ai scopului determină complexul de măsurări care informează conducerea despre realizarea cerinţelor înaintate.
Pentru indicatorii principali ai scopului trebuie să se evidenţieze următoarele criterii informaţionale:
- utilitatea informaţiei necesare pentru susţinerea procesului de prestare a serviciilor;
- riscurile lipsei integrităţii şi confidenţialităţii;
- rentabilitatea proceselor şi operaţiilor;
- confirmarea siguranţei, eficienţei şi concordanţei procesului de prestare a serviciilor.
Trebuie evidenţiaţi indicatorii de bază ai scopului:
- îmbunătăţirea gestionării productivităţii şi costului de prestare a serviciilor;
- reducerea timpului pentru punerea în vînzare a unui serviciu nou;
- îmbunătăţirea gestionării calităţii serviciilor;
- îmbunătăţirea gestionării inovaţiilor şi riscurilor;
- integrarea şi standardizarea proceselor de prestare a serviciilor publice;
- realizarea cerinţelor şi aşteptărilor clientului conform Acordului cu privire la nivelul de deservire;
- corespunderea nivelului serviciilor prestate cu legislaţia în vigoare, instrucţiunile, standardele şi obligaţiile contractuale.
7.2.4. Indicatorii principali ai eficienţei prestării serviciilor publice
Indicatorii principali ai eficienţei prestării serviciilor publice caracterizează şirul de acţiuni necesare pentru determinarea gradului de realizare a scopurilor stabilite, reflectarea corespunderii mijloacelor, metodelor şi abilităţilor folosite la prestarea serviciilor publice.
Indicatorii principali ai eficienţei sînt:
- sporirea rentabilităţii proceselor TI;
- îmbunătăţirea lucrului şi planificării acţiunilor de perfecţionare a proceselor de prestare a serviciilor;
- creşterea sarcinii în infrastructura TI;
- sporirea gradului de satisfacţie a utilizatorilor;
- sporirea productivităţii colaboratorilor.
Funcţionarea optimă a procesului de gestionare şi auditare a prestării serviciilor trebuie să asigure şi să creeze următoarele avantaje:
- ridicarea nivelurilor de gestionare şi securitate a procesului de prestare a serviciilor;
- controlul proceselor de prestare a serviciilor;
- controlul realizării scopurilor de asigurare a calităţii serviciilor prestate;
- controlul rezultatelor fiecărui proces TI;
- urmărirea şi perfecţionarea procesului de prestare a serviciilor;
- utilizarea optimă a resurselor.
7.2.5. Efectuarea auditului post-implementare
Efectuarea auditului post-implementare al sistemului de prestare a serviciilor publice este necesară pentru obţinerea operativă a informaţiei sistematizate şi veridice pentru evaluarea calităţii, posibilităţilor serviciilor informaţionale prestate şi corespunderii acestora cu cerinţele prezentate în capitolele 4 şi 5.
Auditul post-implementare al sistemului de prestare a serviciilor publice trebuie efectuat de către auditori externi, prin intermediul următoarelor tipuri de audit:
- examinarea sistemului – colectarea informaţiei pentru utilizarea acesteia în efectuarea lucrărilor ulterioare;
- evaluarea de către experţi a sistemului – evaluarea corespunderii finanţării deciziilor şi/sau investiţiilor de proiect în sistemul de prestare a serviciilor publice, evaluarea exploatării sistemului şi pregătirii utilizatorilor, evaluarea posibilităţii de reprofilare a infrastructurii TI;
- auditul TI operaţional al sistemului – colectarea, analiza informaţiei şi oferirea recomandărilor privind îmbunătăţirea funcţionării atît a unor elemente separate de evidenţă, cît şi a întregii infrastructuri TI;
- auditul proceselor – auditul TI şi SI critice pentru procesul de prestare a serviciilor publice în baza criteriilor de calitate şi eficienţă stabilite;
- auditul criteriului procesului de prestare a serviciilor – colectarea, analiza informaţiei şi prezentarea recomandărilor privind criteriul selectat al procesului de prestare a serviciilor, spre exemplu, securitatea, productivitatea, siguranţa, accesibilitatea. La efectuarea auditului în baza unui anumit criteriu de evaluare, este examinat nu doar un element separat al infrastructurii TI, ci totalitatea mijloacelor software, hardware, a proceselor de mentenanţă şi deservire a acestora;
- auditul complex al sistemului – este efectuată determinarea şi analiza interconexiunilor proceselor de prestare a serviciilor publice, a cerinţelor acestora, a tehnologiilor informaţionale şi conexe, a totalităţii mijloacelor software şi hardware.
Rezultatele efectuării auditului post-implementare al sistemului de prestare a serviciilor publice sînt următoarele:
- determinarea corespunderii posibilităţilor funcţionale ale sistemului de prestare a serviciilor şi necesităţilor participanţilor la interacţiune pentru fiecare serviciu public în parte;
- confirmarea formalizării adecvate a regulilor şi cerinţelor de organizare a interacţiunii participanţilor pentru fiecare serviciu public, descrierea proceselor principale de prestare a serviciilor şi crearea hărţii fluxurilor informaţionale;
- confirmarea existenţei documentaţiei tehnice corespunzătoare în care sînt descrise caracteristicile tehnice, infrastructura TI şi particularităţile arhitecturale ale structurii SI de prestare a serviciilor publice;
- determinarea raţionalităţii utilizării, dezvoltării sau înlocuirii pe viitor a SI de prestare a serviciilor publice;
- determinarea listei riscurilor identificate, legate de utilizarea sistemului de prestare a serviciilor publice;
- elaborarea unor recomandări concrete, orientate spre îmbunătăţirea calităţii prestării serviciilor şi optimizarea procesului de prestare a serviciilor;
- propunerea direcţiilor de reducere a cheltuielilor pentru susţinerea şi dezvoltarea sistemului de prestare a serviciilor publice;
- propunerea direcţiilor de reducere a riscurilor apărute în urma situaţiilor excepţionale la prestarea serviciilor;
- depistarea neajunsurilor şi lacunelor în sistemul de prestare a serviciilor;
- elaborarea propunerilor privind perfecţionarea calificării angajaţilor care participă la prestarea serviciilor, procurarea sau modernizarea mijloacelor software şi hardware;
- acceptarea recomandărilor privind asigurarea continuităţii în funcţionarea SI de prestare a serviciilor publice.
7.3. Gestionarea eficienţei prestării serviciilor publice
Gestionarea optimă a procesului de prestare a serviciilor publice contribuie la utilizarea cît mai eficientă a informaţiei.
Procesul de prestare a serviciilor trebuie să corespundă cerinţelor organizaţionale din perspectiva confidenţialităţii, integrităţii, accesibilităţii, eficienţei, economicităţii şi fiabilităţii.
7.3.1. Resursele procesului de prestare a serviciilor publice
Pentru a asigura funcţionarea sigură şi eficientă a sistemului de prestare a serviciilor publice, este necesar de a folosi următoarele resurse:
- resursele umane – angajaţii organizaţiei cu abilităţile şi experienţa necesare pentru planificarea, organizarea, completarea, mentenanţa, susţinerea şi monitorizarea sistemului de prestare a serviciilor publice;
- aplicaţiile – software-ul aplicativ utilizat în lucrul cu sistemul de prestare a serviciilor publice;
- tehnologiile – sistemele operaţionale, bazele de date, sistemele de gestionare etc, care permit realizarea procesului de prestare a serviciilor publice;
- echipamentul – toate mijloacele de echipament ale SI, cu luarea în consideraţie a deservirii lor;
- datele – datele externe şi interne, structurate şi nestructurate, grafice, sonore şi multimedia.
7.3.2. Cerinţele faţă de prestarea serviciilor publice
În procesul de prestare a serviciilor publice este necesar de îndeplinit următoarele cerinţe:
- cerinţele faţă de calitatea şi fiabilitatea deservirii;
- continuitatea procesului de prestare a serviciilor – pregătirea şi planificarea mijloacelor de lichidare a situaţiilor excepţionale;
- cerinţele de încredere – eficienţa şi productivitatea operaţiilor, fiabilitatea informaţiei; conformitate cu documentele normative;
- cerinţele de securitate – confidenţialitatea; integritatea; accesibilitatea, imposibilitatea de refuz;
- informarea despre procesul de prestare a serviciilor, furnizarea documentaţiei corespunzătoare;
- productivitatea procesului de prestare a serviciilor – furnizarea informaţiei prin utilizarea optimă a resurselor;
- confidenţialitatea – protecţia informaţiei contra dezvăluirii nesancţionate;
- accesibilitatea – posibilitatea obţinerii informaţiei necesare în decursul unei anumite perioade de timp, protecţia informaţiei şi a purtătorilor acesteia contra furtului sau distrugerii;
- cerinţele faţă de resursele exploataţionale de bază;
- cerinţele tehnico-exploataţionale faţă de locurile de muncă;
- cerinţele tehnico-exploataţionale pentru organizarea serviciilor de informaţii şi de deservire;
- cerinţele faţă de deservirea tehnică;
- cerinţele faţă de informaţie – veridicitatea, plenitudinea, caracterul concret, operativitatea informaţiei furnizate, precum şi comoditatea şi accesibilitatea obţinerii acesteia.
7.3.3. Criteriile de evaluare a eficienţei procesului de prestare a serviciilor
Criteriile eficienţei procesului de prestare a serviciilor publice se bazează pe evaluarea resurselor informaţionale şi a tuturor componentelor infrastructurii TI.
În procesul de prestare a serviciilor publice trebuie de evaluat indicatorii care contribuie la realizarea procesului gestionat şi măsurat de prestare a serviciilor publice şi care caracterizează următoarele:
- conformitatea procesului de prestare a serviciilor publice cu standardele şi cerinţele adoptate;
- autenticitatea informaţiei prelucrate şi eficacitatea acesteia;
- securitatea informaţională – confidenţialitatea, integritatea, accesibilitatea, imposibilitatea de refuz;
- calitatea şi costul prelucrării informaţiei, precum şi descrierii furnizării acesteia către destinatar.
Criteriile eficienţei realizării procesului de prestare a serviciilor publice, care se bazează pe evaluarea resurselor şi componentelor infrastructurii TI utilizate, trebuie să fie următoarele:
- eficienţa –actualitatea, caracterul adecvat şi corespunderea informaţiei cu sarcinile organizaţiei, precum şi oportunitatea prezentării acesteia, corectitudinea, caracterul necontradictoriu şi aplicabilitatea;
- conformitatea — criteriul conformităţii cu cerinţele legilor, standardelor, instrucţiunilor, dispoziţiilor şi acordurilor care reglementează organizarea procesului de prestare a serviciilor publice;
- confidenţialitatea – protecţia informaţiei contra divulgării nesancţionate;
- integritatea — exactitatea, caracterul complet şi plenitudinea informaţiei, precum şi argumentarea acesteia din punct de vedere al valorilor şi aşteptărilor organizării;
- accesibilitatea – nivelul de accesibilitate necesar în prezent şi viitor al accesibilităţii informaţiei pentru realizarea proceselor în cadrul organizaţiei, posibilitatea obţinerii informaţiei necesare în perioada de timp determinată de cerinţele proceselor interne din cadrul organizaţiei;
- productivitatea – furnizarea informaţiei prin intermediul utilizării optime (productive şi econome) a resurselor şi componentelor infrastructurii TI, respectarea cerinţelor stipulate în legi, instrucţiuni şi înţelegeri ce influenţează asupra realizării proceselor în cadrul organizaţiei.
Prezenta reglementare tehnică a fost elaborată ca parte componentă a bazei legislative pentru reglementare în domeniul tehnologiilor infocomunicaţionale, susţinerea strategiei naţionale de creare a societăţii informaţionale, precum şi pentru implementarea tehnologiilor infocomunicaţionale în toate domeniile de interacţiune între stat, afaceri şi societate.
În prezenta reglementare tehnică sînt stabilite cerinţele de bază a procesului de prestare a serviciilor publice electronice (în continuare - servicii publice) privind asigurarea securităţii resurselor informaţionale, sistemelor informaţionale (SI) şi de evaluare a conformităţii cu aceste cerinţe şi sînt determinate toate cerinţele ce sînt necesare a fi realizate pentru organizarea şi susţinerea procesului de management al securităţii informaţiei în procesul de prestare a serviciilor publice.
Scopul prezentei reglementări tehnice constă în descrierea metodologiilor, metodelor şi mijloacelor de asigurare a securităţii în procesul de prestare a serviciilor publice în spaţiul informaţional al Republicii Moldova, precum şi îndeplinirea cerinţelor de securitate stabilite în acordurile cu beneficiarii şi utilizatorii serviciilor şi în legislaţia în vigoare a Republicii Moldova, şi în asigurarea nivelului minim adoptat de asigurare a securităţii informaţionale în procesul prestării serviciilor publice.
Asigurarea securităţii informaţionale a procesului de prestare a serviciilor publice în Republica Moldova este o parte componentă a politicii de stat în formarea societăţii informaţionale, în ridicarea eficienţei autorităţilor administraţiei publice şi în asigurarea nivelului înalt al calităţii pentru sistemul de prestare a serviciilor publice.
Prezenta reglementare tehnică se aplică în scopul managementului şi asigurării securităţii resurselor şi sistemelor informaţionale, mijloacelor hardware şi software, precum şi a mijloacelor de telecomunicaţii care participă în procesul de prestare a serviciilor publice, încălcarea securităţii cărora poate duce la cauzarea unui prejudiciu esenţial utilizatorilor de servicii publice, societăţii şi statului.
2. Baza juridico-normativă
Prezenta reglementare tehnică este elaborată în baza următoarelor acte legislative ale Republicii Moldova:
- Legea Republicii Moldova „Privind accesul la informaţie” nr. 982-XIV din 11.05.2000;
- Legea Republicii Moldova „Cu privire la evaluarea conformităţii produselor” nr. 186 din 24.04.2003;
- Legea Republicii Moldova „Cu privire la informatizare şi la resursele informaţionale de stat” nr. 467-XV din 21.11.2003;
- Legea Republicii Moldova „Cu privire la documentul electronic şi semnătura digitală” nr. 264-XV din 15.07.2004;
- Legea Republicii Moldova „Privind comerţul electronic” nr. 284-XV din 22.07.2004;
- Legea Republicii Moldova „Privind activitatea de reglementare tehnică” nr. 420-XVI din 22.12.2006;
- Legea Republicii Moldova „Cu privire la protecţia datelor cu caracter personal” nr. 17-XVI din 15.02.2007;
- Legea Republicii Moldova „Cu privire la registre” nr. 71-XVI din 22.03.2007;
- Legea Republicii Moldova „Cu privire la secretul de stat” nr. 245 din 27.11.2008.
3. Terminologie
În prezenta reglementare sînt utilizaţi următorii termeni:
Acces autorizat la informaţie - accesul la informaţie ce nu încalcă regulile cu privire la delimitarea accesului.
Acces neautorizat - obţinerea de către persoana interesată a informaţiei protejate cu încălcarea actelor normative stabilite sau de către proprietarul informaţiei cu încălcarea drepturilor sau regulilor de acces la informaţia protejată.
Acord cu privire la nivelul de deservire – acord încheiat în formă scrisă între furnizorul de servicii şi solicitant (solicitanţi), în care sînt descrise nivelurile convenite de deservire cu privire la un serviciu anumit.
Algoritm - recomandare exactă cu privire la succesivitatea determinată a acţiunilor pentru atingerea scopului propus prin efectuarea paşilor concreţi.
Algoritmele cifrării asimetrice - algoritmele cifrării în care pentru cifrare şi descifrare sînt utilizate două chei diferite ce se numesc respectiv publică şi privată (cunoaşterea uneia din aceste chei nu face posibilă descoperirea celeilalte chei).
Algoritmele cifrării simetrice - algoritmele cifrării în care pentru cifrare şi descifrare este utilizată una şi aceeaşi cheie sau cheia descifrării poate fi uşor obţinută din cheia cifrării.
Algoritm criptografic - algoritmul transformării datelor complet sau parţial secrete şi care utilizează un set de parametri secreţi în procesul de lucru.
Arhitectura sistemului informaţional - un set de decizii cheie în organizarea sistemului informaţional precum şi un set de elemente şi interfeţe structurale din care constă acest sistem, împreună cu comportamentul descris în noţiunile de cooperare a acestor elemente.
Atestarea - forma evaluării conformităţii procesului de exploatare a sistemului informaţional cu cerinţele securităţii.
Autenticitate - calitate a datelor de a fi autentice care constă în faptul că datele au fost create de participanţi legali la procesul informaţional, iar datele nu au fost supuse unor denaturări ocazionale sau intenţionate.
Cerinţe de securitate - cerinţe înaintate faţă de tehnologiile informaţionale, realizarea cărora asigură confidenţialitatea, integritatea şi disponibilitatea informaţiei.
Cheie criptografică - parametru utilizat de algoritmul criptografic.
Cifrare - proces de transformare a datelor publice în date cifrate cu ajutorul codului (cifrului).
Confidenţialitate - asigurarea accesului la informaţie doar pentru utilizatorii autorizaţi.
Configuraţie - totalitatea obiectelor sistemului informaţional.
Descifrare - proces de transformare a datelor cifrate în date deschise cu ajutorul cifrului.
Disponibilitate - asigurarea accesului la informaţie şi la resursele legate de aceasta pentru utilizatorii autorizaţi, în măsura necesităţii.
Ecranare - mijloc de delimitare a accesului clienţilor dintr-o multitudine la serverele din altă multitudine în vederea controlării fluxurilor informaţionale.
Evaluarea riscurilor - evaluarea pericolelor, consecinţelor acestora, a vulnerabilităţii informaţiei şi a mijloacelor de procesare a informaţiei, precum şi a probabilităţii de survenire a acestora.
Gestionarea discretă (selectivă) a accesului - delimitarea accesului între persoane şi obiectele nominalizate. Persoana cu un anumit drept de acces poate transmite acest drept oricărei alte persoane.
Hardware - echipament utilizat pentru introducerea, procesarea şi scoaterea datelor în sistemele informaţionale.
Incident - un eveniment sau o succesiune de evenimente nedorite sau inopinate în sistemul de protecţie a informaţiei capabile într-o mare măsură să compromită operaţiile standard şi să pună în pericol protecţia informaţiei.
Infrastructură bazată pe chei publice - totalitate de mijloace hardware şi software, politici, proceduri şi obligaţiuni legale care asigură implementarea şi funcţionarea sistemelor criptografice de chei publice bazate pe certificatele de asigurare a securităţii mesajelor (confidenţialitate, integritate, autenticitate, negare) din ambele direcţii.
Infrastructura TI – totalitate de centre informaţionale de calcul, de bănci de date şi de cunoştinţe din sistemul automatizat integrat de telecomunicaţii şi de organizare care asigură utilizatorilor condiţii generale de acces la informaţia păstrată.
Integritate - păstrarea acurateţei şi completitudinii informaţiilor, precum şi metodelor de procesare.
Managementul accesului prin mandat este bazată pe compararea menţiunilor privind confidenţialitatea informaţiei ce se conţine în obiecte (fişiere, mape, desene) şi accesul oficial al persoanei la informaţia cu nivelul confidenţial corespunzător.
Mediul funcţionării - mediul în care funcţionează sistemul informaţional.
Menţiunea privind sensibilitatea - anumite marcaje ale resurselor şi sistemelor informaţionale, cum sînt de exemplu, gradul de secretizare, categoriile.
Mijloace de asigurare a securităţii - mijloace hardware şi software care realizează ansamblul de funcţii ce asigură îndeplinirea cerinţelor privind protecţia informaţiei şi controlul eficienţei protecţiei informaţiei.
Mijloc de gestionare a configuraţiilor - produs software
ce asigură menţinerea automatizată a modificărilor, configuraţiilor şi controlului versiunilor.
Mijloc de protecţie criptografică a informaţiei - mijloace hardware şi software, sisteme şi complexe ce
realizează algoritmele transformării criptografice a informaţiei utilizate în scopul protejării integrităţii şi confidenţialităţii informaţiei.
Modul criptografic - ansamblul de software şi hardware sau o anumită combinare a acestora, care realizează logica criptografică sau procesele de protecţie, inclusiv algoritmele criptografice sau generarea cheilor, şi care se conţine în interiorul unui anumit volum fizic.
Monitorizare - proces de colectare şi analiză a datelor, de prezentare a rapoartelor cu privire la executarea lucrărilor.
Negare - imposibilitatea de a anula acţiunile executate.
Pachet de autentificare - mecanism de confirmare a autenticităţii identificatorului declarat al utilizatorului.
Parafă de secretizare - menţiune aplicată pe purtătorul material de informaţii atribuite la secret de stat şi/sau indicată în documentaţia de însoţire a acestuia, care atestă gradul de secretizare a informaţiilor conţinute de purtător.
Pericol - totalitatea evenimentelor şi acţiunilor potenţial posibile, a căror producere cauzează prejudicii resurselor informaţionale sau infrastructurii informaţionale.
Prestarea serviciilor publice – ansamblu de procese interconexe orientate spre realizarea scopurilor – interacţiunea dintre subiecţii guvernării electronice care se desfăşoară pe două circuite distincte - conturul intern şi conturul extern, care comunică între ele prin intermediul portalului guvernamental.
Politica de management a accesului - reguli de acordare a accesului la sistemele şi reţelele computerizate pentru anumiţi utilizatori.
Politica de securitate a informaţiei - un set de reguli şi proceduri recomandate instituţiei pentru protecţia datelor sensibile.
Profilul protecţiei - document cu o structură riguroasă, în care sînt prevăzute cerinţele securităţii pentru o anumită clasă de mijloace software.
Proprietarul resurselor şi sistemelor informaţionale, al tehnologiilor şi mijloacelor de asigurare a acestora - subiectul care exercită dreptul de posesiune, folosinţă şi dispoziţie asupra obiectelor indicate şi realizează împuternicirile de administrare în limitele stabilite de legislaţia în vigoare.
Protecţia datelor - totalitate de activităţi tehnico-organizaţionale, de mijloace software şi hardware şi acte normative, utilizate pentru păstrarea confidenţialităţii, integrităţii şi accesibilităţii informaţiei, precum şi pentru asigurarea negării.
Protecţie criptografică - protecţia proceselor informaţionale împotriva tentativelor orientate spre abaterea proceselor informaţionale de la condiţiile normale de desfăşurare.
Risc - influenţare interioară sau exterioară asupra sistemului, care poate să acţioneze negativ asupra domeniului proiectului sau poate să ducă la eşuarea acestuia.
Resursă – totalitate a bunurilor care aparţin unei întreprinderi sau instituţii (resursele informaţionale, tehnice, software şi alte resurse care intră în componenţa sistemelor informaţionale).
Securitatea sistemelor informaţionale - stare a sistemelor informaţionale ce asigură utilizarea securităţii la obiectele exploatate la care lipseşte riscul inadmisibil legat de cauzarea prejudiciului persoanei, societăţii şi statului.
Serviciu public – serviciu care generează trei tipuri de interacţiuni între părţile componente ale guvernării electronice: interacţiunea „Guvern - Cetăţean” (G2C); interacţiunea „Guvern – Business” (G2B); interacţiunea „Guvern – Guvern” (G2G) cu subcategoria interacţiunea dintre Guvern şi angajaţii acestuia (G2E).
Sistem informaţional - totalitate de mijloace software şi hardware destinate colectării, procesării, păstrării şi furnizării informaţiei şi resurselor informaţionale în vederea susţinerii procesului de adoptare a deciziilor, gestionare şi sporire a transparenţei în cadrul organizaţiei.
Software - totalitatea programelor sistemului de procesare a informaţiei şi a documentelor de program, necesare pentru exploatarea acestor programe.
Tunelare - utilizarea unui protocol special cu ajutorul căruia două oficii la distanţă organizează între ele un tunel (şedinţă de legătură) sigur, în rezultatul căruia datele se transmit între reţele.
Vulnerabilitate - punctul slab din sistem, a cărui utilizare poate provoca funcţionarea neadecvată a sistemului.
4. Scopurile, sarcinile şi principiile de management al securităţii în procesul de prestare a serviciilor publice
Asigurarea securităţii informaţionale este un proces continuu care constă în fundamentarea şi realizarea celor mai raţionale forme, metode, procedee şi căi de formare, perfecţionare şi dezvoltare a sistemelor de securitate, în administrarea neîntreruptă, controlul, depistarea zonelor limitate şi vulnerabile, precum şi a pericolelor potenţiale.
Securitatea informaţională reprezintă starea de protecţie a informaţiei şi infrastructurii de susţinere la toate etapele proceselor de creare, procesare, transmitere şi protecţie împotriva unor acţiuni ocazionale sau intenţionate, cu caracter natural sau artificial, care pot cauza prejudicii procesului de prestare a serviciilor publice.
Securitatea informaţională trebuie să fie asigurată prin intermediul utilizării complexe a tuturor mijloacelor de protecţie pentru toate elementele de structură ale sistemului şi componentele infrastructurii TI şi la toate etapele ciclului tehnologic ale activităţii acestuia. Pentru a atinge nivelul optim al managementului securităţii informaţionale este necesar de utilizat toate mijloacele, metodele şi activităţile în calitate de mecanism integru unic.
Sistemul securităţii informaţionale reprezintă un ansamblu organizat de măsuri, mijloace, metode şi activităţi legislative, organizaţionale şi economice ce asigură securitatea informaţională.
Scopul sistemului securităţii informaţionale în procesul de prestare a serviciilor publice constă în prevenirea divulgării, pierderii, scurgerii, denaturării şi distrugerii informaţiei, dereglării activităţii sistemului de prestare a serviciilor publice.
Subiectul protecţiei în procesul de prestare a serviciilor publice îl constituie resursele informaţionale şi SI, inclusiv şi cele cu acces limitat, ce constituie secret de serviciu şi de stat, amplasate pe bază magnetică şi/sau optică, masivele informaţionale şi bazele de date, software-ul, cîmpurile fizice informative de natură diferită.
Obiectul protecţiei prestării serviciilor publice sînt mijloacele şi sistemele de informatizare (sistemele automatizate şi reţelele de calcul de diferite niveluri şi destinaţii, liniile de telecomunicaţii, mijloacele tehnice de transmitere a informaţiei, mijloacele de multiplicare şi reflectare a informaţiei, mijloacele şi sistemele tehnice auxiliare), mijloacele tehnice şi sistemele de pază şi protecţie a resurselor şi sistemelor informaţionale.
Securitatea resurselor informaţionale şi a SI caracterizează o stare a resurselor informaţionale şi a SI care susţine infrastructura acestora, în cadrul căreia trebuie asigurată, cu probabilitatea necesară, protecţia informaţiei în procesul de prestare a serviciilor împotriva scurgerii, acţiunilor neautorizate şi nepremeditate.
Asigurarea securităţii informaţionale reprezintă o abordare multidimensională pentru instituţia ce prestează servicii publice. Asigurarea securităţi informaţionale trebuie să fie realizată în cadrul a patru nivele:
- nivelul legislativ (legi, acte normative, standarde);
- nivelul administrativ (acţiuni cu caracter general întreprinse de conducere);
- nivelul procedural (măsuri concrete de securitate care implică nemijlocit populaţia);
- nivelul tehnic (măsuri tehnice concrete).
În procesul prestării serviciilor publice pentru asigurarea securităţii resurselor informaţionale este necesar de asigurat cel puţin trei aspecte ale securităţii:
- confidenţialitate – asigurarea accesibilităţii informaţiei numai celor autorizaţi să aibă acces;
- integritate – păstrarea acurateţei şi completitudinii informaţiilor, precum şi metodelor de procesare;
- disponibilitate – asigurarea faptului că utilizatorii autorizaţi au acces la informaţie, precum şi la resursele asociate, atunci cînd este necesar.
4.1. Scopurile asigurării securităţii informaţionale
Scopurile asigurării securităţii informaţionale în procesul prestării serviciilor constau în asigurarea integrităţii şi confidenţialităţii informaţiei, protecţia şi garantarea disponibilităţii, veridicităţii şi integrităţii informaţiei, evitarea scurgerii de informaţie, minimalizarea prejudiciilor cauzate de evenimentele care reprezintă un pericol pentru securitatea informaţională.
Pentru a asigura securitatea informaţională în procesul de prestare a serviciilor publice este necesar de realizat următoarele scopuri:
- asigurarea confidenţialităţii informaţiei în conformitate cu clasificarea realizată;
- asigurarea integrităţii informaţiei la toate etapele şi a proceselor aferente acesteia (crearea, procesarea, păstrarea, transmiterea şi distrugerea) în procesul de prestare a serviciilor publice;
- asigurarea oportună a disponibilităţii informaţiei în procesul de prestare a serviciilor publice;
- asigurarea supravegherii, orientate spre înregistrarea oricărei activităţi a utilizatorilor şi proceselor;
- asigurarea autenticităţii şi negării al tranzacţiilor şi acţiunilor întreprinse de participanţii la procesul de prestare a serviciilor publice;
- evidenţa tuturor proceselor şi evenimentelor privind introducerea, procesarea, păstrarea, furnizarea şi distrugerea informaţiei.
4.2. Sarcinile sistemului securităţii informaţionale
Pentru a realiza scopurile asigurării securităţii în procesul de prestare a serviciilor publice este necesar de îndeplinit următoarele sarcini:
- identificarea resurselor şi sistemelor informaţionale şi clasificarea acestora în funcţie de valoarea şi importanţa acestora în procesul de prestare a serviciilor publice (componentele analizei trebuie să includă date, aplicaţii, tehnologii, mijloace de telecomunicaţii şi hardware, încăperi, resurse umane etc.);
- identificarea pericolelor securităţii informaţionale şi determinarea surselor potenţiale de pericole pentru fiecare resursă şi sistem informaţional;
- identificarea punctelor vulnerabile pentru fiecare pericol identificat;
- evaluarea riscurilor pentru resursele şi sistemele informaţionale identificate;
- selectarea activităţilor de management a securităţii informaţionale în baza analizei corelaţiei dintre costul realizării lor, pe de o parte, şi efectul diminuării riscurilor şi prejudiciile potenţiale în caz de încălcare a securităţii, pe de altă parte;
- elaborarea şi implementarea mecanismelor şi măsurilor de reacţionare operativă la pericolele securităţii informaţionale şi manifestarea tendinţelor negative în funcţionarea resurselor şi sistemelor informaţionale de prestare a serviciilor publice;
- elaborarea şi implementarea sistemului de controale care să permită funcţionarea eficientă a mecanismului şi a măsurilor de asigurare a securităţii;
- organizarea procesului de reprimare eficientă a atentatelor asupra resurselor si sistemelor informaţionale;
- organizarea procesului de asigurare a continuităţii prestării serviciilor şi crearea condiţiilor pentru compensarea maximal posibilă şi localizarea prejudiciului cauzat prin intermediul acţiunilor nelegitime cauzate de persoane fizice şi juridice, diminuarea impactului negativ al efectelor încălcării securităţii informaţionale;
- organizarea procesului de asigurare a securităţii în caz de existenţă a furnizorilor de servicii care au acces la resursele şi sistemele informaţionale în procesul de prestare a serviciilor publice.
4.3. Principiile de asigurare a securităţii informaţionale
Sistemul de asigurare a securităţii informaţionale în procesul de prestare a serviciilor publice trebuie să fie creat pe următoarele principii:
- principiul echirezistenţei – prevede asigurarea protecţiei echipamentului, software-ului şi sistemelor de administrare împotriva tuturor tipurilor de pericole;
- principiul continuităţii – prevede asigurarea continuă a securităţii resurselor informaţionale, SI pentru prestarea continuă a serviciilor publice;
- principiul suficienţei rezonabile – prevede aplicarea unor măsuri şi mijloace de protecţie rezonabile, raţionale şi care implică cheltuieli ce nu depăşesc costul încălcărilor securităţii informaţionale;
- principiul complexităţii - pentru asigurarea securităţii cu ajutorul întregii diversităţi de elemente de structură, pericole şi canale de acces neautorizat trebuie aplicate toate tipurile şi formele de protecţie în volum deplin (este inadmisibilă utilizarea unor forme sau mijloace tehnice separate);
- principiul controlului complex - efectuarea cercetărilor şi controalelor speciale, analizei inginereşti speciale a echipamentului, cercetărilor de verificare a software-ului, este necesar de realizat monitorizarea continuă a mesajelor de avarie şi a parametrilor erorilor, este necesar de efectuat testarea permanentă a hardware-ului şi software-ului precum şi controlul integrităţii mijloacelor software atît în procesul încărcării mijloacelor software, cît şi în procesul de funcţionare a acestora;
- principiul fiabilităţii - metodele, mijloacele şi formele de protecţie trebuie să asigure blocarea sigură a tuturor căilor de pătrundere şi a canalelor eventuale de scurgere a informaţiei, în acest scop, este permisă dublarea mijloacelor şi măsurilor de securitate;
- principiul universalităţii - măsurile de securitate trebuie să blocheze căile de pericol indiferent de locul acţiunii lor posibile;
- principiul planificării - planificarea trebuie să se efectueze prin elaborarea detaliată a planurilor de acţiuni cu privire la asigurarea protecţiei informaţionale a tuturor componentelor sistemului de prestare a serviciilor publice;
- principiul managementului centralizat - în cadrul unei structuri determinate trebuie asigurată autonomia organizatorico-funcţională a procesului de asigurare a securităţii în procesul de prestare a serviciilor publice;
- principiul orientării spre realizarea scopului - este necesar de protejat ceea ce trebuie să fie protejat în interesul unui scop anumit;
- principiul activităţii - măsurile de protecţie pentru asigurarea securităţii activităţii procesului de prestare a serviciilor trebuie să fie realizate cu un grad de insistenţă suficientă;
- principiul calificării personalului de deservire - echipamentul trebuie să fie deservit de colaboratori instruiţi nu numai în probleme de exploatare tehnică, dar şi în problemele tehnice privind asigurarea securităţii informaţiei;
- principiul responsabilităţii - responsabilitatea pentru asigurarea securităţii informaţionale trebuie stabilită într-un mod clar, transmisă personalului corespunzător şi aprobată de toţi participanţii la procesul de asigurare a securităţi informaţionale.
5. Metodologia managementului securităţii informaţiei în procesul de prestare a serviciilor publice
Metodologia managementului securităţii informaţiei în procesul de prestare a serviciilor publice cuprinde următoarele etape:
- elaborarea şi menţinerea politicii de securitate a informaţiei;
- managementul riscurilor;
- securitate organizaţională;
- clasificarea resurselor şi organizarea mediului de control;
- securitatea personalului;
- securitatea fizică;
- managementul comunicaţiilor şi activităţii operaţionale a tehnologiilor informaţionale (TI);
- controlul accesului;
- elaborarea şi mentenanţa SI;
- managementul continuităţii activităţii;
- conformitatea;
- managementul securităţii informaţiei la atragerea organizaţiilor terţe.
5.1. Elaborarea şi menţinerea politicii de securitate a informaţiei
Scopul politicii de securitate a informaţiei constă în asigurarea soluţionării problemelor de securitate a informaţiei şi implicarea conducerii de vîrf în procesul respectiv.
Politica de securitate a informaţiei reprezintă cel mai important document în sistemul de management al securităţii instituţiei şi este unul din mecanismele cheie ale securităţii, în baza căruia urmează să fie edificat întregul sistem de măsuri şi mijloace de asigurare a securităţii în procesul de prestare a serviciilor publice.
În procesul de elaborare şi menţinere a politicii de securitate a informaţiei este necesar de respectat următoarele cerinţe:
- politica de securitate a informaţiei instituţiei trebuie să fie elaborată şi realizată de conducerea de vîrf prin determinarea unei poziţii clare în soluţionarea problemelor de securitate;
- politica de securitate a informaţiei trebuie să stabilească responsabilitatea conducerii, precum şi să specifice metoda de abordare a managementului securităţii de către instituţie;
- politica de securitate a informaţiei trebuie să includă în mod obligatoriu următoarele:
1) determinarea securităţii, scopurilor şi sferei sale de acţiune, precum şi dezvăluirea importanţei securităţii în calitate de instrument de asigurare a posibilităţii de utilizare în comun a informaţiei;
2) specificarea scopurilor şi principiilor securităţii formulate de conducere;
3) specificarea succintă a politicilor de securitate a informaţiei, a principiilor, regulilor şi cerinţelor celor mai importante pentru instituţie;
4) determinarea obligaţiilor generale şi concrete ale colaboratorilor în cadrul managementului securităţii, inclusiv informarea privind incidentele de încălcare a securităţii;
5) referinţele la documentele ce completează politica de securitate a informaţiei, de exemplu politicile şi procedurile mai detaliate ale securităţii pentru SI concrete, precum şi regulile de securitate care trebuie respectate de către utilizatori;
- politica de securitate a informaţiei trebuie să fie aprobată, emisă şi adusă la cunoştinţa tuturor colaboratorilor instituţiei în modul corespunzător în formă accesibilă şi comprehensibilă;
- este necesar de desemnat persoana responsabilă de politica de securitate a informaţiei, care să fie responsabilă de realizarea şi revizuirea politicii cel puţin o dată în an;
- revizuirile periodice trebuie să includă:
1) verificarea eficienţei politicii, reieşind din natura, numărul şi consecinţele incidentelor de încălcare a securităţii înregistrate;
2) determinarea costului activităţilor de management a securităţii şi influenţa acestora asupra eficienţei executării proceselor;
3) evaluarea impactului modificărilor în TI.
O politică de securitate a informaţiei eficientă trebuie să stabilească un set necesar şi suficient de cerinţe ale securităţii, care să permită diminuarea riscurilor securităţii pînă la un nivel acceptabil. Cerinţele respective trebuie să fie stabilite în funcţie de particularităţile proceselor din cadrul instituţiei ce prestează servicii publice, trebuie să fie susţinute de conducere, să fie asimilate pozitiv şi îndeplinite de colaboratorii instituţiei.
În planul de asigurare a securităţii sînt stabilite toate acţiunile privind realizarea scopurilor asigurării securităţii, implementarea complexului de hardware şi software şi sînt determinate procedurile de perfecţionare a procesului de asigurare a securităţii, de desfăşurare a instructajelor şi seminarelor de instruire şi ridicare a nivelului de informare a personalului.
Cerinţele privind planul de asigurare a securităţii în procesul de prestare a serviciilor publice trebuie să includă următoarele:
- cerinţe privind planul de asigurare a securităţii:
1) este necesar de elaborat şi de realizat planul de asigurare a securităţii în procesul de prestare a serviciilor;
2) planul de asigurare a securităţii trebuie să conţină o prezentare succintă a cerinţelor de securitate la prestarea serviciilor şi o descriere a măsurilor şi mijloacelor de asigurare a securităţii aplicate sau planificate pentru a fi implementate în vederea îndeplinirii cerinţelor respective;
3) planul de asigurare a securităţii trebuie să fie examinat şi aprobat de persoanele cu funcţii de răspundere corespunzătoare;
4) planul de asigurare a securităţii trebuie să fie revizuit şi corectat periodic, luîndu-se în consideraţie modificările în sistemul de prestare a serviciilor publice sau problemele apărute în procesul realizării acestuia, şi evaluarea eficienţei măsurilor şi mijloacelor de asigurare a securităţii;
- cerinţe privind regulile de comportare a personalului care participă la procesul de prestare a serviciilor publice:
1) este necesar de stabilit regulile de comportament al personalului cu privire la asigurare securităţii;
2) regulile de comportament trebuie să caracterizeze obligaţiile personalului şi acţiunile aşteptate din partea acestuia în privinţa asigurării securităţii;
3) trebuie depusă, din partea fiecărui specialist, o confirmare în scris a faptului că acesta a luat cunoştinţă şi este de acord să respecte regulile de comportament stabilite.
5.2. Managementul riscurilor
Managementul riscurilor reprezintă un proces de identificare, control şi minimalizare sau eliminare a riscurilor securităţii care influenţează asupra resurselor şi sistemelor informaţionale ce participă la procesul de prestare a serviciilor publice, în limitele unor cheltuieli admisibile.
Managementul riscurilor trebuie să includă următoarele etape:
- determinarea domeniului şi limitelor procesului de management al riscurilor;
- analiza şi evaluarea riscurilor;
- selectarea şi implementarea măsurilor şi mijloacelor de minimalizare a riscurilor;
- monitorizarea procesului de gestionare a riscurilor şi a eficienţei activităţilor selectate pentru reducerea riscului.
Managementul riscurilor trebuie să corespundă următoarelor cerinţe:
- este necesar de elaborat, de documentat şi de actualizat periodic politica de management al riscurilor, precum şi procedurile şi măsurile legate de realizare a acestei politici;
- este necesar de evaluat riscurile şi prejudiciul potenţial care poate fi cauzat în rezultatul accesului neautorizat, utilizării, divulgării, modificării sau distrugerii resurselor şi sistemelor informaţionale;
- este necesar de reevaluat riscurile la anumite intervale stabilite sau după introducerea unor modificări esenţiale în cadrul sistemului informaţional de prestare a serviciilor publice;
- cerinţele privind cercetarea pericolelor şi vulnerabilităţilor:
1) este necesar de identificat pericolele şi vulnerabilităţile noi la intervale stabilite;
2) cercetarea pericolelor şi vulnerabilităţilor trebuie să fie efectuată cu ajutorul unor metodici şi mijloace instrumentale speciale;
3) mijloacele instrumentale destinate cercetării pericolelor şi vulnerabilităţilor trebuie să ofere posibilitatea actualizării listelor de pericole şi vulnerabilităţi;
4) listele de pericole şi vulnerabilităţi trebuie să fie actualizate la intervale stabilite.
5.2.1. Determinarea domeniului şi limitelor procesului de management al riscurilor
La etapa respectivă este necesar de determinat domeniul de aplicare a managementului riscurilor, adică de stabilit categoriile de resurse şi procese interne în cadrul instituţiei, care vor fi examinate în decursul procesului respectiv, precum şi de stabilit nivelul de detaliere în determinarea riscurilor.
5.2.2. Analiza şi evaluarea riscurilor
Utilizarea sistemului de prestare a serviciilor este legată de o anumită totalitate de riscuri.
Analiza riscurilor reprezintă un proces de identificare a factorilor capabili să afecteze negativ procesul de prestare a serviciilor publice. Scopul acestui proces constă în stabilirea punctelor vulnerabile privind resursele din sistemul de prestare a serviciilor, a căror utilizare poate duce la încălcarea securităţii prestării serviciilor publice.
Evaluarea riscurilor reprezintă analiza sistematică a:
- prejudiciului probabil care poate fi cauzat în rezultatul dereglărilor în protecţie, luîndu-se în consideraţie consecinţele posibile ca urmare a pierderii confidenţialităţii, integrităţii sau disponibilităţii informaţiei şi a altor resurse;
- probabilităţii survenirii unei asemenea încălcări, luîndu-se în consideraţie pericolele şi punctele vulnerabile existente, precum şi măsurile şi mijloacele de asigurare a securităţii.
Pentru a controla eficienţa procesului de prestare a serviciilor publice, procesul de analiză şi evaluare a riscurilor trebuie să fie efectuat periodic, cel puţin o dată în an, prin aplicarea metodei de abordare a evaluării proporţiilor riscurilor.
Pentru a stabili conţinutul pericolelor şi al punctelor vulnerabile, este necesar de utilizat următoarele surse:
- rezultatele analizei conformităţii măsurilor şi mijloacelor aplicate de asigurare a securităţii cu cerinţele stabilite ale securităţii;
- surse publicate şi electronice ce conţin pericole şi puncte vulnerabile cunoscute ale mijloacelor de asigurare a securităţii;
- rezultatul funcţionării mijloacelor automatizate de identificare a pericolelor şi vulnerabilităţilor;
- rezultatele testării mijloacelor automatizate de asigurare a securităţii.
Este necesar de efectuat analiza şi evaluarea periodică a riscurilor securităţii şi a mijloacelor realizate de control pentru asigurarea:
- evidenţei modificărilor în cerinţele şi priorităţile instituţiei;
- luării în consideraţie a apariţiei pericolelor şi punctelor vulnerabile noi;
- garanţiei că mijloacele de asigurare a securităţii şi de control funcţionează eficient.
Analiza riscurilor trebuie efectuată la diferite niveluri în profunzime, în funcţie de rezultatele evaluărilor precedente şi de nivelurile ce variază ale riscurilor, al căror nivel este acceptabil pentru conducere.
Evaluările riscurilor trebuie efectuate iniţial la un nivel înalt în calitate de mijloace de stabilire a priorităţilor resurselor în zonele de risc sporit, iar ulterior la un nivel mai detaliat în vederea examinării riscurilor mai specifice.
Importanţa riscului condiţionat de realizarea pericolului trebuie stabilită ca funcţie a probabilităţii de survenire a prejudiciului în privinţa persoanelor fizice sau juridice, proprietăţii de stat, care poate fi cauzat în rezultatul neexecutării funcţiilor atribuite sistemelor de prestare a serviciilor şi al încălcării condiţiilor de exploatare a acestora.
Importanţa riscului încălcării securităţii pentru fiecare resursă concret trebuie determinată ca importanţă maximală a riscului pentru toate pericolele examinate ale securităţii care se referă la aceasta resursa informaţională.
În procesul de efectuare a analizei este necesar de îndeplinit un complex de acţiuni, după cum urmează:
- identificarea şi evaluarea resurselor (hardware, software, mijloace de telecomunicaţii, resurse şi sisteme informaţionale, mijloace de asigurare a securităţii);
- identificarea şi descrierea pericolelor, punctelor vulnerabile şi a mijloacelor de asigurare a securităţii şi de control. La identificarea pericolelor securităţii trebuie identificate toate pericolele securităţii existente şi potenţiale de următoarele categorii:
1) obiective şi subiective;
2) interne şi externe;
3) ocazionale şi premeditate.
Descrierea pericolului securităţii trebuie să includă următoarele:
1) sursa pericolului;
2) mijlocul (metoda) de realizare a pericolului;
3) punctul vulnerabil utilizat;
4) tipul resurselor protejate asupra cărora influenţează pericolul;
5) tipul de influenţă asupra resurselor;
6) caracteristica securităţii resurselor care este încălcată.
- determinarea probabilităţii pericolului şi a impactului asupra confidenţialităţii, integrităţii, disponibilităţii şi veridicităţii. La stabilirea probabilităţii realizării pericolului trebuie de luat în consideraţie următoarele:
1) motivaţia, competenţa sursei pericolului şi resursele utilizate de acesta;
2) puncte vulnerabile existente;
3) existenţa şi eficienţa măsurilor şi mijloacelor de asigurare a securităţii;
- evaluarea riscurilor, pregătirea recomandărilor privind contracararea acestora. Nivelul prejudiciului condiţionat de realizarea pericolului trebuie determinat ca nivel maxim al prejudiciului pentru caracteristicile încălcate, prin realizarea pericolului, ale securităţii informaţiei procesate în sistemul de prestare a serviciilor;
- elaborarea politicii şi documentaţiei corespunzătoare privind analiza, evaluarea şi managementul riscurilor.
Cerinţele privind protecţia trebuie identificate pe calea evaluării metodice a riscurilor pentru securitate. Metodele de evaluare a riscurilor pot fi aplicate în privinţa instituţiei în totalitate sau a unor secţiuni din cadrul ei, precum şi în privinţa unor SI separate, componente specifice de sistem sau servicii, atunci cînd acest lucru este practic realizabil sau necesar.
Rezultatele acestei evaluări trebuie să fie utilizate la determinarea sau selectarea direcţiei acţiunii corespunzătoare de administrare privind asigurarea securităţii, la stabilirea priorităţilor protecţiei informaţiei şi la realizarea mijloacelor de asigurare a securităţii şi de control;
5.2.3. Selectarea şi implementarea măsurilor şi mijloacelor de minimalizare a riscurilor
5.2.3.1. Selectarea măsurilor şi mijloacelor de minimalizare a riscurilor
După efectuarea analizei şi evaluării riscurilor este necesar de adoptat o decizie privind selectarea măsurilor şi mijloacelor de minimalizare a riscurilor pînă la un nivel admisibil, aprobat de conducere.
La adoptarea deciziei privind selectarea măsurilor şi mijloacelor de asigurare a securităţii şi controlului este necesar de luat în consideraţie următorii factori:
- cheltuielile privind implementarea şi mentenanţa măsurilor şi mijloacelor de asigurare a securităţii;
- politica de management al instituţiei;
- simplitatea realizării soluţiilor selectate.
Ţinîndu-se cont de faptul că securitatea în procesul de prestare a serviciilor poate fi asigurată cu ajutorul diferitor combinaţii de măsuri şi mijloace organizaţionale şi tehnice, ansamblul de măsuri şi mijloace concrete de asigurare a securităţii trebuie selectat pe baza minimalizării cheltuielilor organizaţionale, tehnice şi financiare privind realizarea SI de prestare a serviciilor publice.
Măsurile de minimalizare a riscurilor trebuie să includă:
- diminuarea riscului - riscul este considerat inadmisibil. Pentru diminuarea acestuia este necesar de selectat şi de realizat măsuri şi mijloace corespunzătoare de asigurare a securităţii şi controlului;
- transferul riscului - riscul este considerat inadmisibil şi în anumite condiţii trebuie să fie transferat către o organizaţie terţă (de exemplu, în caz de asigurare sau externalizare);
- acceptarea riscului – riscul în cazul respectiv este considerat admisibil în mod conştient. Instituţia cunoaşte şi acceptă eventualele consecinţe deoarece costul măsurilor de contracarare depăşeşte în mod considerabil pierderile financiare în caz de realizare a pericolului sau este imposibil de identificat măsuri şi mijloace adecvate de asigurare a securităţii şi controlului;
- refuzul riscului – refuzul proceselor în cadrul instituţiei, care constituie cauza riscului sau refuzul serviciilor părţilor terţe în cazul în care ultimii nu sînt în stare să asigure nivelul acceptabil al riscului aferent serviciilor pe care le prestează.
Măsurile şi mijloacele de asigurare a securităţii în procesul de prestare a serviciilor publice trebuie selectate în următoarea consecutivitate:
- analiza măsurilor şi mijloacelor de asigurare a securităţii aplicate;
- suplinirea măsurilor şi mijloacelor de asigurare a securităţii aplicate cu măsuri şi mijloace necesare pentru îndeplinirea cerinţelor stabilite în rezultatul evaluării riscurilor încălcării securităţii;
- evaluarea riscului încălcării securităţii pentru ansamblul selectat de măsuri şi mijloace de asigurare a securităţii;
- precizarea ansamblului selectat de măsuri şi mijloace de asigurare a securităţii, precum şi, în caz de necesitate, a cerinţelor securităţii, în cazul în care nivelul determinat al riscului nu corespunde nivelului admisibil stabilit al riscului de încălcare a securităţii.
După stabilirea măsurilor şi mijloacelor necesare privind minimalizarea riscurilor este necesar de îndeplinit un complex de acţiuni, după cum urmează:
- de stabilit condiţiile şi metodele de funcţionare a mijloacelor de asigurare a securităţii şi controlului, precum şi ale complexului de hardware şi software;
- de setat configuraţii mijloacelor de asigurare a securităţii şi controlului, precum şi complexul de hardware şi software pentru lucru automat sau urmărire de către personal;
- de repartizat responsabilitatea pentru efectuarea verificărilor de control ale funcţionării mijloacelor de asigurare a securităţii şi controlului şi ale complexului de hardware şi software.
Măsurile şi mijloacele de minimalizare a riscurilor trebuie revizuite periodic, cel puţin o dată în an.
5.2.3.2. Implementarea măsurilor şi mijloacelor de minimalizare a riscurilor
Măsurile şi mijloacele de minimalizare a riscurilor trebuie implementate în strictă conformitate cu politica de securitate a informaţiei.
Pentru implementarea măsurilor şi mijloacelor de minimalizare a riscurilor este necesar de:
- stabilit responsabilitatea personală pentru aplicarea măsurilor şi mijloacelor de asigurare a securităţii în procesul de exploatare a sistemului de prestare a serviciilor publice;
- elaborat documentaţia organizatorică şi dispoziţie privind implementarea măsurilor şi mijloacelor de asigurare a securităţii, în care să fie determinate:
1) sarcinile personalului şi utilizatorilor privind aplicarea măsurilor şi mijloacelor de asigurare a securităţii;
2) ordinea acţiunilor în caz de survenire a incidentelor de încălcare a securităţii în procesul de prestare a serviciilor;
3) procedura de control al aplicării măsurilor şi mijloacelor de asigurare a securităţii.
Mijloacele de asigurare a securităţi trebuie setate pe baza SI de prestare a serviciilor publice complet desfăşurat şi disponibil de a fi exploatat.
După implementarea măsurilor şi mijloacelor de asigurare a securităţii este necesar de efectuat verificări şi testări de control în vederea stabilirii corectitudinii realizării şi eficienţei acestora în calitate de contracarare a pericolelor securităţii.
Toate deciziile privind selectarea şi implementarea măsurilor şi mijloacelor referitoare la gestionarea riscurilor trebuie să fie înregistrate şi documentate; aceste decizii trebuie să garanteze faptul că riscurile sînt diminuate pînă la nivelul admisibil.
5.2.4. Monitorizarea procesului de management al riscurilor şi a eficienţei activităţilor selectate de minimalizare a riscurilor
Monitorizarea managementului riscurilor presupune analiza rezultatelor activităţilor de reducere a nivelului riscurilor identificate. La această etapă trebuie stabilite mecanismele de evaluare şi control al eficienţei managementului software-ului, proiectelor şi resurselor în limitele deciziilor adoptate în privinţa riscurilor.
În decursul monitorizării procesului de management al riscurilor şi a eficienţei măsurilor de minimalizare a riscurilor este necesar de îndeplinit un complex de acţiuni:
- de creat sistemul de monitorizare a riscurilor identificate şi a activităţilor de diminuare a acestora;
- de verificat eficienţa activităţilor şi lucrărilor de minimalizare a riscurilor;
- de identificat modificările riscurilor pentru instituţie la introducerea modificărilor în legislaţia naţională, apariţia tehnologiilor noi de prestare a serviciilor, modificare a structurii organizaţionale şi a împuternicirilor instituţiei, aplicare a noilor SI şi TI.;
- de edificat un sistem unic de informare despre modificări cu un proces adecvat de gestionare a modificărilor;
- de stabilit nivelul de corespundere a procesului curent de management al riscurilor cu mecanismele existente;
- de determinat mecanismul păstrării informaţiei de lucru examinate în procesul de gestionare a riscurilor.
În calitate de mijloace de monitorizare a procesului de management al riscurilor este necesar de îndeplinit următoarele acţiuni:
- de aplicat măsuri de ordin tehnic – monitorizarea, analiza registrelor de sistem şi a efectuării verificărilor în vederea pregătirii rapoartelor pentru a fi prezentate conducerii;
- de efectuat analiza din partea conducerii;
- de efectuat audit intern independent al securităţii informaţionale.
Auditul sistemului de management al riscurilor reprezintă o etapă indispensabilă a monitorizării riscurilor, în decursul căreia este necesar de examinat următoarele:
- eficienţa mijloacelor de telecomunicaţii din interiorul şi din exteriorul instituţiei;
- eficienţa utilizării mijloacelor alocate pentru activităţile legate de gestionarea riscurilor;
- eficienţa muncii consultanţilor externi şi a părţilor terţe care prestează servicii de externalizare;
- existenţa mecanismelor de reacţionare în caz de situaţii de criză şi eficienţa planului de asigurare a continuităţii activităţii;
- procedurile de manipulare a riscurilor-cheie, existenţa planurilor interne de verificări, elaborate în vederea identificării noilor riscuri şi pericole.
5.3. Securitate organizaţională
Crearea şi implementarea sistemului de asigurare a securităţii în procesul de prestare a serviciilor publice sînt posibile doar în condiţiile determinării clare a responsabilităţilor şi împuternicirilor privind realizarea procesului de management şi asigurare a securităţii.
Subdiviziunile şi anumiţi colaboratori ai instituţiei trebuie să-şi îndeplinească obligaţiile privind asigurarea securităţii în conformitate cu documentele organizatorico-dispozitive elaborate şi aprobate de conducere (dispoziţii, instrucţiuni, obligaţiuni, liste, formulare).
În procesul de stabilire a responsabilităţilor şi atribuţiilor legate de asigurarea securităţii procesului de prestare a serviciilor publice, îndeplinirea următoarelor cerinţe este obligatorie:
- este necesar de determinat rolurile şi obligaţiile specifice privind realizarea şi susţinerea măsurilor şi mijloacelor corespunzătoare privind protecţia resurselor instituţiei;
- conducerea trebuie să asigure confirmarea obligaţiilor sale privind crearea, implementarea, exploatarea, controlul permanent, analiza, menţinerea în stare de lucru şi perfecţionarea sistemului de asigurare a securităţii cu ajutorul unui complex de acţiuni, după cum urmează:
1) elaborarea politicii de securitate, precum şi planurilor de asigurare a securităţii;
2) aducerea la cunoştinţa personalului care participă la procesul de prestare a serviciilor publice a faptului privind importanţa realizării scopurilor de asigurare a securităţii în procesul de prestare a serviciilor publice;
3) asigurarea unui volum suficient de resurse pentru crearea, implementarea, exploatarea, controlul permanent, analiza, menţinerea în stare de lucru şi perfecţionarea sistemului de asigurare a securităţii;
4) adoptarea deciziei privind criteriile de acceptare a riscului şi nivelurile admisibile ale riscului;
- nivelurile de responsabilităţi şi atribuţii trebuie să fie clar determinate şi documentate;
- este necesar de desemnat o persoană responsabilă de managementul securităţii, precum şi de implementarea măsurilor şi mijloacelor de asigurare a securităţii;
- activitatea de protecţie a informaţiei trebuie să fie coordonată de către reprezentanţi ai diferitelor unităţi structurale din cadrul instituţiei, învestiţi cu funcţii şi obligaţii de lucru corespunzătoare;
- conducerea trebuie să solicite de la colaboratori şi părţile terţe asigurarea securităţii procesului de prestare a serviciilor publice în conformitate cu cerinţele de securitate stabilite;
- detaliile responsabilităţii stabilite trebuie să fie fundamentate în documentele organizatorice şi de dispoziţie;
- este necesar de stabilit obligaţiile privind protecţia anumitor resurse şi executarea anumitor procese şi proceduri legate de securitatea procesului de prestare a serviciilor;
- persoana responsabilă de protecţia resurselor respective poate să-şi transmită împuternicirile privind asigurarea securităţii unui alt colaborator al instituţiei sau unei părţi terţe, sub rezerva că împuternicirile transmise se vor realiza în modul corespunzător.
5.4. Clasificarea resurselor şi organizarea mediului de control
Clasificarea resurselor ce urmează să fie supuse protecţiei constituie un element necesar în organizarea lucrărilor de asigurare a securităţii informaţionale a sistemului de prestare a serviciilor publice.
Scopurile procesului de clasificare a resurselor sînt următoarele:
- determinarea şi menţinerea în stare de lucru a unui sistem adecvat şi eficient de protecţie a resurselor în procesul de prestare a serviciilor publice;
- asigurarea unui nivel corespunzător de protecţie a resurselor şi sistemelor informaţionale care participă la procesul de prestare a serviciilor publice.
În procesul de clasificare a resurselor este necesar de îndeplinit următoarele cerinţe:
- toate resursele trebuie să fie luate în consideraţie şi atribuite proprietarilor responsabili;
- este necesar de stabilit responsabilitatea proprietarilor de resurse pentru menţinerea măsurilor corespunzătoare de asigurare a securităţii informaţionale;
- fiecare resursă trebuie să fie identificată cu precizie şi clasificată conform criteriilor de securitate;
- proprietarii de resurse trebuie să fie autorizaţi, iar datele despre aceştia trebuie să fie documentate.
Este necesar de efectuat clasificarea resurselor protejate în scopul selectării corecte a măsurilor şi mijloacelor de asigurare a securităţii acestora, prin îndeplinirea următoarelor acţiuni:
- stabilirea gradelor de importanţă la asigurarea protecţiei resurselor;
- atribuirea resurselor concrete la categoriile corespunzătoare.
În calitate de resurse pot fi şi serviciile publice prestate prin intermediul Portalului Guvernamental.
Pentru sistemul de prestare a serviciilor publice trebuie să fie utilizate gradele de secretizare şi categoriile de integritate a resurselor protejate, precum şi gradul de accesibilitate a serviciilor.
Categoriile de protecţie pentru resurse, precum sînt mijloacele de procesare a informaţiei, trebuie stabilite în funcţie de categoriile de secretizare şi integritate a informaţiei păstrate sau procesate. Pentru resursele respective este necesar de stabilit cerinţe concrete privind utilizarea variantelor corespunzătoare de măsuri obligatorii şi setări ale mijloacelor de protecţie a informaţiei.
Toate rezultatele clasificării trebuie examinate şi aprobate de persoanele cu funcţii de răspundere corespunzătoare şi trebuie documentate în materie de asigurare a securităţii SI de prestare a serviciilor publice.
În baza clasificării resurselor urmează să fie organizat mediul de control dotat cu următoarele elemente:
- principiile fundamentale de gestionare a instituţiei;
- structura organizaţională;
- delimitarea responsabilităţilor şi împuternicirilor;
- politica de resurse umane.
Pentru fiecare element este necesar de efectuat proceduri de control, necesare pentru realizarea obiectivelor de corespundere cu cerinţele interne ale instituţiei şi asigurare a securităţii.
5.4.1. Gradele de secretizare a resurselor protejate
Gradele de secretizare a resurselor protejate sînt reglementate cu Legea Republicii Moldova „Cu privire la secretul de stat” nr. 245 din 27.11.2008.
5.4.2. Categoriile de integritate a resurselor protejate
Categoriile de integritate a resurselor protejate sînt următoarele:
- „Cu nivel înalt de cerinţe” - această categorie include resursele a căror modificare sau falsificare nesancţionată poate cauza un prejudiciu direct considerabil instituţiei şi a căror integritate şi autenticitate trebuie să fie asigurate cu ajutorul unor metode garantate (semnătura digitală) în conformitate cu cerinţele obligatorii ale legislaţiei în vigoare;
- „Cu nivel redus de cerinţe” - această categorie include resursele a căror modificare, substituire sau lichidare nesancţionată poate cauza un prejudiciu indirect nesemnificativ instituţiei, utilizatorilor şi colaboratorilor acesteia;
- „Fără cerinţe” - această categorie include resursele pentru care nu sînt înaintate cerinţe faţă de asigurarea integrităţii.
5.4.3. Gradele de disponibilitate a serviciilor
În privinţa sistemului de prestare a serviciilor publice trebuie aplicate următoarele grade de disponibilitate a serviciilor în funcţie de categoria de utilizatori:
- „Disponibilitate liberă” - accesul la serviciu este asigurat în orice moment, serviciul este oferit în permanenţă, durata reţinerii la primirea rezultatului nu depăşeşte cîteva secunde sau minute;
- „Disponibilitate înaltă” - accesul la serviciu este asigurat fără reţineri temporare substanţiale;
- „Disponibilitate medie” - accesul la serviciu poate fi asigurat cu reţineri temporare substanţiale, durata reţinerii la primirea rezultatului nu depăşeşte 3 zile;
- „Disponibilitate redusă” – reţinerile temporare la accesarea serviciului sînt practic nelimitate, durata admisibilă a reţinerii la primirea rezultatului este 7 zile.
5.5. Securitatea personalului
5.5.1. Cerinţe esenţiale privind securitatea personalului
Asigurarea nivelului necesar de securitate la prestarea serviciilor publice se realizează în baza pregătirii corespunzătoare a specialiştilor şi utilizatorilor care participă la procesul de prestare a serviciilor publice şi a respectării de către aceştia a tuturor regulilor stabilite, orientate spre asigurarea securităţii.
Cerinţele esenţiale privind securitatea personalului care participă la procesul de prestare a serviciilor publice trebuie să includă:
- elaborarea, documentarea şi reînnoirea periodică a politicii de asigurare a securităţii personalului, precum şi procedurile şi măsurile legate de realizarea acestei politici;
- cerinţe privind clasificarea personalului:
1) este necesar de desemnat categoriile de personal şi de determinat criteriile corespunzătoare de selectare a personalului din fiecare categorie;
2) categoriile de personal şi criteriile de selectare trebuie să fie periodic analizate şi, în caz de necesitate, ajustate;
- cerinţe de securitate la angajarea personalului:
1) este necesar de efectuat verificarea candidaţilor la funcţii, în special la funcţiile care implică accesul la resursele de valoare (existenţa recomandărilor pozitive, verificarea CV-ului candidatului, confirmarea studiilor şi calificărilor profesionale declarate, verificarea independentă a autenticităţii actelor de identitate);
2) toţi colaboratorii şi reprezentanţii organizaţiei terţe care utilizează mijloacele de procesare a informaţiei
trebuie să semneze acorduri de confidenţialitate;
- cerinţe de securitate la concedierea personalului:
1) la concedierea specialistului trebuie anulat accesul acestuia la resurse;
2) cu specialistul concediat trebuie să fie purtată discuţia finală;
3) trebuie să fie asigurată restituirea tuturor atributelor (cheilor, cartelelor de identificare etc.) aflate la specialistul concediat;
4) trebuie să fie asigurată posibilitatea de a accesa informaţia, creată de specialistul concediat, de către specialiştii împuterniciţi din cadrul instituţiei;
- în cazul transferului specialistului la o altă funcţie trebuie reexaminate atributele şi mijloacele specialistului, în baza cărora acestuia i se acordă accesul, (de exemplu, eliberarea repetată a cheilor, cartelelor de identificare, ştergerea înregistrării de evidenţă învechite şi crearea unei noi înregistrări de evidenţă);
- determinarea şi aplicarea diferitelor sancţiuni faţă de specialiştii care nu îndeplinesc cerinţele din cadrul politicilor şi procedurile corespunzătoare de asigurare a securităţii.
5.5.2. Cerinţe privind informarea şi instruirea în probleme de asigurare a securităţii
Pentru asigurarea certitudinii în informarea utilizatorilor despre pericolele şi problemele privind securitatea şi dotarea acestora cu tot necesarul pentru respectarea cerinţelor politicii de securitate în procesul de exercitare a obligaţiunilor de serviciu este necesar:
- de elaborat, documentat şi periodic de reînnoit politica instruirii în materie de securitate, precum şi procedurile şi măsurile privind realizarea politicii de instruire în materie de securitate;
- de respectat cerinţele privind informarea în problemele de securitate:
1) în fişele de post trebuie să fie incluse obligaţiile generale privind implementarea şi respectarea politicii de securitate şi aspectele specifice privind protecţia unor anumite resurse sau acţiuni referitoare la securitate;
2) este necesar de instruit utilizatorii în materie de proceduri de securitate şi utilizare corectă a mijloacelor de procesare a informaţiei în vederea minimalizării eventualelor riscuri de securitate;
- de respectat cerinţele privind instruirea în problemele de securitate:
1) este necesar de identificat persoanele din rîndurile personalului, care îndeplinesc roluri şi deţin obligaţii esenţiale din punct de vedere al influenţei asupra securităţii;
2) este necesar de format grupuri de instruire, în dependenţă de funcţiile şi obligaţiile exercitate;
3) pentru fiecare grup trebuie elaborate materiale educaţionale;
4) instruirea specialiştilor trebuie să asigure cunoaşterea de către aceştia a cerinţelor securităţii, a responsabilităţii în conformitate cu legislaţia în vigoare, a măsurilor şi mijloacelor de asigurare a securităţii, precum şi cunoaşterea utilizării corecte a mijloacelor de procesare a informaţiei;
5) persoanele identificate trebuie să fie instruite în probleme de securitate;
- personalul care participă la procesul de prestare a serviciilor publice trebuie să susţină un instructaj privind următoarele aspecte:
1) sistemul de protecţie a procesului de prestare a serviciilor publice şi modul de utilizare a acestui sistem;
2) principiile de bază privind structura şi particularităţile mijloacelor moderne de protecţie a informaţiei;
3) metodele de protecţie a informaţiei.
5.5.3. Cerinţe privind reacţionarea la incidentele de încălcare a securităţii
Pentru a minimaliza prejudiciul cauzat în rezultatul incidentelor de încălcare a securităţii şi deranjamentelor în funcţionarea complexului de mijloace hardware şi software, precum şi pentru a efectua monitorizarea şi reacţionarea în caz de incidente este necesar:
- de elaborat, documentat şi reînnoit periodic politica de reacţionare în caz de incidente de încălcare a securităţii, precum şi proceduri şi măsuri privind realizarea politicii de reacţionare în caz de incidente de încălcare a securităţii;
- de respectat cerinţele privind informarea despre incidentele de încălcare a securităţii:
1) este necesar, în conformitate cu procedura stabilită, de informat conducerea despre încălcarea securităţii imediat, dacă este posibil, şi;
2) toţi colaboratorii şi organizaţiile terţe trebuie să fie informate în privinţa procedurilor de informare despre diferite tipuri de incidente, precum sînt violarea securităţii, existenţa unui pericol potenţial şi a unei vulnerabilităţi, deranjamentele produse în funcţionarea mijloacelor software şi hardware, care pot influenţa negativ asupra securităţii resurselor instituţiei;
3) trebuie stabilite măsuri de răspundere disciplinară pentru colaboratorii care încalcă cerinţele securităţii;
- de respectat cerinţele privind instruirea despre acţiunile de reacţionare la incidentele de încălcare a securităţii:
1) personalul trebuie să fie instruit periodic privind responsabilitatea şi obligaţiile la îndeplinirea acţiunilor de gestionare a reacţionării la incidentele de încălcare a securităţii;
2) în procesul de instruire a personalului trebuie modelate evenimente corespunzătoare, ceea ce va ajuta pe viitor personalul să-şi îndeplinească eficient acţiunile cerute de la acesta în caz de survenire a situaţiilor de criză;
3) trebuie utilizate mijloace automatizate în vederea asigurării unui mediu mai complet şi real de instruire;
- de respectat cerinţele privind prelucrarea incidentelor:
1) posibilităţile de prelucrare a incidentelor trebuie să includă: depistarea, analiza, prevenirea evoluării, lichidarea incidentelor de încălcare a securităţii şi restabilirea securităţii după incidente;
2) trebuie utilizate mijloace automatizate pentru susţinerea procesului de prelucrare a incidentelor;
- de respectat cerinţele privind verificarea eficienţei acţiunilor de reacţionare la incidentele de încălcare a securităţii:
1) trebuie efectuată verificarea periodică a eficienţei acţiunilor de reacţionare la incidentele de încălcare a securităţii, cu utilizarea testelor corespunzătoare (succesiunilor acţiunilor de control);
2) trebuie utilizate mijloace automatizate pentru efectuarea unei verificări mai minuţioase a eficienţei acţiunilor de reacţionare la incidentele de încălcare a securităţii;
- de respectat cerinţele privind monitorizarea incidentelor:
1) este necesar de stabilit procedura de monitorizare şi înregistrare a incidentelor şi deranjamentelor în ce priveşte numărul, tipul şi parametrii acestora;
2) incidentele de încălcare a securităţii trebuie urmărite şi documentate permanent;
3) trebuie utilizate mijloace automatizate în procesul de urmărire a incidentelor de încălcare a securităţii, colectare şi analiză a informaţiei despre incidente;
- de respectat cerinţele privind prezentarea rapoartelor despre incidente:
1) este necesar de prezentat rapoarte privind incidentele organelor stabilite, în conformitate cu forma şi periodicitatea stabilită;
2) trebuie utilizate mijloace automatizate de susţinere a elaborării şi prezentării rapoartelor privind incidentele de încălcare a securităţii.
5.6. Securitate fizică
Pentru a preveni accesul neautorizat, deteriorarea şi influenţa asupra încăperilor şi informaţiei instituţiei, este necesar de asigurat securitatea fizică a mijloacelor de procesare a informaţiei de serviciu cu ajutorul diferitelor bariere de protecţie şi mijloacelor de control al intruziunii.
Cerinţele privind protecţia fizică trebuie să includă:
- elaborarea, documentarea şi reînnoirea periodică a politicii de protecţie fizică şi de protecţie a mediului SI, precum şi proceduri şi măsuri privind realizarea acestei politici;
- cerinţe privind sancţionarea accesului fizic:
1) trebuie elaborate listele personalului, căruia îi va fi autorizat accesul la resurse şi emise mandatele corespunzătoare (insigne, cartele de identificare, cartele intelectuale);
2) persoanele cu funcţii de răspundere corespunzătoare trebuie să examineze şi să aprobe listele şi mandatele ce permit accesul;
3) listele privind accesul trebuie revizuite în conformitate cu periodicitatea stabilită;
- cerinţe privind gestionarea accesului fizic:
1) nivelul de protecţie trebuie să fie proporţional riscurilor identificate;
2) trebuie efectuată gestionarea accesului fizic în toate punctele de acces la resurse;
3) este necesar de utilizat zone de securitate clar determinate pentru protejarea încăperilor şi zonelor de amplasare a mijloacelor de procesare a informaţiei;
4) accesul în încăperi şi clădiri trebuie să fie permis doar personalului autorizat;
5) înainte de acordarea accesului fizic la resurse, trebuie îndeplinită procedura de verificare a împuternicirilor de acces;
6) este necesar de analizat şi de revizuit în mod regulat drepturile de acces al colaboratorilor în zonele de securitate;
- cerinţe privind monitorizarea accesului fizic:
1) trebuie efectuat controlul permanent al accesului în zonele de intrare în perimetrul clădirii pentru a se asigura de faptul că accesul este permis doar personalului autorizat;
2) în procesul de monitorizare trebuie utilizate dispozitive de supraveghere şi semnalizare a timpului real, precum şi mijloace automatizate care să asigure recunoaşterea încălcărilor şi să iniţieze acţiuni de răspuns;
3) controlul accesului fizic la încăperi trebuie asigurat cu ajutorul celor mai stricte metode de identificare/autentificare;
- cerinţe privind controlul vizitatorilor:
1) trebuie repartizată zona de înregistrare a vizitatorilor sau trebuie să existe alte activităţi de gestionare a accesului fizic în încăperi şi clădiri;
2) trebuie efectuată gestionarea accesului fizic al vizitatorilor la obiecte;
3) trebuie efectuată însoţirea vizitatorilor la obiecte şi controlul asupra acţiunilor acestora;
- cerinţe privind ţinerea registrelor de evidenţă a accesului vizitatorilor:
1) în zonele de securitate vizitatorii trebuie să fie însoţiţi sau să deţină accesul corespunzător;
2) trebuie ţinute registrele de evidenţă a accesului vizitatorilor, în care urmează să fie înregistrate data şi ora intrării şi ieşirii;
3) registrele de evidenţă a accesului vizitatorilor trebuie să fie analizate periodic de către persoanele cu funcţii de răspundere corespunzătoare;
4) trebuie utilizate mijloace automatizate de ţinere a registrelor de evidenţă a accesului vizitatorilor;
- cerinţe privind protecţia echipamentului:
1) echipamentul trebuie să fie amplasat şi protejat astfel încît să fie diminuate riscurile cauzate de influenţele din partea mediului ambiant şi de posibilităţile de acces neautorizat;
2) echipamentul trebuie protejat de deranjamentele în furnizarea energiei electrice şi de alte deranjamente legate de electricitate, de exemplu, existenţa surselor de alimentare de rezervă;
3) echipamentul trebuie protejat de incendii şi alte situaţii excepţionale;
4) trebuie protejate reţelele de telecomunicaţii prin cablu de interceptarea informaţiei dau de deteriorări;
5) trebuie realizată deservirea tehnică corespunzătoare a echipamentului pentru a asigura capacitatea de lucru continuă şi integritatea acestuia.
5.7. Managementul comunicaţiilor şi al activităţii operaţionale a tehnologiilor informaţionale
Pentru a asigura certitudinea în privinţa funcţionării corespunzătoare şi sigure a mijloacelor de procesare a informaţiei este necesar de stabilit obligaţiuni şi proceduri de gestionare şi funcţionare a tuturor mijloacelor de procesare a informaţiei.
Managementul comunicaţiilor şi activităţii operaţionale de funcţionare a TI şi a mijloacelor de procesare a informaţiei trebuie să corespundă următoarelor cerinţe:
- cerinţe privind procedurile operaţionale:
1) procedurile operaţionale trebuie să fie considerate ca fiind documente oficiale, trebuie să fie documentate şi respectate cu stricteţe, iar modificările în cadrul acestora trebuie aprobate de către conducere;
2) procedurile trebuie să conţină instrucţiunea detaliată privind executarea unei sarcini concrete şi să includă:
a) procesarea şi gestionarea informaţiei;
b) stabilirea cerinţelor în privinţa graficului de îndeplinire a sarcinilor ce includ interconexiunile între sisteme;
c) ora începerii îndeplinirii sarcinii celei mai timpurii şi ora finalizării ultimei sarcini;
d) procesarea erorilor şi altor situaţii excepţionale care pot surveni în procesul de executare a sarcinilor;
e) restartarea sistemului şi a procedurii de restabilire în caz de deranjamente de sistem;
3) trebuie de asigurat sincronizarea ceasului de sistem pentru executarea corectă a operaţiunilor în reţea;
4) trebuie de controlat în permanenţă modificările configuraţiilor în cadrul mijloacelor şi sistemelor de procesare a informaţiei;
5) trebuie stabilite şi implementate roluri, responsabilităţi şi proceduri de asigurare a controlului tuturor modificărilor în echipament, software sau proceduri;
6) trebuie stabilite obligaţiuni şi proceduri de gestionare a incidentelor pentru asigurarea unei reacţii rapide, eficiente şi organizate în caz de încălcare a securităţii;
7) este necesară existenţa registrelor de înregistrare a erorilor survenite în rezultatul deranjamentelor şi necorespunderilor în procesul de funcţionare a sistemului;
- cerinţe privind protecţia împotriva software-ului dăunător:
1) utilizatorii trebuie informaţi despre pericolul utilizării software-ului neautorizat sau dăunător;
2) trebuie implementate mijloace speciale de control pentru depistarea şi/sau prevenirea pătrunderii acestui gen de programe;
3) trebuie instalat şi reînnoit în mod regulat software-ul antivirus pentru depistarea şi scanarea calculatoarelor şi purtătorilor de informaţii;
4) trebuie efectuată inventarierea regulată a software-ului şi a datelor din sistemele care susţin procesele critice ale instituţiei;
5) trebuie asigurată depistarea tentativelor şi protecţia împotriva modificării nesancţionate a software-ului şi informaţiei;
- cerinţe privind rezervarea şi păstrarea informaţiei:
1) trebuie efectuată în mod regulat copierea de rezervă a informaţiei de serviciu importante şi a software-ului;
2) trebuie asigurat nivelul garantat de protecţie fizică şi de protecţie împotriva influenţelor din partea mediului ambiant pentru copiile de rezervă;
3) trebuie efectuată testarea regulată a echipamentului de rezervă;
4) trebuie actualizate şi testate în mod regulat procedurile de restabilire pentru asigurarea eficienţei executării acestora;
5) trebuie efectuat controlul fizic şi păstrarea în siguranţă a purtătorilor de informaţii (de hîrtie sau în format electronic), luîndu-se în consideraţie categoria maximă de securitate a informaţiei înregistrate pe purtător;
6) pentru păstrarea informaţiei trebuie selectate metode de arhivare a acesteia care să permită restabilirea acestei informaţii în caz de necesitate, luîndu-se în consideraţie modificările mijloacelor software şi hardware utilizate;
7) la păstrarea informaţiei trebuie luate în consideraţie toate aspectele juridice legate de drepturile proprietarului informaţiei utilizate în SI;
8) trebuie identificate locaţiile de păstrare de rezervă a informaţiei şi trebuie soluţionate aspectele administrative privind păstrarea copiilor de rezervă ale informaţiei;
9) locaţiile de păstrare a copiilor de rezervă a informaţiei trebuie să fie delimitate în spaţiu (geografic) de locaţiile principale de păstrare a informaţiei pentru a nu fi supuse unor pericole identice;
10) locaţia de păstrare de rezervă a informaţiei trebuie configurată astfel încît să asigure executarea la timp şi eficientă a operaţiilor de restabilire;
11) trebuie determinate problemele potenţiale ce ţin de accesibilitatea locaţiilor de păstrare de rezervă a informaţiei, în caz de deranjament sau accident, şi trebuie stabilite acţiuni concrete privind restabilirea accesibilităţii;
- cerinţe privind securitatea purtătorilor de informaţie:
1) este necesară existenţa unor proceduri de utilizare a purtătorilor de informaţie de schimb (benzi, discuri, casete, precum şi rapoarte imprimate);
2) toate purtătorile de informaţie trebuie păstrate în locuri sigure;
3) acţiunile de lichidare a informaţiei de pe purtătorile de informaţie trebuie controlate, documentate şi verificate;
4) este necesar de distrus fizic sau de recopiat într-un mod sigur purtătorile de date ce conţin informaţii importante, funcţiile standard de lichidare nu urmează a fi utilizate;
5) este necesar de verificat toate componentele echipamentului ce conţine purtători de date (de exemplu, hard-discuri incorporate) în materie de lichidare a tuturor datelor importante şi a software-ului licenţiat;
6) procedurile de lichidare a informaţiei de pe purtătorile de informaţie trebuie să fie analizate periodic în materie de corectitudine şi eficienţă;
7) trebuie efectuată marcarea tuturor purtătorilor de informaţie şi trebuie limitat accesul în vederea identificării personalului neautorizat;
8) la purtătorile de informaţie detaşabile trebuie să fie ataşate menţiuni externe care să conţină informaţii despre conţinutul instalat;
9) trebuie pregătită lista purtătorilor de informaţie la care au fost ataşate menţiuni externe;
10) trebuie asigurată înregistrarea formalizată a beneficiarilor de date autorizaţi;
11) în cazul transmiterii purtătorului de informaţie pentru utilizare repetată, trebuie efectuată procedura de vidare a acestuia pentru a exclude posibilitatea acordării nesancţionate a accesului la informaţia stocată pe purtătorul de informaţie şi utilizării acesteia de către persoane ce nu sînt învestite cu împuternicirile corespunzătoare;
12) trebuie efectuat controlul transportării purtătorului de informaţie pentru a asigura recepţionarea acestuia doar de către persoana care este învestită cu împuterniciri corespunzătoare;
- cerinţe privind accesul la purtătorile de informaţie secretă – accesul la purtătorile de informaţie secretă trebuie să fie permis doar persoanelor ce dispun de împuternicirile corespunzătoare, în conformitate cu gradele de secretizare şi în conformitate cu Legea Republicii Moldova „Cu privire la secretul de stat” nr. 245 din 27.11.2008;
- cerinţe privind gestionarea serviciilor de reţea:
1) trebuie de repartizat responsabilităţile şi stabilite procedurile şi obligaţiunile privind susţinerea resurselor de reţea şi a operaţiilor de calculator;
2) trebuie implementate mijloace speciale de control pentru asigurarea confidenţialităţii şi integrităţii datelor care circulă prin reţele de acces comun, precum şi pentru protecţia sistemelor cheie;
- cerinţe privind schimbul de date:
1) trebuie stabilite procedurile şi măsurile de protecţie a informaţiei şi suporturilor în procesul transmiterii acestora;
2) la stabilirea cerinţelor de securitate trebuie luat în consideraţie gradul de importanţă a informaţiei ce constituie obiectul schimbului;
3) trebuie asigurată protecţia schimbului de date prin intermediul poştei electronice şi a tranzacţiei în regim on-line prin intermediul reţelelor de acces comun, în special, prin Internet;
4) este necesar de protejat software-ul, datele şi alte informaţii ce necesită un nivel înalt de integritate şi accesul la care este realizat prin sistemele de acces public, cu ajutorul mijloacelor de protecţie criptografică a informaţiei, de exemplu, prin intermediul semnăturii digitale;
5) trebuie asigurată protecţia procesului de schimb de informaţii prin intermediul mijloacelor verbale, de fax şi video de comunicaţii.
Toate cerinţele privind controlul accesului trebuie să fie reflectate în politici cu privire la distribuirea şi autorizarea informaţiei.
5.8.1. Cerinţe faţă de accesul logic
Pentru a asigura accesul la informaţie doar pentru utilizatorii autorizaţi este necesar de efectuat controlul accesului logic.
Faţă de controlul logic sînt înaintate următoarele cerinţe:
- regulile privind controlul accesului şi drepturile fiecărui utilizator sau grup de utilizatori trebuie să fie stabilite clar în politica de securitate;
- clasificarea informaţiei în privinţa diferitor sisteme şi reţele trebuie să fie adusă în concordanţă cu politica de control al accesului;
- trebuie determinate profilurile standard de acces al utilizatorilor pentru obligaţiunile şi funcţiile tipice;
- stabilirea regulilor trebuie să se bazeze pe premisa „în caz general, totul trebuie să fie interzis, pînă cînd evident nu va fi admis”.
5.8.2. Cerinţe privind controlul accesului utilizatorilor
Pentru a preveni accesul neautorizat la resurse este necesar de efectuat controlul acordării drepturilor de acces la resursele instituţiei.
O abordare riguroasă a acordării accesului utilizatorilor la resursele instituţiei trebuie să asigure un control strict al accesului şi să permită stabilirea tuturor încălcărilor posibile ale securităţii.
Controlul accesului utilizatorilor trebuie să includă:
- cerinţe privind gestionarea înregistrărilor de evidenţă:
1) trebuie realizată gestionarea înregistrărilor de evidenţă, inclusiv crearea, activarea, modificarea, revizuirea în baza unei periodicităţi stabilite, dezactivarea şi lichidarea înregistrărilor de evidenţă;
2) trebuie utilizate mijloace automatizate de susţinere a gestionării înregistrărilor de evidenţă;
3) acţiunea înregistrărilor de evidenţă temporare trebuie să înceteze în mod automat la expirarea perioadei stabilite de timp (pentru fiecare tip de înregistrare de evidenţă);
4) trebuie efectuată dezactivarea automată a înregistrărilor de evidenţă inactive după o anumită perioadă de timp;
5) trebuie utilizate mijloace automatizate de înregistrare (audit) şi notificare despre crearea, modificarea, dezactivarea, anularea înregistrării de evidenţă;
- cerinţe privind gestionarea privilegiilor:
1) acordarea privilegiilor trebuie să fie controlată prin intermediul procesului de autorizare;
2) accesul la funcţiile securităţii realizate în software, hardware şi soft-hardware trebuie să fie permis doar persoanelor învestite cu împuterniciri corespunzătoare, de exemplu administratorilor de securitate;
3) privilegiile trebuie să fie acordate doar colaboratorilor care au nevoie de acestea pentru a executa o lucrare şi doar pe durata executării acesteia;
4) este necesar de asigurat procesul de autorizare şi înregistrare a tuturor privilegiilor acordate;
5) privilegiile nu trebuie să fie acordate înainte de încheierea procesului de autorizare;
6) trebuie realizat periodic procesul formalizat de revizuire a drepturilor de acces al utilizatorilor (se recomandă de realizat o dată în 6 luni sau după fiecare modificare);
- cerinţe privind controlul parolelor:
1) toţi utilizatorii trebuie să semneze documentul privind necesitatea de respectare a confidenţialităţii depline a parolelor personale;
2) parolele nu trebuie să fie păstrate niciodată în formă neprotejată.
5.8.3. Cerinţe privind obligaţiile utilizatorilor
Pentru a preveni accesul neautorizat al utilizatorilor la informaţie este necesar de asigurat informarea utilizatorilor despre obligaţiile lor privind utilizarea măsurilor efective de gestionare a accesului.
Obligaţiile utilizatorilor în privinţa controlului de acces sînt:
- utilizatorii trebuie să respecte anumite reguli de asigurare a securităţii în procesul selectării şi utilizării parolelor;
- toţi utilizatorii trebuie să fie informaţi despre necesitatea:
1) de a păstra confidenţialitatea parolelor;
2) de a interzice înregistrarea parolelor pe hîrtie, dacă nu este asigurată păstrarea în siguranţă a acestora;
3) de a modifica parolele ori de cîte ori există un indiciu de compromitere posibilă a sistemului şi parolei;
4) de a selecta parole calitative de lungime minimă formate din şase semne;
5) de a modifica parolele după anumite intervale de timp sau după un anumit număr de accese şi de a exclude utilizarea repetată sau ciclică a parolelor vechi;
6) parolele pentru înregistrările de evidenţă privilegiate trebuie să se schimbe mai frecvent decît parolele obişnuite;
- utilizatorii trebuie să asigure protecţia adecvată a echipamentului lăsat fără supraveghere şi să îndeplinească următoarele cerinţe:
1) şedinţele active la finalizarea lucrării trebuie să fie terminate în cazul în care lipseşte mecanismul de blocare a şedinţei;
2) trebuie limitat numărul de şedinţe paralele pentru fiecare utilizator;
3) trebuie efectuată finalizarea automată a şedinţei după o perioadă stabilită de inactivitate.
5.8.4. Cerinţe privind controlul accesului la reţea
Pentru a asigura protecţia serviciilor de reţea este necesar de efectuat controlul accesului la serviciile de reţea atît interne cît şi externe.
Cerinţele privind controlul accesului la reţea trebuie să includă următoarele:
- este necesar de asigurat accesul utilizatorilor doar la serviciile de care aceştia au nevoie pentru a-şi îndeplini obligaţiile şi pentru care dispun de autorizaţie;
- trebuie de stabilit:
1) reţelele şi serviciile de reţea la care este permis accesul;
2) procedurile de autorizare pentru determinarea cui, la care reţele şi servicii de reţea este permis accesul;
3) măsurile şi procedurile de protecţie împotriva conectării nesancţionate la serviciile de reţea;
- este necesar de limitat variantele de marşrutizare în fiecare punct al reţelei;
- cerinţe privind accesul la distanţă:
1) toate metodele de accesare la distanţă a resurselor (precum sînt legătura prin modem, Internet) trebuie să fie documentate şi supuse monitorizării şi controlului;
2) fiecare metodă de accesare la distanţă utilizată trebuie să fie sancţionată de către persoanele cu funcţii de răspundere corespunzătoare şi permisă doar utilizatorilor care au nevoie de aceasta pentru îndeplinirea sarcinilor stabilite;
3) pentru facilitatea monitorizării şi controlului accesului la distanţă este necesar de utilizat mijloace automatizate corespunzătoare;
4) este necesar de realizat gestionarea centralizată a accesului la distanţă la SI;
- cerinţe privind gestionarea accesului pentru dispozitivele portabile şi mobile:
1) trebuie stabilite restricţii şi elaborate instrucţiuni pentru utilizarea dispozitivelor portabile şi mobile;
2) accesul la SI cu ajutorul dispozitivelor portabile şi mobile trebuie să fie documentat şi supus monitorizării şi controlului;
3) utilizarea dispozitivelor portabile şi mobile trebuie să fie sancţionată de persoanele cu funcţii de răspundere corespunzătoare;
4) trebuie utilizate hard-discuri de schimb sau alte metode şi mijloace de protecţie a informaţiei fixate pe dispozitivele portabile şi mobile;
- cerinţe privind limitarea conexiunilor fără cablu:
1) trebuie stabilite restricţii şi elaborate instrucţiuni pentru utilizarea tehnologiilor fără cablu;
2) accesul fără cablu la SI trebuie să fie documentat şi supus monitorizării şi controlului;
3) accesul fără cablu la SI trebuie să fie permis doar în cazul aplicării mijloacelor de protecţie criptografică a informaţiei;
4) utilizarea tehnologiilor fără cablu trebuie să fie sancţionată de către persoanele cu funcţii de răspundere corespunzătoare.
5.8.5. Cerinţele accesului la sistemele operaţionale
Pentru a preveni accesul neautorizat la calculatoare la nivelul sistemului operaţional este necesar de utilizat mijloace de asigurare a securităţii care să asigure următoarele:
- identificarea şi verificarea calculatorului utilizatorului, a terminalului şi locaţiei fiecărui utilizator înregistrat;
- înregistrarea acceselor reuşite şi eşuate la sistem;
- autentificarea nivelului corespunzător.
Cerinţele accesului la sistemele operaţionale trebuie să includă:
- posibilitatea de a utiliza identificarea automată a terminalului;
- accesul la serviciile informaţionale trebuie să fie asigurat cu ajutorul unei proceduri sigure de intrare în sistem;
- accesul la comenzile sistemului operaţional trebuie să fie interzis utilizatorilor care nu dispun de drepturi de administrare de sistem;
- trebuie limitat numărul de încercări de acces eşuate permise (se recomandă trei încercări);
- în caz de depăşire a numărului admis de încercări de acces eşuate, trebuie realizată blocarea terminalului şi/sau a înregistrării de evidenţă pentru o anumită perioadă de timp sau trebuie executate alte acţiuni care să prevină sau să creeze dificultăţi substanţiale pentru accesul din partea potenţialilor contravenienţi;
- informaţia despre înregistrare trebuie să fie confirmată doar la finalizarea introducerii tuturor datelor de intrare;
- este necesar de limitat timpul maxim şi minim permis pentru procedurile de intrare în sistem;
- informaţia cu privire la înregistrarea efectuată cu succes trebuie să fie fixată în permanenţă;
- utilizarea utilităţilor de sistem trebuie să fie limitată şi controlată în permanenţă.
5.8.6. Cerinţe privind controlul accesului la aplicaţii
Pentru a preveni accesul neautorizat la datele SI, este necesar de aplicat măsuri de asigurare a securităţii în vederea limitării accesului la sistemele aplicate.
Cerinţele controlului accesului la aplicaţii trebuie să includă:
- asigurarea accesului utilizatorilor de aplicaţii la informaţie şi funcţiile acestor aplicaţii în conformitate cu politica de control al accesului care se bazează pe cerinţele faţă de anumite aplicaţii;
- limitarea furnizării către utilizatori a informaţiei despre datele şi funcţiile aplicaţiilor pentru care aceştia nu dispun de autorizaţia de acces;
- sistemele, ce procesează informaţii importante, trebuie să fie asigurate cu mediul de calcul separat, cu condiţii speciale de exploatare.
5.8.7. Cerinţe privind monitorizarea accesului
Pentru a depista acţiunile neautorizate sau devierile de la cerinţele politicii de control al accesului este necesar de efectuat monitorizarea sistemului.
Cerinţele privind monitorizarea accesului sînt:
- crearea registrelor de audit şi păstrarea lor în decursul perioadei de timp aprobate, în care trebuie să fie ţinută evidenţa incidentelor de încălcare a securităţii şi a altor evenimente privind securitatea;
- înregistrările de audit trebuie să conţină următoarele:
1) identificatorul utilizatorilor;
2) data şi ora intrării şi ieşirii;
3) identificatorul terminalului sau al locaţiei acestuia;
4) înregistrările încercărilor reuşite şi respinse de acces la sistem;
5) înregistrările încercărilor reuşite şi respinse de acces la date şi la alte resurse;
- stabilirea procedurilor de monitorizare a utilizării mijloacelor de procesare a informaţiei şi de analiză a rezultatelor acestora;
- nivelul de monitorizare a mijloacelor concrete de procesare a informaţiei trebuie să fie determinat în baza evaluării riscurilor.
5.9. Elaborarea şi mentenanţa sistemelor informaţionale
În procesul de elaborare şi mentenanţă a SI este necesar de utilizat metode speciale care iau în consideraţie criteriile gradului de protecţie, flexibilităţii şi costului şi care asigură următoarele:
- verificarea autenticităţii – utilizarea metodelor de verificare strictă, a politicilor parolelor, politicilor de blocare a înregistrărilor de evidenţă şi a cifrării;
- un sistem unic de autorizare – care trebuie să se bazeze pe modelul de permisiuni şi să asigure un grad înalt de detaliere a controlului accesului;
- delimitarea drepturilor de acces – politica ce permite gestionarea accesului la resursele informaţionale, sisteme şi operaţii protejate;
- prevenirea citirii mesajelor de către persoane terţe;
- protecţia traficului de date contra analizării acestora de către persoane terţe;
- depistarea modificărilor în fluxurile de mesaje;
- depistarea denaturărilor de date.
Cerinţele privind elaborarea şi mentenanţa SI includ:
- cerinţe privind arhitectura securităţii:
1) trebuie determinate mijloacele de securitate cu ajutorul cărora se va asigura securitatea serviciilor publice prestate;
2) trebuie de aplicat protocoale de asigurare a autenticităţii şi confidenţialităţii în două regimuri: regimul de transport (protecţia doar a conţinutului pachetelor şi a anumitor cîmpuri de titluri) şi regimul de tunelare (protecţia întregului pachet);
3) este necesar de utilizat mecanisme de gestionare a mijloacelor de protecţie criptografică a informaţiei (algoritmele de cifrare, de control al integrităţii şi autenticităţii);
- cerinţele de securitate în cadrul sistemelor aplicate:
1) este necesar de efectuat controlul şi de ţinut evidenţa instalării şi înlăturării mijloacelor software, hardware şi soft-hardware ale sistemelor;
2) trebuie efectuată verificarea corectitudinii introducerii datelor în vederea asigurării certitudinii că acestea corespund datelor iniţiale;
3) trebuie efectuat controlul asupra procesării datelor în sisteme;
4) pentru aplicaţiile în cadrul cărora trebuie de asigurat protecţia integrităţii conţinutului mesajelor este necesar de utilizat autentificarea mesajelor;
5) trebuie efectuată testarea de securitate a tuturor sistemelor utilizate;
6) de asemenea, trebuie efectuată verificarea independentă a funcţionării sistemelor;
- cerinţe privind controlul modificărilor:
1) este necesar de controlat cu stricteţe implementarea modificărilor;
2) este necesar de acordat programatorilor responsabili de mentenenţă accesul doar la porţiunile din sistem care sînt necesare pentru munca lor;
3) trebuie asigurată protocolarea nivelurilor de autorizare aprobate;
4) trebuie efectuat controlul versiunilor pentru toate actualizările software-ului;
5) în registrele de audit trebuie înregistrate toate solicitările de modificare;
6) trebuie efectuată analiza mijloacelor de control al aplicaţiilor şi procedurilor de integritate pentru a asigura garanţia că acestea nu au fost compromise de modificările din sistemul operaţional;
7) trebuie asigurată recepţionarea la timp a notificărilor despre modificările din sistemul operaţional;
8) trebuie evitată modificarea pachetelor de program;
- cerinţe privind aplicarea mijloacelor de protecţie criptografică a informaţiei:
1) trebuie stabilite metodele de utilizare a mijloacelor criptografice în cadrul instituţiei, inclusiv principiile generale şi metodele de restabilire a informaţiei cifrate în caz de pierdere, compromitere sau deteriorare a cheilor;
2) trebuie stabilite nivelurile corespunzătoare de protecţie criptografică pentru diferite date;
3) pentru a asigura protecţia informaţiei confidenţiale sau critice, trebuie aplicată metoda criptografică de cifrare, ţinîndu-se cont de tipul şi calitatea algoritmului de cifrare utilizat, precum şi de lungimea cheilor criptografice;
4) pentru a asigura protecţia autentificării şi integrităţii documentelor electronice este necesar de aplicat semnăturile digitale;
5) la utilizarea semnăturilor digitale este necesar de ţinut cont de cerinţele prevăzute de legislaţia în vigoare, care stabilesc condiţiile în care semnătura digitală obţine forţă juridică;
6) cheile criptografice trebuie protejate împotriva modificărilor şi distrugerii, iar cheile secrete şi personale trebuie protejate împotriva dezvăluirii neautorizate.
5.10. Managementul continuităţii activităţii
Continuitatea activităţii instituţiei trebuie asigurată în scopul minimalizării consecinţelor negative, cauzate de calamităţi şi încălcările securităţii, pînă la un nivel admisibil cu ajutorul unor combinări între activităţile profilactice şi de restabilire ce ţin de managementul securităţii.
Cerinţele privind managementul continuităţii trebuie să includă:
- elaborarea şi documentarea strategiei de asigurare a continuităţii, precum şi planurilor de asigurare a continuităţii şi de restabilire a activităţii;
- utilizarea sistemelor adecvate de rezervare şi restabilire;
- cerinţe la planurile de continuitate şi restabilire a activităţii:
1) planurile trebuie să includă stabilirea persoanelor responsabile şi acţiunilor executate de acestea în caz de restabilire a SI de prestare a serviciilor publice după producerea deranjamentului sau refuzului;
2) planurile trebuie să fie examinate de persoanele cu funcţii de răspundere corespunzătoare, aprobate, multiplicate în cantitate necesară şi adresate persoanelor responsabile de acţiunile întreprinse în situaţiile neprevăzute;
3) planurile trebuie să fie revizuite şi reînnoite periodic, luîndu-se în consideraţie modificările sau problemele apărute în rezultatul verificării sau realizării planului;
4) personalul trebuie să fie instruit (reinstruit – cu o periodicitate stabilită) în materie de roluri, responsabilitate şi obligaţii ce îi revin în procesul de executare a acţiunilor în situaţiile neprevăzute;
5) în procesul de instruire a personalului trebuie să se modeleze evenimentele corespunzătoare, ceea ce va ajuta pe viitor personalul să execute în mod eficient acţiunile cerute în caz de survenire a situaţiilor de criză;
6) este necesar de utilizat mijloace automatizate pentru a asigura un mediu de instruire mai complex şi real;
- cerinţe privind verificarea planurilor de continuitate şi restabilire a activităţii:
1) trebuie efectuată testarea periodică a planurilor în scopul evaluării eficienţei acestora şi pregătirii personalului pentru executarea acţiunilor prevăzute în plan;
2) persoanele cu funcţii de răspundere corespunzătoare trebuie să studieze rezultatele testării planurilor şi în caz de necesitate să iniţieze corectarea acestora;
3) trebuie utilizate mijloace automatizate pentru testarea mai minuţioasă şi eficientă a acţiunilor de asigurare a continuităţii şi de restabilire a activităţii;
- cerinţe privind locaţiile de rezervă pentru procesarea informaţiei:
1) trebuie determinate locaţiile de rezervă pentru procesarea informaţiei şi soluţionate aspectele administrative privind procesarea informaţiei pentru sarcinile de importanţă critică pînă la restabilirea posibilităţilor de procesare a informaţiei;
2) locaţiile de rezervă de procesare a informaţiei trebuie să fie delimitate (geografic) în spaţiu de locaţiile de bază pentru procesarea informaţiei pentru a nu fi supuse unor pericole identice;
3) trebuie determinate problemele potenţiale privind accesibilitatea locaţiilor de rezervă pentru procesarea informaţiei în caz de deranjament sau accident şi trebuie stabilite acţiunile concrete în vederea restabilirii accesibilităţii;
4) la utilizarea locaţiilor de rezervă pentru procesarea informaţiei trebuie luate în consideraţie priorităţile de deservire stabilite;
5) locaţia de rezervă pentru procesarea informaţiei trebuie să fie configurată astfel încît să asigure minimumul necesar de posibilităţi exploataţionale;
- cerinţe privind rezervarea serviciilor de telecomunicaţii:
1) este necesar de identificat serviciile de telecomunicaţii de bază şi de rezervă şi de soluţionat aspectele administrative privind utilizarea serviciilor de telecomunicaţii de rezervă pentru sarcinile de importanţă critică pînă la restabilirea accesibilităţii celor de bază;
2) la utilizarea serviciilor de telecomunicaţii de bază şi de rezervă trebuie luate în consideraţie priorităţile de deservire stabilite;
3) furnizorii de servicii de telecomunicaţii de bază şi de rezervă trebuie să fie separaţi între ei în modul corespunzător pentru a nu fi supuşi unora şi aceleaşi pericole identice;
4) furnizorii de servicii de telecomunicaţii de bază şi de rezervă trebuie să dispună de planuri de acţiuni corespunzătoare pentru situaţiile neprevăzute;
- cerinţe privind restabilirea sistemului:
1) trebuie utilizate mecanisme şi proceduri de susţinere a acestora, necesare pentru restabilirea sistemului după deranjament sau refuz;
2) restabilirea sistemului după deranjament sau refuz trebuie să fie utilizată ca o parte componentă a verificării planului de acţiuni pentru situaţii neprevăzute.
5.11. Conformitatea
Pentru a preveni orice încălcare a normelor legislaţiei în vigoare, a prevederilor obligatorii şi a cerinţelor de reglementare sau a obligaţiunilor contractuale, precum şi a cerinţelor securităţii, este necesar de efectuat controlul conformităţii în calitate de monitorizare şi audit al securităţii.
5.11.1. Cerinţe privind monitorizarea securităţii
Monitorizarea securităţii trebuie să asigure controlul permanent asupra menţinerii nivelului necesar de securitate în procesul prestării serviciilor publice.
Monitorizarea securităţii trebuie să permită depistarea modificării:
- funcţiilor realizate în procesul de prestare a serviciilor – monitorizarea funcţiilor trebuie să fie orientată spre identificarea necesităţii de modificare a categoriei resurselor în legătură cu modificarea prejudiciului eventual, cauzat prin încălcarea securităţii;
- resurselor – monitorizarea resurselor trebuie să fie orientată spre depistarea modificărilor în cadrul informaţiei, hardware-ului şi software-ului, care pot servi drept cauză pentru modificarea conţinutului punctelor vulnerabile şi pericolelor de încălcare a securităţii;
- pericolelor şi vulnerabilităţilor – monitorizarea vulnerabilităţilor şi pericolelor securităţii trebuie să fie orientată spre depistarea la timp a vulnerabilităţilor şi pericolelor care pot spori riscul încălcării securităţii în procesul de prestare a serviciilor;
- măsurilor şi mijloacelor de asigurare a securităţii – monitorizarea măsurilor şi mijloacelor de asigurare a securităţii trebuie să fie orientată spre controlul menţinerii eficienţei acestora pentru a contracara vulnerabilităţile şi pericolele stabilite şi depistate.
Monitorizarea securităţii în activitatea de prestare a serviciilor trebuie să includă:
- controlul curent al stării securităţii – trebuie să asigure certitudinea că măsurile şi mijloacele de asigurare a securităţii funcţionează, nu sînt compromise, iar securitatea sistemului de prestare a serviciilor publice nu a fost încălcată. În acest scop, este necesar de executat următoarele acţiuni:
1) controlul realizării măsurilor permanent active de asigurare a securităţii;
2) controlul capacităţii de lucru a mijloacelor de asigurare a securităţii;
3) controlul integrităţii resurselor şi sistemelor informaţionale;
4) depistarea şi lichidarea invaziilor (încălcarea drepturilor de acces, atacurilor de viruşi, spam). De asemenea, toate încălcările de securitate identificate în procesul prestării serviciilor publice trebuie să fie fixate, cercetate şi lichidate imediat cu ajutorul diferitor măsuri şi mijloace de protecţie a informaţiei.
- evaluarea securităţii – trebuie să asigure certitudinea că sistemul de prestare a serviciilor este în corespundere cu cerinţele securităţii şi politica de securitate. Evaluarea securităţii trebuie efectuată periodic, conform termenelor, dar nu mai puţin de o dată în an, precum şi în caz de modificări esenţiale în cadrul resurselor, pericolelor securităţii şi politicii de securitate. La evaluarea securităţii procesului de prestare a serviciilor publice urmează să fie evaluate:
1) conformitatea măsurilor şi mijloacelor de asigurare a securităţii cu cerinţele stabilite în politica securităţii;
2) corectitudinea aplicării măsurilor şi mijloacelor de asigurare a securităţii în conformitate cu politica securităţii;
3) corectitudinea acţiunilor privind lichidarea consecinţelor incidentelor de încălcare a securităţii şi neutralizarea vulnerabilităţilor.
Pentru a primi datele despre starea securităţii sistemului de prestare a serviciilor este necesar de utilizat următoarele:
- analiza documentelor privind evidenţa aplicării măsurilor şi mijloacelor de asigurare a securităţii;
- sondaje în rîndurile personalului care participă în procesul de prestare a serviciilor publice;
- analiza eficienţei măsurilor şi mijloacelor de asigurare a securităţii pentru a contracara incidentele de încălcare a securităţii care s-au produs;
- verificări şi testări ale măsurilor şi mijloacelor de asigurare a securităţii privind conformitatea cu cerinţele securităţii;
- testări de intruziune privind evaluarea posibilităţii de utilizare a vulnerabilităţilor pentru încălcarea securităţii;
- mijloace hardware şi software specializate pentru efectuarea controlului stării mijloacelor de asigurare a securităţii şi depistarea vulnerabilităţilor;
- datele evaluărilor securităţii anterioare.
În baza rezultatelor evaluării efectuate, în caz de depistare a deficienţelor în asigurarea securităţii sistemului de prestare a serviciilor este necesar de îndeplinit următoarele acţiuni, în funcţie de importanţa deficienţelor:
- precizarea măsurilor şi mijloacelor de asigurare a securităţii;
- ajustarea politicii de securitate;
- evaluarea riscului şi ajustarea cerinţelor securităţii la prestarea serviciilor.
5.11.2. Cerinţe privind auditul securităţii
Auditul securităţii reprezintă un proces complex de obţinere şi evaluare a unor date obiective despre starea curentă a SI, din punct de vedere al securităţii, acţiuni şi evenimente ce au loc în cadrul acestuia, proces care stabileşte gradul de conformitate al acestora cu un anumit nivel de securitate.
Scopul auditului securităţii pentru o instituţie ce prestează servicii publice este:
- obţinerea unei evaluări cît mai complete şi obiective a protecţiei;
- localizarea problemelor existente şi elaborarea unui sistem eficient de asigurare a securităţii instituţiei.
La efectuarea auditului securităţii în cadrul unei instituţii care prestează servicii publice pot fi utilizate diferite tipuri de audit în domeniul securităţii informaţiei, care diferă între ele doar prin scop, iar metoda de efectuare este identică:
- cercetarea iniţială (auditul primar) – rezultatul este concepţia securităţii instituţiei, care va permite edificarea unei protecţii adecvate a informaţiei;
- cercetarea anteproiect (auditul tehnic) – rezultatul este ansamblul de cerinţe faţă de sistemul de asigurare a securităţii;
- atestarea obiectului – rezultatul este documentul, certificatul de conformitate, care demonstrează că obiectul este conform cu standardul şi legislaţia naţională în vigoare, sau concluzia expertului;
- examinarea de control – examinarea de control conform planului în vederea verificării respectării regulilor de asigurare a securităţii.
Procesul de efectuare a auditului securităţii în cadrul instituţiei trebuie să includă următoarele etape:
- formularea sarcinilor şi precizarea limitelor lucrărilor – trebuie efectuate o analiză prealabilă şi activităţi organizaţionale de pregătire a efectuării auditului securităţii;
- colectarea şi analiza informaţiei – trebuie colectată informaţia şi trebuie evaluate următoarele măsuri şi mijloace: măsurile organizaţionale în domeniul securităţii, mijloacele software şi hardware de protecţie a informaţiei, de asigurare a securităţii fizice;
- efectuarea analizei riscurilor şi evaluării conformităţii sistemului cu cerinţele şi standardele înaintate – trebuie efectuate clasificarea resurselor, analiza vulnerabilităţilor, crearea modelului răufăcătorului potenţial, evaluarea riscurilor încălcării securităţii;
- elaborarea recomandărilor şi propunerilor cu privire la măsurile de sporire a securităţii:
1) recomandări privind perfecţionarea sistemului de protecţie a informaţiei, a căror aplicare va permite minimalizarea riscurilor;
2) aplicaţii cu lista vulnerabilităţilor concrete;
3) raportul final ce conţine evaluarea nivelului curent al securităţii;
4) informaţia despre erorile depistate;
5) analiza riscurilor corespunzătoare şi a recomandărilor privind lichidarea acestora.
Auditul securităţii în cadrul instituţiei permite obţinerea unei evaluări obiective şi independente a stării curente a protecţiei resurselor, estimarea riscurilor care admit probabilitatea realizării pericolelor, precum şi prejudiciul potenţial cauzat SI de aceste riscuri.
Cerinţele privind auditul securităţii în procesul de prestare a serviciilor publice trebuie să includă:
- elaborarea, documentarea şi reînnoirea periodică a politicii de audit şi asigurare a raportării (politica înregistrării şi evidenţei), precum şi procedurile şi măsurile privind realizarea politicii de audit şi asigurare a raportării;
- trebuie efectuată generarea înregistrărilor de audit pentru evenimentele indicate în lista evenimentelor supuse auditului;
- este necesar de pus la dispoziţie menţiuni despre timp pentru generarea înregistrărilor de audit;
- în fiecare înregistrare de audit trebuie indicată următoarea informaţie: data şi ora evenimentului, tipul evenimentului, identificatorul subiectului şi rezultatul evenimentului (reuşit sau eşuat), precum şi informaţii suplimentare;
- fiecare eveniment potenţial supus auditului trebuie să fie asociat cu identificatorul utilizatorului care a fost iniţiatorul evenimentului respectiv;
- administratorul autorizat trebuie să dispună de posibilitatea de a citi toată informaţia auditului din înregistrările de audit, adică trebuie să existe accesul la registrul de audit;
- accesul la citirea înregistrărilor de audit trebuie să fie interzisă utilizatorilor, cu excepţia utilizatorilor cărora accesul evident le este permis;
- trebuie oferită posibilitatea de a efectua căutarea, sortarea şi structurarea datelor auditului bazate pe identificatorul utilizatorului şi destinaţie;
- trebuie să existe posibilitatea de a include evenimentele ce pot fi supuse în mod potenţial auditului în totalitatea de evenimente supuse auditului sau excluderii lor din această totalitate în baza identificatorului utilizatorului sau a destinaţiei;
- înregistrările de audit stocate trebuie să fie protejate contra lichidării nesancţionate, trebuie să poată preveni modificarea înregistrărilor de audit;
- trebuie stabilită perioada de timp în decursul căreia datele auditului urmează a fi păstrate pentru a se asigura cercetarea incidentelor de securitate, precum şi respectarea cerinţelor normative cu privire la păstrarea datelor auditului;
- este necesar de generat notificări despre pericol către administratorul autorizat în cazul cînd registrul de audit depăşeşte restricţiile stabilite;
- trebuie să existe posibilitatea de a preveni pierderile de evenimente supuse auditării în caz de finisare a registrului;
- cerinţe privind volumul de memorie acordat pentru păstrarea datelor auditului:
1) trebuie de acordat volumul de memorie suficient pentru păstrarea datelor auditului;
2) trebuie de efectuat setările necesare astfel încît volumul datelor auditului să nu depăşească volumul memoriei acordat;
- cerinţe privind procesarea datelor auditului:
1) în caz de survenire a unui deranjament în cadrul auditului sau în caz de ocupare a întregului volum de memorie acordat pentru păstrarea datelor auditului, este necesar de adresat o notificare către persoanele cu funcţii de răspundere corespunzătoare şi de întreprins acţiunile stabilite, precum sînt: finalizarea lucrului sistemului, ignorarea evenimentelor supuse auditării, înregistrarea prin înlăturarea celor mai vechi înregistrări de audit păstrate;
2) în caz de completare a procentului sau volumului stabilit de memorie acordat pentru păstrarea datelor auditului, este necesar de adresat o notificare corespunzătoare;
- cerinţe privind monitorizarea, analiza şi generarea rapoartelor despre rezultatele auditului:
1) este necesar de vizualizat şi de analizat în mod regulat înregistrările de audit în scopul depistării unor activităţi neordinare sau suspecte, de elaborat rapoartele respective pentru persoanele cu funcţii de răspundere şi de efectuat acţiunile stabilite pentru astfel de cazuri;
2) este necesar de utilizat mijloace automatizate care să permită unirea monitorizării, analizei şi generării rapoartelor într-un singur proces de analiză a activităţilor suspecte şi de reacţionare în caz de încălcări potenţiale;
- cerinţe privind limitarea volumului datelor auditului:
1) trebuie realizate posibilităţile de limitare a volumului datelor auditului şi de generare a rapoartelor corespunzătoare;
2) trebuie realizată posibilitatea procesării automate a înregistrărilor de audit pentru anumite tipuri de evenimente;
- trebuie asigurată protecţia datelor auditului şi a mijloacelor de efectuare a auditului contra accesului neautorizat;
- trebuie realizată posibilitatea asigurării negării (de stabilit dacă un anumit utilizator a efectuat acţiunea respectivă).
5.11.3. Cerinţe privind controlul de stat
Pe lîngă auditul securităţii în cadrul instituţiei care prestează servicii publice este necesar de efectuat controlul de stat asupra respectării cerinţelor securităţii TI, care să fie realizat de către organele abilitate în scopul prevenirii şi depistării încălcărilor cerinţelor de securitate. În procesul realizării controlului de stat organele abilitate sînt în drept:
- să solicite de la instituţia care prestează servicii publice documentele care demonstrează conformitatea procesului de exploatare a SI cu cerinţele de securitate;
- să emită prescripţii privind lichidarea încălcărilor cerinţelor obligatorii de securitate în termenul stabilit în funcţie de natura încălcării;
- în urma deciziei instanţei de judecată să adopte decizii motivate cu privire la suspendarea deplină sau parţială a procesului de exploatare a SI de prestare a serviciilor în cazul cînd este imposibil de a lichida încălcarea cerinţelor securităţii cu ajutorul altor măsuri;
- să suspende sau să înceteze acţiunea certificatului de conformitate;
- să întreprindă alte măsuri prevăzute de legislaţie în scopul neadmiterii încălcării cerinţelor de securitate.
Organele abilitate să efectueze controlul de stat sînt obligate:
- în procesul activităţilor de control de stat să ofere explicaţii cu privire la aplicarea cerinţelor legislaţiei în domeniul securităţii TI;
- să respecte procedura stabilită pentru protecţia informaţiei în funcţie de gradul de criticitate şi importanţă al acesteia;
- să respecte procedura stabilită pentru realizarea activităţilor de control de stat şi perfectarea rezultatelor acestor activităţi;
- în baza rezultatelor activităţilor de control de stat să întreprindă măsuri de lichidare a consecinţelor încălcării cerinţelor de securitate şi regulilor de evaluare a conformităţii.
5.12. Managementul securităţii informaţiei la atragerea organizaţiilor terţe
În procesul prestării serviciilor publice pot fi implicaţi:
- colaboratorii organizaţiilor terţe care deservesc complexul de software şi hardware;
- partenerii care ar putea avea nevoie de schimb de informaţie sau de acces la resursele instituţiei.
La atragerea persoanelor terţe este necesar de respectat următoarele cerinţe:
- este necesar de identificat riscurile legate de resursele şi procesele care implică persoane terţe;
- înainte de acordarea accesului colaboratorilor organizaţiilor terţe la resurse şi procese este necesar de realizat măsuri şi mijloace corespunzătoare de asigurare a securităţii;
- trebuie controlat accesul organizaţiei terţe la mijloacele de procesare a informaţiei;
- contractele în baza cărora este asigurat accesul organizaţiilor terţe trebuie să includă procedura de stabilire a drepturilor şi condiţiilor de acces ale altor participanţi;
- reprezentanţii organizaţiei terţe trebuie să semneze un acord de respectare a confidenţialităţii înainte de a primi accesul la resursele şi mijloacele de procesare a informaţiei;
- în acordurile de confidenţialitate trebuie stabilită responsabilitatea părţilor, în conformitate cu cerinţele securităţii şi legislaţiei în vigoare;
- în contractul încheiat cu persoana terţă este necesar de acordat atenţie specială următoarelor aspecte:
1) nivelul serviciilor prestate;
2) aspectele juridice, conformitatea cu cerinţele prevăzute de legislaţie (de exemplu asigurarea integrităţii datelor personale);
3) repartizarea răspunderii, incluzînd răspunderea subantreprenorilor persoanei terţe;
4) asigurarea caracterului confidenţial, a integrităţii şi disponibilităţii informaţiei procesate, stocate şi transmise;
5) toate cerinţele de securitate legate de accesul persoanei terţei, inclusiv măsurile şi mijloacele de asigurare a securităţii şi controlului;
6) serviciile şi activităţile care vor fi menţinute în caz de survenire a unor situaţii excepţionale;
- este necesar de garantat faptul că mijloacele de asigurare a securităţii incluse în contractul de prestare a serviciilor organizaţiei terţe sînt realizate, exploatate şi susţinute de către organizaţia terţă în modul corespunzător;
- serviciile, rapoartele şi înregistrările prezentate de organizaţia terţă trebuie să fie controlate şi analizate în permanenţă;
- în procesul de elaborare a software-ului cu implicarea organizaţiei terţe este necesar de aplicat următoarele măsuri de control:
1) controlul existenţei contractelor de licenţă şi al clarităţii în materia dreptului de proprietate asupra software-ului şi respectării drepturilor de proprietate intelectuală;
2) verificarea valabilităţii certificării calităţii şi corectitudinii executării lucrărilor;
3) controlul asupra asigurării drepturilor de acces pentru audit în scopul verificării calităţii şi corectitudinii lucrărilor executate;
4) controlul asupra documentării cerinţelor privind calitatea programelor în formă contractuală;
5) verificarea procesului de testare înainte de instalarea software-ului.
6. Sisteme de asigurare a securităţii
Asigurarea securităţii resurselor instituţiei în procesul de prestare a serviciilor publice este pusă în sarcina sistemului de asigurare a securităţii. Pentru a realiza scopurile şi a soluţiona problemele ce ţin de asigurarea securităţii în procesul de prestare a serviciilor publice este necesar de utilizat cel puţin trei clase de sisteme de asigurare a securităţii:
- sisteme de securitate de bază – sisteme comune care stau la baza realizării multor altor sisteme de securitate;
- sisteme de prevenire a încălcărilor securităţii – sisteme de securitate orientate spre prevenirea diferitor încălcări ale securităţii în procesul de prestare a serviciilor;
- sisteme de depistare a încălcărilor şi de restabilire a securităţii – aceste sisteme trebuie orientate spre soluţionarea problemelor ce ţin de depistarea încălcărilor securităţii în procesul prestării serviciilor publice (înainte şi după realizarea acestora) şi de restabilirea sistemului de prestare a serviciilor în stare de siguranţă.
6.1. Sisteme de securitate de bază
Sistemele de securitate de bază trebuie să reprezinte baza, mediul de legătură pentru edificarea tuturor celorlalte sisteme de securitate. La această clasă sînt atribuite următoarele sisteme de securitate:
- sistemul de identificare – pentru realizarea majorităţii sistemelor de securitate este necesară identificarea unică a obiectelor şi subiectelor în procesul de prestare a serviciilor publice. Sistemul de identificare trebuie să asigure posibilitatea atribuirii identificatorului unic utilizatorilor, proceselor, SI, resurselor informaţionale şi altor resurse din SI;
- sistemul de protecţie criptografică – acest sistem este obligatoriu pentru asigurarea securităţii procesului de prestare a serviciilor publice. Sistemul de protecţie criptografică trebuie să includă metodele şi mijloacele speciale (hardware, software şi soft-hardware) de transformare a informaţiei, care sînt utilizate pentru protecţia integrităţii şi confidenţialităţii informaţiei şi a datelor;
- sistemul de management al securităţii şi de administrare. Sistemul de management al securităţii include distribuirea şi managementul informaţiei necesare pentru funcţionara sistemelor şi mecanismelor de securitate în vederea asigurării securităţii în procesul de prestare a serviciilor. Sistemul de administrare include procesele de setare a parametrilor instalării şi exploatării software-ului şi hardware-ului din cadrul sistemelor de securitate în procesul de prestare a serviciilor, precum şi evidenţa modificărilor introduse în echipamentul utilizat.
Este necesar de stabilit obligaţiile privind managementul echipamentului de procesare a informaţiei şi exploatarea acestui echipament.
Toate sistemele de securitate de bază asigură protecţia sistemului, care reprezintă o totalitate de proprietăţi ale sistemului ce permit încrederea în realizarea tehnică a sistemului de asigurare a securităţii. Exemple de măsuri şi mijloace de protecţie a sistemului sînt următoarele:
- protecţia informaţiei contra utilizării repetate;
- minimalizarea drepturilor de acces;
- divizarea proceselor;
- divizarea responsabilităţii;
- modularitatea şi etapele de elaborare;
- minimalizarea cercului de persoane informate.
Este necesar de examinat nu doar calitatea mijloacelor de protecţie a sistemului de prestare a serviciilor realizate, dar şi procedurile de elaborare a acestora, metodele de realizare şi soluţionare a sarcinilor tehnice.
6.2. Sisteme de prevenire a încălcărilor securităţii
Sistemele de prevenire a încălcării securităţii trebuie să asigure securitatea obiectelor protejate contra acţiunilor calificate drept invazie sau încălcare a securităţii.
La clasa respectivă sînt atribuite următoarele sisteme:
- sistemul de telecomunicaţii protejate (canale de comunicaţii). În cadrul sistemului de prestare a serviciilor publice asigurarea unei protecţii sigure depinde în mare măsură de protecţia canalelor de comunicaţii. Sistemul de protecţie a canalelor de comunicaţii trebuie să asigure integritatea, confidenţialitatea şi accesibilitatea informaţiei în procesul de transmitere a acesteia prin canalele de comunicaţii. Măsurile şi mijloacele de asigurare a securităţii trebuie să asigure protecţia contra distrugerii, substituirii, modificării şi transmiterii repetate al datelor şi contra altor tipuri de acţiuni premeditate;
- sistemul de autentificare reprezintă cel mai important sistem de securitate, în special în cadrul sistemului de prestare a serviciilor publice. Sistemul de autentificare execută procedura de verificare a autenticităţii subiectului care permite stabilirea cu certitudine a faptului că subiectul care şi-a prezentat identificatorul este într-adevăr subiectul, al cărui identificator îl utilizează. Metodele de identificare trebuie să fie aplicate pentru utilizatorii de toate categoriile, inclusiv pentru personalul de asistenţă tehnică, operatori, administratori de reţea, programatori de sistem, administratori de baze de date;
- sistemul de autorizare este orientat spre acordarea (atribuirea) subiecţilor anumitor împuterniciri legate de acţiunile executate de aceştia în cadrul SI de prestare a serviciilor publice;
- sistemul de management al accesului este sistemul calificat ca fiind „prevenirea utilizării neautorizate a resurselor, inclusiv prevenirea utilizării resurselor prin metode inadmisibile”. Sistemul trebuie să fie utilizat pentru diverse tipuri de acces la resursele şi sistemele informaţionale, de exemplu utilizarea resurselor comunicaţionale, citirea, înregistrarea sau lichidarea resurselor informaţionale, utilizarea resurselor sistemelor informaţionale de procesare a datelor. Politica de management al accesului trebuie să servească drept bază pentru politica de securitate a TI, care trebuie să cuprindă toate etapele de acces al utilizatorilor, începînd cu înregistrarea iniţială a noilor utilizatori pînă la anularea finală a înregistrării pentru utilizatorii care nu mai au nevoie de accesul la SI şi la servicii.
Sistemele de prevenire a încălcărilor securităţii în procesul de prestare a serviciilor publice trebuie să asigure confidenţialitatea, integritatea şi accesibilitatea informaţiei, precum şi negarea şi caracterul secret al tranzacţiilor.
Negarea (dovada apartenenţei) reprezintă „prevenirea posibilităţii refuzului unora din participanţii reali ai comunicaţiilor de faptul participării depline sau parţiale la transmiterea datelor”. Este necesar de utilizat două forme de negare: negarea de la expedierea mesajului (dovada sursei) şi confirmarea (dovada) primirii mesajelor. Negarea este necesară pentru prevenirea şi depistarea încălcărilor securităţii în cadrul SI de prestare a serviciilor. Măsurile şi mijloacele de asigurare a negării trebuie să prevină posibilitatea refuzului acţiunilor executate.
Caracterul secret al tranzacţiilor în cadrul SI de prestare a serviciilor publice semnifică respectarea cerinţelor de asigurare a caracterului secret al persoanei care utilizează resursele şi sistemele informaţionale. Caracterul secret reprezintă protecţia contra divulgării informaţiei (datelor) despre identitatea utilizatorului care foloseşte resursele şi sistemele informaţionale. Caracterul secret al tranzacţiilor trebuie să asigure protecţia contra pierderii negării pe calea analizei acţiunilor, operaţiilor efectuate de utilizatori în sistemul de prestare a serviciilor publice.
6.3. Sisteme de depistare a încălcărilor şi de restabilire a securităţii
Sistemele de depistare a încălcărilor şi de restabilire a securităţii trebuie să includă serviciile de depistare a încălcărilor securităţii orientate spre consolidarea serviciilor de prevenire, precum şi crearea şi testarea regulată a copiilor de rezervă ale datelor şi software-ului.
Pentru a depista încălcările securităţii SI de prestare a serviciilor publice este necesar de utilizat următoarele sisteme:
- sistemul de audit al securităţii, orientat spre depistarea evenimentelor care influenţează securitatea SI, asigurarea reacţionării sistemului la invaziile depistate, precum şi spre asigurarea formării datelor necesare pentru restabilirea ulterioară a SI în starea de siguranţă. În cadrul auditului securităţii este necesar de examinat diferite sisteme şi mecanisme de securitate care asigură protecţia informaţiei în procesul de prestare a serviciilor publice.
Mecanismele de audit trebuie să soluţioneze următoarele sarcini:
1) asigurarea subordonării utilizatorilor şi administratorilor, ceea ce reprezintă un mijloc de reţinere a tentativelor de încălcare a securităţii informaţionale. Unul din mecanismele importante de securitate pentru asigurarea subordonării sînt mecanismele de identificare şi autentificare, precum şi mecanismele de management al accesului pentru asigurarea caracterului confidenţial şi a integrităţii informaţiei ce urmează să fie raportată;
2) asigurarea posibilităţii de restabilire a consecutivităţii evenimentelor, ceea ce permite depistarea aspectelor vulnerabile în protecţia informaţiei, identificarea persoanei vinovate de invazie, evaluarea proporţiilor prejudiciului cauzat şi returnarea la regimul normal de activitate;
3) furnizarea informaţiei pentru identificarea şi analiza problemelor prin întocmirea rapoartelor corespunzătoare;
- sistemul de depistare a incidentelor şi politica de reţinere. Sistemul de depistare a incidentelor trebuie să fie orientat spre depistarea atît a tentativelor de încălcare a securităţii, cît şi spre înregistrarea activităţii legitime a utilizatorilor. Depistarea trebuie să fie locală şi/sau la distanţă, şi trebuie să fie realizată prin intermediul semnalizării de alarmă a incidentelor, înregistrarea evenimentelor şi acţiunilor de restabilire. Pentru a reduce consecinţele reale şi potenţiale ale incidentelor, politica de reţinere a incidentelor potenţiale trebuie să includă raportul de incident, contracţiunii de minimalizare a riscurilor şi prioritatea lor;
- sistemul de control al integrităţii componentelor software, hardware şi informaţionale ale SI trebuie să fie orientat spre depistarea la timp a încălcărilor integrităţii;
- sistemul de restabilire a securităţii trebuie să îndeplinească funcţia de reacţie a SI la încălcarea securităţii. Sistemul de restabilire a securităţii trebuie să fie realizat prin executarea acţiunilor, precum sînt: deconectarea imediată sau stoparea funcţionării, refuzul de a acorda acces subiectului, privarea temporară de drepturi a subiectului, introducerea subiectului în „lista neagră”.
7. Cerinţe minime de securitate la prestarea serviciilor publice
La crearea sistemului de asigurare a securităţii este necesar de a se baza pe profilurile de protecţie, ceea ce va permite asigurarea unei protecţii sigure a tuturor resurselor şi proceselor din cadrul instituţiei.
Profilurile de protecţie trebuie să caracterizeze anumite măsuri şi mijloace de asigurare a securităţii, de combinare a unor activităţi similare. În cadrul profilurilor de protecţie trebuie să fie incluse următoarele măsuri şi mijloace de bază de asigurare a securităţii:
- identificarea şi autentificarea;
- managementul accesului;
- protocolarea şi auditul;
- cifrarea;
- controlul integrităţii;
- ecranarea;
- analiza protecţiei;
- asigurarea negării;
- asigurarea restabilirii sigure;
- tunelarea.
La crearea sistemului complex de securitate informaţională în procesul prestării serviciilor publice trebuie să fie utilizate următoarele profiluri de protecţie:
- acces controlat;
- protecţia prin marcare;
- sisteme operaţionale;
- sisteme operaţionale cu un singur nivel;
- sisteme operaţionale cu multe niveluri;
- sisteme de management al bazelor de date.
Toate cerinţele profilurilor de protecţie trebuie să fie divizate în următoarele:
- cerinţe funcţionale ce corespund aspectului activ al protecţiei şi care sînt înaintate faţă de funcţiile de securitate a sistemului de prestare a serviciilor publice şi mecanismele de realizare a acestora;
- cerinţe de încredere, care corespund aspectului pasiv, sînt înaintate faţă de tehnologia şi procesul de elaborare şi exploatare a sistemului de prestare a serviciilor publice.
Cerinţele de încredere a securităţii trebuie să cuprindă tot ciclul de viaţă al prestării serviciilor publice. Cerinţele de încredere presupun îndeplinirea următoarelor acţiuni:
- evaluarea sarcinilor privind securitatea şi a profilurilor de protecţie care au devenit surse ale cerinţelor securităţii;
- verificarea proceselor şi procedurilor securităţii, aplicarea acestora;
- analiza documentaţiei;
- verificarea dovezilor prezentate;
- analiza testelor şi rezultatele lor;
- analiza punctelor vulnerabile;
- efectuarea testării independente.
7.1. Profilul de protecţie „Acces controlat”
Profilul de protecţie „Acces controlat” este destinat pentru formularea cerinţelor faţă de mecanismele de protecţie care realizează, în special, principiul discreţionar (selectiv) de control al accesului. Profilul de protecţie cu acces controlat stabileşte un set de cerinţe funcţionale şi cerinţe de încredere pentru SI de prestare a serviciilor publice. Accesul controlat susţine managementul accesului care permite limitarea acţiunii unor anumiţi utilizatori şi accesul la resursele şi sistemele informaţionale.
Scopurile securităţii profilului de protecţie „Acces controlat” sînt:
- asigurarea accesului la resursele şi sistemele informaţionale doar pentru utilizatorii autorizaţi;
- managementul accesului la resurse pentru a stabili care resurse pot fi accesibile utilizatorilor;
- protocolarea acţiunilor utilizatorilor în SI în procesul prestării serviciilor publice;
- asigurarea nedivulgării oricărei informaţii conţinute în resursa protejată, în procesul de redistribuire a acesteia.
Cerinţele de securitate în procesul prestării serviciilor profilului de protecţie „Acces controlat” trebuie să fie divizate în cerinţe funcţionale şi cerinţe de încredere, care contribuie la realizarea scopurilor acestui profil al securităţii.
7.1.1. Cerinţe funcţionale pentru profilul de protecţie „Acces controlat”
7.1.1.1. Cerinţe privind protecţia datelor utilizatorilor la prestarea serviciilor publice
Cerinţele privind protecţia datelor utilizatorului la prestarea serviciilor publice sînt:
- trebuie realizată politica managementului discreţionar (selectiv) al accesului pentru utilizatori şi al tuturor operaţiilor între subiecţi şi obiecte (determinarea limitelor managementului);
- cerinţe privind managementul accesului, bazat pe atributele securităţii:
1) trebuie să existe posibilitatea de a compara operaţiile permise şi interzise cu identificatorii unui sau mai multor utilizatori;
2) trebuie să existe posibilitatea de a utiliza operaţii permise şi interzise predefinit;
3) pentru fiecare operaţie trebuie să fie setate regulile de utilizare predefinit a atributelor de permitere, determinate în atributele de management al accesului la obiect;
4) este necesar de permis sau de refuzat în mod clar accesul subiecţilor la obiecte în baza regulilor;
- trebuie realizat un pachet de programe-test la lansarea iniţială, periodic în timpul funcţionării în regim normal sau la solicitarea administratorului autorizat pentru a demonstra corectitudinea îndeplinirii cerinţelor de securitate;
- trebuie susţinut domeniul securităţii pentru executare proprie, care să protejeze contra intruziunilor şi denaturărilor din partea subiecţilor neautorizaţi;
- trebuie furnizate menţiuni temporale sigure de utilizare proprie, deoarece generarea înregistrărilor de audit depinde de corectitudinea prezentării interne a datei şi orei;
- trebuie asigurată inaccesibilitatea tuturor conţinuturilor informaţionale anterioare ale resurselor în procesul distribuirii resursei pentru toate obiectele.
7.1.1.2. Cerinţe privind managementul securităţii în procesul prestării serviciilor publice
Cerinţele privind managementul securităţii în procesul prestării serviciilor publice sînt:
- posibilitatea de a modifica drepturile de acces trebuie să fie limitată astfel încît utilizatorul care deţine dreptul de acces la obiectul informaţional să nu poată modifica aceste drepturi înainte de a primi permisiunea respectivă;
- cerinţe privind gestionarea datelor:
1) trebuie să existe posibilitatea creării, distrugerii şi vidării registrului de audit doar de către administratori autorizaţi;
2) trebuie să existe posibilitatea modificării sau vizualizării multitudinii de evenimente supuse auditării doar de către administratorii autorizaţi;
3) trebuie să existe posibilitatea iniţializării şi modificării atributelor securităţii utilizatorilor, cu excepţia datelor de autentificare, doar de către administratorii autorizaţi;
4) trebuie să existe posibilitatea iniţializării şi modificării datelor autentificării doar de către administratorii autorizaţi;
- cerinţe cu privire la rolurile securităţii:
1) trebuie susţinute următoarele roluri: administrator autorizat; utilizatori împuterniciţi prin politica managementului discreţionar a accesului de a modifica atributele securităţii obiectului informaţional; utilizatorii împuterniciţi de a modifica datele de autentificare personale;
2) trebuie să existe posibilitatea de a asocia utilizatorii cu rolurile.
7.1.2. Cerinţe de încredere a securităţii pentru profilul de protecţie „Acces controlat”
7.1.2.1. Cerinţe privind documentaţia şi software
Cerinţele privind documentaţia şi software-ul care asigură prestarea serviciilor publice trebuie să includă următoarele:
- cerinţe privind documentaţia sistemului de prestare a serviciilor publice, care trebuie să:
1) fie actuală, protejată în modul corespunzător şi accesibilă pentru categoriile de personal stabilite;
2) includă documentaţia în care sînt descrise măsurile şi mijloacele de asigurare a securităţii în procesul de prestare a serviciilor publice, cu detaliile necesare pentru analiza şi verificarea acestora;
- cerinţe privind manualul administratorului, care trebuie să conţină:
1) descrierea funcţiilor de administrare şi a interfeţelor accesibile administratorului;
2) descrierea modului inofensiv de management al sistemului de prestare a serviciilor publice;
3) avertizări privind funcţiile şi privilegiile care urmează să fie controlate într-un mediu inofensiv de procesare a informaţiei;
4) descrierea tuturor parametrilor securităţii controlaţi de administrator, cu specificarea, în caz de necesitate, a valorilor inofensive ale parametrilor;
5) descrierea tuturor presupunerilor privind comportamentul utilizatorului, care au legătură cu exploatarea inofensivă a sistemului de prestare a serviciilor publice;
6) descrierea evenimentelor posibile legate de securitate şi de exercitarea funcţiilor obligatorii de management;
- cerinţe privind manualul utilizatorului, care trebuie să:
1) conţină descrierea funcţiilor şi interfeţelor accesibile utilizatorilor;
2) conţină descrierea mijloacelor aplicate de asigurare a securităţii şi controlului accesibile utilizatorilor, precum şi descrierea modalităţii de utilizare a acestora;
3) conţină avertizări privind funcţiile şi privilegiile accesibile utilizatorilor;
4) fie expuse într-o manieră exactă toate obligaţiile utilizatorilor necesare pentru exploatarea inofensivă a sistemului de prestare a serviciilor publice;
- cerinţe privind instalarea software-ului:
1) instituţia exploatatoare trebuie să stabilească şi să aplice reguli bine definite privind instalarea software-ului de către utilizatori;
2) trebuie să fie identificate tipurile de software permise şi interzise pentru a fi instalate de către utilizatori;
- cerinţe privind utilizarea software-ului:
1) în procesul utilizării software-ului şi a documentaţiei aferente acestuia trebuie să fie respectate acordurile cu producătorii şi cerinţele legislaţiei naţionale în vigoare cu privire la dreptul de autor;
2) instituţia exploatatoare trebuie să dispună de un sistem de control al copierii şi distribuirii software-ului şi a documentaţiei aferente acestuia în conformitate cu licenţele obţinute.
7.2. Profilul de protecţie „Protecţie prin marcare”
Profilul de protecţie „Protecţie prin marcare” este destinat pentru managementul accesului care permite limitarea acţiunilor anumitor utilizatori şi a accesului la resursele şi sistemele informaţionale şi stabileşte ansamblul de cerinţe funcţionale şi cerinţe de încredere pentru SI de prestare a serviciilor publice.
În cazul „Protecţiei prin marcare” trebuie să fie aplicate două clase de mecanisme de management al accesului, care permit utilizatorilor individuali să determine modul de utilizare în comun a resurselor şi sistemelor informaţionale (de exemplu, fişiere, cataloage) în condiţiile managementului realizat de către aceşti utilizatori, şi care impun restricţii privind utilizarea resurselor şi sistemelor în rîndurile utilizatorilor.
Scopurile securităţii profilului de protecţie „Protecţie prin marcare” include toate scopurile profilului de protecţie „Acces controlat”, precum şi următoarele scopuri:
- acordarea tuturor funcţiilor şi posibilităţilor pentru susţinerea administratorilor autorizaţi care sînt responsabili de managementul securităţii în procesul de prestare a serviciilor publice;
- proiectarea şi realizarea astfel încît să fie asigurată realizarea politicii de securitate a instituţiei într-un mediu prestabilit, ţinîndu-se cont de cerinţele privind securitatea fizică şi de cerinţele privind personalul.
Cerinţele de securitate la prestarea serviciilor publice ale profilului de securitate „Protecţie prin marcare” trebuie să fie divizate în cerinţe funcţionale şi cerinţele de încredere, care contribuie la realizarea scopurilor acestui profil de securitate. Cerinţele funcţionale ale profilului de protecţie „Protecţie prin marcare” coincid parţial cu cerinţele profilului de protecţie „Acces controlat”, iar cerinţele de încredere coincid cu profilul de protecţie „Acces controlat”.
7.2.1. Cerinţe funcţionale pentru profilul de protecţie „Protecţie prin marcare”
Cerinţele funcţionale ale profilului de protecţie „Protecţie prin marcare” coincid cu cerinţele profilului de protecţie „Acces controlat”, care trebuie să fie completate cu următoarele:
- cerinţe faţă de exportul datelor utilizatorului fără atribute de securitate:
1) trebuie realizată politica de management al accesului prin mandat în cazul exportului datelor „nemarcate” ale utilizatorului;
2) dispozitivele utilizate pentru exportul datelor fără atribute de securitate nu trebuie să fie utilizate pentru a exporta date cu atribute de securitate;
- cerinţe faţă de exportul datelor utilizatorului cu atribute de securitate:
1) în cazul de export al datelor utilizatorului peste limite, atributele de securitate trebuie să fie asociate univoc cu datele exportate „marcate” ale utilizatorului;
2) dispozitivele utilizate pentru exportul datelor cu atribute de securitate nu pot fi utilizate pentru exportul datelor fără atribute de securitate;
- trebuie să fie realizată politica de management al accesului prin mandat pentru subiecţi şi obiecte şi al tuturor operaţiilor între subiecţi şi obiecte;
- cerinţe privind atributele de securitate ierarhice:
1) trebuie realizată politica de management prin mandat al accesului, bazată pe următoarele tipuri de atribute de securitate a subiecţilor şi informaţiei: menţiunea privind sensibilitatea subiectului şi menţiunea privind sensibilitatea obiectului ce conţine informaţii;
2) fluxul informaţional dintre subiectul gestionat şi informaţie trebuie să fie permis: dacă menţiunea privind sensibilitatea subiectului este mai mare decît sau este egală cu menţiunea privind sensibilitatea obiectului, atunci este permis fluxul informaţional de la obiect la subiect (operaţia de citire); dacă menţiunea privind sensibilitatea obiectului este mai mare decît sau este egală cu menţiunea privind sensibilitatea subiectului, atunci este permis fluxul informaţional de la subiect la obiect (operaţia de înregistrare); dacă menţiunea privind sensibilitatea subiectului A este mai mare decît sau este egală cu menţiunea privind sensibilitatea subiectului B, atunci este permis fluxul informaţional de la subiectul B la subiectul A;
- cerinţe privind anularea drepturilor de acces:
1) trebuie să existe posibilitatea anulării imediate a împuternicirilor importante pentru securitate;
2) drepturile de acces asociate cu obiectul trebuie să fie activate după verificareа accesului;
- pe lîngă rolurile indicate mai sus, este necesar de a susţine utilizatorii împuterniciţi prin politica de management al accesului prin mandat de a modifica atributele de securitate ale obiectului informaţional.
7.3. Profilul de protecţie „Sisteme operaţionale”
Profilul de protecţie „Sisteme operaţionale” stabileşte cerinţele securităţii pentru sistemele operaţionale de destinaţie comună în procesul de prestare a serviciilor publice, care conţin de regulă sisteme de fişiere, servicii de imprimare, servicii de reţea, servicii de arhivare a datelor şi alte aplicaţii asigurate de host (de exemplu, poşta electronică, bazele de date). Sistemele operaţionale care corespund cerinţelor acestui profil susţin medii în care poate fi procesată informaţia confidenţială. Profilul de protecţie „Sisteme operaţionale” asigură managementul accesului discreţionar, ceea ce înseamnă că subiectul care deţine o anumită permisiune de acces are posibilitatea de a transmite această permisiune oricărui alt subiect.
Managementul accesului la toate datele şi resursele informaţionale protejate trebuie să fie realizat în baza identificatorului. Pentru toţi utilizatorii trebuie să fie desemnaţi identificatori unici. Acest identificator trebuie să asigure responsabilitatea utilizatorului. Trebuie să fie confirmată autenticitatea identificatorului declarat al utilizatorului înainte de obţinerea permisiunii de către utilizator de a executa orice acţiuni.
Particularităţile specifice ale securităţii, care sînt necesare pentru astfel de sisteme trebuie să includă:
- identificarea şi autentificarea: utilizatorii autorizaţi trebuie să fie identificaţi şi autentificaţi înainte de accesul la informaţia păstrată în sistemul de prestare a serviciilor publice;
- managementul accesului discreţionar oferă utilizatorilor autorizaţi posibilitatea de a determina protecţia pentru fişierele de date pe care aceştia le creează;
- serviciile de audit, care oferă posibilitate administratorilor împuterniciţi, trebuie să depisteze şi să analizeze încălcările potenţiale ale securităţii.
Scopurile securităţii profilului de protecţie „Sisteme operaţionale” sînt:
- sistemul operaţional trebuie să asigure obţinerea accesului la ea şi la resursele informaţionale pe care le gestionează doar de către utilizatorii autorizaţi;
- sistemul trebuie să reprezinte informaţia legată de tentativele anterioare de a stabili o şedinţă;
- sistemul operaţional trebuie să ofere posibilitatea de a depista şi de a înregistra evenimentele semnificative pentru securitate în procesul de prestare a serviciilor publice, asociate cu utilizatorii individuali; trebuie să ofere posibilitatea de a proteja şi de a vizualiza selectiv informaţia de audit asociată cu utilizatorii individuali;
- sistemul operaţional trebuie să gestioneze accesul la resurse în baza identificatorilor utilizatorilor sau ai grupurilor de utilizatori;
- sistemul operaţional trebuie să ofere utilizatorilor împuterniciţi posibilitatea de a stabili tipul de resurse informaţionale şi utilizatorii sau grupurile de utilizatori care pot obţine acces;
- sistemul operaţional trebuie să fie setat şi instalat prin metoda care susţine securitatea sistemului de prestare a serviciilor publice;
- sistemul operaţional trebuie să ofere mijloace pentru protecţia datelor utilizatorului şi a resurselor;
- nici un utilizator nu trebuie să-i blocheze pe ceilalţi utilizatori în caz de apelare la resursele informaţionale;
- sistemul operaţional trebuie să fie supus unei testări independente care să includă scenarii de testare şi rezultate;
- sistemul operaţional trebuie să verifice identificatorul declarat al utilizatorului;
- în sistemul operaţional utilizatorii trebuie să se identifice o singură dată.
Cerinţele de securitate în procesul de prestare a serviciilor publice ale profilului de protecţie „Sisteme operaţionale” trebuie să fie divizate în cerinţe funcţionale şi cerinţele de încredere care contribuie la realizarea scopurilor acestui profil de securitate.
7.3.1. Cerinţe funcţionale pentru profilul de protecţie „Sisteme operaţionale”
Cerinţele funcţionale pentru profilul de protecţie „Sisteme operaţionale” coincid cu anumite cerinţe ale profilului de protecţie „Protecţie prin marcare”, care urmează a fi completate cu următoarele:
- trebuie să existe posibilitatea determinării regimului de executare, deconectare, conectare, modificării regimului de executare a funcţiilor privind selectarea evenimentelor supuse auditării;
- trebuie să existe posibilitatea protejării datelor contra revelării şi modificării în procesul de transmitere a lor între porţiunile divizate ale SI;
- trebuie să fie asigurată concordanţa datelor la dublarea lor în diverse porţiuni ale SI de prestare a serviciilor publice;
- cerinţe privind autotestarea:
1) trebuie să fie realizat un pachet de programe de autotestare la lansare sau la solicitarea administratorului autorizat pentru demonstrarea executării corecte;
2) trebuie să existe posibilitatea la administratorii autorizaţi de a verifica integritatea datelor şi a codului executat păstrat;
- trebuie să realizeze cotele maxime ale următoarelor procese: procentul de memorie a spaţiului de disc şi procentul de memorie de sistem, pe care utilizatorii individuali le pot utiliza în orice timp stabilit;
- trebuie să fie furnizat traseul de comunicaţii dintre sine şi utilizatorii locali care este diferit din punct de vedere logic de alte trasee de comunicaţii şi asigură o identificare certă a părţilor sale terminale, precum şi protecţia datelor transmise contra modificării sau revelării.
7.3.2. Cerinţe de încredere a securităţii pentru profilul de protecţie „Sisteme operaţionale”
Cerinţele de încredere a securităţii profilului de protecţie „Sisteme operaţionale” coincid cu cerinţele de acelaşi gen ale profilului de protecţie „Protecţie prin marcare”, care urmează a fi completate cu următoarele:
- cerinţe privind testareа:
1) elaboratorul trebuie să testeze funcţiile SI de prestare a serviciilor publice şi să documenteze rezultatele;
2) documentaţia de testare trebuie să fie constituită din planuri şi descrieri ale procedurilor de testare, precum şi ale rezultatelor preconizate şi reale ale testării;
3) planurile de testare trebuie să identifice funcţiile verificate ale securităţii şi să conţină descrierea scopurilor testării;
4) rezultatele testelor executate de elaborator trebuie să demonstreze că fiecare funcţie verificată a securităţii a fost îndeplinită cu succes;
- trebuie să fie identificate toate regimurile posibile de exploatare a sistemului de prestare a serviciilor publice, inclusiv acţiunile de după deranjament sau eroare în funcţionare, consecinţele şi importanţa acestora pentru asigurarea unei exploatări inofensive; documentaţia trebuie să demonstreze pentru toate punctele vulnerabile identificate faptul că nici unul dintre acestea nu poate fi utilizat în sistemul de prestare a serviciilor.
Exemple de pericole pentru profilul de protecţie „Sisteme operaţionale” sînt prezentate în anexa nr.1.
7.4. Profilul de protecţie „Sisteme operaţionale cu un singur nivel”
Sistemele operaţionale care corespund cerinţelor acestui profil susţin mediile în care pot fi procesate datele cu un singur nivel în procesul de prestare a serviciilor publice. Acest profil trebuie să asigure managementul accesului discreţionar şi să furnizeze servicii criptografice. Pentru crearea sistemului de prestare a serviciilor publice pentru acest profil de protecţie este necesar de utilizat hardware-ul şi software-ul sau combinarea lor pentru realizarea serviciilor criptografice. Serviciile criptografice trebuie să asigure un nivel corespunzător de posibilităţi funcţionale şi încredere în atingerea scopurilor de asigurare a securităţii informaţionale. Trebuie utilizate mijloacele de protecţie criptografică certificate. Profilul „Sisteme operaţionale cu un singur nivel” este utilizat pentru sistemele cu destinaţie comună cu un număr mare de utilizatori, ceea ce convine sistemului de prestare a serviciilor publice.
Scopurile profilului de protecţie „Sisteme operaţionale cu un singur nivel” includ obiective identice cu cele ale profilului de protecţie „Sisteme operaţionale”, precum şi următoarele scopuri:
- sistemul operaţional trebuie să funcţioneze susţinînd securitatea SI de prestare a serviciilor publice;
- sistemul operaţional trebuie să furnizeze mecanisme criptografice de asigurare a integrităţii datelor în procesul de transmitere a lor către porţiunile îndepărtate ale SI.
Cerinţele securităţii în procesul de prestare a serviciilor ale profilului de protecţie „Sisteme operaţionale cu un singur nivel” trebuie să fie divizate în cerinţe funcţionale şi cerinţe de încredere, care contribuie la realizarea scopurilor acestui profil de securitate.
7.4.1. Cerinţe funcţionale pentru profilul de protecţie „Sisteme operaţionale cu un singur nivel”
Cerinţele funcţionale pentru profilul de protecţie „Sisteme operaţionale cu un singur nivel” coincid cu anumite cerinţe ale profilului de protecţie „Sisteme operaţionale”, care trebuie să fie completate cu următoarele:
- cerinţe privind managementul mijloacelor de protecţie criptografică:
1) trebuie generate chei criptografice simetrice şi asimetrice conform algoritmului stabilit de generare a cheilor criptografice;
2) la fiecare cheie simetrică generată trebuie să fie adăugată suma de control a altui algoritm atestat;
3) toate certificatele cheilor publice generate trebuie să corespundă cerinţelor legislaţiei naţionale în vigoare;
4) cheile criptografice trebuie să fie distribuite în conformitate cu metoda stabilită de distribuire: metoda manuală (fizică), metoda automată (electronică);
5) trebuie să fie asigurată păstrarea cheilor numai în formă cifrată în conformitate cu cerinţele legislaţiei naţionale în vigoare;
6) cheile criptografice trebuie să fie distruse conform metodei de distrugere a cheilor criptografice care corespunde cerinţelor legislaţiei naţionale în vigoare, iar lichidarea întregului text public al cheilor criptografice şi a tuturor altor parametri critici ai securităţii în limitele dispozitivului trebuie să fie imediată şi totală;
- trebuie efectuate operaţiile de cifrare/descifrare a datelor, calculare a semnăturii digitale criptografice, operaţiile de hashing, operaţiile de schimb de chei criptografice în conformitate cu legislaţia în vigoare;
- trebuie adăugat rolul de administrator al mijloacelor de protecţie criptografică a informaţiei;
- trebuie susţinut domenul criptografic, care este separat de cealaltă porţiune şi este protejat contra intruziunilor şi denaturărilor din partea subiecţilor neautorizaţi.
7.4.2. Cerinţe de încredere a securităţii pentru profilul de protecţie „Sisteme operaţionale cu un singur nivel”
Cerinţele de încredere a securităţii pentru profilul de protecţie „Sisteme operaţionale cu un singur nivel”, utilizate în procesul de prestare a serviciilor publice, trebuie să includă analiza punctelor vulnerabile/testul de intruziune, cerinţe privind elaborarea şi analiza canalelor secrete pentru criptografie.
Cerinţele de încredere a securităţii pentru profilul de protecţie „Sisteme operaţionale cu un singur nivel” coincid cu cerinţele de acelaşi gen ale profilului de protecţie „Sisteme operaţionale”, care trebuie completate cu următoarele:
- modulul criptografic trebuie să fie proiectat şi structurat astfel încît să fie separat de celelalte procese;
- trebuie stabilite porturile fizice/logice ale modulului criptografic;
- cerinţe privind înlăturarea deficienţelor:
1) trebuie stabilită procedura de recepţionare şi prelucrare a mesajelor utilizatorilor despre deficienţele securităţii şi a solicitărilor de remediere;
2) procedurile de înlăturare a deficienţelor trebuie să conţină descrierea procedurilor de monitorizare a tuturor deficienţelor de securitate devenite publice, în procesul de prestare a serviciilor publice;
3) procedurile de înlăturare a deficienţelor trebuie să conţină descrierea naturii şi manifestărilor fiecărei deficienţe de securitate, precum şi a statutului de finalizare a remedierii deficienţei respective.
- cerinţe privind analiza canalelor secrete ale modulului criptografic:
1) pentru modulul criptografic trebuie efectuată căutarea canalelor secrete de scurgere a parametrilor critici ai securităţii;
2) documentarea analizei trebuie să identifice canalele secrete din modulul criptografic şi să conţină evaluarea capacităţii de transmitere;
3) documentaţia analizei trebuie să conţină descrierea celei mai periculoase variante de scenariu de utilizare a fiecărui canal secret identificat;
4) trebuie să existe confirmarea faptului că rezultatele analizei canalelor secrete demonstrează corespunderea modulului criptografic cu cerinţele funcţionale.
Exemple de pericole pentru profilul de protecţie „Sisteme operaţionale cu un singur nivel” sînt prezentate în anexa nr. 2.
7.5. Profilul de protecţie „Sisteme operaţionale cu multe niveluri”
Sistemele operaţionale ce corespund cerinţelor acestui profil susţin medii în care pot fi procesate date cu multe niveluri în procesul de prestare a serviciilor publice. Sistemele acestui profil de protecţie trebuie să asigure managementul accesului discreţionar, managementul accesului prin mandat, managementul integrităţii prin mandat şi să furnizeze servicii criptografice. Toţi utilizatorii trebuie să deţină un nivel asociat de acces, care să determine nivelul maxim al sensibilităţii resurselor şi sistemelor informaţionale la care aceştia pot recurge.
Scopurile sistemului operaţional al profilului de protecţie „Sisteme operaţionale cu multe niveluri” includ scopuri identice cu cele ale profilului de protecţie „Sisteme operaţionale cu un singur nivel” şi suplimentar scopul: sistemul operaţional trebuie să gestioneze accesul la resurse, care este bazat pe nivelul accesului utilizatorilor şi resurselor, precum şi nivelul integrităţii resurselor şi nivelul drepturilor utilizatorilor la modificarea datelor.
Cerinţele securităţii în procesul de prestare a serviciilor publice ale profilului de protecţie „Sisteme operaţionale cu multe nivele” trebuie să fie divizate în cerinţe funcţionale şi cerinţe de încredere, care contribuie la realizarea scopurilor acestui profil de protecţie. Cerinţele de încredere ale securităţii acestui profil coincid cu cerinţele de încredere ale securităţii profilului „Sisteme operaţionale cu un singur nivel”.
7.5.1. Cerinţe funcţionale pentru profilul de protecţie „Sisteme operaţionale cu multe niveluri”
Cerinţele funcţionale pentru profilul de protecţie „Sisteme operaţionale cu multe niveluri” coincid cu cerinţele funcţionale ale profilului de protecţie „Sisteme operaţionale cu un singur nivel”, care urmează să fie completate cu cerinţele privind gestionarea totală a fluxurilor informaţionale:
- pentru toate operaţiile de transmitere a informaţiei gestionate către subiecţii gestionaţi trebuie realizată politica de management a accesului prin mandat;
- dacă menţiunea sensibilităţii subiectului este mai mare decît sau este egală cu menţiunea privind sensibilitatea obiectului, atunci este permis fluxul de informaţii de la obiect către subiect (operaţia de citire);
- dacă menţiunea sensibilităţii obiectului este mai mare decît sau este egală cu menţiunea privind sensibilitatea subiectului, atunci este permis fluxul de informaţii de la subiect la obiect (operaţia înregistrării).
Exemple de pericole pentru profilul de protecţie „Sisteme operaţionale cu multe niveluri” sînt prezentate în anexa 3.
7.6. Profilul de protecţie „Sisteme de management al bazelor de date”
Profilul de protecţie „Sisteme de management al bazelor de date” stabileşte cerinţele securităţii pentru sistemele de management al bazelor de date în cadrul instituţiilor care prestează servicii publice, unde există cerinţe pentru protecţia confidenţialităţii, integrităţii şi accesibilităţii informaţiei păstrate în bazele de date. Revelarea, modificarea nesancţionată sau refuzul de a deservi o astfel de informaţie poate avea o influenţă nefavorabilă asupra procesului de prestare a serviciilor publice şi asupra funcţionării însăşi a instituţiei.
Acest profil de protecţie trebuie să stabilească:
- totalitatea cerinţelor de bază care trebuie respectate de toate bazele de date;
- totalitatea pachetelor cu datele de autentificare ce reprezintă mijloace de confirmare a autenticităţii utilizatorului.
Scopurile profilului de protecţie „Sisteme de management al bazelor de date” sînt următoarele:
- prevenirea dezvăluirii, introducerii, modificării sau distrugerii neautorizate a datelor şi obiectelor din bazele de date (fişiere, cataloage, inclusiv programe, biblioteci de programe de lucru, fişiere ale bazei de date, fişiere exportate, fişiere ale înregistrării repetate, fişiere gestionate, fişiere cu trasare şi fişiere cu dump), precum şi prevenirea vizualizării bazei de date, gestionării datelor şi a auditului datelor din baza de date;
- acordarea mijloacelor de gestionare utilizînd resursele informaţionale ale bazei de date de către utilizatorii autorizaţi;
- acordarea mijloacelor de identificare/autentificare a utilizatorilor pentru confirmarea sigură a autenticităţii utilizatorilor;
- acordarea mijloacelor de înregistrare detaliată a evenimentelor semnificative pentru securitate.
Cerinţele de securitate în procesul prestării serviciilor publice ale profilului de protecţie „Sisteme de management al bazelor de date” trebuie să fie divizate în cerinţe funcţionale şi cerinţe de încredere, care contribuie la realizarea scopurilor acestui profil de securitate.
7.6.1. Cerinţe funcţionale pentru profilul de protecţie „Sisteme de management al bazelor de date”
Cerinţele funcţionale pentru profilul de protecţie „Sisteme de management al bazelor de date” în procesul de prestare a serviciilor publice trebuie să includă:
- fiecare eveniment care poate fi supus auditului bazei de date trebuie să se asocieze cu identificatorul utilizatorului bazei de date, care a fost iniţiatorul evenimentului respectiv;
- managementul accesului trebuie să fie realizat pentru subiecţi, obiecte şi operaţiile bazei de date;
- pentru fiecare utilizator al bazei de date trebuie să se menţină următoarea listă de atribute ale securităţii: identificatorul utilizatorului bazei de date şi privilegiile de acces la obiectul din baza de date;
- fiecare utilizator al bazei de date trebuie să fie identificat cu succes înainte de permiterea oricărei alte acţiuni în numele utilizatorului respectiv;
- trebuie să existe o limitare a posibilităţilor de efectuare a operaţiilor cu date de către utilizatorii autorizaţi ai bazelor de date;
- trebuie menţinute următoarele roluri: utilizator administrativ al bazei de date şi utilizator al bazei de date;
- trebuie menţinut domenul securităţii pentru executare proprie, care protejează datele contra intruziunilor şi denaturărilor din partea subiecţilor neautorizaţi ai bazei de date;
- numărul maxim al şedinţelor paralele cu baza de date, acordate aceluiaşi utilizator al bazei de date, trebuie să fie limitat şi stabilit în prealabil.
- trebuie să existe posibilitatea acordării refuzului de a deschide şedinţa cu baza de date utilizatorului, bazîndu-se pe drepturile lui;
- cerinţe privind autentificarea cu mijloacele bazei de date:
1) trebuie depistate tentativele eşuate de autentificare cu ajutorul mijloacelor bazei de date;
2) parolele bazei de date trebuie să corespundă cerinţelor legislaţiei în vigoare.
7.6.2. Cerinţe de încredere a securităţii pentru profilul de protecţie „Sisteme de management al bazelor de date”
Cerinţele de încredere a securităţii pentru profilul de protecţie „Sisteme de management al bazelor de date” trebuie să includă cerinţele de bază:
- sistemul trebuie să identifice şi să autentifice utilizatorii înainte de acordarea accesului la orice resurse, sisteme şi mijloace informaţionale;
- sistemul trebuie să furnizeze mecanisme de management al accesului pentru realizarea scopurilor fixate;
- sistemul trebuie să furnizeze mecanisme de audit şi mijloace instrumentale de gestionare a auditului în vederea susţinerii SI de prestare a serviciilor;
- sistemul trebuie să furnizeze o copie de rezervă, să asigure capacitatea de returnare la starea de lucru şi alte mecanisme sigure de restabilire.
Exemple de pericole pentru profilul de protecţie „Sisteme de management al bazelor de date” sînt prezentate în anexa nr. 4.
Prezenta reglementare stabileşte principiile generale pentru determinarea costului de elaborare şi implementare a sistemelor informaţionale automatizate (în continuare - sisteme informaţionale (SI)). În prezenta reglementare sînt stabilite procesele, lucrările şi sarcinile care sînt folosite la determinarea costului de elaborare şi implementare a SI, fără stabilirea detaliilor privind realizarea sau îndeplinirea lucrărilor şi sarcinilor.
Prezenta reglementare propune metodologia de formare a costului SI, descrie componentele de bază ale costului SI, propune o metodă de determinare a costului componentelor SI, inclusiv de elaborare şi implementare a SI.
Prezenta reglementare este folosită pentru formarea sau estimarea costului SI. Reglementarea este destinată: clienţilor SI, produselor şi serviciilor software; furnizorilor, elaboratorilor şi administratorilor SI; managerilor de proiecte; managerilor responsabili de calitate şi utilizatorilor produselor software.
În prezenta reglementare este stabilit setul de procese, lucrări şi sarcini destinate adaptării la condiţiile unor proiecte concrete în domeniul de implementare a SI.
2 Baza normativ-legislativă
Prezenta reglementare este alcătuită în baza prevederilor următoarelor acte legislative ale Republicii Moldova:
1) Legea Republicii Moldova privind accesul la informaţie nr. 982-XIV din 11.05.2000;
2) Legea Republicii Moldova cu privire la informatizare şi resursele informaţionale de stat nr. 467–XV din 21.11.2003;
3) Legea Republicii Moldova cu privire la documentul electronic şi semnătura digitală nr. 264-XV din 15.07.2004;
4) Legea Republicii Moldova privind comerţul electronic nr. 284-XV din 22.07.2004;
5) Legea Republicii Moldova privind activitatea de reglementare tehnică nr.420-XVI din 22.12.2006;
6) Legea Republicii Moldova cu privire la protecţia datelor cu caracter personal nr. 17-XVI din 15.02.2007;
7) Legea Republicii Moldova cu privire la registre nr. 71-XVI din 22.03.2007;
8) Legea Republicii Moldova privind achiziţiile publice nr. 96 din 13.04.2007.
3 Terminologie
Componenta produsului de program — parte identificabilă şi cuprinzătoare a produsului de program, de exemplu, procedură de program, compartiment sau alineat al documentului, documentul integral.
Divizarea structurală a lucrărilor — structurarea ierarhică a lucrărilor proiectului, orientată spre rezultatele de bază ale proiectului, care îi determină domeniul de obiect. Fiecare nivel inferior al structurii constituie o detaliere a elementului nivelului superior al proiectului. Element al proiectului poate fi un produs, serviciu, precum şi un pachet de lucrări sau o lucrare.
Hardware — echipamentul folosit pentru introducerea, procesarea şi extragerea datelor din sistemele informaţionale.
Modelul ciclului de viaţă — structură compusă din procesele, lucrările şi sarcinile implicate în elaborarea, exploatarea şi mentenanţa produsului de program care cuprinde viaţa sistemului de program începînd cu stabilirea cerinţelor faţă de acesta pînă la încetarea utilizării sale.
Monitorizare — procesul de colectare, analiză a datelor, prezentare a rapoartelor privind executarea lucrărilor.
Sarcină tehnică — document folosit de client în calitate de mijloc pentru descrierea şi fixarea sarcinilor executate la realizarea contractului.
Tehnologie comunicaţională — echipamentul şi software-ul care servesc pentru legătura dintre elementele separate ale sistemelor informaţionale şi transmiterea „fizică” a datelor.
4 Conţinutul sistemului informaţional
SI reprezintă o totalitate organizatoric-aranjată de resurse informaţionale, tehnologii informaţionale, echipament şi mijloace de comunicare ce permite colectarea, păstrarea, procesarea şi utilizarea informaţiei.
SI constă din următoarele componente de bază:
1) software reprezintă totalitatea informaţiei, datelor şi programelor ce sînt procesate de sistemele computerizate;
2) asigurarea informaţională reprezintă asigurarea cu date faptice ale structurilor de administrare, utilizarea datelor informaţionale pentru sistemele automatizate de administrare, folosirea informaţiei pentru asigurarea activităţii diferiţilor consumatori;
3) hardware reprezintă un complex de dispozitive electronice, electrice şi mecanice ce fac parte din sistem sau reţea;
4) personalul de deservire.
4.1. Software
Software reprezintă totalitatea de programe ale sistemelor de procesarea informaţiei şi documentelor de program, necesare pentru exploatarea programelor acesteia, clasificîndu-se în următoarele:
1) software de sistem – un set de programe care gestionează componentele SI, cum sînt procesorul, dispozitivele comunicaţionale şi periferice, precum şi programele destinate asigurării funcţionării şi capacităţii de funcţionare a întregului sistem:
- sistemele operaţionale cu destinaţie generală, de timp real, de reţea, incorporabile;
- încărcătorul sistemului operaţional;
- driver-ele dispozitivelor;
- programele capabile să realizeze transformarea fluxului de date sau a semnalului;
- utilite;
2) mijloacele software de protecţie - includ programe pentru identificarea utilizatorilor, controlul accesului, criptarea informaţiei, ştergerea informaţiei reziduale (de lucru) de tipul fişierelor temporare, controlul de testare a sistemului de protecţie. Mijloacele software de protecţie sînt:
- gateway criptice;
- mijloacele de autentificare;
- mijloacele de monitorizare şi audit;
- scanerele gradului de protecţie;
- mijloacele de delimitare a accesului;
- sistemele de protecţie criptografică, criptare şi semnătură electronică digitală;
- programele antivirus şi antispam;
- ecrane între reţele;
3) software instrumental – programele destinate utilizării în procesul de proiectare, elaborare şi mentenanţă a SI. Include mijloacele de elaborare a software, sisteme de gestionare a bazelor de date, compilatoare, translatoare, generatoare;
4) software aplicativ include:
- aplicaţiile de birou: redactori de text, procesoare de text, procesoare de tabele, redactori de prezentări;
- SI corporative: programe de contabilitate, sisteme MRP (Material Requirement Planning), sisteme MRP II, sisteme ERP (Enterprise Resource Planning System), sisteme CRM (Customer relationship management), sisteme SCM (Supply Chain Management), sisteme de gestionare a proiectelor, sisteme de automatizare a circuitului documentelor, sisteme de gestionare a arhivelor documentelor, portalul corporativ;
- sisteme de proiectare şi producere: sisteme de proiectare automatizată (sisteme CAD Computer-Aided Design), sisteme CAE (Computer-aided engineering), sisteme CAM (Computer-aided manufacturing), sisteme PDM (Product Data Management), sisteme PLM (Product Lifecycle Management), sisteme automatizate de gestionare a procesului tehnologic;
- sisteme de suport logistic al produselor: sisteme de analiză a suportului logistic şi sisteme organizatorico-tehnice;
-sisteme de prelucrare şi păstrare a informaţiei medicale;
- software-ul ştiinţific;
- sisteme geoinformaţionale;
- sisteme de susţinere a luării deciziilor;
- clienţi pentru acces la serviciile Internet: poşta electronică, resursele Web, transmiterea momentană a mesajelor, canalele chat, telefonia IP, schimbul de fişiere P2P, difuzarea în torente, client-bancă;
- multimedia.
4.2. Asigurarea informaţională
Infrastructura SI include subsisteme organizatorice şi tehnologice, precum şi un complex de resurse de furnizare, cu ajutorul cărora sînt realizate atît sarcinile interne, cît şi cele externe de administrare şi organizare, în conformitate cu funcţiile stabilite de legislaţie.
SI asigură legătura subsistemelor în cadrul unei logici unice, a standardelor, „interfeţelor” şi utilizării în comun a resurselor informaţionale.
Resursele informaţionale includ:
1) bazele de date şi banca de date;
2) documentaţia de sistem;
3) ghidul utilizatorului;
4) materialele educaţionale;
5) procedurile operaţionale şi procedurile de suport;
6) planurile de asigurare a funcţionării neîntrerupte a organizaţiei;
7) procedurile de trecere la regimul de avarie.
În dependenţă de utilizare, resursele informaţionale de stat se împart în:
1) resurse informaţionale de stat de bază;
2) resurse informaţionale de stat departamentale;
3) resurse informaţionale de stat teritoriale.
Resursele informaţionale de stat de bază sînt resursele informaţionale destinate utilizării comune de către toate autorităţile administraţiei publice, persoanele juridice şi fizice, în limitele împuternicirilor acordate.
Resursele informaţionale de stat departamentale se formează şi sînt folosite de organele de specialitate ale administraţiei publice, deţinătoare ale acestor resurse. Resursele informaţionale departamentale conţin informaţia necesară pentru îndeplinirea de către organele menţionate a funcţiilor acestora, cu excepţia datelor destinate includerii în resursele informaţionale de bază.
Resursele informaţionale teritoriale se formează şi sînt utilizate de autorităţile administraţiei publice locale, deţinătoare ale acestor resurse. Resursele informaţionale teritoriale conţin date despre toate tipurile de obiecte geografice naturale şi artificiale, inclusiv potenţialul de resurse pe teritoriile administrate.
4.3. Hardware
Hardware sînt folosite în scop de instalare, menţinere şi stopare a conexiunii, precum şi în scop de asigurare a prelucrării semnalelor între echipamentul de date definitiv şi canalul de acces comun, şi includ:
1) calculatoare şi dispozitive logice;
2) dispozitive externe şi aparataj de diagnosticare;
3) resurse comunicaţionale;
4) dispozitive energetice;
5) baterii;
6) acumulatoare.
Resursele comunicaţionale sînt destinate gestionării proceselor de transmitere a informaţiei între alte sisteme şi includ:
1) comutatoare;
2) concentratoare;
3) routere;
4) ecrane între reţele;
5) adaptoare;
6) sisteme de cablare;
7) dispozitive de repetare, poduri.
Resursele comunicaţionale constituie un multiprocesor complex specializat, care trebuie să fie configurat, optimizat şi administrat.
5. Metodele de determinare a costului sistemelor informaţionale
La baza metodelor de determinare a costului SI se află modelul constructiv de cost (Constructive Cost Model – COCOMO), elaborat de către Barry Boehm şi aplicat pentru determinarea costului SI comerciale şi de stat. COCOMO II este adaptat la metodologiile moderne de elaborare a software-ului şi se potriveşte pentru toate modelele ciclului de viaţă al software-ului.
Modelul prezentat reprezintă unul din cele mai populare, deschise şi bine documentate modele matematice de evaluare a costului şi volumului de lucru pentru elaborarea software-ului. Pentru prelucrarea datelor statistice este folosită analiza lui Bayes, care oferă cele mai bune rezultate pentru proiectele de program incomplete şi ambigue.
Analiza lui Bayes constituie o abordare, care ia în consideraţie distribuirea probabilităţilor, bazată fie pe opinia subiectivă, fie pe astfel de date obiective precum rezultatele cercetării anterioare; poate fi folosită pentru cercetări unice şi pentru meta-analiză. Analiza lui Bayes utilizează teorema lui Bayes şi permite reevaluarea distribuirii cu luarea în consideraţie a rezultatelor cercetării, oferind următoarea distribuire, pe care se bazează concluziile statistice (evaluări punctiforme, intervale de încredere).
Modelul se bazează pe indicatori real măsurabili. Pentru evaluarea volumului de lucru şi costului proiectului, aceste date iniţiale trebuie să fie detaliate. La calcularea indicatorilor, modelul ia în consideraţie nivelul de maturitate a procesului de elaborare.
În prezentul document se prezintă abordarea formării costului SI la fiecare etapă a ciclului de viaţă. Abordarea este prezentată sub forma executării pe etape a lucrărilor, cu respectarea şirului de cerinţe enumerate mai jos.
6. Etapele de determinare a costului sistemelor informaţionale
Înainte de începerea etapelor de determinare a costului de elaborare şi implementare a SI, este necesar a parcurge etapa lucrărilor de anteproiect. Etapa lucrărilor de anteproiect începe de la conştientizarea iniţială a necesităţii de creare a unui SI nou sau de modificare a unui SI existent.
Această etapă reprezintă o perioadă de examinare iniţială, colectare de fapte şi analiză, examinare a legislaţiei în vigoare şi a structurii organizaţionale existente, examinare a SI analogice existente. Rezultatele etapei lucrărilor de anteproiect sînt concepţia sistemului şi propunere-business, care permit luarea deciziei – de a continua sau de a înceta realizarea SI.
Totuşi, în cazul în care este necesară introducerea unor sarcini suplimentare, trebuie să fie evaluată oportunitatea îndeplinirii lor.
În scop de determinare a costului elaborării şi implementării SI, este necesar de urmat consecutiv cîteva etape:
1) analiza şi specificarea cerinţelor faţă de SI - analiza cerinţelor funcţionale şi nefuncţionale, a cerinţelor faţă de interfeţele externe ale SI, faţă de hardware-ul, faţă de asigurarea securităţii informaţionale, determinarea arhitecturii hardware-ului, proiectarea software-ului, identificarea obiectelor şi ierarhia acestora;
2) determinarea unităţilor structurale şi a costului de livrare a software-ului şi a hardware-ului - determinarea livrărilor şi arendării hardware-ului şi software-ului;
3) estimarea mărimii segmentului de programare al SI - determinarea mărimii segmentului de programare al SI şi alcătuirea documentaţiei privind evaluarea volumului segmentului de programare;
4) estimarea volumului lucrărilor - identificarea riscurilor, a Divizării structurale a lucrărilor, calculul şi corectarea volumului de lucrări şi de cheltuieli de lucru pentru elaborarea software-ului;
5) cheltuielile de lucru pentru codificare şi testare - calcularea volumului de lucrări şi a cheltuielilor pentru codificare şi testare, calcularea duratei codificării şi testării, elaborarea planului de lucru pentru elaborarea SI şi a scenariilor de testare;
6) determinarea caracteristicilor calităţii SI - determinarea caracteristicilor cantitative, calitative, interne şi externe ale calităţii şi evaluarea calităţii SI;
7) calcularea costului SI - aprecierea costului total al proiectului;
8) determinarea influenţei riscurilor - evaluarea influenţei riscurilor, reglarea acesteia, precum şi reglarea cheltuielilor bazate pe evaluarea riscului;
9) confirmarea şi corectarea estimării costului riscurilor - evaluarea riscurilor efectuată de un grup independent de experţi, analiza datelor statistice, compararea evaluărilor riscurilor şi corectarea acestora;
10) implementarea SI - elaborarea planului şi sarcinilor de implementare, realizarea implementării depline a SI.
6.1. Analiza şi specificarea cerinţelor faţă de sistemul informaţional
Scopul analizei cerinţelor faţă de SI constă în elaborarea şi confirmarea cerinţelor funcţionale, nefuncţionale, a cerinţelor faţă de interfeţele externe şi securitatea sistemului, identificarea restricţiilor tehnice şi de program, care permit cea mai exactă estimare a costului SI.
Procesul de colectare şi analiză a cerinţelor constă din următoarele:
11) analiza şi modelarea detaliată a cerinţelor de program;
12) determinarea arhitecturii SI;
13) determinarea limitelor de realizare a SI;
14) determinarea arhitecturii hardware-ului, comunicaţiilor.
6.1.1. Analiza şi modelarea detaliată a cerinţelor de program
6.1.1.1. Cerinţele funcţionale
Cerinţele funcţionale descriu acţiunile pentru realizarea cărora este destinată aplicaţia şi pot fi exprimate sub formă de servicii, sarcini sau funcţii pe care aplicaţia trebuie să le îndeplinească.
Modelul cerinţelor determină un complex orientat de interacţiuni între participanţii externi şi sistemul examinat. Participanţii externi sînt părţile din afara sistemului, care interacţionează cu sistemul. Participant extern poate fi clasa utilizatorilor, rolurile îndeplinite de către utilizatori sau alte sisteme.
Scopul principal al modelării cerinţelor funcţionale constă în stabilirea limitelor funcţionării aplicaţiei şi a întregului complex de posibilităţi funcţionale, oferite utilizatorului final.
Cerinţele funcţionale trebuie să includă cel puţin următoarele:
1) cerinţele, coordonate de către toţi reprezentaţii subdiviziunilor de afaceri interesaţi, care includ:
- caracteristica SI;
- scopurile de bază ale creării şi destinaţia;
- dezvoltarea planificată;
- cerinţele faţă de SI în întregime;
- cerinţele faţă de structura datelor SI;
- cerinţele faţă de funcţionalitatea SI;
- cerinţele faţă de interfaţa utilizatorului şi rapoarte;
- cerinţele faţă de mijloacele de administrare;
- cerinţele faţă de mijloacele de elaborare;
- cerinţele faţă de interacţiunea cu alte produse software;
- cerinţele faţă de documentare;
- cerinţele faţă de software şi hardware;
- descrierea specificaţiei SI în care se aplică aplicaţia respectivă;
- documentarea formatelor datelor de intrare şi de ieşire;
- metodele de realizare a controalelor pregătirii, introducerii datelor şi prelucrării erorilor de introducere a datelor, care permit depistarea, indicarea şi corectarea erorilor;
- metodele de realizare a controalelor verificării datelor tranzacţiilor, introduse pentru prelucrare (manual sau de către sistem) pentru exactitate, integritate şi veridicitate;
- metodele de identificare şi eliminare a tranzacţiilor eronate concomitent cu prelucrarea acestora;
- mijloacele ce susţin imposibilitatea de refuz al tranzacţiilor;
2) cerinţele formalizate, coordonate de către toţi reprezentanţii subdiviziunilor de afaceri interesaţi, care includ:
- descrierea specificaţiilor detaliate ale software în privinţa funcţionalităţii sistemului;
- cerinţele faţă de elaborarea şi documentarea interfeţelor cu sisteme interne;
- cerinţele faţă de elaborarea şi documentarea algoritmelor de procesare a datelor;
- cerinţele de asigurare a securităţii, integrităţii şi accesibilităţii (inclusiv în situaţii excepţionale).
6.1.1.2. Cerinţele faţă de interfeţele externe
Cerinţele faţă de interfeţele externe, în dependenţă de necesitate, trebuie să includă următoarele puncte:
1) prioritatea pe care SI trebuie să o atribuie interfeţei;
2) cerinţele faţă de tipul interfeţei (funcţionarea în regim de timp real, transmiterea datelor, păstrarea şi extragerea datelor), care trebuie să fie asigurate;
3) caracteristicile necesare ale elementelor individuale ale datelor, pe care trebuie să le ofere SI pentru a asigura păstrarea, transmiterea, accesul, primirea datelor:
- numele/identificatorii;
- tipul datelor (cifre-litere, integru);
- dimensiunea şi formatul (lungimea şi punctuaţia rîndului de simboluri);
- unităţile de măsură (volumului, costului, timpului);
- intervalul sau enumerarea valorilor posibile (de exemplu, 0–99);
- acurateţea (pe cît de corect este) şi exactitatea (numărul categoriilor semnificative);
- prioritatea, cronometrajul, frecvenţa, volumul, ordinea şi alte restricţii pentru actualizarea elementului datelor şi regulile aplicabile de afaceri;
- restricţiile de securitate;
- sursele (obiectele care creează / expediază datele) şi destinatarii (obiectele care utilizează / primesc datele);
4) caracteristicile necesare ale totalităţilor elementelor datelor (înregistrări, mesaje, fişiere, matrice, rapoarte), pe care SI trebuie să le ofere, păstreze, transmită, primească şi la care trebuie să asigure accesul:
- numele/identificatorii;
- elementele datelor care fac parte din structura lor (numărul, ordinea, gruparea);
- mediile (cum sînt discurile) şi structurile datelor / elementelor în mediu;
- caracteristicile audiovizuale ale mesajelor şi altor ieşiri;
- relaţiile dintre grupuri, caracteristicile sortării / accesului;
- prioritatea, cronometrajul, frecvenţa, volumul, ordinea şi alte restricţii;
- timpul de reacţionare la interpelare;
- restricţiile de securitate;
- sursele şi destinatarii;
5) caracteristicile necesare pentru metodele de comunicare, pe care trebuie să le folosească SI pentru interfaţă:
- identificatorii unici de proiect;
- comunicaţiile, conexiunile/benzile de transmitere/frecvenţele/mediile şi caracteristicile acestora;
- formatul mesajelor;
- controlul fluxurilor;
- vitezele de transmitere, periodicitatea, intervalul între transmiteri;
- marşrutizarea, adresarea şi spaţiul denumirilor;
- serviciile de transmitere, inclusiv priorităţile şi evaluările;
- consideraţiile de securitate/confidenţialitate, cum sînt criptarea, autentificarea utilizatorilor, efectuarea auditului;
6) cerinţele faţă de caracteristicile de care trebuie să dispună protocoalele SI pentru interacţiune:
- identificatorul unic de proiect;
- prioritatea/nivelul protocolului;
- divizarea pe pachete, inclusiv fragmentarea, asamblarea repetată, marşrutizarea şi adresarea;
- verificările legalităţii, controlul erorilor şi procedurile de restabilire;
- sincronizarea, inclusiv instalarea conexiunii, menţinerea, încetarea;
- starea, identificarea şi toate posibilităţile rapoartelor;
7) alte caracteristici necesare, compatibilitatea fizică a obiectelor resurselor informaţionale, care interacţionează (dimensiuni, intervale, încărcări).
6.1.1.3. Cerinţele nefuncţionale
Cerinţele nefuncţionale trebuie să fie utilizate pentru determinarea cerinţelor şi restricţiilor SI. Cerinţele trebuie să fie folosite ca bază pentru sistemul iniţial de măsurare şi evaluare a viabilităţii SI elaborat.
Cerinţele nefuncţionale includ:
1) restricţii de mediu şi realizare;
2) productivitatea (viteza, capacitatea de trecere, timpul de reacţie, memoria folosită);
3) dependenţa de platformă;
4) expansivitatea;
5) fiabilitatea (utilitatea, exactitatea, timpul mediu de funcţionare pînă la refuz, cantitatea erorilor la o mie de rînduri de program, cantitatea erorilor pe o clasă).
În cadrul elaborării cerinţelor nefuncţionale trebuie să fie folosite următoarele categorii de atribute ale calităţii:
1) caracter dirijabil;
2) rentabilitatea;
3) eficacitatea;
4) posibilitatea interacţiunii cu alte aplicaţii şi servicii;
5) accesibilitatea şi fiabilitatea;
6) capacitatea şi productivitatea;
7) posibilitatea introducerii corectărilor;
8) posibilitatea instalării;
9) testabilitatea;
10) capacitatea de menţinere;
11) comoditatea folosirii;
12) securitatea.
Cerinţele nefuncţionale trebuie să fie folosite pentru prescripţia atributelor calitative ale aplicaţiei elaborate. Atributele calitative respective trebuie să fie folosite pentru alcătuirea planurilor de testare a aplicaţiilor în conformitate cu cerinţele nefuncţionale (a se vedea 6.5).
6.1.1.4. Cerinţele principale faţă de SI ale autorităţilor administraţiei publice
SI ale autorităţilor administraţiei publice trebuie să asigure:
1) accesul garantat şi sigur la resursele informaţionale de stat accesibile;
2) posibilitatea căutării, colectării, prelucrării şi păstrării resurselor informaţionale de stat;
3) posibilitatea acordării accesului la resursele informaţionale globale şi locale autorităţilor administraţiei publice;
4) fiabilitatea funcţionării şi stabilitatea în cazul defectelor software-ului sau hardware-ului, inclusiv în cazurile de acţiuni incorecte ale utilizatorilor;
5) schimbul operativ şi sigur de date între utilizatori;
6) posibilitatea extinderii ulterioare prin intermediul modernizării hardware-ului şi software-ului, adăugării componentelor noi la sistem;
7) alte funcţii legate de direcţia principală de activitate a autorităţilor administraţiei publice.
Cerinţele faţă de SI ale autorităţilor administraţiei publice trebuie să fie documentate şi necesar de a verifica corespunderea lucrărilor în baza următoarelor categorii de sisteme:
1) sisteme tranzacţionale şi de evidenţă care asigură susţinerea îndeplinirii de către autorităţile administraţiei publice a sarcinilor şi funcţiilor de bază ale acestora;
2) sisteme de interacţiune informaţională interdepartamentală între SI ale autorităţilor administraţiei publice;
3) sisteme de gestionare a resurselor, care asigură susţinerea proceselor de afaceri şi a regulamentelor administrative în activitatea autorităţilor administraţiei publice;
4) sisteme informaţional-analitice, care asigură colectarea, prelucrarea, păstrarea şi analiza datelor cu privire la rezultatele îndeplinirii sarcinilor şi funcţiilor de bază ale autorităţilor administraţiei publice de către acestea;
5) sisteme de circuit electronic al documentelor;
6) sisteme de gestionare a arhivelor electronice de documente;
7) sisteme de gestionare a exploatării (inclusiv sistemele de gestionare a componentelor de infrastructură);
8) sisteme de interacţiune cu persoanele fizice sau juridice, care asigură acordarea informaţiei şi a serviciilor de informare, inclusiv portalurile şi centrele de deservire telefonică, de către autorităţile administraţiei publice prin Internet sau prin alte canale de legătură;
9) sisteme de asigurare a securităţii informaţionale;
10) sisteme de birou, folosite de către colaboratorii autorităţilor administraţiei publice în activitatea lor zilnică pentru pregătirea documentelor şi schimbul de informaţie.
SI ale autorităţilor administraţiei publice trebuie să fie create în baza următoarelor principii:
1) accesibilitatea, veridicitatea, completitudinea şi oportunitatea acordării informaţiei;
2) confidenţialitatea — asigurarea delimitării accesului la resursele informaţionale ale SI în limitele împuternicirilor acordate utilizatorilor;
3) deschiderea — posibilitatea integrării cu alte SI şi cu SI naţional;
4) capacitatea de dezvoltare a proporţiilor — posibilitatea extinderii ulterioare a posibilităţilor funcţionale ale SI prin adăugarea de software şi hardware în componenţa lor, prin modernizare;
5) protecţia — asigurarea integrităţii resurselor informaţionale care fac parte din SI;
6) fiabilitatea funcţionării şi stabilitatea SI.
6.1.1.5. Cerinţele faţă de asigurarea securităţii informaţionale a sistemelor informaţionale ale autorităţilor administraţie publice
Securitatea informaţională în SI ale autorităţilor administraţie publice trebuie să fie asigurată de un sistem, care include un complex de măsuri organizatorico-tehnice, precum şi software şi hardware pentru protecţia informaţiei.
Software-ul şi hardware-ul pentru protecţia informaţiei utilizate în SI ale autorităţilor administraţiei publice trebuie să fie licenţiate, certificate şi să asigure:
1) identificarea resurselor informaţionale protejate;
2) autentificarea utilizatorilor SI;
3) confidenţialitatea informaţiei care circulă în sistem;
4) schimbul autentificat de date;
5) integritatea datelor la formarea, transmiterea, utilizarea, prelucrarea şi păstrarea informaţiei;
6) accesibilitatea autorizată a tuturor resurselor sistemului în condiţii de exploatare normală;
7) delimitarea accesului utilizatorilor la resursele Sl;
8) administrarea (desemnarea drepturilor de acces la resursele SI, prelucrarea informaţiei din jurnalele de înregistrare, instalarea şi dezinstalarea sistemului de protecţie);
9) înregistrarea acţiunilor de intrare şi ieşire ale utilizatorilor, precum şi a încălcărilor drepturilor de acces la resursele SI;
10) controlul integrităţii şi capacităţii de lucru a sistemului de asigurare a securităţii informaţionale;
11) securitatea şi funcţionarea neîntreruptă a sistemului în situaţii excepţionale.
6.1.2. Determinarea arhitecturii sistemului informaţional
La această etapă este necesar a efectua analiza şi precizarea ierarhiei arhitecturii fizice a SI rezultante, a segmentelor de program şi a realizării construcţiei segmentelor. Datele iniţiale pentru această etapă le constituie pachetul de cerinţe de afaceri, care includ cerinţele funcţionale, nefuncţionale şi de asigurare a securităţii SI.
La etapa determinării arhitecturii SI, trebuie să fie elaborate modelele detaliate ale rezultatelor atinse la etapa elaborării propunerii-business. Modelele elaborate includ modele arhitecturale în care este necesar a determina metoda de transformare a diferitelor componente funcţionale în componente fizice (adică masa de lucru, serverul, baza de date, reţeaua).
La această etapă trebuie să fie elaborate planurile de testare pentru diferitele niveluri de testare (a se vedea capitolul 6.5):
1) testarea în bloc;
2) testarea modulului;
3) testarea sistemului (posibilităţile de integrare a sistemelor);
4) testarea interfeţelor între sisteme;
5) testarea fişierelor de încărcare;
6) testarea de încărcare;
7) testarea securităţii;
8) testarea copierii de rezervă.
6.1.3. Determinarea limitelor realizării SI
La această etapă este necesar a efectua analiza proiectului şi planului de elaborare a SI. Trebuie să fie identificate restricţiile şi cerinţele de program, inclusiv resursele ajutătoare, specificaţiile, stabilirea deciziilor cu privire la procurarea sau elaborarea internă a componentelor necesare ale aplicaţiei.
Este determinat setul complet al elementelor sistemice viabile din punct de vedere tehnic şi comercial, din care este configurat SI.
Este necesar a examina arhitectura SI şi schema structurală a acesteia cu asocieri dintre elemente, de a determina interfeţele cele externe în raport cu sistemul şi între componentele sistemului.
Este descris mediul de program al SI elaborat. Dacă SI elaborat constituie o extindere a unui SI existent deja, atunci sînt descrise, în primul rînd, caracteristicile suplimentare ale acesteia. Este prezentată lista software-ului şi hardware-ului necesare pentru funcţionarea SI.
Este necesar a examina cîteva aspecte de compatibilitate: neuniformitatea mediului de program, limbajele de programare, formatele datelor şi ale mesajelor, formatele rapoartelor, formatele listing-urilor. Trebuie să fie discutată în special compatibilitatea cu software-urile diferite.
6.1.4. Analiza arhitecturii hardware-ului, comunicaţiilor
La această etapă este necesar a verifica capacitatea hardware-ului ale SI a face faţă cerinţelor noi şi în schimbare ce ţin de organizarea afacerilor din partea unor astfel de componente ale infrastructurii precum reţelele, telecomunicaţiile şi alte aplicaţii de software.
La etapa de proiectare sînt determinate atît arhitectura hardware-ului, cît şi cerinţele nivelului inferior. Elaborarea arhitecturii constă în luarea unui şir de decizii succesive şi interconexe cu privire la structura hardware-ului SI. Elaborarea cerinţelor de nivel inferior faţă de SI – formarea cerinţelor faţă de anumite module de program.
Arhitectura SI include descrierea:
1) entităţilor fizice din care constă sistemul (nodurile reţelei, reţele);
2) fluxurilor informaţionale între entităţile fizice în sistem;
3) specificaţiilor canalelor de transmitere a informaţiei în sistem;
4) alegerii platformei (platformelor) şi a sistemului operaţional (sistemelor operaţionale);
5) alegerii arhitecturii “fişier–server” sau “client–server”;
6) alegerii arhitecturii din 3 niveluri cu următoarele straturi: server, software-ul stratului intermediar (serverul de aplicaţii), software-ul clientului;
7) alegerii bazei de date centralizate sau distribuite.
Confirmarea cerinţelor faţă de capacitatea, productivitatea şi accesibilitatea SI se referă la acţiunile de bază care sînt realizate la această etapă.
Rezultatele etapei:
1) determinarea cerinţelor şi restricţiilor aplicate hardware-ului şi software-ului;
2) determinarea cerinţelor funcţionale, nefuncţionale şi faţă de securitatea SI;
3) crearea ierarhiei arhitecturii de program a segmentelor şi funcţiilor aferente;
4) crearea arhitecturii echipamentului.
La această etapă, costul SI va include componentele cheltuielilor, indicate în tabelul 1.
6.2. Determinarea unităţilor structurale şi a costurilor de livrare a software-ului şi hardware-ului
Scopul prezentei etape constă în determinarea unităţilor structurale şi a costului de livrare a software-ului şi hardware-ului, care vor fi incluse în costul SI.
Urmează să fie aplicat principiul Divizării structurale a lucrărilor pentru planificarea unităţilor structurale ale proiectului, pentru care este necesară estimarea costului.
Unităţile structurale şi livrările de software şi hardware, care trebuie să fie analizate la această etapă, includ următoarele:
1) gestionarea software-ului presupune rezolvarea unui spectru larg de sarcini:
- urmărirea defecţiunilor în calculatoarele gestionate, înlăturarea automată a cauzelor acestor defecţiuni, corectarea consecinţelor lor şi acţiunile de prevenire a lor;
- gestionarea productivităţii calculatoarelor şi aplicaţiilor;
- configurarea automată a calculatoarelor şi dispozitivelor de reţea;
- configurarea şi actualizarea software-ului;
2) proiectarea SI este definită ca un proces iterativ de obţinere a modelului logic al SI împreună cu scopurile clar formulate, care sînt fixate pentru SI respectiv, precum şi cu elaborarea specificaţiilor sistemului fizic, care să corespundă acestor cerinţe;
3) elaborarea software-ului reprezintă specificarea destul de detaliată a cerinţelor clientului şi a deciziei de proiect şi transformarea acestora în unul sau mai multe software-uri viabile;
4) testarea software-ului constituie una din etapele principale de verificare a calităţii software-ului elaborat;
5) mediul de elaborare a software-ului reprezintă un sistem de mijloace de program folosit de către programatori pentru elaborarea software-ului. Mediul de elaborare include:
- redactorul de texte;
- compilatorul şi/sau interpretatorul;
- mijloacele de automatizare a asamblării şi reglementatorul;
- sistemul de gestionare a versiunilor;
- instrumentele pentru simplificarea construirii interfeţei grafice a utilizatorului;
- browser-ul claselor, inspectorul obiectelor şi diagrama ierarhiei claselor;
6) nivelul sistemic de susţinere a testării include testarea software-ului elaborat, testarea nivelului sistemic al software-ului, susţinerea asamblării, testările şi procedurile de dare a software-ului în exploatare;
7) asamblarea, testarea şi procedura de dare a software-ului în exploatare – software-ul pregătit este transmis clientului, sînt efectuate testările de predare-primire, este realizată instruirea utilizatorilor şi exploatarea experimentală, după care software-ul este pus pe mentenanţă şi începe exploatarea productivă a software-ului;
8) sistemul de asigurare a calităţii este orientat spre asigurarea nivelului necesar de obiectivitate şi veridicitate a rezultatelor elaborării şi implementării software-ului, precum şi spre asigurarea calităţii necesare a producţiei produse şi/sau serviciilor prestate ale organizaţiei;
9) verificarea independentă şi confirmarea potrivirii SI.
Aceste categorii de Divizare structurală a lucrărilor includ procesele ciclului de viaţă a elaborării SI.
Rezultatele etapei:
1) determinarea livrărilor de software şi hardware;
2) determinarea unităţilor structurale ale SI.
La această etapă, în costul SI vor fi incluse componentele cheltuielilor, indicate în tabelul 2.
6.3. Estimarea mărimii segmentului de programare al sistemului informaţional
Scopul prezentei etape constă în determinarea mărimii segmentului de programare al SI.
Unitatea industrială de măsurare a mărimii software-ului este cantitatea rîndurilor iniţiale ale codului — Source Lines of Code (SLOC). Prin rîndurile codului SLOC se subînţeleg rîndurile logice ale codului, şi anume: rîndurile în înţelegerea limbajului de programare folosit, fără a lua în consideraţie comentariile.
Evaluarea mărimii software-ului SI are loc în felul următor:
1) divizarea şi gruparea cerinţelor funcţionale de program şi cerinţelor faţă de SI ale autorităţilor administraţiei publice în categorii ale moştenirii de program.
Categorii ale moştenirii de program includ:
- proiect nou şi cod nou;
- proiect analogic şi cod nou;
- proiect analogic şi cod utilizat de multe ori;
- proiect analogic şi cod extins utilizat de multe ori.
Cerinţele nefuncţionale şi cerinţele faţă de interfeţe sînt utilizate pentru alcătuirea planurilor de testare la testarea software-ului şi a aplicaţiilor.
Ulterior, categoriile moştenirii de program vor fi folosite în calitate de multiplicatori pentru corectarea volumului de lucrări pentru moştenirea de program (a se vedea punctul 6.4.2.2, formula (3), tabelul 6);
2) evaluarea dimensiunii fiecărei funcţii de program în conformitate cu coeficienţii prezentaţi în tabelul 3.
Pentru calcularea KSLOC, este necesar a folosi formula:
, (1)
unde:
- KSLOC - numărul miilor de rînduri ale codului;
- SLOCP - codul care asigură o anumită logică a funcţionării sistemului. De obicei, acestea sînt clasele care descriu caracteristicile obiectelor sistemului, legătura dintre funcţiile-business;
- SLOCI - codul care prelucrează elementele interfeţei şi o uneşte cu alte părţi ale sistemului. De obicei, acestea sînt clasele de prelucrare a erorilor de introducere a datelor, de înregistrare a datelor în baza de date:
- SLOCR - codul care descrie interfaţa sistemului. De obicei, acesta este codul care descrie interfaţa însăşi. Pentru componentele care funcţionează în mediul Internet acesta este codul HTML;
- Kp - factorul modificării logicii funcţionării sistemului;
- Ki - factorul modificării prelucrării elementelor de interfaţă ale sistemului;
- Kr - factorul modificării interfeţei sistemului.
Factorii K sînt selectaţi pe cale experimentală şi sînt măsuraţi de la 0,01 — 0,6 şi mai sus de 0,6 la crearea unui sistem nou. Pentru determinarea factorilor K este folosită abordarea statistică, care ajută la modificarea evaluărilor apriorice cu luarea în consideraţie a datelor cercetărilor noi;
3) calcularea mărimii totale a segmentului de programare al SI în KSLOC, sumînd datele obţinute în punctul 2 pentru fiecare funcţie de program.
Metodele alternative de evaluare a segmentului de programare al SI sînt prezentate în anexa nr. 1.
Rezultatele etapei:
1) mărimea software este evaluată pentru fiecare categorie funcţională a moştenirii KSLOC;
2) evaluarea totală de program a dimensiunii KSLOC.
La această etapă costul SI va include componentele cheltuielilor, indicate în tabelul 4.
6.4 Estimarea volumului lucrărilor
Pentru estimarea resurselor umane (în persoane pe lună), a duratei (în zile calendaristice) şi a costului (în unităţi monetare) este necesar a se baza pe statistica din experienţa anterioară. În cazul absenţei datelor istorice sau dacă se lucrează asupra unui proiect nou, este necesar a aplica metodici speciale, care permit evaluarea prealabilă a cheltuielilor pentru proiectul planificat.
6.4.1. Identificarea categoriilor Divizării structurale a lucrărilor, atributele cărora vor influenţa asupra dimensiunii şi volumului lucrărilor
Este necesar de identificat categoriile Divizării structurale a lucrărilor, atributele cărora vor influenţa asupra dimensiunii şi volumului lucrărilor conform devizului de cheltuieli al proiectului, din punctul de vedere al moştenirii şi riscului. Categoriile de bază ale riscurilor vor fi următoarele:
1) noile tehnologii: codul, limbajul de programare sau metoda de proiectare. Alegerea limbajului de programare mai poate avea şi o influenţă substanţială asupra securităţii SI. Cele mai bune limbaje de programare sînt cele în care toate acţiunile sînt determinate şi întemeiate, sînt susţinute funcţiile care reduc numărul erorilor, este efectuat controlul asupra distribuirii memoriei şi utilizării indicatorilor. Acest grup de riscuri cuprinde riscurile legate de tehnologiile folosite, incompatibilitatea limbajelor de programare, necorespunderea metodelor de proiectare;
2) nivelul redus de pregătire a tehnologiilor – expirarea termenului de valabilitate a licenţei, învechirea morală a tehnologiilor, apariţia unei tehnologii principial noi, care face imediat unele produse şi servicii neactuale;
3) presupunerile optimiste, legate de moştenirea elementelor SI;
4) posibilitatea utilizării multiple a codului — sporirea numărului de erori în legătură cu alcătuirea incorectă a codului de program, folosit de multe ori;
5) riscul legat de furnizorii de software şi hardware — este necesar a crea nişte proceduri formale de gestionare a riscurilor legate de furnizori. La această categorie de riscuri se mai referă şi riscurile formării preţurilor, legate de imprecizia indicatorilor economici ai proiectelor, riscurile valutare;
6) riscul protecţiei insuficiente a proprietăţii intelectuale: posibilitatea încălcării patentelor şi furtului de proprietate intelectuală pe pieţele în dezvoltare;
7) riscurile legate de servicii şi de deservirea tehnică: lipsa unor servicii inginereşti specializate, a forţei de muncă calificate şi a echipamentului substutuit;
8) elaborarea în paralel a dispozitivelor;
9) cantitatea interfeţelor între numeroasele subdiviziuni ale elaboratorilor;
10) riscurile de infrastructură – probleme de conectare la reţea şi lipsa accesului la sistemele de emitere şi distribuire;
11) distribuirea geografică a numeroaselor subdiviziuni ale elaboratorilor;
12) gradul înalt de complexitate a elementelor SI;
13) abilităţile profesionale şi experienţa personalului – această categorie de riscuri necesită o atenţie deosebită. Conducătorul proiectului trebuie să aprecieze riscurile şi să organizeze instruirea pînă la începutul proiectului pentru a nu pierde în viitor timpul cu erori;
14) cerinţele nedeterminate sau incomplete – procesul de elaborare a SI începe cu determinarea cerinţelor şi variantelor de utilizare a sistemului. Problema principală constă în faptul că unele cerinţe-cheie pot fi omise, alte cerinţe pot să nu fie înţelese corect de către elaboratori. O altă categorie de riscuri legată de cerinţe este realizarea cerinţelor auxiliare şi amînarea cerinţelor de bază;
15) riscurile legate de outsourcing;
16) riscurile politice – riscuri legate de politica corporativă a părţilor care interacţionează, precum şi de caracteristicile organizaţiilor şi activitatea subdiviziunilor componente.
Pentru fiecare categorie de riscuri, coeficientul mediu ponderat al influenţei asupra mărimii şi volumului lucrărilor este determinat conform abordări statistice, care contribuie la modificarea evaluărilor apriorice cu luarea în consideraţie a datelor cercetărilor noi.
6.4.2. Transformarea mărimii software-ului în volumul lucrărilor
Scopul constă în transformarea mărimii software-ului, obţinute în conformitate cu subcapitolul 6.3 (formula (1)), în volumul lucrărilor. Elaborarea software-ului include inginerii de program, tehnicienii de sistem, testatorii, programatorii, precum şi: elaborarea şi analiza cerinţelor de integrare şi testare a software-ului. Volumul lucrărilor şi costul altor categorii ale Divizării structurale a lucrărilor sînt calculate în punctele următoare cu utilizarea altor metode.
Calcularea volumului lucrărilor se efectuează în luni lucrătoare (LL) pentru următoarele categorii ale Divizării structurale a lucrărilor: ”Proiectarea SI”, “Elaborarea software” şi “Testarea software”.
6.4.2.1. Evaluarea cheltuielilor de lucru şi a volumului lucrărilor pentru proiectarea sistemului informaţional
Analiza şi proiectarea sînt determinante la construirea SI. Se evidenţiază trei faze de analiză şi proiectare a SI:
1) examinarea şi analiza sistemică a SI existent şi identificarea neajunsurilor acestuia;
2) generalizarea rezultatelor analizei sistemice şi crearea concepţiei provizorii a SI nou sau modernizat;
3) elaborarea proiectului sistemic al complexului de programe şi baze de date, care determină metodele şi mijloacele proiectării detaliate ulterioare şi ale întregului ciclu de viaţă al SI şi al bazei de date.
Analiza sistemică este importantă pentru proiectarea reuşită a SI, de aceea poate fi examinată ca unul din factorii de risc. Pentru realizarea lucrărilor de proiectare a SI pot fi implicate organizaţiile specializate, care posedă experienţă de proiectare a unor astfel de proiecte, sau structurile analitice proprii, care cunosc procesele-business ale organizaţiei. Lucrările de proiectare a SI sînt îndeplinite cel mai eficient de către un grup de proiect combinat.
La realizarea analizei sistemice sînt obţinute următoarele rezultate:
1) descrierea proceselor-business şi informaţionale, care s-au stabilit în organizaţie;
2) locurile înguste în procesele-business şi modalităţile de lichidare a acestora;
3) modelul informaţional şi funcţional al SI;
4) lista cerinţelor faţă de SI nou sau modernizat;
5) metodele şi mijloacele de proiectare şi realizare a SI;
6) planul provizoriu mărit de proiectare a SI;
7) fundamentarea tehnico-economică.
Cheltuielile de lucru pentru proiectarea SI includ plata pentru lucrul specialiştilor organizaţiilor terţe, conform condiţiilor contractului semnat, precum şi plata pentru lucrul structurilor analitice proprii.
Volumul lucrărilor pentru proiectarea SI este determinat conform contractului încheiat cu specialiştii organizaţiilor terţe în care se indică volumul lucrărilor îndeplinite şi termenele de îndeplinire a acestora, precum şi conform instrucţiunilor de funcţie ale personalului propriu.
Volumul lucrărilor pentru proiectarea SI la secţiunea descompunerii categoriilor de bază ale Divizării structurale a lucrărilor în raport procentual este determinat conform metodicii şi analizei statistice SEER–SEM (a se vedea punctul 6.4.3(2), tabelul 11) sau conform metodei statistice (Anexa 1).
Proiectarea SI cuprinde trei domenii principale:
1) proiectarea obiectelor de date, care vor fi realizate în baza de date;
2) proiectarea programelor, formelor de ecran, rapoartelor care vor asigura efectuarea interpelărilor la date;
3) evidenţa mediului concret sau a tehnologiei concrete, şi anume: a topologiei reţelei, configuraţiei hardware-ului, prelucrării paralele, prelucrării distribuite a datelor.
6.4.2.2. Transformarea mărimii fiecărei funcţii de program în volumul lucrărilor pentru elaborarea software-ului
Transformarea mărimii fiecărei funcţii de program în volumul lucrărilor pentru elaborarea software-ului se calculează in felul următor:
1) calcularea volumului lucrărilor pentru elaborare - conform formulei (2).
, (2)
unde
- Volumul lucrărilor pentru elaborarea software - măsurat în luni lucrătoare (LL);
- Productivitatea de program - măsurată în SLOC/РМ;
- Mărimea obţinută – măsurată în SLOC.
Pentru determinarea productivităţii de program se folosesc datele din proiectul analogic de program. Dacă datele proiectului analogic sînt inaccesibile, se foloseşte tabelul 3. Indicatorii productivităţii, prezentaţi în tabelul 5, reflectă procesul de elaborare a software-ului.
2) сorectarea volumului lucrărilor pentru evaluarea fiecărei categorii a Divizării structurale a lucrărilor se efectuează conform formulei (3), folosind multiplicatorii volumului lucrărilor pentru moştenirea de program, prezentaţi în tabelul 6.
Volumul_lucrărilor_corectat=Volumul_lucrărilor *
Multiplicatorul_volumului_lucrărilor, (3)
unde
- Volumul_lucrărilor_corectat - măsurat în luni lucrătoare (LL);
- Volumul_lucrărilor - măsurat în luni lucrătoare (LL);
- Multiplicatorul_volumului_lucrărilor – este indicat în tabelul 4.
3) adunarea volumului corectat al lucrărilor pentru fiecare categorie funcţională şi de program a moştenirii pentru a ajunge la volumul total al lucrărilor.
6.4.2.3. Estimarea cheltuielilor de lucru pentru elaborarea software-ului
Cheltuielile de lucru pentru elaborarea software-ului pot include plata pentru lucrul specialiştilor organizaţiilor terţe conform condiţiilor contractului semnat, precum şi plata pentru lucrul personalului propriu.
6.4.2.3.1. Cheltuielile de lucru pentru outsourcing la elaborarea software-ului
Outsourcing este definit ca refuzul de elaborare a software-ului de către personalul propriu şi procurarea serviciilor de elaborare a acestuia de la alte organizaţii.
Outsourcing-ul la elaborarea software-ului poate include următoarele tipuri de servicii:
1) elaborarea software-ului;
2) susţinerea software-ului;
3) refactoring-ul şi reengineering-ul aplicaţiilor;
4) implementarea software-ului elaborat;
5) documentarea software-ului;
6) instruirea personalului clientului;
7) consultanţă în domeniul de TI.
La luarea deciziei privind utilizarea outsourcing-ului pentru elaborarea software-ului trebuie să fie luaţi în consideraţie următorii factori:
1) costul propriilor elaborări în raport cu costul serviciilor de outsourcing;
2) riscurile de încălcare a regimului securităţii informaţionale;
3) riscurile întreruperii relaţiilor cu compania de outsourcing şi dezvoltarea ulterioară a aplicaţiei create;
4) particularităţile organizării şi gestionării proceselor de elaborare în cadrul companiei;
5) gradul de încredinţare de către organizaţia terţă a unor secrete ale sale.
Outsourcing-ul permite utilizarea experienţei profesioniştilor, reducerea riscurilor şi a cheltuielilor, sporind randamentul mijloacelor investite.
Cheltuielile de lucru pentru elaborarea software-ului de către specialiştii organizaţiilor terţe includ plata lucrărilor de acordare a serviciilor pentru elaborarea software-ului, conform condiţiilor contractului încheiat.
6.4.2.3.2. Cheltuielile de lucru pentru elaborarea software-ului de către personalul propriu
Estimarea cheltuielilor de lucru pentru elaborarea software-ului se determină în baza numărului de rînduri ale codului. Formula de bază pentru estimarea cheltuielilor de lucru prin utilizarea modelului COCOMO II:
, (4)
unde:
- E - cheltuielile de lucru exprimate în luni lucrătoare;
- a, b - constantele care depind de regimul utilizării modelului (a se vedea tabelele 4, 5);
- KSLOC - numărul miilor de rînduri ale codului;
- EAF - factorul corectării cheltuielilor de lucru.
Sînt prevăzute trei regimuri de utilizare a modelului COCOMO II în funcţie de mărimea echipei şi a proiectului (tabelul 7).
Valorile de bază ale coeficienţilor modelului COCOMO II în funcţie de regim sînt prezentate în tabelul 8.
Factorul corectării cheltuielilor de lucru EAF sporeşte sau reduce cheltuielile de lucru în funcţie de factorii mediului de elaborare. Calcularea factorului corectării cheltuielilor de lucru se efectuează după formula (5): 
, (5)
unde:
- Ci - este unul din factorii mediului de elaborare.
Determinarea factorilor corectării cheltuielilor de lucru EAF:
1) Factorul Evidenţei Tehnologiei de Elaborare (FETE). În cadrul acestui factor se duce evidenţa creşterii volumului cheltuielilor de lucru în urma implicării unui număr diferit de angajaţi.
Următoarele categorii de angajaţi sînt implicate în acest proces:
- categoria “А”: managerul proiectului; managerul elaborării sistemului de program; managerul implementării software-ului; managerul exploatării; managerul mentenanţei software-ului; analistul proceselor-business; proiectantul business; analistul de sistem; tehnologul proceselor-business;
- categoria “В”: programatorul; proiectantul sistemului de program; proiectantul interfeţei utilizatorului; integratorul; scriitorul tehnic; administratorul de sistem; administratorul bazelor de date; specialistul în gestionarea configuraţiei;
- categoria “С”: testatorul; testatorul serviciului de mentenanţă; elaboratorul testelor; analistul serviciului de mentenanţă.
Durata testării este o valoare ce depinde de durata codificării şi se determină cu coeficientul Ktest, care se calculează după formula (6):
, (6)
unde:
- l - durata procesului de codificare exprimată în luni lucrătoare;
- ltest - durata procesului de testare exprimată în luni lucrătoare.
Calcularea Factorului Evidenţei Tehnologiei de Elaborare exprimată în luni lucrătoare se efectuează după formula (7):
, (7)
unde:
- А, В, С — numărul angajaţilor din categoriile respective.
Calcularea duratei elaborării exprimată în luni lucrătoare se efectuează după formula (8):
, (8)
2) Factorul Evidenţei Complexităţii şi Experienţei de Elaborare (FECEE) este determinat în mod empiric şi este alcătuit din valorile prezentate în tabelul 9.
Această metodă de evaluare este folosită la etapa incipientă a proiectului pentru evaluarea întregului proiect. Aplicarea acesteia este dificilă pentru proiectele mici şi pentru volumele mici de lucrări.
6.4.3 Finalizarea estimării volumului lucrărilor
Scopul pasului dat constă în extinderea evaluării pentru a acoperi toate categoriile Divizării structurale a lucrărilor. Pînă la acest pas sînt evaluate următoarele categorii ale Divizării structurale a lucrărilor: ”Proiectarea SI”, “Elaborarea software” şi “Testarea software”. Volumul lucrărilor, cum sînt “Gestionarea volumului de program al lucrărilor” şi “Sistemul de asigurare a calităţii” este suplimentar la volumul lucrărilor pentru elaborarea software-ului.
1) În scopul obţinerii estimării costului lucrărilor pentru toate categoriile enumerate este necesar a adăuga volumul suplimentar al lucrărilor de elaborare a software-ului la volumul lucrărilor evaluat anterior. Volumul suplimentar al lucrărilor de elaborare a software-ului este procentul volumului de lucrări de elaborare a software-ului pentru activitate suplimentară, din volumul total al lucrărilor, pentru toate elementele de lucru ale Divizării structurale a lucrărilor. Volumul suplimentar al lucrărilor de elaborare a software-ului este prezentat în tabelul 10.
2) Adunaţi volumul total al lucrărilor pentru fiecare categorie a Divizării structurale a lucrărilor care nu se referă la elaborarea software-ului pentru a obţine volumul total de lucrări. Descompunerea volumului lucrărilor categoriilor principale ale Divizării structurale a lucrărilor conform metodicii şi analizei statistice SEER–SEM este prezentată în tabelul 11.
SEER–SEM este un sistem de determinare şi evaluare a resurselor software, folosit pe larg şi creat în baza combinării matematicii şi statisticii.
Descompunerea volumului lucrărilor poate fi efectuată conform metodei statistice (Anexa 1).
Rezultatele etapei:
1) volumul lucrărilor de elaborare a software-ului pentru toate categoriile Divizării structurale a lucrărilor (în luni lucrătoare);
2) volumul total al lucrărilor pentru elaborarea software-ului.
La această etapă, costul SI va include componentele cheltuielilor indicate în tabelul 12.
6.5. Cheltuielile de lucru pentru codificare şi testare
Scopul prezentei etape este de a determina perioada de timp şi a calcula cheltuielile de lucru pentru codificare şi testare, necesare pentru finalizarea proiectului de program şi perioadele de executare a elementelor de lucru ale Divizării structurale a lucrărilor.
6.5.1. Volumul lucrărilor pentru codificare şi testare
Ca bază pentru estimarea cheltuielilor de lucru pentru elaborarea componentei de program vom lua estimarea cheltuielilor de lucru după numărul rîndurilor codului, conform formulelor (4), (5). Vom evalua fiecare cerinţă funcţională în parte şi vom presupune că valoarea constantei b este egală cu 1, deoarece cerinţa funcţională este parte componentă a proiectului. Volumul lucrărilor depinde de tipul lucrului, iar timpul pentru îndeplinirea acestuia depinde de productivitatea de program necesară pentru îndeplinirea sa. Productivitatea de program este o valoare egală cu proporţia dintre volumul lucrului efectuat şi timpul în care a fost efectuat. Formula (4) se transformă în forma prezentată în formula (9):
, (9)
unde:
- Wj - productivitatea de program necesară pentru îndeplinirea tipului j de lucru;
- KSLOC(i,j) - numărul rîndurilor codului la tipul de lucru j pentru realizarea cerinţei i.
Productivitatea W se determină pe cale experimentală, reieşind din experienţa de lucru asupra componentelor anterioare.
6.5.2. Determinarea duratei codificării şi testării
Codificarea este scrierea unui program proiectat deja, într-un anumit limbaj formal de programare. În procesul codificării sînt verificate anumite cerinţe faţă de SI. Apoi începe testarea integrală a sistemului ca un tot întreg, care începe încă în procesul de codificare. Testarea este însoţită de verificarea codului iniţial, căutarea erorilor după manifestările acestora în procesul îndeplinirii programului.
Durata codificării şi testării este exprimată în luni lucrătoare şi calculată după formula (10):
, (10)
A se distribui timpul pentru fiecare categorie a Divizării structurale a lucrărilor şi a se determina încărcătura permisă de lucru. După alcătuirea planului de activităţi, a se verifica distribuirea lucrărilor conform experienţei analogice, folosind tabelul 13 şi tabelul 14. Numerele din tabelul 13 şi tabelul 14 reprezintă orarul mediu, de bază. Deviaţiile semnificative de la aceste date vor duce la creşterea riscului şi a costului.
6.5.3. Cheltuielile de lucru pentru codificare şi testare
Cheltuielile de lucru pentru estimarea costului codificării şi testării exprimate în luni lucrătoare sînt calculate cu ajutorul formulei (11):
, (11)
La determinarea cheltuielilor de lucru pentru testare este important a lua în consideraţie cheltuielile de lucru pentru personalul din categoria “С” (a se vedea punctul 5.4.2.3) la alcătuirea planurilor de testare (a se vedea punctul 5.1.2).
Unul din elementele-cheie pentru asigurarea calităţii este testarea. Procesul de testare se efectuează în cîteva etape, care diferă după tipurile lucrărilor îndeplinite şi ale resurselor implicate.
Prima etapă de testare este testarea internă, în cadrul căreia este verificată completitudinea funcţională a SI, corespunderea documentaţiei de proiect, corectitudinea deciziilor de proiect, precum şi corespunderea cu legislaţia.
Următoarea etapă este testarea externă, în cadrul căreia are loc concentrarea eforturilor experţilor cu experienţă, care folosesc diferite metodologii şi abordări faţă de funcţionarea SI.
Atît în cadrul testării interne, cît şi al celei externe, se efectuează permanent analiza statistică a numărului erorilor depistate şi corectate, în baza rezultatelor căreia se ia decizia de a trece la următoarea etapă.
La testarea finală este verificată realizarea cantităţii maxime a proceselor de afaceri şi sînt corectate erorile de la etapele anterioare.
Pentru această etapă de testare este necesar a acorda mai mult timp şi resurse de lucru pentru a garanta un grad înalt de fiabilitate a SI. Nivelul înalt al asigurării metodice, tehnice, organizaţionale a testării la toate etapele determină calitatea înaltă a SI. Urmează exploatarea experimentală, care permite depistarea tuturor nuanţelor ce nu au fost identificate la etapele anterioare de testare.
Testarea este un proces ce implică tehnologii înalte şi cheltuieli de lucru mari. Acest proces necesită de la organizaţie disponibilitatea unei multitudini de resurse de echipament, program şi umane. În unele cazuri, este oportun a utiliza outsourcing-ul pentru testare.
Outsourcing-ul testării reprezintă transmiterea funcţiilor de evaluare a calităţii SI unei părţi terţe, care se ocupă în mod profesional de testare. Pentru a asigura nivelul cuvenit al testării efectuate, este necesar a asigura calificarea suficientă a testatorilor, instrumente moderne de automatizare a testării, dotarea cu utilaj, care permite imitarea situaţiei de exploatare reală a SI.
Încredinţînd testarea SI unei părţi terţe, este necesar a asigura garanţia verificării şi evaluării anume a aspectelor care au nevoie de aceasta. În acest scop, este elaborat un plan şi un scenariu de testare, care descriu în detalii ce, în ce ordine, cu ce priorităţi, cu ce grad de meticulozitate, în ce mod, cu ajutorul căror instrumente şi în ce mediu va fi testat.
Procesul de testare trebuie să fie numaidecît documentat, şi anume: sînt necesare rapoartele şi protocoalele testării, care arată rezultatele şi dinamica evaluării efectuate.
Rezultatele etapei:
1) determinarea cheltuielilor de lucru pentru codificare şi testare;
2) distribuirea termenelor de îndeplinire a lucrărilor categoriilor Divizării structurale a lucrărilor.
La această etapă, costul SI va include componentele cheltuielilor, indicate în tabelul 15.
6.6. Determinarea caracteristicilor calităţii sistemului informaţional
Scopul prezentei etape este de a determina caracteristicile interne şi externe ale calităţii, metodologia de analizare a calităţii, indicatorii calităţii şi de a determina lucrările necesare pentru îmbunătăţirea calităţii SI, care necesită asigurare organizaţională, tehnică şi metodologică.
Pentru a descrie caracteristicile calităţii SI sînt evidenţiate următoarele procese:
1) selectarea şi argumentarea setului de date iniţiale care reflectă particularităţile generale şi etapele ciclului de viaţă al SI, care influenţează anumite caracteristici ale calităţii SI;
2) selectarea, stabilirea şi confirmarea parametrilor concreţi şi a scărilor de măsurare a caracteristicilor şi atributelor calităţii SI pentru estimarea lor ulterioară şi compararea cerinţelor specificaţiilor în procesul testărilor de calificare sau al certificării la anumite etape ale ciclului de viaţă a SI.
6.6.1. Parametrii calităţii
La etapele iniţiale ale ciclului de viaţă se stabilesc detaliat cerinţele faţă de SI (a se vedea punctul 6.1.1). Cerinţele detaliate necesare pentru funcţionarea SI sînt stabilite de caracteristicile calităţii care precizează şi concretizează cerinţele date faţă de conţinutul şi realizarea lor.
La selectarea parametrilor calităţii, indicatorii principali sînt: potrivirea perfectă a parametrilor scopurilor calităţii, transparenţa şi claritatea interpretării şi eficacitatea economică de obţinere a rezultatului.
Parametrii calităţii:
1) adaptabilitatea - măsură de flexibilitate a sistemului, estimează capacitatea SI de a se adapta la modificarea cerinţelor sau la reproiectarea SI, sau la integrarea aplicaţiilor;
2) complexitatea interfeţelor şi integrării - parametru ce măsoară nivelul de complexitate al interfeţei sau volumul suplimentar de lucrări de programare necesare pentru integrarea componentelor în SI, necesare pentru testare, corectare şi mentenanţă;
3) aria de testare indică nivelul de completitudine al diverselor tipuri de testare;
4) fiabilitatea - parametru care determină probabilitatea funcţionării SI fără refuzuri;
5) profilurile erorilor - parametru care măsoară numărul cumulativ al erorilor identificate.
Din punctul de vedere al posibilităţii şi exactităţii, caracteristicile, subcaracteristicile şi atributele calităţii SI se divizează în tipurile:
1) categoric – descriptiv, care reflectă setul de proprietăţi şi caracteristici generale ale obiectului. La tipul dat se atribuie proprietăţile software-ului şi ale setului de date, care cuprind scopul şi funcţiile SI. Utilitatea funcţională este cea mai importantă şi dominantă caracteristică a SI;
2) cantitativ - este reprezentat de o mulţime de puncte numerice ordonate care pot fi măsurate obiectiv şi contrapuse numeric cerinţelor. Valorile caracteristicilor de acest tip influenţează posibilităţile funcţionale ale SI. Astfel de caracteristici sînt fiabilitatea şi eficacitatea software-ului. Fiabilitatea este reflectată de durata de lucru pînă la refuz, durata medie de restabilire şi coeficientul de pregătire. Caracteristicile cantitative ale calităţii sînt prezentate în tabelul 16;
3) calitativ – care conţine cîteva valori ordonate sau separate care se caracterizează prin scara de ordin sau punctiformă, se stabilesc, se selectează şi se estimează subiectiv şi de către experţi. Caracteristicile calitative ale calităţii SI sînt prezentate în tabelul 17.
6.6.2. Caracteristicile interne şi externe ale calităţii sistemului informaţional
Calitatea SI trebuie să fie conform caracteristicilor interne şi externe care sînt compuse din şase grupuri de indicatori de bază, fiecare dintre care este detaliat prin cîteva subcaracteristici normative:
1) utilitatea funcţională a SI:
- utilitatea pentru aplicare;
- corectitudinea (precizia, exactitatea);
- capacitatea de interacţiune;
- protecţia;
2) fiabilitate SI:
- nivelul de completare (lipsa erorilor);
- rezistenţa la defecte;
- capacitatea de restabilire;
- accesibilitatea-pregătirea;
3) eficacitatea SI:
- eficacitatea temporară;
- gradul de utilizare a resurselor;
4) aplicabilitatea (caracterul practic) SI:
- claritatea;
- simplitatea utilizării;
- posibilitatea de studiere;
- atractivitatea;
5) mentenabilitatea SI:
- comoditatea analizării;
- modificabilitatea;
- stabilitatea;
- testabilitatea;
6) transferabilitatea (mobilitatea) SI:
- adaptabilitatea;
- simplitatea instalării;
- coexistenţa –corespunderea;
- substituibilitatea.
Fiecare caracteristică trebuie să fie însoţită suplimentar de o subcaracteristică „conformitatea”, care reflectă lipsa contradicţiilor cu documentele normative.
6.6.3. Caracteristicile calităţii software-ului în utilizare
Caracteristicile interne şi externe ale calităţii se referă nemijlocit la SI, iar caracteristicile calităţii în utilizare se manifestă prin efectul utilizării acestuia şi depind de mediul extern. Între caracteristicile calităţii există interdependenţă de sus în jos şi dependenţă de jos în sus, adică mărirea unei caracteristici poate duce la scăderea altei caracteristici şi invers.
Caracteristicile de bază ale calităţii software-ului în utilizare sînt:
1) eficacitatea de sistem a aplicării software-ului potrivit scopului său;
2) productivitatea - randamentul la soluţionarea sarcinilor de bază ale SI, obţinut cu resurse limitate într-un mediu extern concret de aplicare;
3) securitatea - fiabilitatea funcţionării complexului de software şi riscul ce poate decurge din aplicarea sa pentru oameni, afaceri şi mediul extern;
4) satisfacerea cerinţelor şi cheltuielilor utilizatorilor în conformitate cu scopurile utilizării SI.
6.6.2. Metodologia de apreciere a calităţii sistemului informaţional
Pentru a asigura completitudinea măsurării calităţii SI este necesară elaborarea parametrilor structurali ai calităţii la etapele iniţiale ale ciclului de viaţă al SI.
Măsurarea calităţii SI constă în calcularea devierii caracteristicilor reale ale SI de la normative.
Мetodologia creării parametrilor calităţii SI constă din următorii paşi:
1) stabilirea nivelului nontehnic, destinat managerilor, utilizatorilor, clientului:
- formarea cerinţelor de calitate;
- selectarea proprietăţilor calităţii, stabilirea priorităţilor şi legăturii cu cerinţele;
- stabilirea pasajelor admisibile pentru valorile calităţii;
2) determinarea nivelului tehnic, destinat analiticilor, designerilor, elaboratorilor:
- realizarea descompunerii factorilor calităţii în caracteristici de software măsurabile;
3) determinarea nivelului inferior al ierarhiei – nivelul regulilor şi normelor elaborate, cărora va trebui să se conformeze SI pentru realizarea factorilor calităţii.
Estimarea metodologică a calităţii SI efectuată minuţios şi în conformitate cu scopurile elaborării SI creează baza pentru planificarea corectă şi controlul cheltuielilor referitoare la calitate, pentru realizarea indicilor necesari şi eficacitatea activităţii SI. Cheltuielile pentru estimarea calităţii SI includ remunerarea specialiştilor din propria organizaţie.
Rezultatele etapei:
1) determinarea caracteristicilor calităţii;
2) costul cheltuielilor de estimare a calităţii SI.
La etapa dată în costul SI vor fi incluse componentele cheltuielilor indicate în tabelul 18.
6.7. Calcularea costului sistemului informaţional
Scopul - de a efectua estimarea costului total al proiectului pentru elaborarea SI, incluzînd livrările de software şi hardware şi Divizarea structurală a lucrărilor.
În costul total al SI sînt incluse:
1) cheltuielile capitale;
2) cheltuielile operaţionale.
6.7.1. Cheltuielile capitale
Cheltuielile capitale sînt cheltuielile pentru achiziţionarea noilor şi schimbarea vechilor active materiale şi nemateriale de lungă durată, utilizate în procesul de creare a SI.
Cheltuielile capitale includ şi costul livrărilor de:
1) hardware:
- costul echipamentului (preţul total al echipamentului, fără includerea amortizării);
- cheltuielile de amortizare (perioada de amortizare se calculează în funcţie de tipul tehnicii);
- upgrade (include toate actualizările şi schimbările în configuraţia echipamentului, acestea sînt: schimbarea discurilor fixe, instalarea dispozitivelor suplimentare. Într-o subcategorie separată sînt incluse upgrade-urile de procesoare);
- memoria (cheltuielile pentru majorarea volumului memoriei atît pentru locurile clienţilor cît şi pentru celelalte dispozitive ce conţin module de memorie);
- dispozitive de păstrare a informaţiei (disc drivere, discuri fixe, plăci de memorie, drive optic, sisteme de păstrare, streamere, dispozitive de stocare a datelor, flash carduri);
- periferiсe (imprimante, scanere, plottere);
- echipament de reţea (concentratoare, comutatoare, plăci de reţea (cu excepţia celor încorporate în computerele clienţilor), routere, poduri şi altele);
2) software:
- sisteme operaţionale;
- preţul licenţelor;
- aplicaţii (pe lîngă aplicaţiile de birou standard acestea includ şi software-ul specializat, elaborat de compania dată, precum şi de organizaţii terţe);
- programe de deservire (de diagnosticare, de corectare, programe defragmentatoare, criptografice, antivirus şi altele);
- programe pentru comunicaţii: diverse browsere, protocoale FTP de transfer al fişierelor, programe de e-mail, mijloacele de acces la distanţa şi altele.
- determinarea costului cheltuielilor de transport legate de SI.
6.7.2. Cheltuielile operaţionale
Cheltuielile operaţionale sînt cheltuielile şi plăţile legate de efectuarea într-o anumită perioadă de timp a operaţiunilor financiare, de producere, administrative ce ţin de procesul de susţinere a SI. Cheltuielile operaţionale includ cheltuielile pentru producerea şi realizarea produselor şi / sau oferirea serviciilor, cheltuielile administrative şi financiare.
La cheltuielile operaţionale se referă:
1) plăţile - plata pentru închirierea hardware-ului şi software-ului şi alte cheltuieli pentru echipament de computer, care nu sînt incluse în nici una din categoriile menţionate;
2) administrarea:
- administrarea reţelei;
- diagnosticul şi reparaţia;
- gestionarea şi planificarea traficului;
- optimizarea productivităţii (se efectuează de către administratorul de sistem şi include identificarea zonelor înguste din reţea şi luarea măsurilor corespunzătoare);
- administrarea utilizatorilor (adăugarea, excluderea, modificarea drepturilor);
- suportul sistemelor operaţionale;
- lucrările regulamentare curente (profilaxia);
- alte lucrări de administrare a reţelei;
3) administrarea sistemului:
- studierea şi planificarea dezvoltării sistemului;
- determinarea costului şi procurarea echipamentului;
- licenţierea şi distribuirea software-ului;
- gestionarea bunurilor (echipamentului);
- administrarea aplicaţiilor;
- controlul securităţii şi protecţia contra viruşilor;
- configurarea şi resetarea echipamentului;
- instalarea echipamentului;
- alte sarcini de administrare a sistemului;
- administrarea dispozitivelor de păstrare a datelor;
- administrarea discurilor şi fişierelor;
- planificarea capacităţii dispozitivelor de păstrare a datelor;
- administrarea accesului la date;
- arhivarea şi copierea de rezervă;
- pronosticul defecţiunilor şi restabilirea;
- administrarea repository-ului;
- alte tipuri de administrare;
4) susţinerea:
- activitatea operativă;
- ajutorul personalului administrativ;
- instruirea neregulată (personalul administrativ);
- susţinerea producătorului;
- susţinerea realizată de organizaţii externe (outsourcing);
- instruirea personalului administrativ;
- instruirea utilizatorului final;
- cheltuieli pentru deplasare;
- achiziţii;
- alte cheltuieli pentru lucrul operativ;
- contracte de livrare;
- contracte de susţinere;
- cursuri de instruire şi certificarea;
5) stabilirea nivelului profesional şi a remunerării personalului.
Rezultatele etapei:
1) costul livrărilor de software şi hardware;
2) stabilirea costului categoriilor de Divizare structurală a lucrărilor;
3) costul estimativ total al SI.
La etapa dată în costul SI vor fi incluse componentele cheltuielilor, indicate în tabelul 19.
6.8. Determinarea influenţei riscurilor
Scopul prezentei etape de a determina riscurile proiectului pentru a estima influenţa lor asupra costului de elaborare.
6.8.1. Evaluarea influenţei riscurilor asupra costului SI
Riscurile se evaluează în modul următor:
1) în baza listei iniţiale a riscurilor (a se vedea punctul 5.4.1) de identificat riscul de bază care are cea mai mare influenţă asupra evaluării SI;
2) de evaluat influenţa generală a riscurilor (a se vedea tabelele 20, 21). De calculat influenţa generală a riscurilor prin înmulţirea valorilor evaluării influenţei a riscurilor la costul tuturor cauzelor riscurilor. Evaluarea influenţei a riscurilor asupra costului este prezentat în tabelul 21;
3) de determinat influenţa riscurilor asupra costului SI după formula (12):
Influenţa_riscului_asupra_costului=Costul_SI *
Influenţa_generală_a_riscurilor (12)
Costul total al SI se stabileşte în subcapitolul 6.7;
4) de reglat evaluarea riscului prin adăugarea factorului general al riscului la cost după formula (13):
, (13)
unde
- Influenţă – influenţa riscurilor asupra costului SI;
- Probabilitatea cazului se stabileşte în mod experimental utilizînd abordarea statistică care ajută la modificarea evaluării apriorice ţinînd cont de datele noilor cercetări.
6.8.2. Influenţa securităţii informaţionale asupra funcţionării sistemului informaţional
Pentru minimalizarea influenţei riscurilor de funcţionare a SI este necesară respectarea şi controlul cerinţelor de asigurare a securităţii informaţionale a SI.
Cerinţele de asigurare a securităţii informaţionale a SI sînt:
1) planificarea asigurării securităţii informaţionale – planul de asigurare a securităţii şi regulile de conduită a angajaţilor;
2) reacţionarea la incidentele legate de încălcarea securităţii informaţionale;
3) activităţi de asigurare a securităţii informaţionale în situaţii imprevizibile – planul de acţiuni în situaţii imprevizibile, rezervarea serviciilor de telecomunicaţii, copierea de rezervă şi păstrarea informaţiei, restabilirea datelor;
4) cerinţe faţă de evaluarea riscurilor şi vulnerabilităţilor;
5) cerinţe faţă de protejarea suporturilor de informaţie – marcarea, păstrarea, transportarea, curăţarea, transmiterea şi distrugerea suporturilor de informaţie;
6) cerinţe faţă de asigurarea integrităţii informaţiei;
7) cerinţe faţă de protejarea fizică a SI;
8) cerinţe faţă de securitatea personalului de exploatare, precum şi faţă de informarea şi instruirea acestuia în probleme de securitate;
9) cerinţe de identificare şi autentificare;
10) cerinţe faţă de gestionarea accesului.
Asigurarea securităţii informaţionale include cheltuielile pentru mijloacele de protejare a hardware-ului şi software-ului, cheltuielile pentru remunerarea specialiştilor în securitate informaţională atît a organizaţiilor externe, cît şi a personalului propriu.
Rezultatele etapei:
1) lista detaliată a riscurilor SI:
2) determinarea cerinţelor de asigurare a securităţii informaţionale;
3) sînt reevaluate: mărimea, volumul, planul lucrărilor, costul proiectului, ţinînd cont de riscuri.
La etapa dată în costul SI vor fi incluse componentele cheltuielilor indicate în tabelul 22.
6.9. Confirmarea şi corectarea estimării costului riscurilor
Scopul etapei – de a confirma şi corecta estimarea costului riscurilor.
Lista iniţială a riscurilor (a se vedea punctul 5.4.1) se completează cu o listă suplimentară a riscurilor utilizînd:
1) evaluarea alternativă: atragerea unui individ sau a unui grup cu experienţă corespunzătoare pentru obţine o estimare a experţilor independenţi;
2) analoguri istorice: folosind experienţa precedentă, evaluarea se compară în conformitate cu următorii parametri:
- mărimea, volumul lucrărilor şi costul unui SI analogic;
- raportul dintre mărime şi scopul SI;
- raportul dintre mărime şi volumul lucrărilor şi cost (productivitatea elaborării);
- raportul dintre tehnologia utilizată la elaborare şi volumul de lucrări şi preţ.
Pentru realizarea sarcinii date este necesar a compara lista iniţială de riscuri (a se vedea punctul 5.4.1) cu riscurile suplimentare obţinute în punctul precedent, a stabili diferenţa şi a elabora o listă nouă a riscurilor pentru obţinerea indicatorilor mai exacţi.
În continuare este necesară gestionarea şi corectarea listei de riscuri obţinute.
Realizarea procesului de gestionare cuprinde:
1) evaluarea riscurilor pe parcursul ciclului de viaţă al SI;
2) determinarea şi clasificarea riscurilor;
3) determinarea cantitativă a influenţelor nefavorabile ale riscurilor;
4) determinarea măsurilor de prevenire a riscurilor;
5) determinarea strategiei de gestionare a fiecărui risc identificat;
6) întocmirea raporturilor cu privire la riscuri şi starea lor.
Rezultatele etapei:
1) confirmarea corectitudinii evaluării;
2) sînt confirmate şi corectate: volumul lucrărilor, termenele de realizare, cheltuielile de deviz obţinute cu o exactitate mai mare.
La etapa dată în costul SI vor fi incluse componentele cheltuielilor indicate în tabelul 23.
6.10. Implementarea sistemului informaţional
Scopul etapei este:
1) de a spori productivitatea muncii personalului;
2) de a reduce volumul de muncă necesar pentru realizarea proceselor concrete din contul spaţiului informaţional unic;
3) de a reduce erorile din contul creşterii posibilităţilor de analiză şi verificare a informaţiei în cadrul SI.
Etapa de implementare se începe cu următoarele:
1) obţinerea permisiunii pentru instalarea SI la locurile de funcţionare;
2) pregătirea infrastructurii utilizatorului şi echipamentului încăperii în care va funcţiona SI;
3) verificarea capacităţii de funcţionare a SI în condiţii reale de exploatare;
4) organizarea instruirii personalului lucrului cu SI sau componentele acestuia.
Sarcinile de implementare a SI sînt complexe, deoarece soluţionarea lor presupune realizarea unui şir de acţiuni care include:
1) concentrarea resurselor umane şi financiare pentru soluţionarea sarcinilor de implementare a SI;
2) elaborarea concepţiei de creare a unui SI unitar;
3) instruirea utilizatorilor;
4) instruirea administratorilor şi specialiştilor de profil îngust;
5) adaptarea SI la specificul proceselor din organizaţie;
6) realizarea proiectului-pilot al SI;
7) elaborarea bazei normative pentru activitatea în cadrul noilor tehnologii;
8) implementarea completă a SI în activitatea practică a organizaţiei.
Pentru realizarea sarcinilor de implementare a SI este necesar a elabora planul de implementare a SI.
Planul-standard de implementare a SI cuprinde următoarele etape:
1) planificarea implementării – desemnarea managerului de proiect, asigurarea informării angajaţilor, recrutarea angajaţilor în grupul de implementare a SI;
2) instalarea sistemului – instalarea, testarea şi verificarea corectitudinii setărilor SI;
3) lansarea proiectului-pilot – instruirea utilizatorilor, transferul utilizatorilor la noul SI, colectarea opiniilor utilizatorilor şi finisarea SI în caz de necesitate, desemnarea unui grup de persoane responsabile de suportul SI (managerul responsabil de procesul de implementare);
4) implementarea deplină a SI în activitatea organizaţiei.
Rezultatele etapei:
1) instruirea utilizatorilor;
2) elaborarea documentaţiei de implementare;
3) realizarea proiectului-pilot al SI şi ulterior implementarea deplină a SI.
La etapa dată în costul SI vor fi incluse componentele cheltuielilor indicate în tabelul 24.
Calculul total al sistemului informaţional la toate etapele este indicat în tabelul 25.
7. Metodologia de analiză a costului, bugetului şi termenelor de realizare a lucrărilor în cadrul proiectului de durată
7.1. Revizuirea costului, bugetului şi termenelor de realizare a lucrărilor proiectului de durată
Scopul – revizuirea costului aprobat, bugetului proiectului şi a termenelor de realizare a lucrărilor pentru determinarea diferenţelor.
Este necesar a efectua următoare lucrări:
1) stabilirea limitelor bugetului SI în expresie procentuală după formula (14):
(14)
În mod similar calculăm şi limitele termenelor de realizare a lucrărilor;
2) compararea costului proiectului, termenelor de realizare a lucrărilor şi limitelor bugetare ale proiectului pentru a le coordona;
3) dacă evaluarea este mult mai înaltă de valoarea planificată, de stabilit şi eliminat diferenţele. Pentru aceasta trebuie:
- de detaliat maximal funcţionalitatea şi limitele necesare, analizînd şi stabilind priorităţile funcţiilor pentru a identifica funcţiile care pot fi excluse. Trebuie de ţinut cont de interconexiunea funcţiilor;
- de încetat livrările care nu sînt necesare;
- de verificat termenele de realizare a lucrărilor, costul de deviz şi riscurile care influenţează costul de bază. De micşorat riscul şi cheltuielile din contul reducerii funcţionalităţii şi volumului de livrări;
- de repetat acest proces pînă cînd funcţionalitatea şi livrările nu vor intra în limitele permise în baza bugetului şi termenelor de realizare a lucrărilor;
- de coordonat reducerea funcţionalităţii, a volumului de livrări şi cheltuielile revizuite corespunzător pentru a ajunge la un acord. De corectat Divizarea structurală a lucrărilor potrivit funcţionalităţii revizuite.
7.2. Documentarea şi evidenţa estimării efectuate a costului sistemului informaţiomal
Scopul - verificarea exactităţii estimării costului SI şi asigurarea unei analize similare a viitoarelor proiecte de programe.
În cadrul ciclului de viaţă al SI, fiecărui proces-business îi este atribuită documentaţia care este prezentată la intrare sau este primită la ieşirea din acest proces.
Trebuie de analizat evaluarea pentru a determina termenele şi motivele care ar putea cauza depăşirea limitelor de cheltuieli planificate pentru proiect, ca urmare este necesar:
1) de modificat documentaţia în procesul de stabilire a costului SI. Documentaţia este rezultatul înregistrării informaţiei primite pe durata acţiunilor sau proceselor ciclului de viaţă al sistemului de program;
2) pentru a îmbunătăţi indicii de evaluare şi planificare de corectat evaluarea la fiecare etapă.
Este necesar a documenta:
1) informaţia de bază despre proiect:
- denumirea proiectului;
- organizaţia-elaborator;
- platforma;
- limbajul de programare;
- metoda de evaluare;
- data de aprobare a costului proiectului;
2) mărimea estimată şi reală, volumul lucrărilor, costul software-ului şi hardware-ului;
3) datele planificate şi reale ale etapelor de bază;
4) identificarea riscurilor şi influenţa lor presupusă şi reală.
În procesul de proiectare, elaborare şi implementare a SI se elaborează următoarele documente în conformitate cu RT 38370656-002:2006:
1) plan de administrare a proiectului;
2) plan calendaristic de realizare a proiectului;
3) concepţia SI;
4) propunere-business;
5) sarcina tehnică;
6) proiect tehnic;
7) instrucţiune de exploatare a SI;
8) instrucţiunea administratorului;
9) plan de testare;
10) proces-verbal de testare;
11) act de transmitere în exploatarea experimentală;
12) act de finisare a elaborării;
13) plan calendaristic al procesului de trecere;
14) act de predare în exploatare;
15) act de punere în exploatare;
16) propunere de modificare;
17) mesaj despre problemă;
18) jurnal de înregistrare a adresărilor.
Documentaţia conţine date de referinţă despre proiectul SI şi despre contractele încheiate în procesul de proiectare, elaborare şi implementare.
Metoda Analogiei — se foloseşte la utilizarea repetată sau pentru funcţiile modificabile. Metoda analogiei se foloseşte pe larg ca model analog al obiectului, cercetat prin intermediul modelării. Se utilizează analogia deciziei experţilor sau analogia datelor istorice. Decizia experţilor se bazează pe experienţa cu o funcţie analogică, pe cînd analogia datelor istorice se bazează pe proiectele precedente, asemănarea şi diferenţele dintre cerinţele funcţionale.
Metoda statistică (PERT). Se utilizează pentru funcţiile analogice sau noi, unde experienţa şi datele istorice sînt limitate, sau pentru proiectele cu cerinţe incomplete sau ambigue. Evaluarea segmentului de programare a SI se efectuează în modul următor:
1) primul expert independent stabileşte mărimea minimă admisibilă a segmentului de programare a SI (Least);
2) al doilea expert independent stabileşte mărimea maximă admisibilă a segmentului de programare a SI (Most);
3) al treilea expert independent, folosind şi datele istorice, stabileşte mărimea maximal-posibilă a segmentului de programare a SI (Likely);
4) se calculează mărimea segmentului de programare a SI (Mean):
În cazul în care mărimea evaluării este întemeiată pe bazele istorice de date, ce au utilizat rînduri fizice ale codului sau analogii în proiecte, trebuie de transformat rîndurile fizice ale evaluării de cod a mărimii în rînduri logice, folosind Tabelul 1.1.
Deoarece productivitatea elaborării codului autogenerat este mult mai înaltă decît productivitatea elaborării unui alt cod, acest fapt ar trebui luat în consideraţie la transformare. Este necesar de utilizat tabelul 1.2 pentru transformarea codului autogenerat în SLOC logice:
ORDON:
1. A aproba reglementările tehnice:a) modul de evidenţă a serviciilor publice electronice, conform anexei nr. 1;
b) prestarea serviciilor publice electronice. Cerinţe tehnice, conform anexei nr. 2;
c) asigurarea securităţii informaţionale la prestarea serviciilor publice electronice. Cerinţe tehnice, conform anexei nr. 3;
d) determinarea costului de elaborare şi implementare a sistemelor informaţionale automatizate. Normativele şi estimarea cheltuielilor de lucru, conform anexei nr. 4.
2. Reglementările tehnice menţionate în punctul 1 vor intra în vigoare în termen de trei luni de la data publicării în Monitorul Oficial al Republicii Moldova.
3. Controlul asupra executării prezentului ordin se pune în sarcina dlui Pavel Şincariuc, director al Direcţiei generale dezvoltarea societăţii informaţionale.
VICEMINISTRUL DEZVOLTĂRII
INFORMAŢIONALE Oleg ROTARU
Nr. 94. Chişinău, 17 septembrie 2009.
Anexa nr. 1
la Ordinul nr. 94
din 17.09.2009
la Ordinul nr. 94
din 17.09.2009
Reglementare tehnică
Modul de evidenţă a serviciilor publice electronice
1. Domeniu de aplicareModul de evidenţă a serviciilor publice electronice
Prezenta reglementare stabileşte destinaţia, obiectivele, principiile şi modul de realizare a evidenţei şi înregistrării serviciilor publice electronice.
Serviciile publice electronice (în continuare – servicii publice), reprezintă o parte integrantă a activităţii oricăror autorităţi ale administraţiei publice, organizaţii şi întreprinderi de stat.
O parte însemnată a serviciilor publice conţin masive şi produse informaţionale, acordate prin intermediul mijloacelor electronice, ce reflectă rezultatele activităţii acestor întreprinderi într-o sferă sau alta. Gestionarea serviciilor publice trebuie să fie realizată nemijlocit în procesul activităţii autorităţilor administraţiei publice.
În procesul gestionării serviciilor publice trebuie să fie asigurată realizarea următoarelor sarcini:
- completitudinea creării masivelor şi produselor informaţionale primare şi derivate, care constituie serviciile publice;
- păstrarea şi protecţia sigură a serviciilor publice;
- accesul liber al cetăţenilor şi organizaţiilor la serviciile publice, care nu conţin informaţii ce constituie secret de stat, comercial, de serviciu sau personal;
- crearea condiţiilor pentru utilizarea eficientă a serviciilor publice în activitatea autorităţilor administraţiei publice.
Pentru a asigura realizarea sarcinilor fixate, este necesar de a introduce reguli şi proceduri unice de evidenţă.
Prestarea serviciilor publice are drept scop asigurarea accesului la informaţia oficială pentru populaţie şi mediul de afaceri, ridicarea nivelului calităţii serviciilor publice, sporirea gradului de participare a cetăţenilor în procesul de prestare a serviciilor.
În acest sens, participanţi la procesul de prestare a serviciilor publice sînt:
- instituţiile publice de nivel local şi central;
- cetăţenii;
- sectorul de afaceri.
Furnizorii de servicii publice sînt autorităţile administraţiei publice, instituţiile sau organizaţiile de stat care execută comanda de stat pentru prestarea unui anumit tip de servicii în limitele competenţei şi obligaţiilor funcţionale ale acestora.
Consumatori de servicii publice sînt cetăţenii sau organizaţiile care au apelat direct sau prin intermediul reprezentantului lor la furnizorul de servicii publice pentru realizarea drepturilor sau intereselor legitime, sau executarea obligaţiilor stabilite prin acte normative.
2. Baza juridico-normativă
Prezenta reglementare este elaborată în baza următoarelor acte legislative ale Republicii Moldova:
- Legea Republicii Moldova „Privind dreptul de autor şi drepturile conexe” nr. 293-XIII din 23.11.1994;
- Legea Republicii Moldova „Privind accesul la informaţie” nr. 982-XIV din 11.05.2000;
- Legea Republicii Moldova „Cu privire la informatizare şi la resursele informaţionale de stat” nr. 467-XV din 21.11.2003;
- Legea Republicii Moldova „Cu privire la documentul electronic şi semnătura digitală” nr. 264-XV din 15.07.2004;
- Legea Republicii Moldova „Privind comerţul electronic” nr. 284-XV din 22.07.2004;
- Legea Republicii Moldova „Privind activitatea de reglementare tehnică” nr. 420-XVI din 22.12.2006;
- Legea Republicii Moldova „Cu privire la protecţia datelor cu caracter personal” nr. 17-XVI din 15.02.2007;
- Legea Republicii Moldova „Cu privire la registre” nr. 71-XVI din 22.03.2007;
- Legea Republicii Moldova „Cu privire la secretul de stat” nr. 245 din 27.11.2008.
3. Terminologie
În prezenta reglementare sînt utilizaţi următorii termeni:
Date de evidenţă – datele de o anumită componenţă despre persoanele, obiectele şi/sau fenomenele de orice natură identificate, care constituie obiectul evidenţei.
Evidenţa de stat – evidenţă, a cărei organizare este realizată de către autorităţile administraţiei publice.
Evidenţa electronică – evidenţa, partea sau totalitatea datelor care pot exista sau pot fi utilizate (inclusiv pentru stabilirea drepturilor şi obligaţiilor persoanelor şi a altor consecinţe de drept) exclusiv în formă electronică.
Organizatorul evidenţei – persoana care duce evidenţa serviciilor publice de sine stătător, sau prin împuternicirea sau obligarea cuiva la realizarea acestei activităţi total sau parţial în interesele sale.
Posesor al informaţiei - subiectul care exercită dreptul de posesiune şi folosinţă asupra resurselor şi sistemelor informaţionale, al tehnologiilor şi mijloacelor de asigurare a acestora şi realizează împuternicirile de dispoziţie în limitele stabilite de legislaţia în vigoare.
Registrator – persoană, ce duce evidenţa serviciilor publice total sau parţial în interesul organizatorului evidenţei, în baza împuternicirilor primite de la acesta sau în baza obligaţiei.
Resursă informaţională cu acces limitat – resursa informaţională, ce conţine informaţie despre secretele de stat şi informaţie confidenţială sau informaţie, accesul la care este limitat de proprietarii resurselor informaţionale.
Sistem de evidenţă – totalitatea mijloacelor ce asigură ţinerea evidenţei serviciilor publice, inclusiv mijloacele pentru lucrările de secretariat, utilajul tehnico-ingineresc şi aplicaţiile computerizate informaţional-comunicaţionale, ce realizează logica evidenţei, precum şi textele originale, documentaţia de sistem şi de utilizare a acestor aplicaţii computerizate.
4. Obiective şi sarcini
Obiectivul prezentei reglementării constă în descrierea modului şi principiilor de evidenţă a serviciilor publice în spaţiul informaţional naţional.
Serviciile publice includ totalitatea resurselor informaţionale şi a serviciilor autorităţilor administraţiei publice. Prestarea serviciilor publice este susţinută de infrastructura informaţional-comunicaţională de stat prin intermediul reţelei centrelor de solicitare şi centrelor de acces public, precum şi prin intermediul Internet-ului, televiziunii digitale şi al telefoanelor mobile.
În scopul realizării unei utilizări eficiente a serviciilor publice este prevăzută distribuirea resurselor informaţionale şi a controlului asupra utilizării acestora. Evidenţa tuturor serviciilor publice serveşte drept instrument pentru organizarea eficientă a lucrărilor orientate spre satisfacerea la timp a necesităţilor noi ale autorităţilor administraţiei publice, precum şi spre reacţionarea rapidă şi la timp la posibilităţile emergente.
Scopul organizării evidenţei serviciilor publice în spaţiul informaţional naţional este şi sporirea eficienţei, capacităţii de gestionare, coordonării activităţii tuturor subdiviziunilor structurale ale autorităţilor administraţiei publice.
Evidenţa serviciilor publice se efectuează în următoarele scopuri:
- colectarea, clasificarea şi utilizarea informaţiilor complete, actuale şi veridice despre serviciile publice create, curente şi lichidate;
- monitorizarea situaţiei sistemului de prestare a serviciilor publice;
- evaluarea eficienţei creării şi utilizării serviciilor publice;
- relevarea solicitărilor de servicii publice din partea utilizatorilor;
- asigurarea caracterului deschis şi transparent al informaţiilor privind activitatea autorităţilor administraţiei publice, legată de formarea şi utilizarea informaţiei cuprinse în serviciile publice;
- determinarea tendinţelor şi direcţiilor de dezvoltare a serviciilor publice.
Prezenta reglementare stabileşte modul de evidenţă a serviciilor publice din punctul de vedere al înregistrării şi actualizării datelor.
Evidenţei obligatorii sînt supuse serviciile publice ale autorităţilor administraţiei publice, alte servicii publice nou- elaborate, create, achiziţionate şi (sau) care funcţionează în baza mijloacelor proprii sau cu atragerea mijloacelor din bugetul de stat, precum şi bazele (băncile) de date separate ce sînt achiziţionate sau transmise spre a fi utilizate de către autorităţile administraţiei publice.
5. Prestarea serviciilor publice
5.1. Clasificarea serviciilor publice
Caracteristicile serviciilor publice sînt:
- prestarea serviciilor publice în sfera activităţii de semnificaţie generală;
- existenţa unui cerc nelimitat de subiecţi ce utilizează serviciile menţionate;
- desfăşurarea activităţii de prestare a serviciilor publice nemijlocit autorităţilor administraţiei publice sau indirect altor subiecţi (în baza unui acord formalizat privind atragerea unei organizaţii terţe la executarea anumitor acţiuni legate de prestarea serviciilor publice prin mijloace electronice);
- baza juridică a prestării serviciilor publice o poate constitui atît proprietatea publică cît şi cea privată.
Serviciile publice se prestează prin mijloace electronice în baza interacţiunii dintre trei categorii de participanţi de bază:
- „Guvern - Cetăţean” – prestarea serviciilor publice se bazează pe interacţiunea dintre cetăţean şi guvern, o mare parte a căreia se realizează în regim on-line. Serviciile publice principale de care beneficiază cetăţenii sînt următoarele:
1) achitarea impozitelor;
2) serviciul de căutare a unui loc de muncă prin intermediul agenţiei de ocupare a forţei de muncă;
3) obţinerea asistenţei sociale;
4) perfectarea actelor personale;
5) înregistrarea mijloacelor de transport;
6) înregistrarea bunurilor imobile;
7) depunerea cererilor şi primirea autorizaţiilor pentru construcţie;
8) depunerea reclamaţiilor la poliţie;
9) serviciile bibliotecilor publice;
10) înregistrarea actelor de stare civilă (certificate de naştere, de înregistrare a căsătoriei, notificarea despre schimbarea domiciliului etc.);
11) înmatricularea în instituţiile superioare de învăţămînt;
12) contribuirea la securitatea publică;
13) serviciile medicale;
- „Guvern - Business” – prestarea serviciilor publice se bazează pe interacţiunea dintre administraţia publică şi mediul de afaceri. Serviciile publice principale din această categorie sînt următoarele:
1) contribuţiile sociale şi de pensii ale angajaţilor şi angajatorilor;
2) achitarea impozitelor de către organizaţii;
3) înregistrarea societăţilor noi;
4) transferul de date către organele statistice;
5) completarea şi depunerea declaraţiilor vamale;
6) primirea autorizaţiilor legate de protecţia mediului;
7) depunerea cererilor şi primirea autorizaţiilor pentru construcţie;
8) efectuarea achiziţiilor publice.
- „Guvern - Guvern” – prestarea serviciilor publice se bazează pe interacţiunea dintre autorităţile administraţiei publice şi instituţiile de stat prin intermediul mijloacelor electronice de comunicaţie.
Din punct de vedere funcţional, serviciile publice se împart în următoarele clase de servicii:
- prestarea serviciilor publice de semnificaţie generală;
- prestarea serviciilor în domeniul informaţiei de afaceri şi comerciale;
- prestarea serviciilor în domeniul înregistrării relaţiilor funciare şi cadastrale;
- prestarea serviciilor în domeniul sistemului financiar-bancar;
- prestarea serviciilor informaţionale în domeniul învăţămîntului – implementarea şi utilizarea noilor tehnologii de comunicaţie şi informaţionale în procesul educaţional;
- prestarea serviciilor informaţionale în domeniul ştiinţei;
- prestarea serviciilor informaţionale în domeniul ocrotirii sănătăţii;
- prestarea serviciilor informaţionale în domeniul informaţiei juridice;
- prestarea serviciilor informaţionale în domeniul asigurărilor sociale;
- prestarea serviciilor informaţionale privind securitatea;
- prestarea serviciilor informaţionale în domeniul patrimoniului cultural;
- prestarea serviciilor informaţionale în domeniul drepturilor omului;
- prestarea serviciilor informaţionale în domeniul turismului.
În funcţie de direcţia de activitate, serviciile publice se clasifică în:
- servicii publice externe:
1) dezvoltarea social-economică;
2) ştiinţa şi cunoştinţele;
3) protecţia mediului ambiant;
4) ocrotirea sănătăţii;
5) protecţia drepturilor, drepturile democratice şi drepturile omului;
6) politica socială;
7) cultura;
8) învăţămîntul;
9) securitatea publică;
10) sistemul judiciar;
11) securitatea şi apărarea naţională;
12) resursele naturale:
- servicii publice interne:
1) reglementarea socială, planificarea şi administrarea serviciilor;
2) gestionarea resurselor umane;
3) gestionarea resurselor financiare;
4) gestionarea informaţiei şi tehnologiilor;
5) gestionarea fondurilor, resurselor;
6) gestionarea comunicaţiilor;
7) gestionarea furnizărilor;
8) administrarea;
9) servicii profesionale.
În funcţie de metoda de acces, serviciile publice se împart în următoarele tipuri:
- informaţie deschisă şi accesibilă tuturor;
- informaţie cu acces limitat: secret de stat, secret comercial, date cu caracter personal.
În funcţie de criteriul de efectuare a plăţii, serviciile publice se clasifică după cum urmează:
- servicii publice cu plată;
- servicii publice gratuite.
În funcţie de gradul de personificare, serviciile publice se împart în:
- individuale;
- colective.
Este posibilă prestarea serviciilor publice conform diferitor nivele de complexitate:
Nivelul 1 – Informarea.
Acest nivel include furnizarea informaţiei privind:
- serviciile publice;
- activitatea autorităţilor administraţiei publice;
- serviciile de deservire informaţională;
- căutarea informaţiei;
- procesarea informaţiei;
- eliberarea datelor (documentelor);
- păstrarea informaţiei.
Nivelul 2 – Interacţiunea.
Acest nivel permite prestarea următoarelor servicii:
- copierea formularelor din reţeaua Internet;
- prelucrarea formularelor, inclusiv autentificarea acestora;
- implementarea sistemului de circulaţie electronică a documentelor;
- serviciile de utilizare a Internet-ului, sistemelor informaţionale, bazelor de date, reţelelor;
- servicii consultative;
- servicii de transmitere a informaţiei;
- servicii de acces la reţeaua Internet;
- servicii de utilizare a poştei electronice şi de creare a paginilor web.
Nivelul 3 – Tranzacţii.
Acest nivel permite prestarea următoarelor servicii:
- transmiterea informaţiei;
- luarea deciziilor şi furnizarea bunurilor şi/sau serviciilor (inclusiv efectuarea plăţilor prin mijloace electronice).
Nivelul 4 – Transformarea.
Acest nivel permite redefinirea actului de gestiune.
5.2. Procesul de prestare a serviciilor publice
Procesul de prestare a serviciilor publice este realizat prin mijloace electronice cu ajutorul unicului punct de acces - Portalul Guvernamental.
Prestarea serviciilor publice se efectuează în baza resurselor şi sistemelor informaţionale (SI) existente sau create şi urmează să cuprindă următoarele procese ale ciclului de viaţă a SI ce funcţionează în cadrul gestionării sistemelor şi tehnologiilor informaţionale:
1) planificarea – lucrările anteproiect – se elaborează concepţia sistemului şi propunerea-business privind prestarea serviciilor publice;
2) elaborarea – elaborarea sistemului informaţional de prestare a serviciilor publice – se determină, analizează, elaborează, creează, testează şi, în caz de necesitate, evaluează mecanismele de interacţiune a elementelor de program şi structurilor organizaţionale, precum şi se stabilesc cerinţele faţă de hardware, infrastructura utilizatorului, instruire şi mentenanţă. Se elaborează sarcina tehnică, proiectul tehnic, versiunea sistemului software, documentaţia tehnică, procesul-verbal de testare de calificare, actul de predare în exploatare experimentală;
3) implementarea – implementarea sistemului informaţional de prestare a serviciilor publice – se pregăteşte infrastructura utilizatorului şi utilajul din încăperile în care va funcţiona produsul software, se testează capacitatea de lucru a produsului software în condiţii reale de exploatare, precum şi se organizează instruirea personalului privind lucrul cu produsul software sau componentele acestuia;
4) exploatarea – exploatarea sistemului informaţional de prestare a serviciilor publice – include procesele legate de utilizarea produselor software pentru prestarea serviciilor, precum şi controlul funcţionării, depistării şi documentării problemelor survenite;
5) suportul şi mentenanţa - mentenanţa sistemului informaţional de prestare a serviciilor publice – se controlează funcţionarea produsului software, se înregistrează problemele pentru analiză, se întreprind acţiuni de prevenire şi corectare, precum şi acţiuni pentru adaptarea şi perfecţionarea produsului software;
6) monitorizarea şi deciziile privind modernizarea sistemelor informaţionale – utilizarea sistemului informaţional de prestare a serviciilor publice – prevede retragerea din exploatare a produsului software şi a subsistemelor software şi proceselor software auxiliare legate de acesta.
În cadrul proceselor de gestionare a tehnologiilor informaţionale sînt create sisteme informaţionale şi resurse de prestare a serviciilor publice destinate să menţină funcţionalitatea eficientă a autorităţilor administraţiei publice şi exercitarea obiectivelor strategice şi tactice de către acestea.
Sistemul de prestare a serviciilor publice trebuie să includă următoarele tipuri de resurse informaţionale:
- resurse informaţionale de stat – resurse informaţionale aflate în proprietatea statului şi care se clasifică în teritoriale, instituţionale şi de bază;
- sisteme informaţionale care constituie subsistemele guvernării electronice;
- pagini web şi domenii ale autorităţilor administraţiei publice;
- clasificatoare, obiecte informaţionale şi servicii informaţionale;
- documentaţie tehnică, certificate de înregistrare a domenelor şi acte de certificare a sistemelor informaţionale.
Aceste sisteme şi resurse informaţionale urmează să fie atribuite la o clasă şi categorie concretă de servicii publice.
6. Evidenţa serviciilor publice
Evidenţa serviciilor publice reprezintă evidenţa componentelor resurselor informaţionale în cadrul căreia urmează să fie reflectate funcţiile şi principiile evidenţei, formarea serviciilor publice, precum şi regimul juridic al acestora.
Evidenţa serviciilor publice trebuie să cuprindă următoarele etape ale ciclului de viaţă la prestarea serviciilor publice:
- punerea iniţială la evidenţă a serviciului public presupune înregistrarea acestuia în registru;
- actualizarea datelor despre serviciul public trebuie să fie efectuată în registru prin modificarea datelor de înregistrare în cazul, în care:
1) se schimbă organizaţia care prestează servicii;
2) se schimbă însuşi serviciul;
3) se schimbă condiţiile de prestare a serviciului;
4) se schimbă documentaţia eliberată la prestarea serviciilor;
5) se schimbă SI de bază pentru prestarea serviciului.
La încetarea procesului de prestare a serviciului public toată informaţia despre serviciul respectiv trebuie să fie anulată.
Sistemul de ţinere a evidenţei serviciilor publice cuprinde:
-baza juridico-normativă;
-documentele de toate nivelurile, care reglementează evidenţa;
-organizaţiile, ce realizează evidenţa;
- suporturile de hîrtie şi electronice şi sistemele informaţionale folosite la ţinerea evidenţei serviciilor publice.
6.1. Funcţiile sistemului de evidenţă a serviciilor publice
Sistemul de evidenţă a serviciilor publice trebuie să îndeplinească următoarele funcţii:
- colectarea, acumularea, prelucrarea, păstrarea şi actualizarea datelor serviciilor publice;
- asigurarea la nivel de stat a evidenţei unice a serviciilor publice;
- asigurarea autorităţilor administraţiei publice cu informaţie operativă şi statistică;
- asigurarea schimbului de informaţie între autorităţile administraţiei publice, precum şi cu autorităţile analogice ale altor ţări;
- controlul asupra respectării modului de evidenţă a serviciilor publice, elaborarea şi realizarea măsurilor de reacţionare oportună la tendinţele şi manifestările negative;
- asigurarea organizatorică, normativă şi metodică a activităţii autorităţilor administraţiei publice, ce exercită nemijlocit funcţiile de evidenţă a serviciilor publice;
- asigurarea funcţionării complexului tehnic de program şi a reţelelor informaţionale autorizate, utilizate în cadrul sistemului de evidenţă a serviciilor publice.
La dezvoltarea serviciilor publice este necesar de aplicat următoarele metode de realizare a funcţiilor de evidenţă:
- perfecţionarea asigurării juridico-normative şi metodice a gestionării serviciilor publice;
- perfecţionarea structurilor organizatorice privind formarea şi utilizarea serviciilor publice;
- organizarea evidenţei serviciilor publice şi elaborarea criteriilor şi metodelor de evaluare a costului acestora;
- elaborarea principiilor şi crearea sistemului de asigurare financiar-economică a activităţii de formare şi utilizare a serviciilor publice;
- elaborarea şi implementarea tehnologiilor unificate de utilizare a reţelelor de telecomunicaţii pentru coordonarea gestionării serviciilor publice;
- organizarea şi realizarea controlului de stat al funcţionării serviciilor publice.
6.2. Principiile de bază ale evidenţei serviciilor publice
Evidenţa serviciilor publice trebuie să fie realizată în conformitate cu următoarele principii de bază:
- principiul legalităţii - prevede la crearea, procurarea, utilizarea şi administrarea serviciilor publice, conformitatea acestora cu legislaţia naţională în vigoare;
- principiul îmbinării publicităţii şi confidenţialităţii - prevede publicarea informaţiei general accesibile, cu excepţia informaţiei recunoscute ca fiind confidenţială, în modul stabilit de legislaţia naţională în vigoare;
- principiul eficienţei şi economicităţii - prevede faptul că procurarea resurselor informaţionale utilizate pentru asigurarea continuităţii procesului de prestare a serviciilor publice este realizată reieşind din necesitatea de satisfacere a necesităţilor informaţionale şi de reducere a cheltuielilor de buget;
- principiul îmbinării plăţii şi gratuităţii de prestare a informaţiei - prevede că informaţia procurată din contul mijloacelor bugetului de stat se acordă gratuit autorităţilor administraţiei publice. Transmiterea informaţiei indicate mai sus altor utilizatori are loc contra unei anumite plăţi, dacă legislaţia nu prevede altfel;
- principiul succesivităţii – prevede, că crearea, procurarea, utilizarea şi administrarea serviciilor publice se desfăşoară pe etape;
- principiul integrităţii - prevede, că sistemul de prestare a serviciilor publice trebuie să fie unul dintre subsistemele de bază ale sistemului informaţional integrat de stat;
- principiul justificării - prevede utilizarea informaţiei documentate în sistemul de prestare a serviciilor publice;
- principiul scalabilităţii - prevede posibilitatea de extindere şi dezvoltare a componentelor sistemului de evidenţă a serviciilor publice;
- principiul unităţii spaţiului informaţional - prevede utilizarea unui sistem unic de clasificatoare, formate de date, protocoale de interacţiune informaţională, standarde, documente normative şi metodice interdependente, condiţie care este necesară pentru formarea spaţiului informaţional unic al sistemului de prestare a serviciilor publice;
- principiul protecţiei datelor personale - prevede crearea şi exploatarea sistemului de evidenţă a serviciilor publice în conformitate cu acordurile şi convenţiile internaţionale, precum şi cu legislaţia naţională în vigoare în domeniul protecţiei drepturilor omului;
- principiul identificării unice - prevede faptul, că toate obiectele informaţionale de evidenţă trebuie să aibă un număr unic de identificare;
- principiul controlului - prevede controlul măsurilor ce asigură calitatea, fiabilitatea resurselor şi sistemelor informaţionale de stat, precum şi păstrarea şi utilizarea raţională a acestora;
- principiul securităţii - prevede asigurarea protecţiei sistemului de prestare a serviciilor publice contra influenţelor de orice natură ce afectează continuitatea procesului de prestare a serviciilor.
6.3. Organizarea evidenţei serviciilor publice
Serviciile publice prestate sînt supuse evidenţei obligatorii.
Evidenţa serviciilor publice se realizează în scopul:
- asigurării informaţionale a autorităţilor administraţiei publice;
- informării cetăţenilor şi organizaţiilor despre serviciile publice, precum şi despre modul de acces la acestea.
Formarea datelor privind evidenţa serviciilor publice trebuie să fie efectuată de către autoritatea administraţiei publice în registru, care trebuie să includă informaţie despre serviciile publice, precum şi despre sistemele şi resursele informaţionale de stat corespunzătoare, care constituie baza pentru prestarea serviciilor publice, în conformitate cu legislaţia naţională în vigoare.
Formele de ţinere a evidenţei serviciilor publice sînt registrele, jurnalele, dosarele, cartelele, cărţile, conturile de evidenţă, înregistrările, iar în cazul utilizării tehnologiilor informaţionale, formele de ţinere a evidenţei sînt fişierele tabelelor electronice, bazele de date, sistemele de fişiere textuale şi alte mijloace de organizare a datelor digitale.
Formele de furnizare a datelor de evidenţă trebuie să fie determinate de următorii factori:
- forma de ţinere a evidenţei;
- mijloacele tehnice ce asigură ţinerea evidenţei;
- organizarea datelor de evidenţă;
- metodele de furnizare a datelor de evidenţă persoanelor interesate.
Formele de furnizare a datelor de evidenţă sînt:
- eliberarea actelor, rapoartelor, extraselor, certificatelor, adeverinţelor;
- înştiinţarea vocală;
- publicaţiile în mijloacele de informare în masă;
- revelarea prin reţele computerizate de uz comun.
6.4. Regimul juridic al serviciilor publice
Regimul juridic al serviciilor publice trebuie să includă:
- modul şi sursele de formare a serviciilor publice;
- modul de documentare a informaţiei;
- dreptul de proprietate asupra anumitor documente şi masive de documente;
- procedura de apărare juridică şi de utilizare a serviciilor publice;
- modul de înregistrare a serviciilor publice şi de includere a serviciilor publice în circuitul economic;
- determinarea categoriei de acces la serviciile publice.
6.4.1. Modul şi sursele de formare a serviciilor publice
Serviciile publice trebuie să fie formate de către autorităţile administraţiei publice respective, responsabile de formarea serviciilor publice în conformitate cu împuternicirile oferite acestora.
Formarea serviciilor publice trebuie să fie realizată în cadrul registrului, incluzînd lista de date privind serviciile publice, sistemele, precum şi paginile web şi domenele autorităţilor administraţiei publice, în conformitate cu legislaţia naţională în vigoare.
Serviciile publice trebuie să includă informaţia furnizată de către autorităţile administraţiei publice, cetăţeni, organizaţii şi asociaţii obşteşti ce îşi desfăşoară activitatea pe teritoriul Republicii Moldova în odinea stabilită de legislaţia în vigoare.
Responsabilitate pentru autenticitatea informaţiei privind serviciile publice o poartă proprietarii de servicii publice.
Modul, condiţiile de prezentare şi conţinutul informaţiei documentate pentru formarea serviciilor publice se stabilesc în conformitate cu Legile Republicii Moldova „Cu privire la registre” nr. 71-XVI din 22.03.2007 şi „Privind accesul la informaţie” nr. 982-XIV din 11.05.2000.
În rezultatul formării serviciilor publice trebuie determinată următoarea informaţie:
– descrierea detaliată a serviciilor publice şi a componentelor necesare;
– metodele de implementare şi prestare a serviciilor publice;
– procedurile de control al nivelului necesar de calitate a serviciilor publice.
6.4.2. Modul de documentare a informaţiei
Serviciile publice trebuie să fie formate pe baza informaţiei documentate. Informaţia documentată constituie obiectul dreptului de proprietate şi este expusă sub formă de document separat sau totalitate de documente, fixate pe un purtător de informaţie cu rechizitele corespunzătoare, inclusiv sub formă de document electronic.
Indiferent de categoria serviciilor publice, conţinutul informaţiei, furnizate utilizatorilor potenţiali de servicii publice, include:
– informaţii privind lista serviciilor publice;
– informaţii despre furnizorul abilitat să presteze un anumit tip de servicii publice;
– informaţii despre persoanele cu funcţii de răspundere care prestează în mod nemijlocit servicii publice utilizatorilor;
– descrierea serviciilor publice prestate în conformitate cu lista serviciilor publice prestate.
Descrierea serviciilor publice prestate reprezintă un document destinat utilizatorilor de servicii publice în care este explicat modul de obţinere a unui anumit serviciu public.
Descrierea serviciilor publice prestate include următoarea informaţie:
– destinaţia serviciului public;
– termenul de obţinere a serviciului;
– documentele necesare pentru obţinerea serviciului;
– datele de contact ale lucrătorilor din cadrul autorităţilor administraţiei publice la care se poate de adresat pentru obţinerea serviciului respectiv;
– informaţii privind condiţiile şi cerinţele înaintate faţă de utilizatorii de servicii;
– modul de obţinere a serviciului în formă electronică;
– informaţia privind achitarea serviciului, în cazul în care este prevăzut că serviciul este cu plată;
– servicii suplimentare, aferente obţinerii serviciului;
– indicatorii cheie ai calităţii serviciilor: oportunitatea, accesibilitatea, continuitatea şi procesul de prezentare a reclamaţiilor.
Pentru anumite tipuri de servicii publice pot fi stabilite particularităţi specifice ale regimului juridic al acestora, în special, rezultante din destinaţia funcţională a acelor servicii publice sau în urma clasării serviciilor publice la o anumită categorie de acces la acestea.
Documentarea informaţiei constituie o condiţie obligatorie pentru includerea informaţiei în serviciile publice. Informaţia documentată din serviciile publice trebuie să fie sistematizată, clasificată şi asigurată cu rechizitele corespunzătoare.
Rechizitele de bază ale informaţiei documentate sînt:
- denumirea documentului;
- proprietarul informaţiei;
- sursa de informaţie;
- data şi ora apariţiei şi documentării;
- modul de utilizare;
- alte rechizite, necesare pentru sistematizare şi clasificare.
La includerea informaţiei în componenţa serviciilor publice trebuie să fie asigurată posibilitatea de căutare a acesteia, în funcţie de clasificare şi conform rechizitelor stabilite. Datele, conţinute în banca centrală a registrului, includ rechizitele şi informaţia în conformitate cu legislaţia în vigoare.
Informaţia în serviciile publice poate fi prezentată în formă textuală, grafică, audio, video şi multimedia (combinaţia formatelor textual, grafic, audio şi video).
Documentul, obţinut din sistemul informaţional automatizat, precum şi păstrat, procesat şi transmis cu ajutorul sistemelor informaţionale şi telecomunicaţionale obţin forţă juridică în modul stabilit de legislaţia în vigoare.
6.4.3. Dreptul de proprietate asupra anumitor documente şi masive de documente
Dreptul de proprietate asupra anumitor documente şi masive de documente este stabilit de Legea Republicii Moldova „Privind dreptul de autor şi drepturile conexe” nr. 293-XIII din 23.11.1994. În conformitate cu prevederile acestui act normativ, dreptul de proprietate asupra resurselor informaţionale de stat aparţin statului.
Responsabilitatea pentru încălcarea drepturilor de proprietate este reglementată de legea menţionată şi de alte acte normative în vigoare.
6.4.4. Procedura de apărare juridică şi de utilizare a serviciilor publice
Serviciile publice sînt prestate utilizatorilor în conformitate cu:
- legislaţia Republicii Moldova;
- Acordul cu privire la nivelul de deservire;
- în baza solicitării;
- conform altor temeiuri.
Raporturile juridice privind prestarea serviciilor publice sînt reglementate de legislaţia naţională în vigoare şi acordurile încheiate cu utilizatorii serviciilor menţionate. În caz de nerespectare a înţelegerilor de către oricare dintre părţi, partea care a comis încălcarea poartă răspundere în conformitate cu prevederile Acordului cu privire la nivelul de deservire, precum şi în conformitate cu legislaţia în vigoare.
Acordul cu privire la nivelul de deservire reprezintă un acord încheiat între furnizorul şi utilizatorul de servicii publice, în care sînt descrise în mod detaliat serviciile prestate, în limba care este înţeleasă de utilizatori şi comodă pentru aceştia, drepturile şi obligaţiile ambelor părţi cu privire la prestarea serviciilor publice, precum şi responsabilităţile părţilor în caz de neexecutare a obligaţiunilor ce le revin.
Persoanele vinovate de divulgarea, modificarea sau distrugerea informaţiei privind serviciile publice poartă răspundere disciplinară, civilă, administrativă sau penală în conformitate cu legislaţia în vigoare.
6.4.5. Modul de înregistrare şi includere a serviciilor publice în circuitul economic
Serviciile publice sînt considerate disponibile pentru a fi înregistrate doar după darea în exploatare a sistemului informaţional şi efectuarea auditului independent după implementare, în limitele cerinţelor interne şi prevederilor legislaţiei.
Proprietarul informaţiei trebuie să pregătească toată documentaţia necesară în conformitate cu modul de documentare, după care în registru sînt introduse datele necesare.
Pentru a înregistra fiecare serviciu public este necesar de introdus următoarea informaţie în registru:
- codul serviciului public;
- tipul serviciului public;
- funcţionalitatea serviciului public;
- orientarea specială;
- data începerii şi termenul de prestare a serviciului;
- numărul de obiecte ale resurselor informaţionale, incluse în serviciu;
- lista resurselor informaţionale, incluse în serviciu;
- tipul confidenţialităţii resurselor informaţionale, incluse în serviciu;
- versiunile software-ului utilizat în procesul de prestare a serviciului;
- autoritatea administraţiei publice responsabilă de prestarea serviciului;
- proprietarul serviciului;
- organizaţia care efectuează controlul asupra prestării serviciului;
- organizaţia care efectuează asigurarea securităţii serviciului şi resurselor informaţionale, incluse în serviciu;
- organizaţia care realizează concepţia celor trei „A” (autentificare, autorizare, administrare);
- statutul serviciului (în conformitate cu ciclul de viaţă);
- mijloacele de prestare a serviciului;
- categoria tipului de subiecţi;
- categoria utilizatorului;
- categoria de plată;
- persoanele cu funcţii de răspundere care prestează serviciul.
Toată informaţia păstrată în registru trebuie să permită obţinerea ultimelor versiuni ale documentaţiei privind serviciile publice prestate.
Datele din registru trebuie să fie revizuite periodic, cel puţin o dată în trei ani sau în caz de:
- modificare a modului de prestare a serviciilor publice;
- modificare a datelor cu condiţia confirmării documentale a autenticităţii datelor de către proprietar;
- modificare a prevederilor legislaţiei în vigoare privind prestarea serviciilor publice.
Persoanele responsabile de introducerea datelor în registru sînt obligate să-şi asume obligaţia de a nu divulga această informaţie. Obligaţia de a nu divulga informaţia rămîne valabilă şi după încetarea activităţii de prestare a serviciilor publice în conformitate cu legea.
După înregistrarea serviciului public se stabileşte formal data lansării procesului de prestare a serviciului respectiv, după care serviciul public se consideră inclus în circuitul economic.
6.4.6. Determinarea categoriei de acces la serviciile publice
Modul de acces la serviciile publice este stabilit în dependenţă de gradul de secretizarea informaţiei conţinute în aceasta şi de destinaţia acesteia.
Serviciile publice sînt deschise şi general accesibile. Excepţia o constituie informaţia documentată atribuită la categoria cu acces limitat în conformitate cu legislaţia în vigoare.
Accesul la serviciile publice general accesibile trebuie să fie realizat fără autentificarea şi evidenţa utilizatorului. Evidenţa acţiunilor, identificarea şi autentificarea utilizatorului sînt obligatorii în cazul accesului la serviciile publice cu acces limitat.
Serviciile publice cu acces limitat se împart, după condiţiile regimului lor juridic, în servicii publice ce conţin informaţie atribuită la secretul de stat şi servicii publice ce conţin informaţie confidenţială. Atribuirea informaţiei la secretul de stat se efectuează în conformitate cu Legea Republicii Moldova „Cu privire la secretul de stat” nr. 245 din 27.11.2008.
Procesul de prestare a serviciilor publice cu acces limitat sînt supuse protecţiei. Pentru asigurarea accesului la serviciile publice cu acces limitat sînt utilizate mecanismele semnăturii digitale şi un sistem informaţional specializat. Modul de aplicare a mecanismelor semnăturii digitale este stabilit de prevederile legislaţiei naţionale în vigoare.
Pentru efectuarea lucrărilor de asigurare a protecţiei procesului de prestare a serviciilor publice cu acces limitat sînt mobilizate organizaţii ce deţin licenţe pentru activitate în domeniul protecţiei criptografice sau tehnice a informaţiei şi după caz certificat de securitate în conformitate cu legislaţia în vigoare. Pentru prelucrarea şi protecţia informaţiei cu acces limitat trebuie să fie utilizate mijloace tehnice certificate în modul stabilit.
Regimul utilizării informaţiei atribuite la categoria cu acces limitat, în partea ce nu se referă la secret de stat, este stabilit în Legea Republicii Moldova „Privind accesul la informaţie” nr. 982-XIV din 11.05.2000.
Autorităţile administraţiei publice trebuie să asigure un acces echitabil pentru toţi subiecţii interesaţi (cetăţeni, organizaţii, autorităţi ale administraţiei publice) la serviciile publice general accesibile şi la informaţia oficială ce ţine de activitatea autorităţilor administraţiei publice.
Dreptul de a utiliza serviciile publice cu acces limitat îl deţin doar autorităţile administraţiei publice în conformitate cu gradul de secretizare a informaţiilor.
Pentru a proteja informaţia contra denaturării intenţionate sau neintenţionate în procesul de prestare a serviciilor publice este necesar de îndeplinit următoarele cerinţe:
- de ţinut evidenţa listei de utilizatori ce operează cu sistemul şi a datelor de evidenţă ale acestora;
- de organizat o protecţie sigură a datelor de evidenţă ale utilizatorilor contra accesului neautorizat;
- de ţinut registrul de evidenţă (audit) a (al) accesului utilizatorilor la resursele informaţionale.
6.5. Evidenţa electronică a serviciilor publice
Evidenţa electronică a serviciilor publice reprezintă evidenţa în care cel puţin o parte din datele de evidenţă sînt utilizate şi oferite utilizatorului exclusiv în formă electronică.
Sistemul de evidenţă electronică a serviciilor publice este destinat pentru:
- confirmarea efectuării procedurilor necesare de evidenţă de către persoanele abilitate ca participanţi la procesele administrative;
- asigurarea importanţei juridice a datelor de evidenţă electronice.
Sistemul de evidenţă electronică a serviciilor publice trebuie să includă următoarele subsisteme:
- de asigurare a încrederii pentru semnăturile digitale (confirmarea identităţii persoanelor abilitate);
- de confirmat electronic (confirmarea timpului de efectuare a înregistrărilor de evidenţă);
- de arhivare exterioară (asigurarea salvării datelor de evidenţă);
- de revelare a informaţiei (asigurarea accesului deschis la datele de evidenţă);
- de înregistrare a sistemelor de evidenţă electronică de stat.
Pentru sistemele de evidenţă de stat a serviciilor publice este necesar să fie menţinută starea de disponibilitate permanentă pentru a trece în regimul extraordinar de funcţionare fără utilizarea tehnologiilor electronice, fapt pentru care evidenţa pe suport de hîrtie trebuie să dubleze evidenţa electronică în regim de timp real (fără a prejudicia importanţa juridică a evidenţei electronice).
La cele mai importante sisteme de evidenţă de stat a serviciilor publice, se atribuie:
- „Registrul de stat al populaţiei”;
- „Registrul de stat al unităţilor de drept”;
- „Sistemul informaţional geografic naţional”;
- „Resursele informaţionale ale autorităţilor administraţiei publice”;
- „Resursele informaţionale în sfera socială”;
- „Resursele informaţionale în sfera economico-financiară”;
- „Cadastrele resurselor naturale şi ale potenţialului tehnogen”.
Sistemele de evidenţă electronică de stat trebuie să asigure posibilitatea exercitării diferitor tipuri de control privind utilizarea acestora, inclusiv controlul intern şi extern, precum şi posibilitatea realizării auditului informaţional privind corespundea cerinţelor, stabilite faţă de aceste sisteme.
Obiectele controlului şi auditului sînt complexele de software şi hardware ce asigură ţinerea evidenţei electronice a serviciilor publice:
- utilajul de calcul şi telecomunicaţii;
- canalele de comunicaţie;
- utilajul tehnico-ingineresc care asigură funcţionarea mijloacelor de calcul şi telecomunicaţii;
- software-ul aplicativ şi de sistem.
7. Asigurarea securităţii informaţionale
Modul de acumulare, procesare, utilizare a informaţiei încadrate în categoria confidenţială, regulile de protecţie a acesteia şi modul de acces la aceasta, sînt reglementate în conformitate cu legislaţia naţională în vigoare.
Modul de acumulare, procesare, utilizare a informaţiei încadrate în categoria date cu caracter personal se stabileşte în conformitate cu Legea „Cu privire la protecţia datelor cu caracter personal” nr. 17-XVI din 15.02.2007.
Pentru asigurarea securităţii informaţionale a sistemului de evidenţă a serviciilor publice este necesar de a îndeplini următoarele cerinţe:
- asigurarea juridică, organizaţională şi tehnică a securităţii serviciilor publice a sistemelor informaţionale, a mijloacelor de comunicare şi a reţelelor informaţionale;
- delimitarea volumelor şi conţinutului informaţiei care poate fi accesibilă diferitor categorii de utilizatori;
- identificarea pericolelor securităţii informaţionale în procesul selectării şi procurării mijloacelor software şi hardware, creării şi exploatării sistemelor informaţionale, profilaxiei şi prevenirii acestora, precum şi în procesul lichidării consecinţelor nefavorabile în caz de survenire a acestora, inclusiv compensarea prejudiciului material;
- respectarea condiţiilor de păstrare şi protecţie a documentelor electronice şi de altă natură, ce asigură păstrarea atributelor ce le identifică;
- respectarea regulilor stabilite de utilizare a mijloacelor de protecţie criptografică.
Mijloacele software şi hardware pentru protecţia sistemului de evidenţă a serviciilor publice trebuie să asigure:
- depistarea şi prevenirea pericolelor securităţii informaţionale;
- integritatea datelor la formarea, utilizarea, prelucrarea, prestarea serviciilor publice;
- protecţia contra accesului neautorizat, introducerii completărilor şi modificărilor în serviciile publice;
- sistemul de rezervare şi restabilire a datelor;
- controlul integrităţii şi capacităţii de lucru a sistemului de asigurare a securităţii informaţionale;
- identificarea serviciilor publice protejate;
- autentificarea serviciilor publice protejate şi a utilizatorilor;
- schimbul de date autentificat;
- delimitarea accesului utilizatorilor la date;
- înregistrarea acţiunilor de intrare a utilizatorilor în sistem şi de ieşire din sistem şi încălcărilor drepturilor de acces la serviciile publice protejate.
Anexa nr. 2
la Ordinul nr. 94
din 17.09.2009
la Ordinul nr. 94
din 17.09.2009
REGLEMENTARE TEHNICĂ
Prestarea serviciilor publice electronice
Cerinţe tehnice
1. Domeniu de aplicarePrestarea serviciilor publice electronice
Cerinţe tehnice
În prezenta reglementare sînt stabilite cerinţele generale faţă de procesul prestării serviciilor publice prin mijloace electronice (în continuare – servicii publice).
În prezenta reglementare sînt stabilite cerinţele faţă de organizarea procesului de prestare a serviciilor publice şi sînt specificate componentele obligatorii ale procesului de prestare a serviciilor publice, care asigură calitatea, transparenţa şi eficienţa funcţionării procesului.
În prezenta reglementare este stabilit un ansamblu de procese, lucrări şi sarcini destinate organizării şi gestionării procesului de prestare a serviciilor publice.
Obiectivul prezentei reglementării constă în stabilirea cerinţelor care asigură un acces eficient la informaţia oficială, prestarea serviciilor publice cetăţenilor, comunităţii de afaceri şi organelor administraţiei publice cu aplicarea mijloacelor electronice, perfecţionarea calităţii serviciilor publice, sporirea eficienţei activităţii administraţiei publice, transparenţa în activitatea organelor administraţiei publice, dezvoltarea bazei de implementare a guvernării electronice şi a democraţiei electronice.
Prezenta reglementare este destinată: clienţilor sistemelor informaţionale (SI) automatizate, serviciilor şi produselor software; furnizorilor; elaboratorilor; administratorilor de SI; managerilor de proiect; managerilor responsabili de calitate şi utilizatorilor de produse software, care sînt participanţi la procesul de prestare a serviciilor publice cetăţenilor, comunităţii de afaceri, organelor administraţiei publice prin mijloacele electronice.
2. Baza juridico-normativă
Prezenta reglementare este elaborată în baza următoarelor acte legislative ale Republicii Moldova:
- Legea Republicii Moldova privind accesul la informaţie nr. 982-XIV din 11.05.2000;
- Legea Republicii Moldova cu privire la informatizare şi resursele informaţionale de stat nr. 467-XV din 21.11.2003;
- Legea Republicii Moldova cu privire la documentul electronic şi semnătura digitală nr.264-XV din 15.07.2004;
- Legea Republicii Moldova privind comerţul electronic nr.284-XV din 22.07.2004;
- Legea Republicii Moldova privind activitatea de reglementare tehnică nr.420-XVI din 22.12.2006;
- Legea Republicii Moldova cu privire la protecţia datelor cu caracter personal nr.17-XVI din 15.02.2007;
- Legea Republicii Moldova cu privire la registre nr.71-XVI din 22.03.2007.
3. Terminologie
În prezenta reglementare sînt utilizaţi următorii termeni:
Acord privind nivelul de deservire – acord încheiat în scris între furnizorul de servicii şi client (clienţi), în care se stipulează nivelurile de deservire convenite pentru un serviciu anumit.
Asamblare – ultima etapă a creării unei configuraţii disponibile pentru a fi exploatată.
Baza de date configuraţională a elementelor de evidenţă – bază de date care conţine toate datele necesare cu privire la fiecare element de evidenţă şi date despre legăturile importante dintre acestea.
Biblioteca software – totalitatea controlabilă a elementelor de evidenţă ale configuraţiei tipului de software destinat pentru susţinerea integrităţii stării lor generale şi a tipului, şi care în acelaşi timp stochează elemente în mod separat, pentru a contribui la elaborare, exploatare şi mentenanţă.
Biblioteca software-ului etalon – biblioteca în care sînt stocate sub protecţie versiunile etalon ale tuturor elementelor de evidenţă ale configuraţiei tipului de software.
Catalogul serviciilor – un document de volum mic, de pînă la 7 pagini, în care sînt formulate toate serviciile prestate clientului, în caz de necesitate este indicat costul serviciului, ordinea generală de solicitare a serviciului.
Categoria - clasificarea grupei elementelor de evidenţă, a documentelor despre modificări sau probleme.
Ciclu de viaţă – succesiunea proceselor, acţiunilor şi sarcinilor implicate în elaborarea, exploatarea şi mentenanţa sistemului şi care cuprind toată durata vieţii sistemului.
Controlul configuraţiilor – acţiuni incluse în controlul modificărilor operate în elementele de evidenţă după perfectarea formală a documentaţiei de configuraţie a acestora.
Controlul procesului – proces de planificare şi reglare, al cărui scop constă în desfăşurarea eficientă şi raţională a procesului.
Conturul extern al guvernării electronice – include infrastructura publică care asigură interacţiunea cetăţenilor şi organizaţiilor cu organele administraţiei publice. Acest tip de contur este format din sisteme informaţionale care deservesc procesele de interacţiune a populaţiei şi organizaţiilor cu organele administraţiei publice prin intermediul portalului guvernamental.
Conturul intern al guvernării electronice – include sistemele informaţionale de deservire a proceselor din interiorul sistemului de administrare publică (G2G), inclusiv prestarea serviciilor interne (G2E) structurilor şi funcţionarilor din administraţie atît la nivel central cît şi la cel local.
Delta-release – release parţial care include doar acele elemente de evidenţă în limitele unei unităţi de release care au fost modificate sau elementele de evidenţă noi din momentul ultimului release deplin sau delta-release.
Documentaţie de configuraţie – documentaţia care determină cerinţele faţă de elementul de evidenţă, proiectarea sistemului, asamblarea, producerea şi verificarea elementului de evidenţă.
Element de evidenţă – component al infrastructurii care se află sub controlul gestiunii configuraţiilor (inclusiv hardware, software şi documentaţia).
Eroare cunoscută – incident sau problemă a cărei cauză de bază este cunoscută şi pentru care a fost găsită o soluţie alternativă.
Gestionarea configuraţiilor – procesul de identificare şi determinare a elementelor de evidenţă din sistem, a înregistrărilor şi a rapoartelor privind statutul elementelor de evidenţă şi solicitărilor de modificare, precum şi de verificare a plenitudinii şi corectitudinii elementelor de evidenţă.
Gestionarea modificărilor – procesul de control al modificărilor din infrastructură sau din orice altă componentă a serviciilor prestate, care pune în acţiune în termene minime modificările aprobate.
Graficul de modificări coordonat – graficul ce conţine date despre toate modificările aprobate pentru implementare şi termenele de implementare propuse.
NOTĂ - Graficul de modificări se coordonează cu clientul, gestionarea nivelului de deservire, cu Centrul Informaţional de prestare a serviciilor şi cu gestionarea accesibilităţii.
Identificarea configuraţiei – activitatea care determină structura produsului, ansamblul de elemente de evidenţă şi documentaţia caracteristicilor fizice şi funcţionale ale elementului de evidenţă.
Identificatorul versiunii – numărul versiunii; data versiunii sau data versiunii şi marcajul de timp.
Infrastructura TI – sistemul structurilor organizaţionale şi a mijloacelor tehnice de programă care asigură funcţionarea şi dezvoltarea sistemului informaţional şi a mijloacelor de interacţiune informaţională.
NOTĂ - Infrastructura TI include totalitatea de mijloace hardware, sisteme operaţionale, a reţelei de telecomunicaţii şi sistemului de comunicaţii, a bazelor de date, mijloacelor de suport, mijloacelor multimedia care asigură sistemul de formare, distribuire şi utilizare a tehnologiilor comunicaţionale ce asigură interacţiunea organelor administraţiei publice, permiţînd accesul la resursele informaţionale.
Înregistrarea privind modificarea – înregistrarea de evidenţă ce conţine date despre elementele de evidenţă care sînt influenţate de modificarea aprobată şi modul în care sînt influenţate.
Mediu – totalitatea de hardware şi software, de comunicaţii de reţea şi proceduri care operează împreună în vederea prestării serviciilor publice.
Mediul de program – software utilizat pentru întreţinerea aplicaţiilor, precum sînt sistemul operaţional, sistemul de gestionare a bazei de date, mijloacele de elaborare, compilatoarele şi software-ul aplicativ.
Mijloace de elaborare automată a sistemelor – mijloc software pentru elaboratorii de software-ului, care acordă asistenţă în planificarea, analiza, proiectarea şi documentarea software-ului.
Mijloc de gestionare a configuraţiilor – produs software ce asigură automatizarea susţinerii modificărilor, configuraţiilor şi a controlului versiunilor.
Politica gestionării accesului – regulile de acordare a accesului la sistemele computerizate şi la reţeaua de utilizatori individuali.
Prestarea serviciilor publice – ansamblu de procese interconexe orientate spre realizarea obiectivelor – interacţiunea dintre subiecţii guvernării electronice ce se realizează pe două contururi clare – intern şi extern, care comunică între ele prin intermediul portalului guvernamental.
Problema – cauza primară necunoscută a unuia sau mai multor incidente.
Produs informaţional – informaţie documentată prelucrată în conformitate cu necesităţile utilizatorilor şi prezentată sub formă de produs;.
NOTĂ - Produse informaţionale sînt software-ul, bazele şi băncile de date şi altă informaţie.
Registrul modificărilor – registrul solicitărilor de modificare care au fost perfectate în timpul proiectului, ce arată informaţia despre fiecare modificare, evaluarea acesteia, deciziile luate.
Release – totalitatea elementelor de evidenţă noi şi/sau modificate care sînt supuse testării şi sînt date în exploatare în mod colectiv.
Release complex – toate componentele unei unităţi de release, care sînt colectate, testate, distribuite şi implementate în mod colectiv.
Serviciile informaţionale – servicii оrientate spre satisfacerea necesităţilor informaţionale ale utilizatorilor prin intermediul furnizării produselor informaţionale.
Serviciu public – serviciu, care condiţionează trei tipuri de interacţiuni, părţi componente ale guvernării electronice: interacţiunea „Guvern - Cetăţean” (G2C); interacţiunea „Guvern - Business” (G2B); interacţiunea „Guvern - Guvern” (G2G) cu subcategoria „Interacţiunea dintre Guvern şi angajaţii acestuia” (G2E).
Solicitare de deservire – orice incident ce nu reprezintă un defect în funcţionarea infrastructurii.
Solicitare de modificare – forma utilizată pentru înscrierea datelor despre solicitarea de modificare pentru orice element de evidenţă a infrastructurii sau pentru procedurile şi elementele legate de această infrastructură.
Soluţie de ocolire – metoda ce permite înlăturarea incidentelor sau a problemelor cu ajutorul unei decizii sau metode temporare, datorită căreia clientul nu mai depinde de un anumit aspect al serviciului legat de problemă.
Soluţie permanentă – soluţie, aplicarea căreia înlătură cauza de bază a problemei apărute.
Soluţionarea problemei – procesul înlăturării problemei pe calea elaborării şi aplicării unei soluţii permanente.
4. Cerinţele faţă de organizarea procesului de prestare a serviciilor publice
Esenţa activităţii organizaţiei ce prestează servicii publice constă în gestionarea prestării serviciilor publice. Rezultatele acestei activităţi reprezintă servicii publice justificate ca preţ, sigure, reciproc coordonate şi de calitate corespunzătoare.
Sistemul de prestare a serviciilor publice este prevăzut pentru realizarea următorului complex de sarcini:
- sporirea fiabilităţii de funcţionare a SI;
- reducerea timpului de depistare şi lichidare a defectelor în procesul de prestare a serviciilor publice;
- reglementarea activităţii subdiviziunilor şi sporirea manevrabilităţii serviciilor responsabile de exploatarea SI;
- crearea mecanismelor de evaluare a contribuţiei tehnologiilor informaţionale (TI) în privinţa rezultatelor de producţie şi a mecanismelor de justificare a investiţiilor în infrastructura TI;
- implementarea mijloacelor de planificare şi evaluare a necesităţilor infrastructurii TI;
- optimizarea cheltuielilor pentru exploatarea SI;
- reducerea termenelor de implementare a noilor proiecte de prestare a serviciilor publice;
- asigurarea acumulării şi aplicării cunoştinţelor şi experienţei din sfera exploatării infrastructurii TI.
În prezentul capitol sînt stabilite cerinţele de bază privind organizarea procesului de prestare a serviciilor publice ce ţin de securitate şi calitate, condiţiile de realizare şi aplicare, precum şi criteriile de organizare corectă şi evaluare efectivă a conformităţii serviciilor prestate.
În procesul de prestare a serviciilor publice, este necesar de îndeplinit următoarele procese:
- gestionarea capacităţilor;
- gestionarea finanţelor pentru prestarea serviciilor publice;
- gestionarea accesibilităţii;
- gestionarea nivelului de deservire;
- gestionarea continuităţii acordării serviciilor publice;
- gestionarea securităţii informaţionale;
- gestionarea calităţii serviciilor publice;
- gestionarea serviciilor de reţea.
4.1. Procesul de gestionare a capacităţilor
4.1.1. Obiectivele procesului de gestionare a capacităţilor
Obiectivul procesului de gestionare a capacităţilor constă în asigurarea prestării nivelului necesar de servicii ce corespund cerinţelor, cu cheltuieli minime.
Procesul de gestionare a capacităţilor mijloacelor de echipament şi de telecomunicaţii trebuie să fie orientat spre:
- furnizarea constantă a resurselor informaţionale necesare în conformitate cu parametrii necesităţilor, timpului şi preţului;
- prevenirea investiţiilor nejustificate în SI şi tehnologiile prin utilizarea optimă a resurselor existente;
- sporirea oportună a capacităţii;
- gestionarea utilizării capacităţilor curente ale TI şi SI.
Procesul de gestionare a capacităţilor cu funcţionare optimă trebuie să asigure realizarea următoarelor sarcini:
- reducerea riscurilor legate de serviciile existente prin gestionarea efectivă a resurselor şi monitorizarea permanentă a productivităţii utilajului;
- reducerea pericolului de întrerupere a lucrărilor proceselor de prestare a serviciilor publice în baza cooperării strînse cu procesul de gestionare a modificărilor la determinarea acţiunii modificărilor asupra capacităţilor TI şi mijloacelor de telecomunicaţii şi la prevenirea modificărilor urgente din cauza calculării greşite a capacităţii mijloacelor;
- elaborarea unor pronosticuri mai precise şi reacţionarea rapidă la solicitările clientului sau ale utilizatorilor;
- asigurarea raţionalităţii lucrului prin intermediul asigurării anticipate a echilibrului dintre cerere şi ofertă, legate de serviciile noi şi cele modificate;
- gestionarea (reducerea) cheltuielilor legate de capacitatea mijloacelor, în vederea folosirii mai raţionale a acestora.
4.1.2. Cerinţele de bază faţă de procesul de gestionare a capacităţilor
Faţă de procesul de gestionare a capacităţilor sînt înaintate trei categorii de cerinţe:
- gestionarea capacităţilor organizaţiei — îndeplinirea acestor cerinţe este necesară pentru înţelegerea viitoarelor necesităţi ale utilizatorilor, determinarea tendinţelor, prognozelor, modelarea, crearea prototipului, determinarea volumului şi documentarea viitoarelor necesităţi ale organizaţiei;
- gestionarea capacităţilor de deservire – îndeplinirea acestor cerinţe contribuie la determinarea şi înţelegerea nivelului de utilizare a serviciilor publice de către utilizatori, la monitorizarea, analiza, setarea şi crearea rapoartelor privind productivitatea serviciilor, la stabilirea configuraţiilor de bază şi a profilurilor de utilizare a serviciilor, la gestionarea cererii pentru servicii;
- gestionarea capacităţilor resurselor – aceste cerinţe sînt destinate pentru determinarea şi înţelegerea utilizării infrastructurii TI, monitorizarea, analiza şi crearea rapoartelor privind utilizarea elementelor de evidenţă, determinarea configuraţiilor şi a profilurilor de bază ale utilizării elementelor de evidenţă. În procesul îndeplinirii acestei categorii de cerinţe, o activitate importantă este monitorizarea activă a tendinţelor de dezvoltare.
Tabelul 1. Cerinţele înaintate faţă de procesul de gestionare a capacităţilor
|
Cerinţe
|
Acţiuni
|
Descrierea acţiunilor
|
|
Gestionarea capacităţilor organizaţiei |
Elaborarea planului privind capacităţile |
Descrierea capacităţilor existente ale infrastructurii TI şi a modificărilor preconizate în cererea de servicii publice, descrierea substituirii componentelor învechite şi a planurilor de dezvoltare tehnică. În planul privind capacităţile sunt descrise modificările aşteptate şi cheltuielile aferente acestora |
|
Modelarea
|
Pronosticarea tendinţelor infrastructurii TI |
|
|
Determinarea hardware-ului şi a sistemelor de comunicaţii pentru funcţionarea software-ului |
Determinarea configuraţiilor hardware-ului necesar pentru funcţionarea unor aplicaţii noi sau modificate. Rezultatul determinării dimensiunilor platformei tehnice este reflectat de indicatorii sarcinii de lucru |
|
|
Gestionarea capacităţilor de deservire |
Monitorizarea componentelor infrastructurii TI |
Garantarea realizării nivelurilor convenite de deservire |
|
Analiza datelor monitorizării
|
Se efectuează de către subdiviziunea securităţii |
|
|
Setarea
|
Optimizarea sistemelor pentru sarcina de lucru curentă sau preconizată în baza rezultatelor analizei şi interpretării datelor monitorizării |
|
|
Implementarea
|
Introducerea capacităţii modificate sau noi |
|
|
Gestionarea capacităţilor resurselor
|
Gestionarea cererii
|
Studierea impactului diferitor factori asupra cererii de utilizare a capacităţilor resurselor şi furnizarea informaţiilor pentru elaborarea, monitorizarea şi corectarea planului privind capacităţile şi a acordurilor privind nivelurile de deservire |
|
Completarea bazei de date a capacităţilor |
Colectarea şi actualizarea informaţiilor tehnice, organizaţionale şi de orice altă natură privind gestionarea capacităţilor |
4.1.3 Gestionarea eficienţei procesului de gestionare a capacităţilor
Reducerea riscurilor, sporirea calităţii serviciilor prestate, utilizarea eficientă a resurselor şi sistemelor informaţionale urmează să fie asigurate prin respectarea cerinţelor înaintate procesului de gestionare a capacităţilor. Respectarea cerinţelor trebuie să fie reflectată în indicatorii principali ai eficienţei activităţii procesului de gestionare a capacităţilor. Indicatorii menţionaţi sînt prezentaţi în tabelul 2.
Тabelul 2. Indicatorii eficienţei activităţii procesului de gestionare a capacităţilor
|
Indicatorul eficienţei
|
Descrierea indicatorului eficienţei
|
|
Predictabilitatea necesităţilor clientului |
Determinarea modificărilor în sarcina de lucru şi în tendinţele acestora, determinarea exactităţii planului privind capacităţile |
|
Tehnologie
|
Diverse variante de măsurare a productivităţii serviciilor publice prestate, ritmurile implementării noilor tehnologii şi posibilitatea de a îndeplini permanent Acordului privind nivelul de deservire |
|
Cheltuieli
|
Reducerea numărului de achiziţii urgente, reducerea capacităţilor inutile sau costisitoare excedentare |
|
Activitatea operaţională a ТI
|
Reducerea numărului de incidente cauzate de problemele de productivitate, de satisfacerea cerinţelor utilizatorilor în orice moment şi de gradul de seriozitate privind atitudinea organizaţiei faţă de procesul de gestionare a capacităţilor |
Dările de seamă ale administraţiei privind procesul de gestionare a capacităţilor trebuie să conţină informaţii privind diferenţele dintre utilizarea reala şi cea planificată a capacităţilor, despre tendinţele diferenţelor, despre impactul asupra nivelului de deservire, reducerea/sporirea preconizată a utilizării capacităţilor în perspectivă de durată scurtă sau lungă, precum şi date despre valorile limită pentru atingerea cărora va fi necesară achiziţionarea unor capacităţi suplimentare.
4.2. Procesul de gestionare a finanţelor destinate pentru prestarea serviciilor publice
4.2.1. Obiectivele procesului de gestionare a finanţelor destinate pentru prestarea serviciilor publice
Obiectivul procesului de gestionare a finanţelor constă în asistenţa acordată organizaţiei în gestionarea eficientă a resurselor şi sistemelor informaţionale necesare pentru prestarea serviciilor.
La achitarea facturii pentru serviciile publice prestate, un moment important pentru clienţi este aprecierea în ce măsură cheltuielile justifică avantajele obţinute pentru organizaţie.
Procesul de gestionare a finanţelor pentru prestarea serviciilor publice, cu funcţionare optimă, trebuie să asigure realizarea următoarelor sarcini:
- elaborarea bugetului – planificarea activităţii organizaţiei şi controlul ei;
- evidenţa contabilă – determinarea elementelor de cheltuieli şi a metodelor de structurare a acestora;
- eliberarea facturilor – analiza variantelor posibile de eliberare a facturilor şi stabilirea tarifelor pentru servicii.
4.2.2. Cerinţele de bază faţă de procesul de gestionare a finanţelor pentru prestarea serviciilor publice
Furnizarea informaţiei ample pentru justificarea cheltuielilor, analiza serviciilor publice, restituirea cheltuielilor pentru serviciile publice, elaborarea bugetului şi a planurilor se efectuează luîndu-se în consideraţie următorii factori:
- calitatea – în domeniul activităţii operaţionale: capacitatea (capacitatea de trecere); accesibilitatea; productivitatea; restabilirea după situaţii extraordinare; susţinerea;
- costul – în domeniul cheltuielilor şi investiţiilor;
- cerinţele clientului – costul şi calitatea trebuie să fie în corespundere cu necesităţile clientului.
Faţă de procesul de administrare a finanţelor pentru prestarea serviciilor publice sînt înaintate următoarele cerinţe:
- determinarea cheltuielilor pentru serviciile publice;
- determinarea şi clasificarea structurii cheltuielilor;
- repartizarea corectă a cheltuielilor conform serviciilor publice prestate clienţilor;
- utilizarea diferitor metode de eliberare a facturilor pentru utilizarea serviciilor publice;
- compensarea tuturor cheltuielilor, inclusiv a celor capitale, din contul clientului;
- verificarea regulată a facturilor pentru plata serviciilor publice din punct de vedere a corectitudinii şi corespunderii cu cerinţele clientului;
- includerea devizului de cheltuieli în rapoartele prezentate clienţilor.
Pentru asigurarea rentabilităţii procesului de prestare a serviciilor publice, este necesar de implementat un sistem eficient de control al cheltuielilor care trebuie să îndeplinească următoarele cerinţe:
- susţinerea în elaborarea strategiei de investiţii care să contribuie la flexibilitatea organizaţiei în baza utilizării mijloacelor tehnologice moderne;
- asistenţă la stabilirea priorităţilor în utilizarea resurselor informaţionale;
- asigurarea acoperirii cheltuielilor pentru toate resursele informaţionale utilizate de organizaţie;
- asistenţa pentru administraţie la luarea deciziilor operative cotidiene pentru reducerea riscului financiar în procesul de adoptare a deciziilor pe termen lung;
- asigurarea flexibilităţii şi a capacităţii de a reacţiona rapid la modificările în procesele de prestare a serviciilor publice.
4.2.3. Clasificarea cheltuielilor legate de procesul de prestare a serviciilor publice
Informaţia despre cheltuielile aferente prestării serviciile publice permite de a echilibra cheltuielile şi calitatea, precum şi de a oferi clienţilor un proces de prestare a serviciilor argumentat din punct de vedere financiar.
Pentru fiecare serviciu este necesar de a determina cheltuielile legate direct sau indirect de acesta:
- cheltuieli directe – cheltuielile legate în mod particular şi exclusiv de un anumit serviciu public (de exemplu, locaţiunea unei linii telefonice pentru acces la reţeaua Internet);
- cheltuieli indirecte – cheltuielile ce nu sînt legate direct şi nemijlocit de un anumit serviciu public (de exemplu, cheltuielile pentru încăperi, servicii de mentenanţă şi cheltuieli administrative).
Cheltuielile aferente prestării serviciilor se împart în permanente şi variabile:
- cheltuielile permanente nu depind de volumul serviciilor prestate (investiţiile în hardware, software şi construcţie etc.);
- cheltuieli variabile – cheltuieli al căror nivel se schimbă odată cu modificarea volumului de prestare a serviciilor (cheltuielile pentru personalul atras din exterior, cartuşele imprimatelor, hîrtie, încălzire şi electricitate etc.).
În procesul de prestare a serviciilor publice se formează următoarele tipuri de cheltuieli:
- cheltuieli de echipament – toate cheltuielile legate de hardware (servere, dispozitive de păstrare a informaţiei, comunicaţii şi reţele, imprimante etc.);
- cheltuieli de software – cheltuielile directe şi indirecte privind mentenanţa funcţionării sistemului (software de sistem, sistemul de tranzacţii, sistemul de gestiune a bazelor de date, sistemul de elaborare a aplicaţiilor, aplicaţiile de program etc.);
- cheltuieli organizaţionale – cheltuieli directe şi indirecte privind personalul, care pot fi permanente sau variabile (retribuţia muncii, cheltuieli de instruire, diurne pentru deplasări);
- cheltuieli pentru amplasare - toate cheltuielile directe sau indirecte legate de amplasare (încăperi pentru servere, oficii, alte încăperi şi echipamente);
- cheltuieli de transfer - cheltuieli legate de plăţile interne efectuate între diferite subdiviziuni ale organizaţiei;
- evidenţa cheltuielilor – cheltuielile legate de procesul de gestionare a finanţelor.
4.2.4. Gestionarea eficienţei procesului de gestionare a finanţelor
Indicatorii eficienţei procesului de gestionare a finanţelor pentru prestarea serviciilor determină nivelul de corespundere a acestui proces cu cerinţele care asigură organizarea corectă a funcţionării procesului. Indicatorii principali ai eficienţei procesului de gestionare a finanţelor pentru prestarea serviciilor publice sînt:
- analiza exactă a costului serviciilor prestate;
- satisfacţia clienţilor;
- realizarea obiectivelor financiare de către organizaţie;
- modificarea utilizării serviciilor de către clienţi;
- prezentarea la timp a rapoartelor pentru procesul de gestionare a nivelului de deservire.
4.3. Procesul de gestionare a accesibilităţii
4.3.1. Obiectivele procesului de gestionare a accesibilităţii
Obiectivul procesului de gestionare a accesibilităţii este de a asigura un nivel rentabil şi coordonat de accesibilitate în prestarea serviciilor. Procesul de gestionare a accesibilităţii este neîntrerupt şi se încheie în momentul cînd se termină prestarea serviciului.
Procesul de gestionare a accesibilităţii trebuie să includă:
- servicii noi şi curente;
- relaţiile cu furnizori interni şi externi;
- componentele infrastructurii şi aspectele organizaţionale care influenţează accesibilitatea, cum ar fi nivelul de cunoştinţe ale personalului, procesele, procedurile şi instrumentele de administrare.
Procesul de gestionare a accesibilităţii trebuie îndeplinit luîndu-se în consideraţie următorii factori:
- criteriile de elaborare a arhitecturii informaţionale pentru asigurarea accesibilităţii şi restabilirea serviciilor publice noi şi perfecţionate;
- tehnologiile ce asigură stabilitatea infrastructurii TI;
- garanţiile accesibilităţii, siguranţei şi deservirii componentelor infrastructurii;
- complexitatea infrastructurii TI;
- fiabilitatea componentelor – accesibilitatea serviciului într-o perioadă de timp aprobată, fără nici o defecţiune;
- capacitatea de a reacţiona rapid şi efectiv la defecţiuni;
- calitatea deservirii şi calitatea activităţii organizaţiilor de mentenanţă şi a furnizorilor;
- calitatea şi limitele de competenţă ale proceselor de administrare operaţională.
4.3.2. Cerinţele de bază ale procesului de gestionare a accesibilităţii
În cadrul procesului de gestionare a accesibilităţii se execută următoarele acţiuni:
- planificarea - stabilirea cerinţelor faţă de accesibilitatea serviciului, proiectarea sistemelor pentru realizarea nivelului necesar de accesibilitate şi a capacităţii necesare de restabilire;
- monitorizarea - efectuarea măsurărilor şi întocmirea rapoartelor.
Procesul de gestionare a accesibilităţii în condiţii de funcţionare optimă trebuie să asigure îndeplinirea următoarelor cerinţe:
- crearea unui punct unic de contact pentru chestiunile de accesibilitate a serviciilor publice;
- corespunderea serviciilor prestate cu cerinţele înaintate faţă de accesibilitatea serviciului în conformitate cu legislaţia în vigoare;
- garanţia corespunderii noilor servicii cu cerinţele impuse faţă de acestea şi cu standardul de accesibilitate convenit cu clientul;
- menţinerea nivelului cheltuielilor la un nivel acceptabil;
- monitorizarea continuă a standardelor de accesibilitate şi perfecţionarea acestora pe măsura necesităţilor;
- realizarea măsurilor de restabilire în caz de inaccesibilitate a serviciului;
- reducerea numărului refuzurilor de acces la sisteme şi reducerea perioadei de inaccesibilitate a serviciului;
- transferul de prioritate de la corectarea defectelor la îmbunătăţirea serviciului.
În caz de întrerupere a procesului de prestare a serviciilor publice este necesar de a înlătura rapid şi corect defectul şi de a realiza standardele aprobate de accesibilitate. Procedura de restabilire include aspecte precum sînt: utilizarea procesului eficient de gestionare a incidentelor (a se vedea 5.1) şi procedurile corespunzătoare de escaladare, informare, copiere de rezervă şi restabilire.
4.3.3. Gestionarea eficienţei procesului de gestionare a accesibilităţii
Este necesar de efectuat monitorizarea şi evaluarea conformităţii procesului dat cu cerinţele menţionate. Indicatorii de bază ai eficacităţii funcţionării procesului de gestionare a accesibilităţii:
- durata stagnărilor;
- frecvenţa survenirii stagnărilor;
- durata medie a reparaţiei - durata medie dintre survenirea defectului şi restabilirea serviciului;
- durata medie între defecte - durata medie dintre restabilirea după un defect şi survenirea altuia;
- durata medie între incidentele de sistem – durata medie dintre două incidente succesive;
- coeficientul de accesibilitate (sau inaccesibilitate) a serviciului;
- durata totală de funcţionare şi durata stagnării;
- numărul defectelor;
- informaţia despre defecte;
- durata de depistare, reacţionare, restabilire şi reparaţie a defectului, incidentului sau problemei.
Nivelul de accesibilitate trebuie să asigure accesul permanent la serviciile publice pe calea reducerii timpului de stagnare şi a restabilirii rapide a prestării serviciilor.
4.4. Procesul de gestionare a nivelului de deservire
4.4.1. Scopul procesului de gestionare a nivelului deservirii
Gestionarea nivelului de deservire (serviciului) - este un proces în cadrul căruia au loc negocieri cu privire la prestarea serviciilor, se efectuează stabilirea, evaluarea, gestionarea şi îmbunătăţirea calităţii serviciilor publice cu respectarea nivelului admisibil de cheltuieli. Gestionarea nivelului serviciului necesită o colaborare eficientă şi productivă cu clientul deoarece nivelurile serviciilor solicitate se stabilesc cu participarea acestuia.
Procesul de gestionare a nivelului de deservire este menit să stabilească echilibrul necesar dintre cererea şi oferta pentru serviciile de calitatea necesară, dintre comoditatea utilizării şi cost. Acest proces realizează elaborarea, coordonarea şi executarea Acordurilor cu privire la nivelul de deservire, acordurilor operaţionale privind nivelul de deservire, contractelor externe şi planului de asigurare a calităţii serviciilor.
În cadrul procesului de gestionare a nivelului de deservire trebuie îndeplinite următoarele sarcini:
- integrarea elementelor necesare pentru prestarea serviciilor publice;
- documentarea şi descrierea serviciilor prestate;
- concordarea strategiei TI cu necesităţile organizaţiei;
- controlul îmbunătăţirii prestării serviciilor publice.
Nivelul deservirii trebuie analizat în mod regulat, atrăgîndu-se o atenţie sporită la următoarele aspecte:
- acordul cu privire la nivelul deservirii din momentul ultimei analize;
- problemele apărute în cadrul serviciilor;
- identificarea tendinţelor în activitatea serviciilor;
- modificarea serviciilor în limitele nivelurilor de deservire acordate;
- modificarea procedurilor şi calculelor costului resurselor adiţionale;
- analiza urmărilor defectelor la prestarea nivelurilor acordate ale serviciilor.
Fiabilitatea deservirii trebuie să includă îmbinarea următoarelor caracteristici:
- fiabilitatea componentelor utilizate pentru prestarea serviciilor;
- durabilitatea - capacitatea deservirii sau a componentelor sale de a funcţiona eficient indiferent de defectarea uneia sau a cîteva subsisteme;
- deservirea profilactică pentru prevenirea întreruperii funcţionării.
Deservirea trebuie să cuprindă efectuarea lucrărilor de asigurare a funcţionării procesului de prestare a serviciilor şi restabilire a acestuia după defecte, precum şi efectuarea profilaxiei şi a verificărilor regulamentare şi anume:
- luarea măsurilor de prevenire a defectelor;
- depistarea la timp a defectelor;
- efectuarea diagnosticării, inclusiv a autodiagnosticării automate a componentelor;
- lichidarea defectelor;
- restabilirea funcţionării după defecţiune;
- restabilirea serviciului.
4.4.2. Cerinţele de bază faţă de procesul de gestionare a nivelului de deservire
Cerinţele faţă de nivelul prestării serviciilor – descrierea detaliată a necesităţilor clientului utilizate la elaborarea, modificarea şi iniţierea serviciilor.
În lista cerinţelor urmează să fie incluse următoarele:
- identificarea necesităţilor clientului;
- determinarea serviciilor necesare corespunzător necesităţilor şi cerinţelor clientului, crearea unui plan de asigurare a calităţii serviciilor;
- perfectarea finală a acordului - coordonarea cu clientul a nivelului de deservire necesar şi cheltuielile legate de aceasta, fixarea înţelegerilor convenite în Acordul cu privire la nivelul deservirii, acordul operaţional privind nivelul de deservire, contractele externe şi întocmirea sau reînnoirea catalogului de servicii;
- monitorizarea nivelurilor serviciilor;
- raportarea privind nivelul serviciilor;
- analiza serviciilor în vederea determinării direcţiilor de perfecţionare a acestora;
- descrierea funcţiilor, pe care trebuie să le ofere nivelul de deservire solicitat, din punctul de vedere al clientului;
- timpul şi zilele în care serviciul trebuie să fie accesibil;
- cerinţele faţă de continuitatea procesului de deservire;
- stabilirea funcţiilor informaţionale necesare pentru prestarea serviciilor;
- existenţa referinţelor la metodele operaţionale şi standardele de calitate curente care trebuie luate în consideraţie la stabilirea nivelului de deservire;
- confruntarea calităţii serviciilor cu costul indicat în factură;
- stabilirea obligaţiunilor clientului şi ale organizaţiei care prestează servicii publice;
- existenţa referinţelor la Acordul cu privire la nivelul de deservire.
Procesul de gestionare a nivelului de deservire trebuie să garanteze susţinerea şi perfecţionarea continuă a serviciilor publice solicitate de client, prin coordonarea nivelului calităţii serviciilor organizaţiei, monitorizarea acestora şi prezentarea rapoartelor.
4.4.3. Gestionarea eficienţei procesului de gestionare a nivelului de deservire
Indicatorii eficienţei şi eficacităţii procesului de gestionare a nivelului de deservire:
- parametrii de deservire incluşi în Acordul cu privire la nivelul de deservire;
- parametrii monitorizaţi şi cu neajunsuri raportate;
- parametrii Acordului cu privire la nivelul de deservire, care sînt analizaţi în mod regulat;
- parametrii Acordului cu privire la nivelul de deservire, pentru care au fost obţinute nivelurile convenite de prestare a serviciilor;
- neajunsurile relevate incluse în planul de perfecţionare;
- tendinţele relevate, ţinîndu-se cont de nivelul real de deservire.
Indicatorii menţionaţi servesc drept instrument pentru determinarea conformităţii procesului respectiv cu cerinţele înaintate.
4.5. Procesul de gestionare a continuităţii în prestarea serviciilor publice
4.5.1. Scopurile procesului de gestionare a continuităţii în prestarea serviciilor publice
Obiectivul procesului de gestionare a continuităţii în prestarea serviciilor publice constă în susţinerea procesului de gestionare a continuităţii în activitatea organizaţiei. Esenţa acestei susţineri constă în restabilirea infrastructurii TI şi a serviciilor publice necesare, inclusiv a serviciului de mentenanţă şi a tuturor unităţilor instituţionale care asigură prestarea serviciilor, în decursul unei anumite perioade de timp după survenirea situaţiei excepţionale.
Accesibilitatea serviciilor publice urmează să includă o îmbinare între măsurile de reducere a gradului de risc şi metodele de restabilire.
În procesul de gestionare a continuităţii serviciilor publice trebuie îndeplinite următoarele sarcini:
- evaluarea impactului defecţiunilor asupra activităţii serviciilor publice după survenirea situaţiei excepţionale;
- stabilirea serviciilor de importanţă sporită pentru organizaţie care necesită măsuri suplimentare;
- determinarea perioadei de timp în decursul căreia serviciul urmează să fie restabilit;
- luarea măsurilor de prevenire, depistare, pregătire pentru situaţii excepţionale sau de reducere a gradului lor de influenţă;
- stabilirea metodei generale de abordare a restabilirii serviciilor;
- elaborarea, testarea şi susţinerea planului de restabilire cu un nivel suficient de detaliere, care ar ajuta la depăşirea situaţiei excepţionale şi la restabilirea activităţii normale într-o perioadă de timp prestabilită.
4.5.2. Cerinţele de bază înaintate procesului de gestionare a continuităţii în prestarea serviciilor publice
În procesul de gestionare a continuităţii în prestarea serviciilor publice, trebuie îndeplinite următoarele cerinţe:
- existenţa unui proces eficient de gestionare a configuraţiilor
- mentenanţa procesului de gestionare a continuităţii de către personalul organizaţiei;
- existenţa instrumentelor moderne eficiente;
- efectuarea unei instruiri speciale pentru toţi participanţii la procesul respectiv;
- testarea regulată a planului de restabilire, fără aviz prealabil.
Pentru îndeplinirea cerinţelor menţionate este necesar de realizat următoarele activităţi:
- iniţializarea;
- cerinţele şi strategia;
- implementarea;
- gestionarea operaţională.
Iniţializarea – include activităţile de stabilire a sferei de acţiune a procesului de gestionare a continuităţii serviciilor publice. Pe parcursul iniţializării se stabileşte politica organizaţiei faţă de gestionarea continuităţii serviciilor publice; se selectează metoda de abordare a evaluării riscului; se evidenţiază resursele pentru desfăşurarea mediului informaţional în cazul survenirii situaţiilor excepţionale.
Cerinţele şi strategia – includ tipurile de acţiuni indicate în tabelul 3.
Tabelul 3. Tipurile de acţiuni pentru activitatea „Cerinţele şi strategia”
|
Tipuri de acţiuni
|
Lucrări
|
|
Analiza impactului asupra funcţionării organizaţiei |
1. Constatarea cauzelor şi stabilirea influenţelor potenţiale a defectelor serioase a serviciilor 2. Efectuarea analizei serviciilor publice
3. Evaluarea factorilor de dependenţă între servicii şi resursele informaţionale |
|
Evaluarea riscurilor
|
1. Identificarea riscurilor aferente procesului de prestare a serviciilor publice 2. Identificarea pericolelor potenţiale, a tipurilor de vulnerabilitate şi stabilirea măsurilor preventive corespunzătoare |
|
Strategia de asigurare a continuităţii serviciilor TI |
1. Realizarea acţiunilor preventive
2. Selectarea metodelor de restabilire a serviciilor publice |
Implementarea – include tipurile de acţiuni indicate în tabelul 4.
Tabelul 4. Tipurile de acţiuni pentru activitatea „Implementarea”
|
Tipuri de acţiuni
|
Lucrări
|
|
Organizarea procesului şi planificarea implementării |
Elaborarea planurilor detaliate pentru utilizarea mijloacelor de restabilire selectate: - planul de amplasare şi prestare a serviciilor;
- planul de reacţionare în situaţii excepţionale;
- planul de evaluare a prejudiciilor;
- planul de restabilire a activităţilor;
- planul privind telecomunicaţiile,
- planul de asigurare a securităţii;
- planul privind resursele umane;
- planul financiar
|
|
Aplicarea acţiunilor preventive şi a metodelor de restabilire |
Realizarea acţiunilor preventive de reducere a gradului de influenţă concomitent cu activitatea în cadrul procesului de gestionare a accesibilităţii |
|
Elaborarea planurilor şi procedurilor de restabilire |
Planurile de restabilire trebuie să includă toate tipurile de activitate pentru restabilirea prestării serviciilor publice |
|
Testarea iniţială
|
Testarea eficienţei planurilor şi procedurilor
|
Gestionarea operaţională – include toate tipurile de acţiuni indicate în tabelul 5.
Tabelul 5. Tipurile de acţiuni pentru activitatea „Gestionarea operaţională”
|
Tipuri de acţiuni
|
Lucrări
|
|
Instruirea şi informarea
|
Instruirea personalului în materie de tehnologii informaţionale pentru acordarea de către personal a susţinerii necesare în executarea lucrărilor de restabilire |
|
Analiza şi auditul
|
Auditul şi verificarea actualităţii tuturor planurilor în toate aspectele procesului de gestionare a continuităţii serviciilor publice la orice modificare semnificativă a infrastructurii TI |
|
Testarea
|
Testarea regulată a planurilor de restabilire a serviciilor publice |
|
Gestionarea modificărilor
|
Efectuarea analizei influenţei oricărei modificări asupra planurilor de restabilire a serviciilor publice |
|
Asigurarea garanţiilor
|
Verificarea corespunderii calităţii procesului (procedurilor şi documentaţiei) cu necesităţile |
Gestionarea restabilirii SI şi reducerea stagnărilor în activitatea de prestare a serviciilor publice necesită respectarea cerinţelor înaintate procesului de gestionare a continuităţii în prestarea serviciilor publice, conformitatea cărora este reflectată în următorii indicatori:
- numărul erorilor depistate în planurile de restabilire;
- pierderea de către organizaţie a venitului în rezultatul unei situaţii excepţionale;
- costul procesului.
4.6. Procesul de gestionare a securităţii informaţionale
4.6.1. Obiectivele, sarcinile şi principiile procesului de gestionare a securităţii informaţionale
Obiectivul procesului de gestionare a securităţii informaţionale constă în controlul proceselor de asigurare cu informaţie, prevenirea divulgării, pierderii, scurgerii, denaturării şi distrugerii informaţiei şi prevenirea defecţiunilor în activitatea procesului de prestare a serviciilor publice.
Procesul de gestionare a securităţii informaţionale este necesar pentru susţinerea funcţionării continue a organizaţiei. Sarcina procesului constă în asigurarea continuă a securităţii serviciilor la nivelul coordonat cu clientul.
Procesul de gestionare a securităţii informaţionale trebuie să fie desfăşurat în baza următoarelor principii:
- principiul capacităţii echivalente a sistemului de protecţie – asigurarea protecţiei hardware-ului, software-ului, a sistemului de comunicaţii şi a sistemului de gestionare contra tuturor tipurilor de pericole;
- principiul continuităţii protecţiei – în procesul de prestare a serviciilor trebuie să fie asigurată continuitatea protecţiei informaţiei;
- principiul suficienţei rezonabile – aplicarea măsurilor şi a mijloacelor de protecţie rezonabile, raţionale care implică cheltuieli ce nu depăşesc costul încălcării securităţii informaţionale;
- principiul complexităţii – aplicarea tuturor tipurilor şi formelor de protecţie în volum deplin;
- principiul fiabilităţii - metodele, mijloacele şi formele de protecţie trebuie să blocheze în mod sigur toate căile de pătrundere şi canalele posibile de scurgere a informaţiei;
- principiul universalităţii – măsurile de securitate trebuie să blocheze căile pericolelor indiferent de punctul de acţiune potenţială a acestora;
- principiul planificării – elaborarea planurilor de acţiuni detaliate pentru asigurarea protecţiei informaţionale a tuturor componentelor sistemului de prestare a serviciilor publice;
- principiul centralizării – asigurarea independenţei organizaţionale şi funcţionale a procesului de asigurare a securităţii prestării serviciilor publice;
- principiul calificării personalului de deservire – prestarea serviciilor şi deservirea echipamentului trebuie să fie realizate de angajaţii pregătiţi în probleme de exploatare a tehnicii şi aspecte de ordin tehnic privind asigurarea securităţii informaţionale;
- principiul repartizării împuternicirilor – responsabilitatea pentru sistemul de protecţie trebuie să fie repartizată între angajaţii de diferite niveluri şi pe diferite direcţii ale activităţii de protecţie.
4.6.2. Cerinţele de bază faţă de procesul de gestionare a securităţii informaţionale
Reieşind din aspectele accesibilităţii, integrităţii şi confidenţialităţii informaţiei, procesul de gestionare a securităţii informaţionale trebuie să corespundă următoarelor cerinţe:
- să asigure confidenţialitatea informaţiei importante;
- să asigure integritatea informaţiei şi a proceselor legate de aceasta (crearea, introducerea, extragerea, păstrarea, transmiterea etc.);
- să asigure accesibilitatea la timp a informaţiei;
- să asigure funcţionarea fără deficienţe în procesul realizării unor operaţii concrete;
- să asigure monitorizarea în vederea asigurării capacităţii proceselor TI de a fixa orice activitate a utilizatorilor sau a proceselor;
- să ţină evidenţa tuturor proceselor şi evenimentelor legate de informaţie.
Pentru realizarea cerinţelor înaintate procesului de gestionare a securităţii informaţionale este necesar de îndeplinit următoarele condiţii:
- crearea schemei structurale de gestionare;
- crearea structurii organizaţionale de gestionare;
- repartizarea detaliată a responsabilităţilor;
- coordonarea securităţii informaţionale;
- coordonarea instrumentelor;
- descrierea procesului de autorizare a mijloacelor TI;
- acordarea consultaţiilor de către specialişti;
- colaborarea între organizaţii, interacţiunea internă şi externă;
- efectuarea auditului independent al sistemelor informaţionale;
- respectarea principiilor de securitate la accesarea informaţiei persoanelor terţe.
În cadrul procesului de gestionare a securităţii informaţionale sau în cadrul altor procese aflate sub controlul gestionării securităţii informaţionale se realizează următoarele activităţi:
- controlul - politica şi organizarea securităţii informaţionale, formularea planurilor de securitate, realizarea acestora, evaluarea realizării şi includerea evaluării în planurile anuale de securitate. Acest tip de activitate stabileşte subprocesele, funcţiile de securitate, rolurile şi responsabilităţile, descrie structura organizatorică, sistemul de raportare şi fluxurile de gestionare;
- planificarea – se stabileşte conţinutul capitolului privind securitatea din cadrul Acordului cu privire la nivelul de deservire, cu participarea procesului de gestionare a nivelului de deservire şi sînt descrise acţiunile privind aspectele de securitate desfăşurate în cadrul acordurilor externe;
- realizarea;
- evaluarea realizării activităţilor planificate – necesar de aplicat următoarele tipuri de evaluare: evaluarea independentă, auditul intern, auditul extern;
- susţinerea capitolelor corespunzătoare privind securitatea din cadrul Acordurilor cu privire la nivelul de deservire şi din planurile de securitate;
- întocmirea rapoartelor – se prezintă informaţia din cadrul altor procese cu privire la caracteristicile de securitate obţinute şi problemele de securitate.
Realizarea procesului de gestionare a securităţii informaţionale este susţinută prin executarea sarcinilor prezentate în tabelul 6.
Tabelul 6. Sarcinile executate la realizarea procesului de gestionare a securităţii informaţionale
|
Sarcinile procesului
|
Descrierea sarcinilor procesului
|
|
Clasificarea şi gestionarea resurselor informaţionale |
Furnizarea datelor de intrare pentru mentenanţa bazei de date de Configuraţie a elementelor de evidenţă, clasificarea resurselor informaţionale în conformitate cu principiile acordate |
|
Securitatea personalului
|
Sarcinile şi responsabilităţile personalului, acordurile de confidenţialitate pentru personal, instruirea personalului, instrucţiunile pentru personal privind soluţionarea incidentelor legate de securitate şi înlăturarea defectelor de protecţie, măsurile disciplinare, perfecţionarea nivelului de informare în probleme de securitate |
|
Gestionarea securităţii
|
Implementarea tipurilor de responsabilitate şi repartizarea obligaţiilor, măsurilor de securitate care cuprind ciclul întreg de viaţă al sistemelor; separarea mediului de elaborare şi de testare de mediul operaţional, proceduri de prelucrare a incidentelor; utilizarea mijloacelor de restabilire, implementarea măsurilor de protecţie împotriva viruşilor; implementarea metodelor de gestionare pentru computere, aplicaţii, reţele şi serviciile de reţea; utilizarea corectă a suporturilor informaţionale şi protecţia acestora |
|
Controlul accesului
|
Implementarea politicii de acces şi control al accesului, susţinerea privilegiilor de acces ale utilizatorilor şi aplicaţiilor la reţea, serviciile de reţea, computerele şi aplicaţiile; susţinerea barierelor de protecţie în reţea, implementarea metodelor de identificare şi autorizare a sistemelor computerizate, a staţiilor de lucru şi a computerelor personale în reţea |
Procesul de gestionare a securităţii informaţionale asigură cu instrucţiuni privind structura activităţii legate de securitate, altele procese, cum ar fi:
- proces de gestionare a incidentelor - este un proces important care informează despre existenţa unor incidente legate de securitate. Orice incident, care poate împiedica executarea cerinţelor de securitate indicate în Acordul cu privire la nivelul de deservire şi care poate crea obstacole în obţinerea nivelului de bază al securităţii interne, se clasifică ca incident de securitate;
- procesul de gestionare a problemelor - este un proces responsabil de identificarea şi înlăturarea defecţiunilor structurale de securitate care pot conduce la apariţia unor riscuri pentru sistemul de securitate. Orice măsuri de siguranţă legate de introducerea modificărilor trebuie să fie realizate concomitent cu efectuarea acestor modificări, iar testarea acestora trebuie să fie efectuată în paralel. La testarea securităţii este verificată nu doar accesibilitatea funcţiilor de securitate, ci şi absenţa funcţiilor nedorite care ar putea reduce nivelul de securitate a sistemului.
4.6.3. Gestionarea eficienţei procesului de asigurare a securităţii informaţionale
Indicatorii în baza cărora se evaluează corespunderea procesului de asigurare a securităţii informaţionale cu cerinţele şi condiţiile sînt următorii:
- parametrii serviciilor prestate indicaţi în Acordul cu privire la nivelul de deservire;
- deficienţele relevate incluse în planul de perfecţionare;
- corectarea la timp a deficienţelor ajustate, identificate în rezultatul auditului şi analizei;
- numărul de pericole aferente securităţii identificate;
- numărul de depistări şi lichidări ale intruziunilor;
- probabilitatea realizării pericolelor, incidentelor, problemelor;
- indicatorii evaluării riscului;
- parametrii de reacţionare la incidentele legate de încălcarea securităţii;
- rezultatele monitorizării securităţii informaţionale;
- datele privind controlul curent al stării securităţii TI.
4.7. Procesul de gestionare a calităţii serviciilor publice
4.7.1. Obiectivele procesului de gestionare a calităţii serviciilor publice
Obiectivul principal al procesului de gestionare a calităţii serviciilor constă în formarea şi menţinerea în stare actualizată a catalogului de servicii, a Acordului cu privire la nivelul de deservire, precum şi a acordurilor operaţionale interne în care sînt stabilite cerinţele faţă de personal şi faţă de serviciile prestate.
În Acordul cu privire la nivelul de deservire sînt enumeraţi toţi parametrii serviciilor prestate din acordul încheiat cu organizaţia care prestează servicii informaţionale.
Rezultatul procesului de gestionare a calităţii serviciilor este format din informaţia semnificativă şi oportună despre prestarea serviciilor, obţinută în rezultatul unei monitorizări specializate eficiente:
- rapoarte privind starea necorespunzătoare a îndeplinirii serviciului;
- notificarea despre problemele care tind să obţină un caracter cronic;
- notificarea despre modalităţile de utilizare a serviciului;
- analiza aprecierilor cu privire la servicii.
Procesul de gestionare a calităţii serviciilor se realizează în conformitate cu următoarele principii:
- aplicarea metodei de abordare procesuală în organizarea prestării serviciilor;
- măsurarea indicatorilor calităţii proceselor;
- controlul proceselor în conformitate cu anumite criterii şi perfecţionarea continuă a acestora.
4.7.2. Cerinţele de bază faţă de procesul de gestionare a calităţii serviciilor
În procesul de gestionare a calităţii serviciilor este necesar de respectat următoarele cerinţe:
- recepţionarea informaţiei de la procesele de administrare a reţelei, procesele de formare şi prestare a serviciilor şi de la procesele de deservire a clienţilor;
- elaborarea şi aprobarea unei liste complete a serviciilor prestate;
- planificarea îmbunătăţirii calităţii serviciilor, prin formarea programului de dezvoltare a calităţii;
- adoptarea măsurilor necesare pentru menţinerea nivelului serviciilor în limitele aprobate pentru fiecare clasă de servicii şi pentru satisfacerea necesităţilor clienţilor.
În cadrul procesului de gestionare a calităţii serviciilor, faţă de personalul care prestează serviciile publice sînt înaintate următoarele cerinţe:
- personalul trebuie să conceapă clar cerinţele clienţilor;
- personalul trebuie să poată descrie serviciile în termeni accesibili pentru client;
- personalul trebuie să descrie clar cerinţele de prestare a serviciilor pentru executori.
4.7.3. Gestionarea eficienţei procesului de gestionare a calităţii serviciilor
Indicatorii principali ai eficienţei procesului de gestionare a calităţii serviciilor, ce caracterizează corespunderea serviciilor prestate cu cerinţele calităţii indicate în Acordul cu privire la nivelul de deservire, sînt următorii:
- numărul de servicii comandate;
- numărul de solicitări de deservire primite;
- timpul utilizat pentru prestarea serviciilor;
- numărul solicitărilor de deservire expirate;
- numărul incidentelor survenite;
- timpul de staţionare a echipamentului;
- durata de inaccesibilitate a serviciului;
- termenul de înlocuire a elementului defectat în infrastructura TI şi condiţiile înlocuirii acestuia cu echipament temporar.
4.8. Procesul de gestionare a serviciilor de reţea
4.8.1. Obiectivele procesului de gestionare a serviciilor de reţea
Obiectivul gestionării serviciilor de reţea constă în asigurarea securităţii sistemelor conectate în reţea şi în controlul conexiunilor la sistemele conectate în reţea.
Gestionarea serviciilor de reţea trebuie să asigure transferul datelor dintr-un sistem în altul. Acest grup de servicii trebuie să includă semantica mediului comun de transferul datelor, reţeaua fizică care cuprinde reţelele locale şi globale, canalele şi protocoalele transferului de date.
Accesul direct la funcţiile serviciilor de reţea este necesar pentru telefonia computerizată, schimbul de informaţii video, conferinţa electronică. Sarcina gestionării serviciilor de reţea este de a stabili ansamblul de proceduri aplicate pentru instalarea dinamică, mentenanţa şi întreruperea conexiunilor necesare pentru schimbul de date între utilizatorii reţelei şi nodurile de comutaţie.
4.8.2. Funcţiile şi controlul procesului de gestionare a serviciilor de reţea
Funcţiile de gestionare a serviciilor de reţea stabilesc succesiunea şi formatul necesar al mesajelor, schimbul cărora se efectuează prin interfaţa de reţea.
În procesul de gestionare a serviciilor de reţea este necesar de efectuat controlul conexiunilor la sistemele conectate prin reţea. Controlul limitării capacităţii conexiunilor de reţea se efectuează în conformitate cu cerinţele politicii de gestionare a accesului.
Controlul se efectuează prin:
- gateway între reţele, care filtrează datele transmise prin reţea cu ajutorul tabelelor şi regulilor prestabilite;
- firewall-uri personale ale utilizatorilor, care filtrează traficul computerului protejat;
- interfeţele serviciului între reţele;
- algoritmul de autentificare a utilizatorilor la distanţă, a sistemelor computerizate şi a echipamentului;
- controlul deplin al accesului la SI;
- servicii de sistem şi programe aplicative care urmăresc conţinutul traficului Web şi de poştă electronică recepţionat de calculator.
4.8.3. Cerinţele de bază faţă de organizarea procesului de gestionare a serviciilor de reţea
Faţă de procesul de gestionare a serviciilor de reţea sînt înaintate următoarele cerinţe ce caracterizează evaluarea nivelului de corespundere cu cerinţele procesului respectiv:
- monitorizarea stării echipamentului activ de reţea;
- prelucrarea evenimentelor critice care survin în reţea;
- notificarea personalului tehnic despre evenimentele critice în reţea;
- acumularea informaţiei statistice despre funcţionarea, productivitatea, încărcarea elementelor critice ale infrastructurii de reţea;
- asigurarea controlului capacităţii de muncă, accesibilităţii, productivităţii echipamentului de server şi aplicaţiilor.
5. Gestionarea procesului de prestare a serviciilor
În prezentul capitol sînt examinate procesele integrate de gestionare a incidentelor, problemelor, configuraţiilor, modificărilor şi a release-urilor.
5.1. Gestionarea incidentelor
Obiectivul procesului de gestionare a incidentelor constă în restabilirea rapidă a procesului de prestare a serviciilor publice şi în minimalizarea impactului negativ al incidentelor, asigurînd-se susţinerea celor mai înalte niveluri ale calităţii deservirii şi accesibilităţii.
Incidentele survenite ca urmare a deficienţelor sau erorilor din infrastructura TI conduc la devieri reale sau potenţiale în raport cu activitatea planificată a serviciilor publice. La identificarea cauzei care a provocat incidentul este necesar de perfectat o înregistrare despre problemă cu ajutorul căreia se identifică eroarea de bază. Se realizează o succesiune logică, începînd cu notificarea iniţială şi finalizînd cu soluţionarea problemei iniţiale.
5.1.1. Cerinţele de bază faţă de procesul de gestionare a incidentelor
Faţă de procesul de gestionare a incidentelor sînt înaintate următoarele cerinţe:
- înregistrarea automată a incidentelor şi notificarea în caz de depistare a defecţiunii în mainframe-uri, în reţele şi servere;
- posibilitatea escaladării automate în vederea asigurării prelucrării la timp a incidentelor şi solicitărilor de deservire;
- nivelul înalt de flexibilitate şi marşrutizare a incidentelor;
- selectarea automată a datelor din Вaza de date configuraţională a elementelor de evidenţă privind elementele de evidenţă defectate şi afectate de incidente;
- software specializat;
- disponibilitatea mijloacelor şi modulelor de diagnosticare.
Centrul de guvernare electronică (CGE) de prestare a serviciilor este responsabil de monitorizarea procesului de reglare a tuturor incidentelor înregistrate. Incidentele pe care CGE de prestare a serviciilor nu le poate soluţiona imediat trebuie să fie transmise pentru a fi prelucrate de către grupuri specializate care dispun de abilităţi mai specializate, de timp suplimentar şi de alte resurse pentru soluţionarea incidentelor. Soluţionarea sau soluţia de ocolire trebuie să fie prezentată în termene cît mai restrînse pentru restabilirea deservirii utilizatorilor cu impact minim asupra activităţii lor. După înlăturarea cauzei incidentului şi restabilirea serviciului aprobat, incidentul urmează să fie închis şi este necesar de a întocmi documentaţia corespunzătoare.
Statutul incidentului trebuie să reflecte starea sa actuală în cadrul ciclului de viaţă. Este necesar ca înregistrarea despre incident să fie menţinută în stare actuală în decursul ciclului de viaţă al incidentului, ceea ce permite obţinerea unor date actualizate privind procesul de prelucrare a solicitării.
Este necesar de a înregistra următoarele actualizări ale înregistrării despre incident:
- colaboratorul care a efectuat modificarea înregistrării;
- descrierea detaliată a modificării;
- data şi ora modificării;
- cauza efectuării modificării;
- timpul utilizat.
Prioritatea incidentului este determinată de influenţa acestuia asupra proceselor din cadrul organizaţiei şi urgenţa cu care trebuie asigurată soluţionarea sau soluţia de ocolire. Indicatorii speciali pentru soluţionarea incidentelor sau prelucrarea solicitărilor urmează să fie incluşi în Acordul cu privire la nivelul de deservire.
Toate incidentele urmează să fie înregistrate în CGE de prestare a serviciilor în mod automat sau de către colaboratori.
După primirea notificării despre incident, CGE de prestare a serviciilor urmează să înregistreze datele de bază, inclusiv timpul şi detaliile obţinute privind simptomele, după care, în cazul existenţei unei solicitări de deservire, solicitarea este prelucrată. Pentru o înregistrare suplimentară despre incident conform Bazei configuraţionale de date a elementelor de evidenţă are loc selectarea elementelor de evidenţă care constituie cauza incidentului. Următoarele acţiuni efectuate de către CGE de prestare a serviciilor sînt stabilirea priorităţii respective, evaluarea incidentului, oferirea unor recomandări privind soluţionarea acestuia. După soluţionarea reuşită a incidentului se efectuează închiderea înregistrării despre acesta şi înregistrarea acţiunilor legate de soluţionarea acestuia. După o tentativă nereuşită de soluţionare a incidentului sau în caz de depistare a necesităţii de a aplica un nivel mai înalt de mentenanţă, are loc transmiterea incidentului către un grup specializat.
În procesul de soluţionare se verifică conform bazei de date legăturile incidentului cu problemele, erorile şi incidentele cunoscute. În cazul existenţei unei soluţii de ocolire sau soluţionare, incidentul trebuie să fie soluţionat imediat, în caz contrar, procesul de gestionare a incidentelor este responsabil pentru soluţionare sau căutarea unei soluţii de ocolire cu o întrerupere minimă a proceselor organizaţiei. Soluţia de ocolire urmează să fie analizată de echipa de gestionare a problemelor, care actualizează înregistrarea respectivă despre problemă.
5.1.2. Acţiunile realizate în procesul de gestionare a incidentelor
Pentru a asigura productivitatea funcţionării procesului de gestionare a incidentelor sînt necesare următoarele:
- o Bază de date configuraţională a elementelor de evidenţă actualizată la timp;
- elaborarea unei baze de date ale problemelor şi erorilor, actualizate la timp, pentru păstrarea soluţionărilor şi soluţiilor de ocolire existente;
- trebuie asigurată o legătură strînsă cu procesul de gestionare a nivelurilor de deservire pentru determinarea indicatorilor necesari privind timpul de reacţionare la incident.
Procesul de gestionare a incidentelor recepţionează informaţia necesară de prelucrat din următoarele surse:
- datele despre incident prezentate de către CGE de prestare a serviciilor, subdiviziunea de deservire a reţelelor sau serviciul de exploatare;
- datele despre configuraţia din Baza de date configuraţională a elementelor de evidenţă;
- rezultatele relaţionării incidentelor cu problemele şi erorile cunoscute; date referitoare la soluţionarea acestora;
- răspunsul la solicitarea de modificare, care conduce la soluţionarea incidentelor.
Pe parcursul realizării acţiunilor şi cerinţelor procesului de gestionare a incidentelor este necesar de obţinut următoarea informaţie:
- solicitarea de modificare pentru reglarea incidentului;
- înregistrarea actualizată a incidentului,
- incidentele soluţionate şi închise;
- comunicaţiile cu clienţii;
- informaţia administrativă, raportarea.
Procesul de gestionare a incidentelor trebuie să fie compus din următoarele acţiuni:
- depistarea şi înregistrarea incidentelor;
- clasificarea şi mentenanţa iniţială;
- investigarea şi diagnosticarea;
- soluţionarea şi restabilirea;
- închiderea incidentului;
- controlul, monitorizarea, urmărirea şi comunicaţiile.
În vederea asigurării controlul asupra întregului ciclu de viaţă al incidentului, pentru fiecare acţiune urmează să fie înregistrate: numele/identificatorul grupului de specialişti care înregistrează acţiunile, tipul acţiunii (marşrutizarea, diagnosticarea, restabilirea, soluţionarea, închiderea etc.), data/ora acţiunii, descrierea şi rezultatul acţiunii.
5.1.2.1. Depistarea şi înregistrarea incidentului
În procesul de depistare şi înregistrare a incidentului trebuie să parvină datele despre incident, în baza cărora are loc înregistrarea datelor principale despre acesta, după care urmează, notificarea grupului specializat de mentenanţă în caz de necesitate şi începerea procedurilor de prelucrare a solicitării de deservire. Toate incidentele urmează să fie înregistrate, pentru ca acestea să fie introduse apoi în baza de date destinată gestionării incidentelor. Simptomele, datele esenţiale necesare pentru diagnosticare şi informaţia despre elementele de evidenţă referitoare la incident trebuie să fie incluse în înregistrarea despre incident în timpul depistării şi înregistrării acestuia.
În înregistrările despre incident trebuie să fie incluse următoarele date:
- numărul unic de înregistrare;
- clasa incidentului;
- data / timpul creării sau modificării înregistrării;
- numele / identificatorul specialistului sau grupului de specialişti care creează sau modifică înregistrarea de evidenţă;
- numele / subdiviziunea / numărul de telefon / locaţia utilizatorului solicitant;
- mijlocul de feedback;
- descrierea simptomelor;
- categoria sau subcategoria;
- impactul / urgenţa / prioritatea;
- statutul incidentului (activ, în aşteptare, închis, soluţionat, în funcţiune, nou, transmis specialistului);
- elementele de evidenţă implicate în incident;
- grupul de susţinere / specialistul, căruia i-a fost transmis incidentul;
- problema / eroarea cunoscută care are legătură cu incidentul;
- data şi timpul soluţionării;
- categoria închiderii;
- data şi timpul închiderii.
Aceste date sînt necesare pentru soluţionarea incidentului, pentru restabilirea ulterioară şi pentru informaţia administrativă privind tipurile incidentelor şi statistica de survenire a acestora. Incidentul trebuie prelucrat în conformitate cu procedurile standard de gestionare a nivelului de deservire.
5.1.2.2. Clasificarea şi mentenanţa iniţială a incidentelor
În procesul de clasificare şi de mentenanţă iniţială urmează să parvină datele referitoare la configuraţie din Baza de date configuraţională a elementelor de evidenţă, precum şi rezultatul relaţionării incidentului cu problemele şi erorile cunoscute.
Pentru identificarea cauzei incidentului, este necesar de analizat înregistrările din baza de date a gestionării incidentelor şi de întreprins următoarele acţiuni:
- clasificarea incidentelor (a se vedea 5.1.3);
- relaţionarea cu problemele şi erorile cunoscute;
- informarea procesului de gestionare a problemelor privind depistarea problemelor noi şi privind incidentele pentru care nu au fost identificate analogii;
- atribuirea nivelului de impact şi de urgenţă;
- determinarea priorităţii;
- evaluarea datelor referitoare la configuraţiile interconexe;
- oferirea mentenanţei iniţiale;
- închiderea incidentului sau marşrutizarea acestuia către grupul specializat de mentenanţă, informarea utilizatorului.
Incidentul urmează să fie clasificat. În procesul de clasificare, trebuie determinate cauzele incidentului precum şi acţiunile corespunzătoare de soluţionare a acestuia. Clasificarea este utilizată pentru determinarea serviciului prestat de care este legat incidentul, pentru determinarea relaţiei acestuia cu Acordul cu privire la nivelul de deservire, pentru selectarea specialiştilor pentru prelucrarea incidentului, pentru determinarea priorităţii şi a impactului incidentului asupra proceselor organizaţiei, pentru determinarea existenţei legăturilor cu erorile şi soluţiile cunoscute. În procesul de clasificare a incidentelor, este necesar de furnizat o cantitate maximă de informaţie.
Un aspect important în gestionarea incidentului constă în determinarea priorităţii acestuia. Responsabilitatea pentru determinarea priorităţii îi revine procesului de gestionare a nivelului de deservire. Prioritatea incidentului este determinată în funcţie de următorii factori: impactul asupra proceselor de prestare a serviciilor publice, urgenţa, proporţiile, limitele, complexitatea, accesibilitatea resurselor necesare pentru înlăturarea defecţiunii.
În procesul de determinare a gradului de influenţă, este necesar de a dispune de accesul la Baza de date configuraţională a elementelor de evidenţă pentru stabilirea numărului de utilizatori supuşi influenţei incidentului.
Urgenţa incidentului reprezintă viteza cu care acesta urmează să fie soluţionat.
5.1.2.3. Investigarea şi diagnosticarea incidentelor
În decursul procesului de investigare şi diagnosticare a incidentului trebuie să parvină date actualizate despre incident, despre configuraţia din Baza de date configuraţională a elementelor de evidenţă, precum şi să fie întreprinse acţiuni pentru analiza şi colectarea datelor despre incident, căutarea unei soluţii de ocolire sau transmiterea incidentului respectiv către grupul de mentenanţă.
După transmiterea incidentului către grupul de mentenanţă, acesta urmează să întreprindă următoarele acţiuni:
- să prelucreze incidentul;
- să indice data şi timpul pentru actualizarea regulată a statutului incidentului;
- să prezinte recomandări CGE de prestare a serviciilor privind soluţiile de ocolire identificate;
- să compare incidentul cu erorile, problemele, soluţiile cunoscute;
- să determine modul de soluţionare a incidentului, să actualizeze datele necesare;
- să transmită incidentul CGE de prestare a serviciilor pentru a fi închis.
Procesul de investigare şi diagnosticare poate fi repetat ciclic, pe măsura înlăturării cauzelor apariţiei incidentelor.
5.1.2.4. Soluţionarea incidentului şi restabilirea serviciului
Rezultatele procesului de soluţionare a incidentului şi de restabilire a serviciului trebuie să fie date actualizate despre incident, răspunsurile la solicitarea de modificare care conduc la soluţionarea incidentelor, soluţii de ocolire şi mijloace de soluţionare a incidentelor.
În procesul de soluţionare şi restabilire este necesar de întreprins acţiuni de soluţionare a incidentului cu ajutorul mijlocului de soluţionare, soluţiei de ocolire sau solicitării de modificare, precum şi acţiuni de restabilire. După soluţionare reuşită a incidentului personalul specializat purcede la restabilirea serviciului.
5.1.2.5. Închiderea incidentului
Rezultatele procesului de închidere a incidentului trebuie să includă date actualizate despre incident şi incidentul soluţionat.
În decursul procesului de închidere a incidentului, soluţionarea incidentului trebuie să fie confirmată de către solicitant. După închiderea incidentului, CGE de prestare a serviciilor trebuie să se asigure că:
- informaţia despre acţiunile de soluţionare a incidentului este laconică şi accesibilă;
- există o clasificare exactă a cauzei apariţiei incidentului;
- acţiunile întreprinse în vederea soluţionării incidentului au fost coordonate cu clientul.
5.1.2.6. Controlul, monitorizarea, urmărirea şi comunicaţiile
Controlul, monitorizarea, urmărirea şi comunicaţiile trebuie să includă înregistrările referitoare la incidente. În decursul procesului de control, monitorizare, urmărire şi comunicare trebuie realizată monitorizarea escaladării incidentelor, informarea utilizatorilor.
CGE de prestare a serviciilor este responsabil pentru controlul şi monitorizarea asupra soluţionării tuturor incidentelor deschise. Pentru aceasta trebuie să întreprindă următoarele acţiuni în mod regulat:
- să urmărească statutul şi procesul de soluţionare a tuturor incidentelor deschise;
- să verifice corespunderea cu nivelurile de deservire;
- să specifice incidentele transmise între grupurile specializate;
- să acorde prioritate monitorizării incidentelor cu un grad înalt de influenţă;
- să informeze utilizatorii afectaţi de incident.
Rezultatele îndeplinirii acestor acţiuni sînt rapoartele de gestionare privind procesul de soluţionare a incidentului, rapoartele şi comunicaţiile cu clientul.
5.1.3. Clasificarea incidentelor
Clasificarea incidentelor trebuie realizată corect pentru următoarele scopuri:
- determinarea utilajului sau a serviciului cu care este legat incidentul;
- selectarea specialiştilor care vor asigura înlăturarea optimă a incidentului;
- determinarea priorităţii şi a impactului asupra funcţionării procesului de prestare a serviciilor publice;
- determinarea criteriilor de relaţionare la selectarea unei anumite decizii;
- determinarea matricei de raportare pentru informaţia administrativă.
Nivelurile de clasificare depind de nivelul necesar de detaliere. Clasificarea detaliată asigură utilizarea mai eficientă a informaţiei administrative, care urmează să fie analizată periodic în vederea aplicării doar a celor mai recente date.
5.1.4. Indicatorii eficienţei procesului de gestionare a incidentelor
În scopul perfecţionării monitorizării şi informaţiei administrative privind calitatea serviciilor, asigurării reducerii impactului asupra proceselor de prestare a serviciilor publice, utilizării eficiente a personalului, excluderii incidentelor şi cererilor de deservire ratate sau introduse incorect, este necesar de a măsura următorii indicatori:
- numărul total de incidente;
- timpul mediu efectiv utilizat pentru soluţionarea incidentului sau identificarea unei soluţii de ocolire;
- procentul incidentelor prelucrate în limitele timpului aprobat de reacţionare;
- suma medie de cheltuieli legate de incident;
- procentul incidentelor închise de CGE de prestare a serviciilor fără apelare la grupurile specializate;
- incidentele prelucrate la fiecare staţie de lucru a CGE de prestare a serviciilor;
- numărul şi procentul incidentelor soluţionate la distanţă.
5.2. Procesul de gestionare a problemelor
Obiectivul procesului de gestionare a problemelor constă în minimalizarea numărului şi gradului de impact negativ al incidentelor şi problemelor, cauzate de erorile din cadrul infrastructurii TI, exercitat asupra proceselor de prestare a serviciilor publice. Pentru realizarea acestui obiectiv este necesar de identificat cauzele incidentelor şi de efectuat acţiuni pentru îmbunătăţirea sau corectarea situaţiei.
Procesul de gestionare a problemelor trebuie să cuprindă acţiunile legate de reacţionarea la incidente şi acţiunile preventive. Acţiunile de gestionare a problemelor trebuie să includă actualizarea soluţiilor de ocolire recomandate şi a înregistrării despre problemă în vederea susţinerii controlului incidentelor.
Rezultatul procesului de gestionare a problemelor trebuie să fie prezentarea informaţiei privind problemele depistate, erorile cunoscute şi cererile de modificare perfectate.
5.2.1. Cerinţele de bază faţă de procesul de gestionare a problemelor
Faţă de procesul de gestionare a problemelor sînt înaintate următoarele cerinţe:
- informaţia păstrată trebuie să fie organizată şi uşor accesibilă;
- actualizarea documentaţiei (tehnologiile, soluţiile externe accesibile, experienţa practică, frecvenţa şi impactul incidentelor repetate) trebuie să fie efectuată în mod regulat;
- analiza detaliată a procesului de gestionare a problemelor şi perfectarea documentaţiei corespunzătoare;
- existenţa personalului calificat;
- existenţa depozitului de informaţii bazat pe mijloace integrate de gestionare a serviciilor;
- utilizarea sistemelor profesionale.
Problemele şi erorile cunoscute sînt relevate cu ajutorul analizei incidentelor pe măsura survenirii acestora şi la intervale diferite de timp, cu ajutorul analizei infrastructurii TI, pregătirii bazei de cunoştinţe, activităţii elaboratorilor şi furnizorilor la darea în exploatare a produselor noi.
5.2.2. Acţiunile procesului de gestionare a problemelor
În cadrul procesului de gestionare a problemelor este necesar de a efectua controlul problemelor şi erorilor care anticipează gestionarea problemelor. Toate problemele trebuie să fie cunoscute şi înregistrate în cadrul procesului de gestionare a problemelor.
Pentru realizarea procesului de gestionare a problemelor sînt necesare datele despre incidente, datele despre configuraţia din Baza de date configuraţională a elementelor de evidenţă, soluţiile de ocolire.
La realizarea procesului de gestionare a problemelor trebuie de recepţionat şi de documentat următoarea informaţie: erorile cunoscute, solicitările de modificare, înregistrările actualizate privind problemele, problemele soluţionate, înregistrările închise despre probleme, informaţia administrativă.
Procesul de gestionare a problemelor constă din următoarele acţiuni:
- controlul problemelor;
- controlul erorilor;
- prevenirea preventivă a problemelor;
- determinarea tendinţelor;
- obţinerea informaţiei administrative;
- analiza problemelor majore (se efectuează după soluţionarea fiecărei probleme majore).
5.2.2.1. Controlul problemelor
Controlul problemelor constă în prelucrarea eficientă şi rezultativă a problemelor. Obiectivul principal este identificarea cauzei de bază care a provocat defecţiunea şi asigurarea CGE de prestare a serviciilor cu informaţie şi recomandări privind soluţiile de ocolire. Controlul problemelor depinde de calitatea controlului incidentelor şi furnizează recomandări privind soluţiile optime de ocolire.
În procesul de efectuare a controlului problemelor este necesar de întreprins următoarele acţiuni:
- identificarea şi înregistrarea problemei;
- clasificarea problemei;
- analiza şi diagnosticarea problemei;
- solicitarea de modificare;
- soluţionarea şi închiderea problemei.
5.2.2.1.1. Identificarea şi înregistrarea problemei
Identificarea problemei trebuie să fie efectuată în cazul în care se respectă una sau mai multe din condiţiile enumerate mai jos:
- în cadrul mentenanţei iniţiale şi clasificării incidentului a eşuat relaţionarea acestuia cu problemele existente şi erorile cunoscute;
- incidentul se repetă;
- incidentul nu este legat de problemele existente şi erorile cunoscute;
- analiza infrastructurii TI a depistat problema care potenţial poate aduce la incidente;
- survenirea unui incident major semnificativ pentru care este necesar de a găsi o soluţie structurală.
Înregistrările privind problemele trebuie să fie păstrate în Baza de date configuraţională a elementelor de evidenţă. Înregistrările despre probleme sînt relaţionate cu toate înregistrările aferente despre incidente.
5.2.2.1.2. Clasificarea problemelor
În procesul de clasificare este necesar de determinat volumul eforturilor necesare pentru identificarea şi restabilirea elementelor de evidenţă defectate, categoria, impactul, urgenţa şi prioritatea problemei. Categoriile de probleme sînt distribuite pe grupuri sau domenii de cunoştinţe corespunzătoare (hardware, software, mijloace de comunicaţii, software de mentenanţă etc.).
Influenţa problemei determină distribuirea eforturilor pentru mentenanţa serviciilor publice. La stabilirea priorităţii problemei este necesar de luat în consideraţie urgenţa, impactul, riscurile şi accesibilitatea resurselor.
La rîndul său, urgenţa determină gradul de reţinere ce poate fi admis la soluţionarea problemei sau erorii. Urgenţa problemei este influenţată de următoarele aspecte:
- accesibilitatea eliminării temporare a erorii;
- existenţa soluţiei de ocolire;
- posibilitatea reţinerii planificate a soluţionării problemei;
- impactul problemei, care indică gradul de vulnerabilitate a proceselor legate de prestarea serviciilor publice.
5.2.2.1.3. Analiza şi diagnosticarea problemelor
Analiza şi diagnosticarea problemei trebuie să determine cauza defecţiunii în elementul de evidenţă înregistrat, după care este necesar de iniţiat activitatea sistemului de control al erorilor.
Pentru diagnosticarea problemei este necesar de a asigura proceduri eficiente de colectare a datelor analitice legate de soluţionarea problemelor, precum şi necesită datele exacte de evidenţă despre ultimele modificări deoarece acestea pot indica cauzele problemelor.
În cadrul analizei structurale şi diagnosticări problemelor trebuie aplicate următoarele metode:
- Kepner şi Trego – conform acestei metode, analiza problemelor trebuie să reprezinte un proces sistematic, îndreptat spre soluţionarea acestora. Metoda evidenţiază fazele de analiză a problemelor:
1) identificarea problemei;
2) descrierea problemei, inclusiv esenţa, particularităţile, locaţia, timpul şi dimensiunile;
3) determinarea cauzelor posibile;
4) testarea celei mai probabile cauze;
5) verificarea cauzei reale;
- diagramele lui Ishikava – diagrame cauză-efect care indică factorii ce influenţează problema;
- metoda “brainstorming”;
- metodele schemelor-bloc.
În procesul de analiză şi diagnosticare a problemelor este necesar de a dispune de accesul la documentaţia privind toate produsele din infrastructura TI, în calitate de informaţie de referinţă, atît pentru proces, cît şi pentru personalul serviciului de mentenanţă. Această informaţie trebuie să includă documentaţia privind sistemele aplicative, software-ul de sistem, programele interne de service, hardware-ul şi software-ul de reţea, diagramele generale ale configuraţiilor reţelelor.
5.2.2.2. Controlul erorilor
Controlul erorilor trebuie să includă procesele implicate în desfăşurarea lucrărilor legate de erorile cunoscute pînă în momentul înlăturării acestora. Obiectivul principal al acestui proces constă în notificarea despre erori, monitorizarea şi înlăturarea acestora.
Controlul erorilor are menirea să unească mediul de elaborare cu mediul de exploatare. Erorile din software la etapa de elaborare pot influenţa activitatea în mediul de exploatare. Informaţia despre erorile cunoscute depistate în mediul de elaborare sau în mediul de mentenanţă trebuie să fie transmisă în mediul de exploatare.
În cadrul controlului erorilor trebuie întreprinse următoarele acţiuni:
- identificarea şi înregistrarea erorilor;
- evaluarea erorilor;
- înregistrarea privind procesul de soluţionare a erorilor;
- închiderea erorilor;
- monitorizarea problemelor şi a progresului în soluţionarea erorilor.
Controlul erorilor este legat în mod direct şi acţionează concomitent cu procesele de gestionare a modificărilor. Procesul de control al erorilor trebuie să fie format din etapele de depistare şi înregistrare a erorii, de evaluare a erorii, de înregistrare a deciziei privind eroarea, de închidere a erorii şi a problemei aferente.
Eroarea trebuie să fie determinată atunci cînd este identificat elementul de evidenţă, este stabilită cauza de bază a problemei şi este găsită o soluţie de ocolire. Sursele datelor privind erorile cunoscute trebuie să fie subsistemele de control al problemelor în mediul de elaborare şi în mediul de exploatare. Înregistrarea despre eroarea cunoscută trebuie să conţină identificatorul solicitării de modificare.
Erorile trebuie să fie identificate şi înregistrate în procesul investigării şi diagnosticării – acţiunilor privind controlul problemelor.
Procedura soluţionării fiecărei erori cunoscute trebuie să fie înregistrată în sistemul de gestionare a problemelor. Este necesar ca toate datele privind elementele de evidenţă, simptomele, acţiunile pentru soluţionarea sau soluţie ocolită, legate de toate erorile cunoscute, să se afle în baza de date a erorilor cunoscute. Aceste date trebuie să fie accesibile pentru relaţionarea incidentelor, identificarea unor soluţii de ocolire şi furnizarea informaţiei administrative.
După implementarea modificărilor pentru înlăturarea erorii, înregistrările corespunzătoare despre eroarea cunoscută trebuie să fie închise împreună cu toate înregistrările conexe despre incidente şi probleme. Controlul erorilor este responsabil de monitorizarea desfăşurării lucrărilor legate de soluţionarea erorilor cunoscute.
Pregătirea solicitării de modificare face parte din obligaţiile procesului de control al erorilor.
5.2.2.3. Prevenirea premeditată a problemelor
Prevenirea premeditată a problemelor trebuie să includă acţiunile orientate spre depistarea şi soluţionarea problemelor pînă la survenirea acestora, reducînd la minimum impactul negativ asupra prestării serviciilor publice.
În acest scop este necesar de întreprins următoarele acţiuni:
- analiza tendinţelor;
- acţiuni de mentenanţă;
- asigurarea organizaţiei cu informaţie.
Prevenirea premeditată a problemelor trebuie să asigure îmbunătăţirea calităţii prestării serviciilor publice şi o utilizare mai eficientă a resurselor informaţionale accesibile.
Sarcina de bază a gestionării preventive a problemelor constă în direcţionarea eficientă a resurselor limitate de mentenanţă a serviciilor, determinarea zonelor problematice care exercită cel mai negativ impact asupra procesului de prestare a serviciilor.
Activitatea preventivă principală din cadrul procesului de gestionare a problemelor constă în analiza tendinţelor şi a direcţiilor acţiunilor de prevenire a apariţiei problemelor. Rapoartele privind analiza incidentelor şi a problemelor trebuie să ofere informaţii despre măsurile preventive care pot spori calitatea serviciilor publice prestate. Analiza incidentelor şi a problemelor trebuie să determine tendinţele, defecţiunile de un anumit tip care se află la etape incipiente, incidentele ce se repetă şi problemele legate de survenirea lor.
5.2.2.4. Determinarea tendinţelor
Determinarea tendinţelor conduce la determinarea zonelor potenţial problematice care necesită a fi investigate. Determinarea şi analiza tendinţelor trebuie să ducă la identificarea defecţiunilor în infrastructura TI, determinarea zonelor problematice generale care necesită o atenţie sporită din partea serviciului de mentenanţă.
5.2.2.5. Obţinerea informaţiei administrative
Obţinerea informaţiei administrative trebuie să asigure înţelegerea esenţei eforturilor şi resurselor aplicate de către organizaţie pentru investigarea, diagnosticarea şi soluţionarea problemelor şi a erorilor cunoscute.
Informaţia administrativă trebuie să includă:
- numărul solicitărilor de modificare perfectate;
- influenţa solicitărilor de modificare asupra accesibilităţii şi fiabilităţii serviciilor publice prestate;
- timpul utilizat pentru investigarea şi diagnosticarea problemei pentru fiecare unitate organizaţională;
- numărul şi influenţa incidentelor ce survin pînă la închiderea problemei de bază;
- proporţia eforturilor depuse pentru reacţionare în vederea susţinerii, în raport cu eforturile planificate în procesul de gestionare a problemelor;
- planurile de soluţionare a problemelor deschise în raport cu resursele şi bugetul;
- descrierea acţiunilor întreprinse.
5.2.2.6. Analiza problemelor majore
În procesul de soluţionare a fiecărei probleme majore este necesar de efectuat analiza acesteia. Analiza este necesară pentru determinarea acţiunilor corecte şi incorecte în vederea eliminării problemei, a măsurilor de prevenire a survenirii repetate a problemei respective.
Procesul de gestionare a problemelor trebuie să efectueze monitorizarea influenţei pe termen lung a problemelor şi erorilor cunoscute asupra serviciilor publice prestate.
5.2.3. Indicatorii eficienţei procesului de gestionare a problemelor
Informaţia istorică privind controlul incidentelor şi problemelor oferă posibilitatea de a obţine metricele care indică calitatea deservirii şi productivitatea procesului de prestare a serviciilor publice. Frecvenţa şi durata problemelor reprezintă metrica eficienţei în raport cu nivelurile aprobate de deservire.
Pentru îmbunătăţirea calităţii serviciilor publice prestate, reducerea numărului incidentelor, îmbunătăţirea procesului de instruire a personalului, sporirea procentului de cereri, soluţionate în timpul primei solicitări, CGE de prestare a serviciilor urmează să ia în consideraţie următorii indicatori:
- numărul total de probleme;
- numărul total de erori;
- timpul mediu efectiv consumat pentru soluţionarea problemelor sau căutarea soluţiei de ocolire;
- cheltuielile medii pentru soluţionarea problemei sau erorii;
- numărul şi procentajul problemelor soluţionate la distanţă;
- numărul problemelor prevenite în cadrul infrastructurii TI, inclusiv şi de procesul de gestionare a accesibilităţii.
Interacţiunea dintre procesul de gestionare a problemelor şi procesul de gestionare a accesibilităţii conduce la sporirea calităţii deservirii.
Procesul de gestionare a problemelor trebuie să analizeze în mod regulat realizările obţinute conform tuturor indicatorilor speciali.
5.3. Procesul de gestionare a modificărilor
Obiectivul procesului de gestionare a modificărilor constă în asigurarea aplicării metodelor şi procedurilor standard pentru prelucrarea productivă şi la timp a modificărilor, pentru minimalizarea impactului incidentelor legate de modificări asupra calităţii serviciilor publice prestate.
Informaţia despre procesele de gestionare a modificărilor trebuie să fie deschisă pentru trecerea la o stare nouă în timpul efectuării modificărilor.
Pentru realizarea procesului în cauză este necesară existenţa solicitărilor de modificare, a Bazei de date configuraţionale a elementelor de evidenţă şi a graficului coordonat al modificărilor.
În procesul de gestionare a modificărilor este necesar de elaborat graficul coordonat al modificărilor, solicitările de modificare şi rapoartele de gestionare a modificărilor.
5.3.1. Cerinţele de bază faţă de procesul de gestionare a modificărilor
Procesul de gestionare a modificărilor trebuie să gestioneze zilnic modificările ce au loc.
Faţă de procesul de gestionare a modificărilor sînt înaintate următoarele cerinţe:
- filtrarea modificărilor;
- elaborarea planului modificărilor;
- analiza şi închiderea solicitărilor de modificare;
- raportarea administrativă.
5.3.1.1. Filtrarea modificărilor
Filtrarea modificărilor trebuie îndeplinită în raport cu următoarele obiecte informaţionale:
- hardware;
- dispozitivele şi software-ul de comunicaţii;
- software-ul de sistem;
- software-ul aplicativ aflat în exploatare;
- documentaţia şi procedurile de mentenanţă şi susţinere a sistemelor aflate în exploatare.
În cadrul procesului de gestionare a modificărilor este necesar de a oferi confirmarea pentru oricare din modificările propuse. Gestionarea modificărilor nu este responsabilă de identificarea componentelor afectate de modificare, actualizarea înregistrărilor despre modificări, release-urile componentelor noi sau modificate. Toate acţiunile în procesul de modificare trebuie să fie înregistrate pe măsura efectuării lor în registrul de gestionare a modificărilor.
Pe măsura înregistrării modificărilor în cadrul procesului de gestionare a modificărilor este necesar de efectuat examinarea succintă a fiecărei solicitări, iar solicitările nepractice urmează să fie filtrate.
Pînă la aprobarea fiecărei modificări este necesară examinarea riscurilor pentru procesele de prestare a serviciilor publice, precum şi examinarea evaluării impactului şi a resurselor. Aprobarea modificării trebuie să includă aprobarea financiară, tehnică şi organizaţională. Aprobarea financiară determină limitele bugetului modificării. Aprobarea tehnică determină fezabilitatea, raţionalitatea şi posibilitatea de realizare a modificării fără a prejudicia procesul de prestare a serviciilor. Aprobarea organizaţională determină cerinţele condiţionate de prestarea serviciilor publice şi aşteptările participanţilor la interacţiune şi a utilizatorilor de servicii publice.
5.3.1.2. Elaborarea planului modificărilor
Pentru îmbunătăţirea procesului de gestionare a modificărilor este necesară coordonarea elaborării şi distribuirii planului şi graficului coordonat al modificărilor, precum şi a accesibilităţii planificate a serviciilor. Această documentaţie urmează să fie general accesibilă.
Planul şi graficul coordonat al modificărilor trebuie să conţină informaţii despre toate modificările aprobate pentru implementare şi datele preconizate pentru implementarea acestora. Accesibilitatea preconizată a serviciului trebuie să conţină date despre modificările în cadrul Acordului cu privire la nivelul de deservire şi despre accesibilitatea serviciilor, ţinîndu-se cont de modificările planificate.
5.3.1.3. Analiza solicitărilor de modificare
În procesul de gestionare a modificărilor trebuie de efectuat analiza tuturor modificărilor introduse. Scopul analizei este de a constata dacă:
- modificarea a dus la efectul scontat şi a atins scopurile fixate;
- utilizatorii sînt satisfăcuţi de rezultate;
- toate carenţele au fost determinate;
- nu au survenit efecte secundare în funcţionalitatea, accesibilitatea, productivitatea, securitatea, posibilitatea de deservire;
- volumul resurselor utilizate pentru introducerea modificării a corespuns volumului planificat;
- modificarea a fost introdusă la timp;
- planul de recul a funcţionat corect.
În cazul în care modificarea nu şi-a atins scopurile, este necesar de a lua decizia cu privire la acţiunile ulterioare. Procesul de gestionare a modificărilor iniţiază acţiunile ulterioare pentru înlăturarea tuturor problemelor sau neajunsurilor care au apărut în sistemul de gestionare a modificărilor în rezultatul unor modificări ineficiente.
5.3.1.4. Raportarea administrativă
La crearea rapoartelor administrative este necesar de a examina următoarea informaţie şi statistică:
- numărul de modificări implementate în perioada de timp respectivă;
- distribuirea modificărilor conform cauzelor efectuării lor;
- numărul de modificări efectuate cu succes;
- numărul de returnări la starea anterioară în procesul efectuării modificărilor;
- numărul şi cauzele incidentelor care au dus la modificări;
- numărul solicitărilor de modificare;
- numărul de modificări implementate analizate şi numărul de modificări ce urmează să fie analizate;
- numărul de solicitări de modificare respinse;
- solicitările ce urmează să fie implementate.
Această informaţie este utilizată ca bază pentru evaluarea productivităţii şi eficienţei procesului de gestionare a modificărilor.
Auditul procesului de gestionare a modificărilor trebuie efectuat cel puţin o dată pe an.
Auditul trebuie să includă verificarea următoarelor elemente:
- solicitările de modificare selectate la întîmplare;
- înregistrările despre modificări;
- analiza solicitărilor de modificare.
5.3.2. Acţiunile procesului de gestionare a modificărilor
Procesul de gestionare a modificărilor joacă un rol de supraveghere în testarea tuturor modificărilor.
Solicitările de modificare pot fi legate de orice parte a infrastructurii TI, orice serviciu şi activitate. Este necesar de a determina procedurile de documentare a solicitărilor de modificare.
Toate solicitările de modificare acceptate sînt înregistrate şi primesc un număr de identificare.
În procesul de realizare a gestionării modificărilor trebuie de îndeplinit următoarele acţiuni:
- determinarea cauzelor solicitărilor de modificare;
- stabilirea formularului solicitării de modificare;
- stabilirea priorităţilor solicitărilor de modificare;
- elaborarea, testarea şi implementarea modificărilor;
- aplicarea software-ului pentru gestionarea modificărilor.
5.3.2.1. Depistarea cauzelor solicitărilor de modificare
Pentru elaborarea solicitărilor de modificare trebuie depistate următoarele cauze:
- decizia indicată în raportul privind incidentul sau problema;
- insatisfacţia utilizatorului de nivelul deservirii;
- propunerea de introducere sau eliminare a elementului de evidenţă;
- propunerea de modernizare a componentelor infrastructurii TI;
- modificarea cerinţelor sau a conţinutului proceselor ce asigură prestarea serviciilor publice;
- prevederile noi sau modificările în legislaţie;
- schimbarea locaţiei;
- modificări în serviciile prestate.
5.3.2.2. Stabilirea formularului solicitării de modificare
Formularul solicitării de modificare trebuie să conţină următoarele elemente:
- numărul de ordine al solicitării de modificare cu referinţă încrucişată la numărul raportului privind problema;
- descrierea şi identificarea elementului care trebuie să fie modificat;
- cauza introducerii modificării;
- consecinţele în cazul neimplementării modificării;
- versiunea elementului modificat;
- rechizitele persoanei care propune modificarea;
- data propunerii modificării;
- prioritatea modificării;
- evaluarea influenţei şi resursele;
- recomandările comitetului consultativ pentru modificări;
- introducerea planificată;
- date privind grupul elaboratorilor modificării;
- evaluarea şi gestionarea riscurilor;
- statutul solicitării de modificare.
Raportul privind rezultatele finalizării modificării trebuie transmis persoanelor responsabile de gestionarea modificărilor, după care modificarea este aprobată. Pe măsura avansării modificării în ciclul de viaţă, este necesar de actualizat solicitarea de modificare şi Baza configuraţională de date a elementelor de evidenţă.
5.3.2.3. Stabilirea priorităţilor solicitărilor de modificare
Fiecărei solicitări de modificare trebuie să i se atribuie o prioritate, reieşind din influenţa problemei şi urgenţa necesităţii restabilirii. La atribuirea priorităţii, o importanţă deosebită o are evaluarea riscului implementării sau devierii de la modificare. Pentru fiecare prioritate este necesar de determinat anumite limite de timp. Priorităţile se împart în:
- urgente – reţinerea de scurtă durată a examinării modificării duce la întreruperea prestării serviciilor sau la probleme grave; înalte – modificarea are o influenţă considerabilă asupra activităţii a cîţiva utilizatori;
- medii – influenţa modificării este nesemnificativă, dar măsurile de înlăturare nu pot fi amînate pînă la următorul release conform graficului;
- reduse – modificarea este justificată şi necesară, dar poate aştepta pînă la următorul release conform graficului.
Prioritatea trebuie să indice ordinea în care urmează să fie înlăturate problemele.
5.3.2.4. Elaborarea, testarea şi introducerea modificărilor
Solicitările de modificare aprobate trebuie transmise grupurilor tehnice corespunzătoare pentru elaborare şi pregătirea pentru implementarea modificării. Pregătirea pentru implementarea modificării trebuie să includă:
- asamblarea noului modul;
- crearea versiunii noi a unui sau mai multor module de program;
- procurarea externă sau primirea echipamentului;
- pregătirea modificării hardware-ului;
- pregătirea documentaţiei noi sau actualizate;
- pregătirea utilizatorilor.
Pentru fiecare modificare autorizată este necesară pregătirea şi documentarea procedurilor de recul, pentru activizarea lor în cazul survenirii erorilor cu impact negativ asupra calităţii serviciilor prestate.
Pentru prevenirea impactului negativ al modificărilor asupra calităţii serviciilor publice prestate, este necesar de a testa modificarea în prealabil.
Testarea modificării trebuie să ia în consideraţie următoarele aspecte:
- productivitatea;
- securitatea;
- posibilitatea deservirii;
- capacitatea de susţinere;
- fiabilitatea şi accesibilitatea;
- funcţionalitatea.
Gestionarea modificărilor trebuie să evalueze riscurile pentru procesele de prestare a serviciilor publice la fiecare modificare implementată fără o testare deplină. Testarea trebuie să includă un nivel suficient de testare regresivă pentru a se demonstra exhaustiv absenţa impactului negativ a modificării asupra altor componente ale infrastructurii.
Graficul implementării modificărilor trebuie să fie elaborat astfel încît să aibă o influenţă minimă asupra serviciilor aflate în exploatare.
Toate modificările trebuie să fie prevăzute şi planificate şi este necesar de a lua în consideraţie accesibilitatea resurselor pentru elaborarea şi testarea acestor modificări.
Pentru modificările urgente este necesară elaborarea procedurilor pentru prelucrarea rapidă a acestora fără pierderea nivelului normal al controlului administrativ.
5.3.2.5. Utilizarea software-ului pentru gestionarea modificărilor
Software-ul procesului de gestionare a modificărilor trebuie să deţină următoarele caracteristici:
- solicitările de modificare şi înregistrările despre probleme sînt păstrate într-o bază de date în format uşor accesibil;
- posibilitatea găsirii legăturii între solicitările de modificare, înregistrările problemelor şi elementele de evidenţă;
- posibilitatea relaţionării solicitărilor de modificare cu proiectele;
- crearea automată a solicitărilor de evaluare a influenţei elementelor de evidenţă implicate;
- susţinerea înregistrării acţiunilor conform etapelor autorizării şi implementării solicitărilor;
- înregistrarea informaţiei privind elaborarea şi testarea modificărilor;
- determinarea procedurilor de recul în caz de modificări nereuşite;
- notificarea automată privind efectuarea analizei modificărilor implementate;
- pregătirea automată a informaţiei administrative legate de modificări;
- capacitatea asamblării modificărilor;
- crearea automată a solicitărilor de modificare;
- urmărirea procesului de gestionare a modificărilor şi consecutivităţii acţiunilor întreprinse.
Software-ul trebuie să dispună de capacitatea actualizării la distanţă a bazelor de date centralizate.
5.3.3. Indicatorii eficienţei procesului de gestionare a modificărilor
Pentru îmbunătăţirea coordonării serviciilor publice, furnizarea mai multor informaţii privind modificări, îmbunătăţirea evaluării riscurilor, reducerea impactului negativ al modificărilor asupra calităţii serviciilor, reducerea numărului de modificări, îmbunătăţirea gestionării problemelor şi accesibilităţii, sporirea productivităţii activităţii utilizatorilor şi prelucrarea volumelor mari de modificări, este necesar de a utiliza următorii indicatori:
- numărul impactelor negative asupra calităţii serviciilor;
- numărul de incidente survenite în rezultatul implementării modificărilor;
- numărul de reculuri ale modificărilor;
- numărul de modificări urgente;
- corespunderea dintre graficul aprobat al modificărilor şi implementarea reală a modificărilor;
- lipsa solicitărilor de modificare cu prioritate înaltă în lista de aşteptare;
- analiza regulată a solicitărilor de modificare şi a modificărilor implementate;
- coeficientul implementării reuşite a modificărilor;
- procentul solicitărilor de modificare respinse în mod nejustificat.
Pentru gestionarea eficientă a procesului de prestare a serviciilor este necesară efectuarea organizată a modificărilor, fără erori şi decizii incorecte. Pentru prestarea satisfăcătoare a serviciilor este necesar de gestionat modificările în mod raţional.
5.4. Procesul de gestionare a configuraţiilor
Obiectivul procesului de gestionare a configuraţiilor constă în evidenţa tuturor activelor şi configuraţiilor informaţionale în cadrul organizaţiei şi serviciilor acesteia, furnizarea documentaţiei pentru susţinerea proceselor de gestionare a serviciilor, furnizarea şi verificarea informaţiei despre configuraţie, precum şi asigurarea bazei pentru procesele de gestionare a incidentelor, problemelor, modificărilor, release-urilor.
Gestionarea configuraţiilor trebuie să cuprindă identificarea, evidenţa şi rapoartele privind componentele informaţionale ale infrastructurii TI. Elementele care trebuie să fie controlate de gestionarea configuraţiilor includ toate componentele infrastructurii TI şi software-ul.
Gestionarea configuraţiilor trebuie să fie legată de elaborarea de sistem, testarea, gestionarea modificărilor şi gestionarea release-urilor, să menţină şi să asigure securitatea bazei configuraţionale, a conţinutului, documentaţiei şi a rapoartelor acesteia.
Sistemul de gestionare a configuraţiilor trebuie să asigure:
- controlul securităţii;
- susţinerea elementelor de evidenţă cu grad diferit de dificultate;
- adăugarea uşoară a elementelor noi de evidenţă şi eliminarea celor vechi;
- verificarea automată a datelor introduse;
- instalarea automată a tuturor conexiunilor elementului nou de evidenţă în momentul adăugării acestuia;
- susţinerea elementelor de evidenţă cu diferite coduri de modele, numere de versiuni şi copii;
- păstrarea înregistrărilor istorice cu privire la toate elementele de evidenţă;
- mijloacele flexibile de raportare.
5.4.1. Cerinţele de bază faţă de procesul de gestionare a configuraţiilor
Faţă de procesul de gestionare a configuraţiilor urmează să fie înaintate următoarele cerinţe:
- рlanificarea – stabilirea destinaţiei, volumului, politicii, scopurilor, procedurilor pentru gestionarea configuraţiei;
- identificarea configuraţiilor – selectarea structurii configuraţiei a tuturor elementelor de evidenţă, care aparţin infrastucturii, interacţiunile dintre acestea şi documentaţiei de configuraţie. Identificarea trebuie să includă distribuirea identificatorilor, numerelor versiunilor elementelor de evidenţă, aplicarea marcajului pe fiecare element de evidenţă şi înregistrarea datelor despre ele în Baza de date configuraţională a elementelor;
- controlul configuraţiilor – asigurarea primirii şi înregistrării elementelor de evidenţă autorizate şi identificate pe parcursul ciclului de viaţă a acestora. Controlul trebuie să asigure disponibilitatea documentaţiei corespunzătoare supuse controlului la adăugare, modificare, schimbare sau excluderea fiecărui element de evidenţă;
- evidenţa statutelor configuraţiilor prevede raportarea după toate datele curente şi istorice pentru fiecare element de evidenţă pe parcursul ciclului de viaţă a acestuia. Evidenţa statutelor trebuie să urmărească modificările în elementele de evidenţă şi înregistrările acestora;
- efectuarea verificărilor şi auditului configuraţiilor – succesiunea examinărilor şi auditurilor pentru a verifica existenţa fizică a elementelor de evidenţă şi corectitudinea înregistrării acestora în sistemul de gestionare a configuraţiilor.
5.4.1.1. Planificarea gestionării configuraţiilor
Planificarea gestionării configuraţiilor trebuie să determine:
- strategia, politica, limitele şi obiectivele gestionării configuraţiilor;
- politicile, standardele şi procesele aferente procesului de gestionare a serviciilor;
- rolurile şi responsabilităţile gestionării configuraţiilor;
- analiza stării curente a activelor şi configuraţiilor;
- acţiunile tehnice şi administrative ale procesului de gestionare a configuraţiilor;
- politica proceselor de gestionare a modificărilor şi gestionării release-urilor;
- interacţiunea între proiecte, furnizori, aplicaţii şi grupurile de susţinere;
- amplasarea depozitelor şi bibliotecilor pentru păstrarea hardware-ului, software-ului şi documentaţiei.
Gestionarea configuraţiilor trebuie să includă planificarea detaliată a controlului infrastructurii TI şi serviciilor în toate sistemele distribuite. Mijloacele sistemelor de gestionare a configuraţiilor ale proiectelor aflate în proces de elaborare trebuie să funcţioneze în mod integrat.
Acţiunile de bază ale procesului de gestionare a configuraţiilor pentru planificare sînt:
- analiza detaliată a interacţiunii procesului de gestionare a configuraţiilor cu alte procese de gestionare a prestării serviciilor;
- analiza posibilităţilor procesului de gestionare a configuraţiilor;
- examinarea datelor configuraţionale;
- colectarea şi reexaminarea datelor privind cerinţele şi specificaţiile funcţionale;
- selectarea mijloacelor de automatizare a Bazei de date configuraţionale a elementelor de evidenţă;
- determinarea tipurilor elementelor de evidenţă, atributelor acestora, tipurilor de interconexiuni;
- elaborarea proceselor şi a procedurilor de gestionare a configuraţiilor;
- planificarea şi asigurarea depozitelor sigure ale elementelor de evidenţă, împreună cu procesul de gestionare a release-urilor.
5.4.1.2. Identificarea configuraţiilor
Identificarea configuraţiilor trebuie să determine selectarea, identificarea şi marcarea structurilor configuraţionale şi a elementelor de evidenţă. Identificarea configuraţiei trebuie să includă atribuirea unor identificatori elementelor de evidenţă şi documentaţia configuraţională a acestora, şi să determine nivelul la care trebuie să fie efectuat controlul şi nivelul divizării elementelor generalizate de evidenţă pe componente.
5.4.1.2.1. Baza de date configuraţională a elementelor de evidenţă
Identificarea şi documentarea configuraţiei trebuie să sporească eficienţa gestionării modificărilor. Procesul de gestionare a configuraţiilor necesită utilizarea mijloacelor de susţinere pentru păstrarea copiilor etalon ale software-ului şi documentaţiei, inclusiv ale Bazei de date configuraţionale a elementelor de evidenţă.
Baza de date configuraţională a elementelor de evidenţă trebuie să conţină legăturile între toate componentele sistemului, inclusiv incidentele, problemele, erorile cunoscute, modificările şi release-urile. Baza de date configuraţională a elementelor de evidenţă trebuie să conţină informaţia privind incidentele, erorile şi problemele cunoscute, inclusiv datele despre angajaţi, furnizori, utilizatori, subdiviziuni organizaţionale pentru fiecare element de evidenţă. Ea trebuie să fie actualizată în mod automat, atunci cînd este modificat statutul elementelor de evidenţă şi al release-urilor.
Configuraţia infrastructurii TI trebuie să fie divizată în părţi, cărora le sînt atribuiţi identificatori unici, ceea ce permite controlul şi înregistrarea eficientă a elementelor de evidenţă, formarea rapoartelor detaliate.
5.4.1.2.2. Componentele procesului de identificare a configuraţiei
Procesul de identificare a configuraţiei trebuie să includă hardware-ul şi software-ul utilizat pentru asamblarea, release-urile, verificarea, instalarea, distribuirea, susţinerea, restabilirea şi trecerea la cheltuieli a elementelor de evidenţă. Componentele obligatorii pentru care este necesar de efectuat identificarea configuraţiilor sînt următoarele:
- hardware-ul, inclusiv componentele de reţea;
- software-ul de sistem;
- sistemele şi aplicaţiile organizaţiei elaborate la comandă;
- pachetele de program gata, produsele standard şi produsele lucrului cu bazele de date;
- bazele configuraţionale;
- release-urile de software;
- documentaţia configuraţională, licenţele, acordurile privind mentenanţa, acordul cu privire la nivelul de deservire.
Componentele trebuie să fie clasificate conform tipurilor elementelor de evidenţă (de exemplu, produsele de program, software-ul de sistem, hardware-ul), ceea ce permite determinarea şi documentarea elementelor utilizate, a statutului şi amplasării acestora.
5.4.1.2.3. Atributele elementelor de evidenţă
La gestionarea configuraţiilor este necesar de a planifica atributele care trebuie să fie înregistrate. Atributele diferă pentru diferite tipuri de elemente de evidenţă.
Pentru înregistrarea elementelor de evidenţă trebuie folosită următoarea listă de atribute:
- denumirea elementului de evidenţă;
- numărul copiei, numărul de serie (identificatorul unic al elementului de evidenţă);
- categoria elementului de evidenţă;
- tipul elementului de evidenţă;
- numărul modelului, pentru hardware;
- data expirării termenului de garanţie;
- numărul versiunii elementului de evidenţă;
- locaţie elementului de evidenţă;
- posesorul responsabil;
- sursa, furnizorul elementului de evidenţă;
- licenţa;
- datele de livrare şi primire;
- statutul elementului de evidenţă;
- legăturile elementului de evidenţă cu toate celelalte elemente de evidenţă;
- numerele solicitărilor de modificare, modificărilor, problemelor, incidentelor.
Baza configuraţională trebuie determinată pentru un scop anumit, iar informaţia şi elementele de evidenţă care fac parte din aceasta trebuie să fie controlate.
Este necesară determinarea sistemului de gestionare a informaţiei pentru identificarea elementelor de evidenţă, documentaţiei configuraţionale, modificărilor, bazelor configuraţionale, release-urilor şi asamblărilor. Sistemul de gestionare a informaţiei trebuie să fie unic şi să ia în consideraţie structura corporativă a organizaţiei. Acesta trebuie să permită gestionarea interconexiunilor ierarhice între elementele de evidenţă, modificări şi incidente.
Toate elementele de evidenţă trebuie să fie marcate cu identificatorul configuraţiei. Toate mijloacele de evidenţă ale hardware-ului necesită marcare fizică ce nu poate fi înlăturată. Toate cablurile şi liniile de conexiune trebuie să fie marcate clar la fiecare capăt şi în toate punctele de verificare.
Copiile etalon ale software-ului în biblioteca software-ului etalon trebuie să aibă marcajul software, care să conţină denumirea elementului de evidenţă şi numărul versiunii. Toţi purtătorii care conţin software trebuie să fie marcaţi în mod clar cu denumirea elementului de evidenţă, numărul copiei şi numărul versiunii fiecărui element al software-ului, care se conţine pe purtător.
5.4.1.3. Controlul configuraţiilor
Scopul controlului configuraţiilor constă în asigurarea înregistrării în Baza de date configuraţională numai pentru elementele de evidenţă autorizate şi identificabile. Procedurile de control al configuraţiilor trebuie să asigure integritatea datelor organizaţiei, sistemelor şi proceselor.
Procesul de control al configuraţiilor trebuie să asigure accesul numai software-ului autorizat şi licenţiat în biblioteca software-ului etalon, precum şi protecţia acestora. Numai personalul autorizat poate avea acces la biblioteca software-ului etalon. Elementele existente aflate sub controlul gestionării configuraţiilor nu trebuie să fie modificate fără autorizare. Toate versiunile neautorizate ale elementelor de evidenţă şi înseşi elementele de evidenţă trebuie să fie lichidate sau transmise sub controlul gestionării configuraţiilor.
Procedurile permanente de control al configuraţiilor trebuie să includă:
- înregistrarea tuturor elementelor de evidenţă noi şi a versiunilor acestora;
- actualizarea înregistrărilor privind elementele de evidenţă (modificarea statutului, actualizarea atributelor, modificări în posesie sau roluri, actualizarea atributelor, modificări în posesiune sau roluri, versiuni noi ale documentaţiei, controlul licenţelor);
- actualizarea solicitărilor de modificare;
- protecţia integrităţii configuraţiilor;
- actualizarea Bazei de date configuraţionale a elementelor de evidenţă.
După efectuarea controlului calităţii, software-ul devine autorizat pentru primire şi copiere în biblioteca software-ului etalon. Software-ul nu trebuie să fie deteriorat sau modificat în timpul proceselor de copiere şi distribuire. Documentaţia corespunzătoare, certificatele privind testarea şi licenţa trebuie să fie amplasate în biblioteca controlată a documentelor.
Modificările în atributele elementelor de evidenţă în Baza de date configuraţională a elementelor de evidenţă trebuie să fie actualizate împreună cu solicitările respective de modificare.
Este necesar de a efectua controlul eliminării şi înlăturării elementelor de evidenţă din motive financiare şi pentru asigurarea securităţii. Este necesară existenţa procedurilor de trecere la cheltuieli a hardware-ului sau software-ului în scopul asigurării actualizării elementelor corespunzătoare de evidenţă. Procesele de achiziţie, păstrare, expediere, primire, eliberare a mărfurilor trebuie să asigure integritatea hardware-ului, software-ului şi documentaţiei.
Gestionarea configuraţiilor trebuie să asigure integritatea elementelor de evidenţă păstrate de tip software cu ajutorul:
- selectării purtătorului pentru păstrare, în scopul minimalizării erorilor legate de restabilirea şi deteriorarea posibilă a datelor;
- efectuării verificărilor şi actualizărilor elementelor de evidenţă din arhivă;
- păstrării duplicatelor în locuri controlabile.
Dublarea permanentă a elementelor de evidenţă este importantă pentru asigurarea lipsei elementelor străine.
5.4.1.4. Evidenţa statutelor configuraţiilor
Rapoartele privind evidenţa statutului elementelor de evidenţă trebuie să includă identificatorii unici ai componentelor elementelor de evidenţă, statutul curent, bazele configuraţionale, release-urile, versiunile de software, persoana responsabilă pentru modificarea statutului, istoria modificărilor, problemele deschise.
Pînă la trecerea în mediul de exploatare, release-urile noi, asamblările, echipamentul şi standardele trebuie supuse verificării în baza cerinţelor înaintate. Pentru confirmarea verificării este necesară prezenţa certificatului cu privire la testare.
5.4.1.5. Verificarea şi auditul configuraţiilor
Pentru verificarea Bazei de date configuraţionale a elementelor de evidenţă în ceea ce priveşte corespunderea cu starea fizică a tuturor elementelor de evidenţă este necesară existenţa planurilor controalelor regulate de audit al configuraţiilor. Auditurile trebuie să confirme existenţa versiunilor corecte şi autorizate ale elementelor de evidenţă. La efectuarea auditului configuraţiilor este necesară verificarea faptului dacă înregistrările despre modificări şi release-uri sînt autorizate de gestionarea modificărilor.
Auditul configuraţiilor trebuie efectuat în urma:
- implementării unui sistem nou de gestionare a configuraţiilor;
- unor modificări majore în infrastructura TI;
- release-ului software-ului;
- restabilirii care urmează după un accident major;
- depistării unor elemente de evidenţă neautorizate.
Mijloacele de audit automat trebuie să efectueze verificări sistematice la un anumit interval de timp. Auditul permanent al configuraţiilor contribuie la utilizarea mai eficientă a resurselor.
5.4.1.6. Întocmirea rapoartelor administrative
Rapoartele administrative privind procesul de gestionare a configuraţiilor trebuie să includă următoarele:
- rezultatele auditului configuraţiilor;
- informaţia despre elementele de evidenţă neînregistrate sau înregistrate incorect depistate;
- informaţia despre numărul de elemente de evidenţă înregistrate şi versiunile acestora, cu clasificare în categorii, tipuri şi statut;
- informaţia privind rapiditatea introducerii modificărilor în Baza de date configuraţională;
- informaţia despre reţineri şi cauze în activitatea procesului de gestionare a configuraţiilor;
- analiza eficienţei, creşterii şi auditului în gestionarea configuraţiilor;
- valoarea şi locaţia elementelor de evidenţă.
În baza rapoartelor administrative se va stabili dezvoltarea ulterioară a gestionării configuraţiilor, luîndu-se în consideraţie sarcina planificată pentru procesul de gestionare a configuraţiilor şi creşterea preconizată.
5.4.2. Acţiunile procesului de gestionare a configuraţiilor
În procesul de gestionare a configuraţiilor este necesar de îndeplinit următoarele acţiuni:
- furnizarea informaţiei corecte şi exacte privind configuraţiile şi specificaţiile fizice şi funcţionale ale acestora personalului procesului de gestionare şi susţinere a serviciilor publice;
- determinarea şi documentarea procedurilor procesului de gestionare a configuraţiilor;
- identificarea, marcarea, înregistrarea denumirilor şi versiunilor elementelor de evidenţă;
- controlul şi păstrarea copiilor etalon autorizate şi verificate ale specificaţiilor, documentaţiei şi software-ului;
- urmărirea şi înregistrarea datelor privind configuraţiile în conformitate cu starea actuală a infrastructurii informaţionale;
- raportare privind metricele elementelor de evidenţă;
- auditul şi raportarea privind încălcările standardelor infrastructurii şi procedurilor de gestionare a configuraţiilor.
În cadrul realizării procesului de gestionare a configuraţiilor trebuie să fie aplicate bibliotecile fizice şi electronice de software care urmează să fie identificate cu ajutorul următoarei informaţii:
- conţinutul, locaţia şi purtătorul pentru fiecare bibliotecă;
- condiţiile furnizării elementului la păstrare;
- măsurile de protecţie a bibliotecii şi procedurile de restabilire;
- condiţiile şi controlul accesului pentru grupurile de utilizatori pentru înregistrarea, citirea, actualizarea, copierea, transferul sau eliminarea elementelor de evidenţă.
Mijloacele de susţinere permit efectuarea controlului software-ului aplicativ de la analiza şi proiectarea iniţială de sistem pînă la exploatare. Mijloacele de gestionare a configuraţiilor infrastructurii TI trebuie să transmită informaţia procesului de gestionare a configuraţiilor din sistemul de gestionare a configuraţiilor pentru elaborarea software-ului în Baza de date configuraţională a elementelor de evidenţă fără introducere repetată.
Mijloacele de gestionare a configuraţiilor trebuie să efectueze susţinerea automată a următoarelor acţiuni:
- identificarea elementelor de evidenţă conexe;
- implementarea modificărilor;
- înregistrarea modificărilor la statutele elementelor de evidenţă în cazul introducerii modificărilor autorizate şi a release-urilor;
- înregistrarea bazelor configuraţionale ale elementelor de evidenţă şi ale pachetelor elementelor de evidenţă.
În procesul de gestionare a configuraţiilor trebuie să fie utilizate tehnologiile Internet şi diferite mijloace software de susţinere, cum sînt:
- sistemele de gestionare a circuitului de documente;
- mijloacele de construire a arhitecturii sistemului;
- mijloacele de elaborare automată a sistemelor;
- mijloacele de gestionare a auditului bazelor de date;
- mijloacele de distribuire şi instalare;
- mijloacele de comparare, implementare a release-urilor şi asamblării;
- mijloacele de comprimare, gestionare a listelor şi a bazelor configuraţionale;
- mijloacele de depistare şi restabilire.
5.4.3. Indicatorii eficienţei procesului de gestionare a configuraţiilor
Pentru furnizarea informaţiei exacte privind elementele de evidenţă, controlul elementelor de evidenţă valoroase, accesibilitatea informaţiei privind modificările efectuate în software, participare la planificarea acţiunilor în situaţii excepţionale, îmbunătăţirea securităţii prin intermediul controlului versiunilor utilizate ale elementelor de evidenţă, precum şi pentru acordarea posibilităţii de reducere a utilizării software-ului nesancţionat este necesar de aplicat următorii indicatori speciali:
- numărul de elemente neautorizate de evidenţă ale configuraţiei;
- incidentele şi problemele care reprezintă consecinţa unor modificări efectuate incorect;
- modificările timpului mediu şi ale cheltuielilor pentru diagnosticarea şi reglarea adresărilor în CGE de prestare a serviciilor;
- modificarea numărului şi gravităţii situaţiilor de încălcare a Acordului cu privire la nivelul de deservire;
- solicitările de modificare care nu au fost soluţionate cu succes;
- timpul ciclului între aprobarea şi implementarea modificărilor;
- numărul de licenţe de software pierdute şi neutilizate;
- datele primite în rezultatul efectuării auditului configuraţiilor;
- modificările numărului şi semnificaţiei incidentelor şi problemelor;
- numărul de modificări lunare în Baza de date configuraţională a elementelor de evidenţă din cauza erorilor depistate.
5.5. Procesul de gestionare a release-urilor
Obiectivele procesului de gestionare a release-urilor:
- planificarea şi supravegherea desfăşurării reuşite a software-ului şi a hardware-ului aferent acestuia;
- proiectarea şi implementarea procedurilor pentru distribuirea şi instalarea modificărilor;
- asigurarea instalării doar a versiunilor corecte, autorizate şi testate;
- interacţiunile cu clienţii şi controlul aşteptărilor clientului în timpul planificării şi desfăşurării release-urilor noi;
- aprobarea conţinutului exact al release-ului şi al planului de desfăşurare al acestuia;
- implementarea release-urilor noi de hardware şi software în mediul de exploatare cu utilizarea proceselor de gestionare a configuraţiilor (a se vedea 5.4) şi gestionare a modificărilor (a se vedea 5.3);
- asigurarea păstrării în siguranţă a copiilor întregului software;
- asigurarea securităţii şi posibilităţii de urmărire la desfăşurarea sau modificarea hardware-ului.
În procesul de gestionare a release-urilor este necesar de acordat atenţie protecţiei mediului de exploatare şi a serviciilor acestuia prin intermediul procedurilor şi verificărilor.
Gestionarea release-urilor trebuie să fie finanţată din contul bugetului şi nu trebuie inclusă în cheltuielile privind prestarea serviciilor clienţilor.
5.5.1. Cerinţele de bază faţă de procesul de gestionare a release-urilor
În procesul de gestionare a release-urilor este necesar de respectat cerinţele de planificare, proiectare, asamblare, configurare şi testare a hardware-ului şi software-ului.
Cerinţele de bază respectate în procesul de gestionare a release-urilor sînt următoarele:
- elaborarea politicii şi planificarea release-urilor;
- proiectarea, asamblarea şi configurarea release-urilor;
- primirea release-urilor;
- planificarea desfăşurării release-urilor;
- testarea release-urilor multilaterale conform criteriilor de primire stabilite;
- confirmarea finalizării release-ului pentru implementarea ulterioară;
- comunicaţiile, pregătirea şi instruirea personalului;
- efectuarea auditului hardware-ului şi software-ului pînă la şi după implementarea modificărilor;
- instalarea echipamentului nou şi modernizat;
- păstrarea software-ului controlat în sisteme centralizate şi distribuite;
- release-ul, distribuirea şi instalarea software-ului.
5.5.1.1. Elaborarea politicii şi planificarea release-urilor
5.5.1.1.1. Elaborarea politicii release-urilor
Politica release-urilor trebuie să includă regulile de numerotare a release-urilor, frecvenţa lor şi nivelurile în infrastructură care vor fi controlate de aceste release-uri. Numărul necesar şi frecvenţa release-urilor trebuie să fie determinate în funcţie de dimensiunile şi tipul sistemelor. Fiecare release trebuie să aibă un identificator unic, care va fi folosit în procesul de gestionare a configuraţiilor conform schemei determinate în politica release-urilor. Identificarea release-urilor trebuie să includă referinţa la componenta infrastructurii (elementul de evidenţă), pe care îl prezintă acest release, şi numărul versiunii. În caz de modificare a infrastructurii, politica release-urilor trebuie să fie revizuită şi extinsă.
Politica release-urilor trebuie să explice clar rolurile şi obligaţiile în procesul de gestionare a release-urilor.
Politica release-urilor trebuie să includă următoarea informaţie:
- nivelul controlului infrastructurii pentru fiecare tip de release;
- regulile de denumire şi numerotare a release-urilor;
- determinarea release-urilor complexe şi parţiale;
- indicaţii privind frecvenţa efectuării release-urilor complexe şi parţiale;
- rezultatele scontate pentru fiecare tip de release;
- indicaţii referitor la modul şi locul în care trebuie să fie documentate release-urile;
- crearea şi testarea planurilor de recul;
- descrierea procesului de control al gestionării release-urilor;
- documentarea configuraţiei bibliotecii software-ului etalon şi determinarea criteriilor de primire pentru adăugarea software-ului nou.
5.5.1.1.2. Planificarea release-urilor
Planificarea release-urilor trebuie să includă:
- constituirea acordului comun privind conţinutul release-ului;
- convenirea asupra etapelor în timp;
- alcătuirea graficului generalizat al release-urilor;
- desfăşurarea sondajelor de opinie pentru evaluarea hardware-ului şi software-ului utilizat;
- planificarea nivelurilor de încărcare a personalului;
- coordonarea rolurilor şi obligaţiilor;
- propuneri privind procurarea software-ului şi hardware-ului nou;
- elaborarea planurilor de recul;
- elaborarea planului de asigurare a calităţii release-ului;
- planificarea primirii de către grupurile de susţinere şi de către client.
5.5.1.2. Proiectarea, asamblarea şi configurarea release-urilor
Este necesar de a planifica şi documenta procedurile pentru asamblarea release-urilor de software. Instrucţiunile privind asamblarea release-ului fac parte din determinarea release-ului.
Acţiunile de asamblare trebuie să includă compilarea şi legarea modulelor aplicaţiilor elaborate independent şi a întregului software procurat. Asamblarea trebuie să conţină acţiuni de creare a bazelor de date şi completare a acestora cu date de test sau date statistice din indicatoare.
Toate software-urile, parametrii, datele de test, software-urile de susţinere a executării programelor, necesare pentru release, trebuie să se afle sub controlul gestionării configuraţiilor. Evidenţa deplină a rezultatelor asamblării trebuie să fie înregistrată în Baza de date configuraţională a hardware-ului.
Controlul asamblării şi release-urilor trebuie să asigure asamblarea corectă şi distribuirea versiunilor actualizate de hardware şi software.
Procedurile de asamblare şi automatizarea trebuie să fie controlate ca elemente de evidenţă separate. Procedurile de gestionare a asamblării şi distribuirii software-ului trebuie să fie testate pînă la începutul utilizării lor. La prima etapă de exploatare, este necesar de a acorda timp pentru soluţionarea problemelor legate de introducerea inovaţiilor.
Procedurile, şabloanele, recomandările trebuie să fie planificate pentru îndeplinirea eficientă a release-urilor de hardware şi software.
5.5.1.3. Primirea release-urilor
Testarea trebuie să includă procedurile de instalare şi integritatea funcţională a sistemului gata. Este necesar de a efectua confirmarea finalizării fiecărei etape de testare.
Primirea release-ului trebuie efectuată în mediul de testare controlat care poate fi restabilit în baza configuraţiei cunoscute a software-ului şi hardware-ului. Aceste configuraţii trebuie să fie caracterizate în descrierea release-ului şi să fie păstrate în Baza de date configuraţională a elementelor de evidenţă împreună cu toate celelalte elemente de evidenţă.
Dacă release-ul este respins, atunci acesta trebuie să fie replanificat pentru un alt timp de gestionare a modificărilor şi trebuie să fie urmărit în rapoartele de gestionare a modificărilor în calitate de modificări nereuşite.
Rezultatul final al acţiunilor de verificare trebuie să fie confirmarea finalizării depline şi exacte a întregului release.
5.5.1.4. Planificarea desfăşurării release-urilor
Planificarea desfăşurării trebuie să extindă planul release-ului şi să includă următoarea informaţie:
- pregătirea orarului exact şi detaliat al evenimentelor împreună cu informaţia despre persoană si sarcinile executate;
- listele elementelor de evidenţă pentru instalare şi trecerea la cheltuieli;
- formarea descrierii release-ului şi comunicaţiilor;
- planificarea comunicaţiilor cu utilizatorul final;
- elaborarea planului de achiziţii;
- procurarea software-ului şi hardware-ului.
În cazul unui eşec parţial sau total în desfăşurarea release-ului, trebuie să fie elaborat un plan de recul pentru documentarea acţiunilor de restabilire a serviciului. Sînt posibile două abordări:
- desfăşurarea nereuşită revine integral la starea iniţială pînă la restabilirea completă a serviciilor la starea lor anterioară cunoscută;
- întreprinderea măsurilor privind restabilirea mai completă a prestării serviciilor, dacă acestea nu pot fi restabilite integral (este posibilă varianta delta-release-ului).
Planul de recul trebuie să fie verificat în procesul evaluării riscurilor în planul general de desfăşurare şi să fie recunoscut drept suficient de către client.
5.5.1.5. Testarea de primire şi confirmarea finalizării release-ului
Pînă la desfăşurarea release-ului în mediul de exploatare, acesta trebuie să fie supus testării şi primirii obligatorii de către client, care se împarte în:
- testarea funcţională;
- testarea operaţională;
- testarea exploataţională;
- testarea integraţională.
Pînă la desfăşurarea release-ului, utilizatorul trebuie să confirme finalizarea release-ului. Cea mai frecventă cauză a modificărilor şi release-urilor nereuşite este testarea insuficientă.
5.5.1.6. Comunicaţiile, pregătirea şi instruirea personalului
Personalul de gestionare a release-urilor trebuie să fie instruit în teoria şi practica gestionării modificărilor şi gestionării configuraţiilor, elaborarea şi mentenanţa software-ului, utilizarea mijloacelor de suport şi a programelor auxiliare.
Personalul care interacţionează cu clientul, personalul clientului şi personalul CGE de prestare a serviciilor trebuie să fie la curent cu acţiunile planificate şi modul în care aceste acţiuni pot influenţa prestarea serviciilor. Este necesar de înştiinţat toate părţile interesate despre problemele şi modificările survenite, pentru a le informa cu privire la situaţia curentă şi pentru a le forma aşteptările.
5.5.1.7. Release-ul, distribuirea şi instalarea software-ului
Distribuirea release-urilor de software din mediul de asamblare în mediul de exploatare trebuie să aibă loc concomitent cu toate modificările din hardware. Distribuirea software-ului trebuie să fie proiectată astfel, încît să fie menţinută integritatea software-ului în timpul prelucrării, ambalării şi livrării. După distribuirea software-ului şi după ce release-ul ajunge la locul de destinaţie, este necesar de a verifica completitudinea acestui release.
Baza de date configuraţională a elementelor de evidenţă trebuie să fie actualizată după instalarea sau înlăturarea software-ului sau hardware-ului, ceea ce va asigura existenţa datelor actualizate în Baza de date configuraţională a elementelor de evidenţă.
În procesul de gestionare a release-urilor trebuie efectuat controlul următoarelor componente:
- aplicaţii software de elaborare proprie;
- software la comandă;
- software auxiliar;
- software de sistem;
- hardware şi specificaţiile sale;
- instrucţiuni privind asamblarea şi documentaţie.
Toate componentele enumerate mai sus trebuie să fie gestionate în mod eficient, de la elaborarea sau procurarea lor şi pînă la setare şi configurare, de la testare şi implementare şi pînă la funcţionare în mediul de exploatare.
5.5.2. Tipurile şi clasificarea release-urilor
5.5.2.1. Tipurile release-urilor
Unitatea de release descrie o parte a infrastructurii software-ului. Unitatea de release depinde de tipul sau elementul software-ului şi hardware-ului.
La selectarea nivelului unităţii de release trebuie să se ţină cont de următorii factori:
- volumul modificărilor necesare;
- volumul resurselor şi timpul necesar pentru asamblarea, testarea, distribuirea şi implementarea release-urilor la fiecare nivel;
- simplitatea implementării;
- complexitatea interfeţelor între unitatea propusă şi restul infrastructurii;
- spaţiul accesibil pe disc în mediul de asamblare, în mediul de testare, în mediul de distribuire şi în mediul de exploatare.
Există următoarele tipuri de release-uri:
- release-ul complex – toate componentele unităţii de release sînt asamblate, testate, distribuite şi implementate împreună. În acest release este exclus pericolul utilizării unor versiuni învechite ale elementelor de evidenţă. Neajunsul unei astfel de abordări este creşterea volumului, eforturilor şi resurselor computerizate implicate în asamblarea, testarea, distribuirea şi implementarea release-urilor. Este necesară efectuarea unei testări regresive pentru excluderea înrăutăţirii funcţiilor de sistem sau a comportamentului sistemului;
- delta-release-ul (parţial) – cuprinde în cadrul unităţii de release doar acele elemente de evidenţă care au fost modificate sau elementele de evidenţă noi;
- release-ul de pachet – gruparea unor release-uri separate care reduce posibilitatea utilizării unui software vechi sau incompatibil, ceea ce contribuie la testarea deplină a funcţionării mixte a grupurilor de programe şi sisteme.
5.5.2.2. Clasificarea release-urilor
Release-ul trebuie folosit pentru descrierea grupului de modificări din cadrul serviciului. Release-ul constă din decizii privind înlăturarea problemelor şi îmbunătăţirile serviciilor prestate. Release-ul trebuie format din software-ul necesar nou sau modificat şi din hardware-ul nou sau modificat necesare pentru implementarea deciziilor aprobate.
Release-urile se clasifică în modul următor:
- release-urile mari de software şi modernizarea hardware-ului – funcţiile noi voluminoase care duc la înlocuirea acţiunilor inutile de corectare a unor probleme;
- release-uri mici de software şi modernizarea hardware-ului – îmbunătăţiri şi corectări nesemnificative;
- corectări urgente ale software-ului şi hardware-ului – corectările unui număr mic de probleme cunoscute.
Dependenţa dintre versiunea specială a software-ului şi hardware-ul necesar pentru funcţionarea acesteia duce la îmbinarea software-ului şi hardware-ului într-un release cu alte cerinţe funcţionale.
Pe măsură ce creşte eficienţa gestionării release-urilor, creşte şi eficacitatea activităţii personalului implicat în prestarea serviciilor.
5.5.3. Mijloacele specializate ale sistemului de gestionare a release-urilor
Gestionarea release-urilor trebuie să utilizeze:
- mijloace de gestionare a modificărilor – pentru înregistrarea informaţiei privind modificările planificate, pentru păstrarea informaţiei despre release-uri şi referinţele la modificări;
- mijloace de gestionare a configuraţiilor – pentru înregistrarea elementelor de evidenţă ale software-ului şi hardware-ului în Baza de date configuraţională a elementelor de evidenţă;
- mijloace de gestionare a configuraţiilor software-ului – pentru gestionarea versiunilor codului de program în timpul elaborării care pot prelucra pachete de modificări, pentru integrarea cu informaţia despre problemă şi solicitările de modificare;
- mijloace ale procesului de gestionare a asamblării – pentru asamblarea automată a release-urilor noi ale aplicaţiilor de program, pentru generarea şi lansarea versiunilor executate ale fişierelor;
- mijloace de distribuire etalon a software-ului – pentru livrarea garantată a fişierelor de program, pentru optimizarea capacităţii de transmitere a reţelei, pentru păstrarea versiunilor noi ale aplicaţiilor în stare de aşteptare;
- mijloace de efectuare a auditului software-ului şi hardware-ului –pentru identificarea software-ului instalat şi pentru depistarea celor mai critice momente în configuraţia hardware-ului;
- mijloace de gestionare a staţiilor de lucru – pentru configurarea corectă a parametrilor sistemului de operare şi controlul acestora, pentru păstrarea tuturor fişierelor de instalare pe server şi actualizarea acestor fişiere pe măsura adăugării release-urilor noi în biblioteca software-ului etalon;
- mijloace de gestionare a server-elor – pentru controlul la distanţă al operaţiilor pe server, pentru monitorizarea la distanţă a registrului de înregistrare a evenimentelor, pentru monitorizarea utilizării resurselor procesorului, memoriei şi spaţiului pe disc.
5.5.3.1. Baza de date configuraţională a elementelor de evidenţă
Baza de date configuraţională a elementelor de evidenţă trebuie să conţină următoarea informaţie pentru susţinerea procesului de gestionare a release-urilor:
- descrierea release-urilor planificate, inclusiv elementele de evidenţă ale hardware-ului şi software-ului, împreună cu referinţele la solicitările iniţiale de modificare;
- înregistrările privind elementele de evidenţă asupra cărora acţionează release-urile planificate şi cele din trecut;
- informaţia şi locaţia specială de destinaţie a componentelor release-ului.
5.5.3.2. Biblioteca software-ului etalon
Biblioteca software-ului etalon este un depozit sigur în care sînt păstrate în siguranţă versiunile etalon ale tuturor elementelor de evidenţă de tip software, atît software elaborat în organizaţie, cît şi procurat. Acest depozit trebuie să fie format din una sau mai multe biblioteci sau depozite de fişiere separate de depozitele fişierelor pentru elaborare, testare sau exploatare.
Biblioteca software-ului etalon este parte a politicii release-urilor şi trebuie să conţină:
- tipul purtătorului, locaţia fizică, hardware-ul şi software-ul presupus;
- acordurile privind atribuirea denumirilor pentru depozitele de fişiere şi purtătorii fizici;
- mediile suportate;
- măsurile de securitate pentru perfectarea modificărilor şi lansării software-ului;
- perioada de păstrare a release-urilor vechi de software;
- planul de dezvoltare a capacităţilor pentru bibliotecă;
- procedurile de audit;
- procedurile de asigurare a protecţiei bibliotecii contra modificărilor greşite.
Depozitul hardware-ului etalon este locul pentru păstrarea în siguranţă a hardware-ului etalon de rezervă (componentele de rezervă şi modulele asamblate).
5.5.4. Indicatorii eficienţei procesului de gestionare a release-urilor
Pentru garanţia calităţii software-ului şi hardware-ului, îmbunătăţirea utilizării resurselor, susţinerea înregistrărilor depline ale modificărilor în mediul de exploatare, de controlul şi protecţia activelor de hardware şi software, efectuarea unui număr mare de modificări în sisteme este necesar de analizat următorii indicatori:
- corespunderea asamblării şi implementării release-ului cu graficul şi limitele bugetului;
- rata deficienţelor la asamblare;
- securitatea şi gestionarea exactă a bibliotecii software-ului etalon;
- absenţa în biblioteca software-ului etalon a elementelor de evidenţă care nu au trecut verificarea calităţii;
- corespunderea spaţiului pe disc cerinţelor bibliotecii software-ului etalon;
- respectarea tuturor restricţiilor legislative privind software-ul procurat;
- distribuirea exactă a release-urilor;
- implementarea la timp a release-urilor;
- absenţa cazurilor de utilizare a unor software neautorizate;
- înregistrarea exactă şi la timp a tuturor acţiunilor privind asamblarea, distribuirea şi implementarea în Baza de date configuraţională a elementelor de evidenţă;
- corespunderea conţinutului planificat al release-ului cu conţinutul real;
- cota release-urilor reuşite;
- concordarea proceselor legate de release-urile platformelor de hardware sau ale mediilor de program;
- numărul minim de întreruperi în prestarea serviciilor;
- stabilitatea mediului de testare şi mediului de exploatare;
- numărul de erori care ajung în mediul de exploatare;
- posibilitatea apariţiei şi utilizării copiilor ilegale de software;
- utilizarea TI şi a resurselor umane;
- numărul de release-uri desfăşurate pentru clienţi;
- timpul depistării versiunilor şi copiilor incorecte de software;
- perioada de emitere a release-urilor;
- perioada de asamblare şi control al software-ului.
6. Infrastructura TI a prestării serviciilor publice
Infrastructura TI reprezintă sistemul structurilor organizaţionale şi al mijloacelor tehnice care asigură formarea, distribuirea şi utilizarea tehnologiilor informaţional-comunicaţionale, care permit asigurarea interacţiunii organelor administraţiei publice, oferind acces la resursele informaţionale.
Componentele de bază ale infrastructurii TI sînt următoarele:
- mijloacele hardware – reprezintă complexul dispozitivelor electronice, electrice şi mecanice care intră în componenţa sistemelor şi reţelelor informaţionale ale organelor administraţiei publice;
- sistemele operaţionale – asigură executarea programelor şi aplicaţiilor, distribuirea resurselor, planificarea, introducerea-ieşirea şi gestionarea datelor, precum şi determină grupul conex de protocoale de nivele superioare pentru îndeplinirea funcţiilor de bază ale reţelei;
- bazele de date - reprezintă o totalitate de date conexe, organizate conform unor reguli stabilite care stabilesc principiile generale de descriere, păstrare şi procesare a datelor;
- reţeaua de telecomunicaţii – reprezintă totalitatea componentelor de bază ale prelucrării informaţiei şi telecomunicaţiilor care asigură schimbul de date prin intermediul complexului de mijloace software şi hardware conexe;
- mijloacele de susţinere – asigură susţinerea funcţionării tuturor sistemelor şi reţelelor informaţionale (de exemplu, mijloacele gestionării productivităţii serverului, mijloacele de gestionare a păstrării datelor);
- mijloacele multimedia – asigură chemarea semnalului televizat către monitor, ieşirea video complexă, desfăşurarea imaginilor video vii pe ecran, filtrarea digitală şi manevrarea scării imaginilor video, compresiunea de aparate digitale şi decompresiunea video, precum şi accelerarea operaţiilor grafice legate de grafica tridimensională.
Fiecare componentă a infrastructurii TI trebuie folosită pentru automatizarea gestionării acţiunilor realizate, legate de fiecare sarcină în ciclul de viaţă al serviciilor publice – de la planificarea unui serviciu nou pînă la scoaterea acestuia din utilizare.
Complexitatea componentelor infrastructurii TI trebuie să depindă de nomenclatura serviciilor publice prestate, precum şi de nivelul interacţiunii organelor administraţiei publice şi de funcţiile îndeplinite de acestea.
6.1. Cerinţele faţă de componentele infrastructurii TI
Pentru a obţine un nivel înalt de calitate a serviciilor publice prestate, este necesar de a asigura funcţionarea cuvenită, optimizarea, utilizarea şi securitatea tuturor componentelor infrastructurii TI prin intermediul realizării tuturor proceselor de gestionare a prestării serviciilor publice.
Cerinţele faţă de componentele infrastructurii TI în cadrul etapelor ciclului de viaţă trebuie să includă următoarele:
- planificarea şi elaborarea componentei noi:
1) este necesar de verificat compatibilitatea şi posibilitatea integrării componentei noi cu componentele existente ale infrastructurii, examinîndu-se procesele de gestionare şi arhitectura fiecărei componente;
2) este necesar de evaluat avantajele în urma implementării, cerinţele şi necesităţile componentei noi, stabilitatea funcţionării componentei noi şi durata preconizată a ciclului de viaţă al acesteia, precum şi analiza şi gestionarea riscurilor legate de implementarea componentei noi;
3) este necesar de determinat tipul elaborării componentei noi: elaborarea funcţională (formarea setului de specificaţii funcţionale ale cerinţelor şi criteriilor privind componentele) sau elaborarea tehnică (stabilirea parametrilor tehnici ai componentei noi în infrastructura curentă);
- implementarea componentelor:
1) este necesar de elaborat, de susţinut şi de gestionat planul de desfăşurare a componentelor care să conţină perioada de timp şi resursele necesare pentru implementarea fiecărei componente a infrastructurii;
2) este necesar de selectat o echipă de specialişti cu calificare necesară şi abilităţi pentru executarea implementării;
3) este necesar de evaluat riscurile care pot surveni în procesul implementării componentelor, nivelul corespunderii caracteristicilor funcţionale şi tehnice cu cerinţele fixate, stabilitatea şi caracterul adecvat al întregii infrastructuri TI în raport cu fiecare componentă nouă;
4) este necesar de aplicat diferite nivele de integrare: integrarea evenimentelor (capacitatea de a efectua schimbul de informaţii între componente), integrarea datelor (capacitatea de a distribui un set comun de date diferitor componente) şi integrarea funcţională (capacitatea componentelor de a interacţiona şi de a coordona comportamentul lor funcţional între ele);
5) este necesar de asigurat existenţa şi accesibilitatea documentaţiei privind implementarea pentru suportul şi deservirea tehnică ulterioară a componentelor infrastructurii;
- deservirea componentelor:
1) deservirea trebuie să reprezinte un proces neîntrerupt;
2) toate sarcinile de deservire trebuie să fie coordonate şi aprobate de persoanele responsabile din cadrul organizaţiei;
3) deservirea trebuie să includă monitorizarea şi controlul evenimentelor legate de toate componentele infrastructurii TI;
4) rezultatele deservirii componentelor trebuie să includă stabilitatea şi fiabilitatea componentelor, documentaţia ce conţine datele privind deservirea componentelor, precum şi registrul sau baza de date cu toate evenimentele de deservire, alarme şi semnale.
La toate etapele ciclului de viaţă al componentelor infrastructurii TI este necesar de îndeplinit cerinţele securităţii faţă de componentele infrastructurii şi faţă de mijloacele de asigurare a securităţii.
6.2. Criteriile de selectare a componentelor infrastructurii TI
La alegerea componentelor infrastructurii TI pentru prestarea serviciilor publice este necesar de a lua în consideraţie următorii factori:
- cerinţele tot mai complicate ale utilizatorilor;
- insuficienţa abilităţilor în domeniul TI;
- restricţiile bugetare;
- dependenţa organizaţiei de serviciile publice de calitate;
- complexitatea în creştere a infrastructurii;
- apariţia modificărilor în standardele internaţionale şi în legislaţie;
- scara ascendentă şi frecvenţa modificărilor în prestarea serviciilor publice.
La planificarea achiziţiilor de componente ale infrastructurii TI este necesar de utilizat următoarele criterii de evaluare a acestora:
- corespunderea în proporţie de 80% cu cerinţele de exploatare;
- conformitatea tuturor cerinţelor obligatorii;
- necesitatea minoră sau lipsa necesităţii unor lucrări de finisare;
- structura rezonabilă a datelor şi a procesării acestora;
- orientarea spre cerinţele concrete ale prestării serviciilor publice şi nu spre tehnologii;
- flexibilitatea în implementare, utilizare;
- comoditatea în procesul de utilizare, facilitatea generală în utilizare, oferită de interfaţa utilizatorului;
- integrarea şi contradictorialitatea cu componentele existente ale infrastructurii diferitor furnizori;
- asigurarea continuităţii, rezervării, controlului şi securităţii;
- dependenţa de furnizori, parteneri;
- corelaţia dintre preţul şi calitatea componentelor;
- cheltuielile pentru administrare şi susţinere sînt în limitele bugetului.
În procesul de selectare a componentelor infrastructurii TI pentru sistemul de prestare a serviciilor publice este necesar de luat decizia privind utilizarea componentelor moderne ce sînt implementate sau elaborarea completă a noilor componente. Dacă se ia decizia de a elabora o componentă nouă, este necesar de stabilit dacă elaborarea va fi realizată de propriul personal sau în baza utilizării serviciilor de outsourcing.
În caz de adoptare a deciziei privind utilizarea serviciilor de outsourcing pentru elaborarea componentelor infrastructurii TI, se vor lua în consideraţie următorii factori:
- cheltuielile de elaborare prin utilizarea forţelor proprii în raport cu costul serviciilor de outsourcing;
- riscurile de încălcare a regimului de securitate informaţională;
- riscurile de încetare a colaborării cu organizaţia care prestează servicii de outsourcing şi dezvoltarea ulterioară a aplicaţiei elaborate.
7. Monitorizarea procesului de prestare a serviciilor publice
7.1. Monitorizarea şi evaluarea procesului de prestare a serviciilor publice
Organizaţia care prestează servicii publice trebuie să efectueze monitorizarea consecventă a productivităţii pentru evaluarea rezultatelor şi productivităţii proceselor de prestare a serviciilor.
Monitorizarea şi evaluarea serviciilor este procesul de primire de către personal a datelor actuale privind starea serviciilor prestate: starea proceselor, încărcarea serverelor, timpul de reacţie a aplicaţiilor.
Se deosebesc următoarele tipuri de monitorizare şi evaluare a prestării serviciilor:
- monitorizarea internă şi evaluarea internă – sînt planificate şi efectuate cu forţele organizaţiei care prestează servicii publice;
- monitorizarea externă şi evaluarea externă – sînt efectuate de o structură independentă, special invitată pentru efectuarea lor.
Monitorizarea trebuie să includă un complex de urmăriri dinamice, evaluare analitică şi pronosticare a stării de integritate a sistemului informaţional de prestare a serviciilor.
7.1.1. Obiectivele şi sarcinile monitorizării şi evaluării prestării serviciilor publice
Obiectivele şi sarcinile monitorizării şi evaluării prestării serviciilor sînt următoarele:
- efectuarea monitorizării proceselor de prestare a serviciilor;
- procesul de urmărire şi evaluare a productivităţii prestării serviciilor – trebuie să fie reflectat în registre, înregistrări de control şi rapoarte;
- evaluarea caracterului adecvat al controlului intern;
- automatizarea evaluării continue a eficienţei controlului intern;
- obţinerea garanţiilor independente ale calităţii serviciilor prestate;
- asigurarea conformităţii cu documentele normative;
- actualizarea Bazei de date configuraţionale a elementelor de evidenţă în procesul scanării automate a elementelor infrastructurii, care permite efectuarea evaluării continue a riscurilor şi diminuarea acestora;
- asigurarea auditului independent.
Funcţiile de bază ale sistemului de monitorizare şi evaluare sînt următoarele:
- informaţională – furnizarea datelor privind desfăşurarea procesului de prestare a serviciilor;
- analitică – analiza procesului de prestare a serviciilor pentru furnizarea informaţiei administrative şi luarea deciziilor;
- de pronosticare – determinarea tendinţelor şi pronosticurilor pentru planificarea procesului de gestionare a nivelului de deservire;
- de diagnosticare – determinarea factorilor care asigură stabilitatea şi fiabilitatea prestării serviciilor;
- de orientare – determinarea punctelor forte şi slabe ale procesului de prestare a serviciilor;
- profilactică – efectuarea auditului în scopul minimalizării impactului negativ asupra prestării serviciilor.
7.1.2. Componentele procesului de monitorizare
Procesul de monitorizare trebuie să includă indicatorii lucrului, raportarea sistematică şi la timp, care include parametrii eficienţei prestării serviciilor, şi acţiunile imediate pentru reacţionarea la solicitări.
Procesul de monitorizare trebuie să includă următoarele componente:
- metoda de abordare a monitorizării – stabileşte structura generală şi metoda de abordare a monitorizării care determină posibilităţile, metodologia şi procesul însoţit de evaluarea procesului de prestare a serviciilor;
- determinarea şi colectarea datelor de control – determinarea ansamblului de scopuri, compararea lor, identificarea datelor accesibile pentru măsurarea scopului;
- determinarea metodei de monitorizare – sînt folosite diferite metode de control, care iau în consideraţie scopurile şi scara de acoperire a procesului de prestare a serviciilor;
- evaluarea lucrărilor executate în procesul de prestare a serviciilor – revizuirea periodică a lucrărilor executate, analiza cauzelor devierilor de la scopurile stabilite, acţiunile de corectare pentru înlăturarea cauzelor de bază, precum şi efectuarea analizei încrucişate a cauzelor primare ale devierilor;
- gestionarea resurselor – controlul utilizării şi distribuirii resurselor în procesul de prestare a serviciilor prin intermediul evaluării sistematice a operaţiunilor care efectuează distribuirea resurselor şi nivelarea obiectivelor strategice curente şi viitoare;
- gestionarea riscurilor – evaluarea sistematică a riscurilor şi influenţelor legate de acestea;
- raportarea administrativă – se indică nivelul de realizare a obiectivelor planificate, resursele planificate şi utilizate, ansamblul de contraobiective şi determinarea lucrărilor de minimalizare a riscurilor;
- acţiunile de corectare – îndeplinirea acţiunilor de corectare bazate pe controlul şi evaluarea procesului de prestare a serviciilor. Controlul este efectuat prin intermediul urmăririi rezultatelor acţiunilor transmise, revizuirilor acestui proces, stabilirii persoanelor responsabile de corectare;
- efectuarea auditului intern sau extern pentru stabilirea corespunderii nivelului serviciilor prestate în baza standardelor şi procedurilor, metodelor general acceptate şi legislaţiei.
Procesul de monitorizare trebuie să realizeze urmărirea permanentă a indicatorilor eficienţei prestării serviciilor.
7.2. Procesele de gestionare şi audit al prestării serviciilor publice
Procesele de gestionare şi audit al prestării serviciilor sînt destinate controlului proceselor de prestare a serviciilor în organizaţie. Obiectivul acestor procese constă în crearea unui instrument eficient pentru clasificarea şi evaluarea proiectelor legate de prestarea serviciilor şi garantarea respectării calităţii la executarea comenzilor de prestare a serviciilor.
7.2.1. Analiza modelului de maturitate a proceselor de gestionare a TI
Analiza modelului de maturitate a proceselor de gestionare a TI este destinată pentru determinarea statutului şi stării procesului de gestionare a TI, precum şi pentru organizarea gestionării eficiente a TI şi SI. Nivelul modelului de maturitate a proceselor de gestionare a TI stabilesc modalităţile de control al corectitudinii realizării proceselor principale şi metodele de corectare a acestora.
În funcţie de nivelul de dezvoltare şi maturitate al proceselor de gestionare a TI, trebuie determinată strategia şi tactica dezvoltării operaţionale a funcţiilor şi componentelor infrastructurii TI.
Scara modelelor de maturitate trebuie să includă următoarele niveluri:
- nivelul zero – „Nu există” – nu există procese de gestionare a prestării serviciilor informaţionale, precum şi nu există date despre probleme;
- nivelul unu – „De bază” – nu există o schemă exactă şi nici procedura de realizare a proceselor de gestionare a TI, există probleme în gestionarea prestării serviciilor publice şi necesitatea pricepută de a le soluţiona;
- nivelul doi – „Repetat” – procesele de gestionare a TI sînt realizate într-o anumită dependenţă şi consecutivitate; probleme existente în gestionarea prestării serviciilor publice sînt examinate în vederea minimalizării lor;
- nivelul trei - „Formalizat” - procedura de realizare a proceselor de gestionare a TI este documentată şi este adusă la cunoştinţă; există o legătură urmărită în mod riguros între rezultat şi indicatorii productivităţii proceselor de prestare a serviciilor publice; sînt implementate procese de planificare şi monitorizare. Indicatorii productivităţii sînt fixaţi şi urmăriţi în vederea sporirii eficienţei întregii organizaţii;
- nivelul patru – „Gestionat” – toate procesele de gestionare a TI sînt supuse monitorizării; devierile sînt urmărite şi corectate; există o înţelegere deplină a problemelor de gestionare în prestarea serviciilor publice la toate nivelurile organizaţiei; este efectuată instruirea permanentă a personalului. Determinarea şi menţinerea în starea actuală a Acordului cu privire la nivelul de deservire, distribuirea responsabilităţii, determinarea nivelului de cunoaştere a proceselor sînt practici general acceptate;
- nivelul cinci – „De optimizare a proceselor de gestionare a TI” – cele mai bune practici de gestionare a TI sînt realizate în conformitate cu standardele şi în baza TI moderne; există o înţelegerea aprofundată a gestionării în prestarea serviciilor publice la toate nivelurile organizaţiei. Instruirea şi comunicarea sînt susţinute de cele mai moderne mijloace informaţional-comunicaţionale.
În gestionarea prestării serviciilor este necesar de aplicat următoarele concepţii:
- factorii critici ai succesului;
- indicatorii principali ai scopului;
- indicatorii principali ai rezultatului.
7.2.2. Factorii critici ai succesului
Factorii critici ai succesului determină cele mai importante condiţii, resurse şi acţiuni necesare pentru realizarea scopurilor şi sarcinilor proceselor TI. Aceşti factori trebuie să fie gestionaţi, orientaţi spre succes şi să descrie îndeplinirea acţiunilor strategice, tehnice, organizaţionale sau procedurale necesare.
Factorii critici ai succesului sînt următorii:
- gestionarea procesului de prestare a serviciilor contribuie la realizarea scopurilor organizaţiei: strategice, tactice, utilizarea tehnologiilor pentru dezvoltarea proceselor de prestare a serviciilor, suficienţa resurselor şi satisfacerea cerinţelor;
- determinarea, formalizarea şi realizarea acţiunilor de gestionare a procesului de prestare a serviciilor în baza cerinţelor organizaţiei clientului;
- elaborarea metodelor de gestionare pentru sporirea productivităţii, utilizarea optimă a resurselor şi sporirea eficienţei proceselor;
- gestionarea riscurilor şi studierea deficienţelor acestora;
- determinarea gradului de conformitate cu standardele stabilite şi legislaţia în vigoare;
- efectuarea auditului pentru evitarea defecţiunilor şi erorilor în sistemul de control intern;
- standardizarea proceselor TI şi orientarea acestora spre realizarea cerinţelor proceselor de gestionare a serviciilor publice;
- determinarea grupurilor utilizatorilor de procese TI şi a cerinţelor acestora;
- asigurarea posibilităţii de stabilire a limitelor proceselor TI şi a gestionării optime a resurselor în cadrul acestor procese;
- existenţa procedurilor de control şi sporire a calităţii proceselor TI.
7.2.3. Indicatorii principali ai scopului
Indicatorii principali ai scopului determină complexul de măsurări care informează conducerea despre realizarea cerinţelor înaintate.
Pentru indicatorii principali ai scopului trebuie să se evidenţieze următoarele criterii informaţionale:
- utilitatea informaţiei necesare pentru susţinerea procesului de prestare a serviciilor;
- riscurile lipsei integrităţii şi confidenţialităţii;
- rentabilitatea proceselor şi operaţiilor;
- confirmarea siguranţei, eficienţei şi concordanţei procesului de prestare a serviciilor.
Trebuie evidenţiaţi indicatorii de bază ai scopului:
- îmbunătăţirea gestionării productivităţii şi costului de prestare a serviciilor;
- reducerea timpului pentru punerea în vînzare a unui serviciu nou;
- îmbunătăţirea gestionării calităţii serviciilor;
- îmbunătăţirea gestionării inovaţiilor şi riscurilor;
- integrarea şi standardizarea proceselor de prestare a serviciilor publice;
- realizarea cerinţelor şi aşteptărilor clientului conform Acordului cu privire la nivelul de deservire;
- corespunderea nivelului serviciilor prestate cu legislaţia în vigoare, instrucţiunile, standardele şi obligaţiile contractuale.
7.2.4. Indicatorii principali ai eficienţei prestării serviciilor publice
Indicatorii principali ai eficienţei prestării serviciilor publice caracterizează şirul de acţiuni necesare pentru determinarea gradului de realizare a scopurilor stabilite, reflectarea corespunderii mijloacelor, metodelor şi abilităţilor folosite la prestarea serviciilor publice.
Indicatorii principali ai eficienţei sînt:
- sporirea rentabilităţii proceselor TI;
- îmbunătăţirea lucrului şi planificării acţiunilor de perfecţionare a proceselor de prestare a serviciilor;
- creşterea sarcinii în infrastructura TI;
- sporirea gradului de satisfacţie a utilizatorilor;
- sporirea productivităţii colaboratorilor.
Funcţionarea optimă a procesului de gestionare şi auditare a prestării serviciilor trebuie să asigure şi să creeze următoarele avantaje:
- ridicarea nivelurilor de gestionare şi securitate a procesului de prestare a serviciilor;
- controlul proceselor de prestare a serviciilor;
- controlul realizării scopurilor de asigurare a calităţii serviciilor prestate;
- controlul rezultatelor fiecărui proces TI;
- urmărirea şi perfecţionarea procesului de prestare a serviciilor;
- utilizarea optimă a resurselor.
7.2.5. Efectuarea auditului post-implementare
Efectuarea auditului post-implementare al sistemului de prestare a serviciilor publice este necesară pentru obţinerea operativă a informaţiei sistematizate şi veridice pentru evaluarea calităţii, posibilităţilor serviciilor informaţionale prestate şi corespunderii acestora cu cerinţele prezentate în capitolele 4 şi 5.
Auditul post-implementare al sistemului de prestare a serviciilor publice trebuie efectuat de către auditori externi, prin intermediul următoarelor tipuri de audit:
- examinarea sistemului – colectarea informaţiei pentru utilizarea acesteia în efectuarea lucrărilor ulterioare;
- evaluarea de către experţi a sistemului – evaluarea corespunderii finanţării deciziilor şi/sau investiţiilor de proiect în sistemul de prestare a serviciilor publice, evaluarea exploatării sistemului şi pregătirii utilizatorilor, evaluarea posibilităţii de reprofilare a infrastructurii TI;
- auditul TI operaţional al sistemului – colectarea, analiza informaţiei şi oferirea recomandărilor privind îmbunătăţirea funcţionării atît a unor elemente separate de evidenţă, cît şi a întregii infrastructuri TI;
- auditul proceselor – auditul TI şi SI critice pentru procesul de prestare a serviciilor publice în baza criteriilor de calitate şi eficienţă stabilite;
- auditul criteriului procesului de prestare a serviciilor – colectarea, analiza informaţiei şi prezentarea recomandărilor privind criteriul selectat al procesului de prestare a serviciilor, spre exemplu, securitatea, productivitatea, siguranţa, accesibilitatea. La efectuarea auditului în baza unui anumit criteriu de evaluare, este examinat nu doar un element separat al infrastructurii TI, ci totalitatea mijloacelor software, hardware, a proceselor de mentenanţă şi deservire a acestora;
- auditul complex al sistemului – este efectuată determinarea şi analiza interconexiunilor proceselor de prestare a serviciilor publice, a cerinţelor acestora, a tehnologiilor informaţionale şi conexe, a totalităţii mijloacelor software şi hardware.
Rezultatele efectuării auditului post-implementare al sistemului de prestare a serviciilor publice sînt următoarele:
- determinarea corespunderii posibilităţilor funcţionale ale sistemului de prestare a serviciilor şi necesităţilor participanţilor la interacţiune pentru fiecare serviciu public în parte;
- confirmarea formalizării adecvate a regulilor şi cerinţelor de organizare a interacţiunii participanţilor pentru fiecare serviciu public, descrierea proceselor principale de prestare a serviciilor şi crearea hărţii fluxurilor informaţionale;
- confirmarea existenţei documentaţiei tehnice corespunzătoare în care sînt descrise caracteristicile tehnice, infrastructura TI şi particularităţile arhitecturale ale structurii SI de prestare a serviciilor publice;
- determinarea raţionalităţii utilizării, dezvoltării sau înlocuirii pe viitor a SI de prestare a serviciilor publice;
- determinarea listei riscurilor identificate, legate de utilizarea sistemului de prestare a serviciilor publice;
- elaborarea unor recomandări concrete, orientate spre îmbunătăţirea calităţii prestării serviciilor şi optimizarea procesului de prestare a serviciilor;
- propunerea direcţiilor de reducere a cheltuielilor pentru susţinerea şi dezvoltarea sistemului de prestare a serviciilor publice;
- propunerea direcţiilor de reducere a riscurilor apărute în urma situaţiilor excepţionale la prestarea serviciilor;
- depistarea neajunsurilor şi lacunelor în sistemul de prestare a serviciilor;
- elaborarea propunerilor privind perfecţionarea calificării angajaţilor care participă la prestarea serviciilor, procurarea sau modernizarea mijloacelor software şi hardware;
- acceptarea recomandărilor privind asigurarea continuităţii în funcţionarea SI de prestare a serviciilor publice.
7.3. Gestionarea eficienţei prestării serviciilor publice
Gestionarea optimă a procesului de prestare a serviciilor publice contribuie la utilizarea cît mai eficientă a informaţiei.
Procesul de prestare a serviciilor trebuie să corespundă cerinţelor organizaţionale din perspectiva confidenţialităţii, integrităţii, accesibilităţii, eficienţei, economicităţii şi fiabilităţii.
7.3.1. Resursele procesului de prestare a serviciilor publice
Pentru a asigura funcţionarea sigură şi eficientă a sistemului de prestare a serviciilor publice, este necesar de a folosi următoarele resurse:
- resursele umane – angajaţii organizaţiei cu abilităţile şi experienţa necesare pentru planificarea, organizarea, completarea, mentenanţa, susţinerea şi monitorizarea sistemului de prestare a serviciilor publice;
- aplicaţiile – software-ul aplicativ utilizat în lucrul cu sistemul de prestare a serviciilor publice;
- tehnologiile – sistemele operaţionale, bazele de date, sistemele de gestionare etc, care permit realizarea procesului de prestare a serviciilor publice;
- echipamentul – toate mijloacele de echipament ale SI, cu luarea în consideraţie a deservirii lor;
- datele – datele externe şi interne, structurate şi nestructurate, grafice, sonore şi multimedia.
7.3.2. Cerinţele faţă de prestarea serviciilor publice
În procesul de prestare a serviciilor publice este necesar de îndeplinit următoarele cerinţe:
- cerinţele faţă de calitatea şi fiabilitatea deservirii;
- continuitatea procesului de prestare a serviciilor – pregătirea şi planificarea mijloacelor de lichidare a situaţiilor excepţionale;
- cerinţele de încredere – eficienţa şi productivitatea operaţiilor, fiabilitatea informaţiei; conformitate cu documentele normative;
- cerinţele de securitate – confidenţialitatea; integritatea; accesibilitatea, imposibilitatea de refuz;
- informarea despre procesul de prestare a serviciilor, furnizarea documentaţiei corespunzătoare;
- productivitatea procesului de prestare a serviciilor – furnizarea informaţiei prin utilizarea optimă a resurselor;
- confidenţialitatea – protecţia informaţiei contra dezvăluirii nesancţionate;
- accesibilitatea – posibilitatea obţinerii informaţiei necesare în decursul unei anumite perioade de timp, protecţia informaţiei şi a purtătorilor acesteia contra furtului sau distrugerii;
- cerinţele faţă de resursele exploataţionale de bază;
- cerinţele tehnico-exploataţionale faţă de locurile de muncă;
- cerinţele tehnico-exploataţionale pentru organizarea serviciilor de informaţii şi de deservire;
- cerinţele faţă de deservirea tehnică;
- cerinţele faţă de informaţie – veridicitatea, plenitudinea, caracterul concret, operativitatea informaţiei furnizate, precum şi comoditatea şi accesibilitatea obţinerii acesteia.
7.3.3. Criteriile de evaluare a eficienţei procesului de prestare a serviciilor
Criteriile eficienţei procesului de prestare a serviciilor publice se bazează pe evaluarea resurselor informaţionale şi a tuturor componentelor infrastructurii TI.
În procesul de prestare a serviciilor publice trebuie de evaluat indicatorii care contribuie la realizarea procesului gestionat şi măsurat de prestare a serviciilor publice şi care caracterizează următoarele:
- conformitatea procesului de prestare a serviciilor publice cu standardele şi cerinţele adoptate;
- autenticitatea informaţiei prelucrate şi eficacitatea acesteia;
- securitatea informaţională – confidenţialitatea, integritatea, accesibilitatea, imposibilitatea de refuz;
- calitatea şi costul prelucrării informaţiei, precum şi descrierii furnizării acesteia către destinatar.
Criteriile eficienţei realizării procesului de prestare a serviciilor publice, care se bazează pe evaluarea resurselor şi componentelor infrastructurii TI utilizate, trebuie să fie următoarele:
- eficienţa –actualitatea, caracterul adecvat şi corespunderea informaţiei cu sarcinile organizaţiei, precum şi oportunitatea prezentării acesteia, corectitudinea, caracterul necontradictoriu şi aplicabilitatea;
- conformitatea — criteriul conformităţii cu cerinţele legilor, standardelor, instrucţiunilor, dispoziţiilor şi acordurilor care reglementează organizarea procesului de prestare a serviciilor publice;
- confidenţialitatea – protecţia informaţiei contra divulgării nesancţionate;
- integritatea — exactitatea, caracterul complet şi plenitudinea informaţiei, precum şi argumentarea acesteia din punct de vedere al valorilor şi aşteptărilor organizării;
- accesibilitatea – nivelul de accesibilitate necesar în prezent şi viitor al accesibilităţii informaţiei pentru realizarea proceselor în cadrul organizaţiei, posibilitatea obţinerii informaţiei necesare în perioada de timp determinată de cerinţele proceselor interne din cadrul organizaţiei;
- productivitatea – furnizarea informaţiei prin intermediul utilizării optime (productive şi econome) a resurselor şi componentelor infrastructurii TI, respectarea cerinţelor stipulate în legi, instrucţiuni şi înţelegeri ce influenţează asupra realizării proceselor în cadrul organizaţiei.
Anexa nr. 3
la Ordinul nr. 94
din 17.09.2009
la Ordinul nr. 94
din 17.09.2009
REGLEMENTARE TEHNICĂ
Asigurarea securităţii informaţionale la prestarea
serviciilor publice electronice.
Cerinţe tehnice
1. Domeniu de aplicareAsigurarea securităţii informaţionale la prestarea
serviciilor publice electronice.
Cerinţe tehnice
Prezenta reglementare tehnică a fost elaborată ca parte componentă a bazei legislative pentru reglementare în domeniul tehnologiilor infocomunicaţionale, susţinerea strategiei naţionale de creare a societăţii informaţionale, precum şi pentru implementarea tehnologiilor infocomunicaţionale în toate domeniile de interacţiune între stat, afaceri şi societate.
În prezenta reglementare tehnică sînt stabilite cerinţele de bază a procesului de prestare a serviciilor publice electronice (în continuare - servicii publice) privind asigurarea securităţii resurselor informaţionale, sistemelor informaţionale (SI) şi de evaluare a conformităţii cu aceste cerinţe şi sînt determinate toate cerinţele ce sînt necesare a fi realizate pentru organizarea şi susţinerea procesului de management al securităţii informaţiei în procesul de prestare a serviciilor publice.
Scopul prezentei reglementări tehnice constă în descrierea metodologiilor, metodelor şi mijloacelor de asigurare a securităţii în procesul de prestare a serviciilor publice în spaţiul informaţional al Republicii Moldova, precum şi îndeplinirea cerinţelor de securitate stabilite în acordurile cu beneficiarii şi utilizatorii serviciilor şi în legislaţia în vigoare a Republicii Moldova, şi în asigurarea nivelului minim adoptat de asigurare a securităţii informaţionale în procesul prestării serviciilor publice.
Asigurarea securităţii informaţionale a procesului de prestare a serviciilor publice în Republica Moldova este o parte componentă a politicii de stat în formarea societăţii informaţionale, în ridicarea eficienţei autorităţilor administraţiei publice şi în asigurarea nivelului înalt al calităţii pentru sistemul de prestare a serviciilor publice.
Prezenta reglementare tehnică se aplică în scopul managementului şi asigurării securităţii resurselor şi sistemelor informaţionale, mijloacelor hardware şi software, precum şi a mijloacelor de telecomunicaţii care participă în procesul de prestare a serviciilor publice, încălcarea securităţii cărora poate duce la cauzarea unui prejudiciu esenţial utilizatorilor de servicii publice, societăţii şi statului.
2. Baza juridico-normativă
Prezenta reglementare tehnică este elaborată în baza următoarelor acte legislative ale Republicii Moldova:
- Legea Republicii Moldova „Privind accesul la informaţie” nr. 982-XIV din 11.05.2000;
- Legea Republicii Moldova „Cu privire la evaluarea conformităţii produselor” nr. 186 din 24.04.2003;
- Legea Republicii Moldova „Cu privire la informatizare şi la resursele informaţionale de stat” nr. 467-XV din 21.11.2003;
- Legea Republicii Moldova „Cu privire la documentul electronic şi semnătura digitală” nr. 264-XV din 15.07.2004;
- Legea Republicii Moldova „Privind comerţul electronic” nr. 284-XV din 22.07.2004;
- Legea Republicii Moldova „Privind activitatea de reglementare tehnică” nr. 420-XVI din 22.12.2006;
- Legea Republicii Moldova „Cu privire la protecţia datelor cu caracter personal” nr. 17-XVI din 15.02.2007;
- Legea Republicii Moldova „Cu privire la registre” nr. 71-XVI din 22.03.2007;
- Legea Republicii Moldova „Cu privire la secretul de stat” nr. 245 din 27.11.2008.
3. Terminologie
În prezenta reglementare sînt utilizaţi următorii termeni:
Acces autorizat la informaţie - accesul la informaţie ce nu încalcă regulile cu privire la delimitarea accesului.
Acces neautorizat - obţinerea de către persoana interesată a informaţiei protejate cu încălcarea actelor normative stabilite sau de către proprietarul informaţiei cu încălcarea drepturilor sau regulilor de acces la informaţia protejată.
Acord cu privire la nivelul de deservire – acord încheiat în formă scrisă între furnizorul de servicii şi solicitant (solicitanţi), în care sînt descrise nivelurile convenite de deservire cu privire la un serviciu anumit.
Algoritm - recomandare exactă cu privire la succesivitatea determinată a acţiunilor pentru atingerea scopului propus prin efectuarea paşilor concreţi.
Algoritmele cifrării asimetrice - algoritmele cifrării în care pentru cifrare şi descifrare sînt utilizate două chei diferite ce se numesc respectiv publică şi privată (cunoaşterea uneia din aceste chei nu face posibilă descoperirea celeilalte chei).
Algoritmele cifrării simetrice - algoritmele cifrării în care pentru cifrare şi descifrare este utilizată una şi aceeaşi cheie sau cheia descifrării poate fi uşor obţinută din cheia cifrării.
Algoritm criptografic - algoritmul transformării datelor complet sau parţial secrete şi care utilizează un set de parametri secreţi în procesul de lucru.
Arhitectura sistemului informaţional - un set de decizii cheie în organizarea sistemului informaţional precum şi un set de elemente şi interfeţe structurale din care constă acest sistem, împreună cu comportamentul descris în noţiunile de cooperare a acestor elemente.
Atestarea - forma evaluării conformităţii procesului de exploatare a sistemului informaţional cu cerinţele securităţii.
Autenticitate - calitate a datelor de a fi autentice care constă în faptul că datele au fost create de participanţi legali la procesul informaţional, iar datele nu au fost supuse unor denaturări ocazionale sau intenţionate.
Cerinţe de securitate - cerinţe înaintate faţă de tehnologiile informaţionale, realizarea cărora asigură confidenţialitatea, integritatea şi disponibilitatea informaţiei.
Cheie criptografică - parametru utilizat de algoritmul criptografic.
Cifrare - proces de transformare a datelor publice în date cifrate cu ajutorul codului (cifrului).
Confidenţialitate - asigurarea accesului la informaţie doar pentru utilizatorii autorizaţi.
Configuraţie - totalitatea obiectelor sistemului informaţional.
Descifrare - proces de transformare a datelor cifrate în date deschise cu ajutorul cifrului.
Disponibilitate - asigurarea accesului la informaţie şi la resursele legate de aceasta pentru utilizatorii autorizaţi, în măsura necesităţii.
Ecranare - mijloc de delimitare a accesului clienţilor dintr-o multitudine la serverele din altă multitudine în vederea controlării fluxurilor informaţionale.
Evaluarea riscurilor - evaluarea pericolelor, consecinţelor acestora, a vulnerabilităţii informaţiei şi a mijloacelor de procesare a informaţiei, precum şi a probabilităţii de survenire a acestora.
Gestionarea discretă (selectivă) a accesului - delimitarea accesului între persoane şi obiectele nominalizate. Persoana cu un anumit drept de acces poate transmite acest drept oricărei alte persoane.
Hardware - echipament utilizat pentru introducerea, procesarea şi scoaterea datelor în sistemele informaţionale.
Incident - un eveniment sau o succesiune de evenimente nedorite sau inopinate în sistemul de protecţie a informaţiei capabile într-o mare măsură să compromită operaţiile standard şi să pună în pericol protecţia informaţiei.
Infrastructură bazată pe chei publice - totalitate de mijloace hardware şi software, politici, proceduri şi obligaţiuni legale care asigură implementarea şi funcţionarea sistemelor criptografice de chei publice bazate pe certificatele de asigurare a securităţii mesajelor (confidenţialitate, integritate, autenticitate, negare) din ambele direcţii.
Infrastructura TI – totalitate de centre informaţionale de calcul, de bănci de date şi de cunoştinţe din sistemul automatizat integrat de telecomunicaţii şi de organizare care asigură utilizatorilor condiţii generale de acces la informaţia păstrată.
Integritate - păstrarea acurateţei şi completitudinii informaţiilor, precum şi metodelor de procesare.
Managementul accesului prin mandat este bazată pe compararea menţiunilor privind confidenţialitatea informaţiei ce se conţine în obiecte (fişiere, mape, desene) şi accesul oficial al persoanei la informaţia cu nivelul confidenţial corespunzător.
Mediul funcţionării - mediul în care funcţionează sistemul informaţional.
Menţiunea privind sensibilitatea - anumite marcaje ale resurselor şi sistemelor informaţionale, cum sînt de exemplu, gradul de secretizare, categoriile.
Mijloace de asigurare a securităţii - mijloace hardware şi software care realizează ansamblul de funcţii ce asigură îndeplinirea cerinţelor privind protecţia informaţiei şi controlul eficienţei protecţiei informaţiei.
Mijloc de gestionare a configuraţiilor - produs software
ce asigură menţinerea automatizată a modificărilor, configuraţiilor şi controlului versiunilor.
Mijloc de protecţie criptografică a informaţiei - mijloace hardware şi software, sisteme şi complexe ce
realizează algoritmele transformării criptografice a informaţiei utilizate în scopul protejării integrităţii şi confidenţialităţii informaţiei.
Modul criptografic - ansamblul de software şi hardware sau o anumită combinare a acestora, care realizează logica criptografică sau procesele de protecţie, inclusiv algoritmele criptografice sau generarea cheilor, şi care se conţine în interiorul unui anumit volum fizic.
Monitorizare - proces de colectare şi analiză a datelor, de prezentare a rapoartelor cu privire la executarea lucrărilor.
Negare - imposibilitatea de a anula acţiunile executate.
Pachet de autentificare - mecanism de confirmare a autenticităţii identificatorului declarat al utilizatorului.
Parafă de secretizare - menţiune aplicată pe purtătorul material de informaţii atribuite la secret de stat şi/sau indicată în documentaţia de însoţire a acestuia, care atestă gradul de secretizare a informaţiilor conţinute de purtător.
Pericol - totalitatea evenimentelor şi acţiunilor potenţial posibile, a căror producere cauzează prejudicii resurselor informaţionale sau infrastructurii informaţionale.
Prestarea serviciilor publice – ansamblu de procese interconexe orientate spre realizarea scopurilor – interacţiunea dintre subiecţii guvernării electronice care se desfăşoară pe două circuite distincte - conturul intern şi conturul extern, care comunică între ele prin intermediul portalului guvernamental.
Politica de management a accesului - reguli de acordare a accesului la sistemele şi reţelele computerizate pentru anumiţi utilizatori.
Politica de securitate a informaţiei - un set de reguli şi proceduri recomandate instituţiei pentru protecţia datelor sensibile.
Profilul protecţiei - document cu o structură riguroasă, în care sînt prevăzute cerinţele securităţii pentru o anumită clasă de mijloace software.
Proprietarul resurselor şi sistemelor informaţionale, al tehnologiilor şi mijloacelor de asigurare a acestora - subiectul care exercită dreptul de posesiune, folosinţă şi dispoziţie asupra obiectelor indicate şi realizează împuternicirile de administrare în limitele stabilite de legislaţia în vigoare.
Protecţia datelor - totalitate de activităţi tehnico-organizaţionale, de mijloace software şi hardware şi acte normative, utilizate pentru păstrarea confidenţialităţii, integrităţii şi accesibilităţii informaţiei, precum şi pentru asigurarea negării.
Protecţie criptografică - protecţia proceselor informaţionale împotriva tentativelor orientate spre abaterea proceselor informaţionale de la condiţiile normale de desfăşurare.
Risc - influenţare interioară sau exterioară asupra sistemului, care poate să acţioneze negativ asupra domeniului proiectului sau poate să ducă la eşuarea acestuia.
Resursă – totalitate a bunurilor care aparţin unei întreprinderi sau instituţii (resursele informaţionale, tehnice, software şi alte resurse care intră în componenţa sistemelor informaţionale).
Securitatea sistemelor informaţionale - stare a sistemelor informaţionale ce asigură utilizarea securităţii la obiectele exploatate la care lipseşte riscul inadmisibil legat de cauzarea prejudiciului persoanei, societăţii şi statului.
Serviciu public – serviciu care generează trei tipuri de interacţiuni între părţile componente ale guvernării electronice: interacţiunea „Guvern - Cetăţean” (G2C); interacţiunea „Guvern – Business” (G2B); interacţiunea „Guvern – Guvern” (G2G) cu subcategoria interacţiunea dintre Guvern şi angajaţii acestuia (G2E).
Sistem informaţional - totalitate de mijloace software şi hardware destinate colectării, procesării, păstrării şi furnizării informaţiei şi resurselor informaţionale în vederea susţinerii procesului de adoptare a deciziilor, gestionare şi sporire a transparenţei în cadrul organizaţiei.
Software - totalitatea programelor sistemului de procesare a informaţiei şi a documentelor de program, necesare pentru exploatarea acestor programe.
Tunelare - utilizarea unui protocol special cu ajutorul căruia două oficii la distanţă organizează între ele un tunel (şedinţă de legătură) sigur, în rezultatul căruia datele se transmit între reţele.
Vulnerabilitate - punctul slab din sistem, a cărui utilizare poate provoca funcţionarea neadecvată a sistemului.
4. Scopurile, sarcinile şi principiile de management al securităţii în procesul de prestare a serviciilor publice
Asigurarea securităţii informaţionale este un proces continuu care constă în fundamentarea şi realizarea celor mai raţionale forme, metode, procedee şi căi de formare, perfecţionare şi dezvoltare a sistemelor de securitate, în administrarea neîntreruptă, controlul, depistarea zonelor limitate şi vulnerabile, precum şi a pericolelor potenţiale.
Securitatea informaţională reprezintă starea de protecţie a informaţiei şi infrastructurii de susţinere la toate etapele proceselor de creare, procesare, transmitere şi protecţie împotriva unor acţiuni ocazionale sau intenţionate, cu caracter natural sau artificial, care pot cauza prejudicii procesului de prestare a serviciilor publice.
Securitatea informaţională trebuie să fie asigurată prin intermediul utilizării complexe a tuturor mijloacelor de protecţie pentru toate elementele de structură ale sistemului şi componentele infrastructurii TI şi la toate etapele ciclului tehnologic ale activităţii acestuia. Pentru a atinge nivelul optim al managementului securităţii informaţionale este necesar de utilizat toate mijloacele, metodele şi activităţile în calitate de mecanism integru unic.
Sistemul securităţii informaţionale reprezintă un ansamblu organizat de măsuri, mijloace, metode şi activităţi legislative, organizaţionale şi economice ce asigură securitatea informaţională.
Scopul sistemului securităţii informaţionale în procesul de prestare a serviciilor publice constă în prevenirea divulgării, pierderii, scurgerii, denaturării şi distrugerii informaţiei, dereglării activităţii sistemului de prestare a serviciilor publice.
Subiectul protecţiei în procesul de prestare a serviciilor publice îl constituie resursele informaţionale şi SI, inclusiv şi cele cu acces limitat, ce constituie secret de serviciu şi de stat, amplasate pe bază magnetică şi/sau optică, masivele informaţionale şi bazele de date, software-ul, cîmpurile fizice informative de natură diferită.
Obiectul protecţiei prestării serviciilor publice sînt mijloacele şi sistemele de informatizare (sistemele automatizate şi reţelele de calcul de diferite niveluri şi destinaţii, liniile de telecomunicaţii, mijloacele tehnice de transmitere a informaţiei, mijloacele de multiplicare şi reflectare a informaţiei, mijloacele şi sistemele tehnice auxiliare), mijloacele tehnice şi sistemele de pază şi protecţie a resurselor şi sistemelor informaţionale.
Securitatea resurselor informaţionale şi a SI caracterizează o stare a resurselor informaţionale şi a SI care susţine infrastructura acestora, în cadrul căreia trebuie asigurată, cu probabilitatea necesară, protecţia informaţiei în procesul de prestare a serviciilor împotriva scurgerii, acţiunilor neautorizate şi nepremeditate.
Asigurarea securităţii informaţionale reprezintă o abordare multidimensională pentru instituţia ce prestează servicii publice. Asigurarea securităţi informaţionale trebuie să fie realizată în cadrul a patru nivele:
- nivelul legislativ (legi, acte normative, standarde);
- nivelul administrativ (acţiuni cu caracter general întreprinse de conducere);
- nivelul procedural (măsuri concrete de securitate care implică nemijlocit populaţia);
- nivelul tehnic (măsuri tehnice concrete).
În procesul prestării serviciilor publice pentru asigurarea securităţii resurselor informaţionale este necesar de asigurat cel puţin trei aspecte ale securităţii:
- confidenţialitate – asigurarea accesibilităţii informaţiei numai celor autorizaţi să aibă acces;
- integritate – păstrarea acurateţei şi completitudinii informaţiilor, precum şi metodelor de procesare;
- disponibilitate – asigurarea faptului că utilizatorii autorizaţi au acces la informaţie, precum şi la resursele asociate, atunci cînd este necesar.
4.1. Scopurile asigurării securităţii informaţionale
Scopurile asigurării securităţii informaţionale în procesul prestării serviciilor constau în asigurarea integrităţii şi confidenţialităţii informaţiei, protecţia şi garantarea disponibilităţii, veridicităţii şi integrităţii informaţiei, evitarea scurgerii de informaţie, minimalizarea prejudiciilor cauzate de evenimentele care reprezintă un pericol pentru securitatea informaţională.
Pentru a asigura securitatea informaţională în procesul de prestare a serviciilor publice este necesar de realizat următoarele scopuri:
- asigurarea confidenţialităţii informaţiei în conformitate cu clasificarea realizată;
- asigurarea integrităţii informaţiei la toate etapele şi a proceselor aferente acesteia (crearea, procesarea, păstrarea, transmiterea şi distrugerea) în procesul de prestare a serviciilor publice;
- asigurarea oportună a disponibilităţii informaţiei în procesul de prestare a serviciilor publice;
- asigurarea supravegherii, orientate spre înregistrarea oricărei activităţi a utilizatorilor şi proceselor;
- asigurarea autenticităţii şi negării al tranzacţiilor şi acţiunilor întreprinse de participanţii la procesul de prestare a serviciilor publice;
- evidenţa tuturor proceselor şi evenimentelor privind introducerea, procesarea, păstrarea, furnizarea şi distrugerea informaţiei.
4.2. Sarcinile sistemului securităţii informaţionale
Pentru a realiza scopurile asigurării securităţii în procesul de prestare a serviciilor publice este necesar de îndeplinit următoarele sarcini:
- identificarea resurselor şi sistemelor informaţionale şi clasificarea acestora în funcţie de valoarea şi importanţa acestora în procesul de prestare a serviciilor publice (componentele analizei trebuie să includă date, aplicaţii, tehnologii, mijloace de telecomunicaţii şi hardware, încăperi, resurse umane etc.);
- identificarea pericolelor securităţii informaţionale şi determinarea surselor potenţiale de pericole pentru fiecare resursă şi sistem informaţional;
- identificarea punctelor vulnerabile pentru fiecare pericol identificat;
- evaluarea riscurilor pentru resursele şi sistemele informaţionale identificate;
- selectarea activităţilor de management a securităţii informaţionale în baza analizei corelaţiei dintre costul realizării lor, pe de o parte, şi efectul diminuării riscurilor şi prejudiciile potenţiale în caz de încălcare a securităţii, pe de altă parte;
- elaborarea şi implementarea mecanismelor şi măsurilor de reacţionare operativă la pericolele securităţii informaţionale şi manifestarea tendinţelor negative în funcţionarea resurselor şi sistemelor informaţionale de prestare a serviciilor publice;
- elaborarea şi implementarea sistemului de controale care să permită funcţionarea eficientă a mecanismului şi a măsurilor de asigurare a securităţii;
- organizarea procesului de reprimare eficientă a atentatelor asupra resurselor si sistemelor informaţionale;
- organizarea procesului de asigurare a continuităţii prestării serviciilor şi crearea condiţiilor pentru compensarea maximal posibilă şi localizarea prejudiciului cauzat prin intermediul acţiunilor nelegitime cauzate de persoane fizice şi juridice, diminuarea impactului negativ al efectelor încălcării securităţii informaţionale;
- organizarea procesului de asigurare a securităţii în caz de existenţă a furnizorilor de servicii care au acces la resursele şi sistemele informaţionale în procesul de prestare a serviciilor publice.
4.3. Principiile de asigurare a securităţii informaţionale
Sistemul de asigurare a securităţii informaţionale în procesul de prestare a serviciilor publice trebuie să fie creat pe următoarele principii:
- principiul echirezistenţei – prevede asigurarea protecţiei echipamentului, software-ului şi sistemelor de administrare împotriva tuturor tipurilor de pericole;
- principiul continuităţii – prevede asigurarea continuă a securităţii resurselor informaţionale, SI pentru prestarea continuă a serviciilor publice;
- principiul suficienţei rezonabile – prevede aplicarea unor măsuri şi mijloace de protecţie rezonabile, raţionale şi care implică cheltuieli ce nu depăşesc costul încălcărilor securităţii informaţionale;
- principiul complexităţii - pentru asigurarea securităţii cu ajutorul întregii diversităţi de elemente de structură, pericole şi canale de acces neautorizat trebuie aplicate toate tipurile şi formele de protecţie în volum deplin (este inadmisibilă utilizarea unor forme sau mijloace tehnice separate);
- principiul controlului complex - efectuarea cercetărilor şi controalelor speciale, analizei inginereşti speciale a echipamentului, cercetărilor de verificare a software-ului, este necesar de realizat monitorizarea continuă a mesajelor de avarie şi a parametrilor erorilor, este necesar de efectuat testarea permanentă a hardware-ului şi software-ului precum şi controlul integrităţii mijloacelor software atît în procesul încărcării mijloacelor software, cît şi în procesul de funcţionare a acestora;
- principiul fiabilităţii - metodele, mijloacele şi formele de protecţie trebuie să asigure blocarea sigură a tuturor căilor de pătrundere şi a canalelor eventuale de scurgere a informaţiei, în acest scop, este permisă dublarea mijloacelor şi măsurilor de securitate;
- principiul universalităţii - măsurile de securitate trebuie să blocheze căile de pericol indiferent de locul acţiunii lor posibile;
- principiul planificării - planificarea trebuie să se efectueze prin elaborarea detaliată a planurilor de acţiuni cu privire la asigurarea protecţiei informaţionale a tuturor componentelor sistemului de prestare a serviciilor publice;
- principiul managementului centralizat - în cadrul unei structuri determinate trebuie asigurată autonomia organizatorico-funcţională a procesului de asigurare a securităţii în procesul de prestare a serviciilor publice;
- principiul orientării spre realizarea scopului - este necesar de protejat ceea ce trebuie să fie protejat în interesul unui scop anumit;
- principiul activităţii - măsurile de protecţie pentru asigurarea securităţii activităţii procesului de prestare a serviciilor trebuie să fie realizate cu un grad de insistenţă suficientă;
- principiul calificării personalului de deservire - echipamentul trebuie să fie deservit de colaboratori instruiţi nu numai în probleme de exploatare tehnică, dar şi în problemele tehnice privind asigurarea securităţii informaţiei;
- principiul responsabilităţii - responsabilitatea pentru asigurarea securităţii informaţionale trebuie stabilită într-un mod clar, transmisă personalului corespunzător şi aprobată de toţi participanţii la procesul de asigurare a securităţi informaţionale.
5. Metodologia managementului securităţii informaţiei în procesul de prestare a serviciilor publice
Metodologia managementului securităţii informaţiei în procesul de prestare a serviciilor publice cuprinde următoarele etape:
- elaborarea şi menţinerea politicii de securitate a informaţiei;
- managementul riscurilor;
- securitate organizaţională;
- clasificarea resurselor şi organizarea mediului de control;
- securitatea personalului;
- securitatea fizică;
- managementul comunicaţiilor şi activităţii operaţionale a tehnologiilor informaţionale (TI);
- controlul accesului;
- elaborarea şi mentenanţa SI;
- managementul continuităţii activităţii;
- conformitatea;
- managementul securităţii informaţiei la atragerea organizaţiilor terţe.
5.1. Elaborarea şi menţinerea politicii de securitate a informaţiei
Scopul politicii de securitate a informaţiei constă în asigurarea soluţionării problemelor de securitate a informaţiei şi implicarea conducerii de vîrf în procesul respectiv.
Politica de securitate a informaţiei reprezintă cel mai important document în sistemul de management al securităţii instituţiei şi este unul din mecanismele cheie ale securităţii, în baza căruia urmează să fie edificat întregul sistem de măsuri şi mijloace de asigurare a securităţii în procesul de prestare a serviciilor publice.
În procesul de elaborare şi menţinere a politicii de securitate a informaţiei este necesar de respectat următoarele cerinţe:
- politica de securitate a informaţiei instituţiei trebuie să fie elaborată şi realizată de conducerea de vîrf prin determinarea unei poziţii clare în soluţionarea problemelor de securitate;
- politica de securitate a informaţiei trebuie să stabilească responsabilitatea conducerii, precum şi să specifice metoda de abordare a managementului securităţii de către instituţie;
- politica de securitate a informaţiei trebuie să includă în mod obligatoriu următoarele:
1) determinarea securităţii, scopurilor şi sferei sale de acţiune, precum şi dezvăluirea importanţei securităţii în calitate de instrument de asigurare a posibilităţii de utilizare în comun a informaţiei;
2) specificarea scopurilor şi principiilor securităţii formulate de conducere;
3) specificarea succintă a politicilor de securitate a informaţiei, a principiilor, regulilor şi cerinţelor celor mai importante pentru instituţie;
4) determinarea obligaţiilor generale şi concrete ale colaboratorilor în cadrul managementului securităţii, inclusiv informarea privind incidentele de încălcare a securităţii;
5) referinţele la documentele ce completează politica de securitate a informaţiei, de exemplu politicile şi procedurile mai detaliate ale securităţii pentru SI concrete, precum şi regulile de securitate care trebuie respectate de către utilizatori;
- politica de securitate a informaţiei trebuie să fie aprobată, emisă şi adusă la cunoştinţa tuturor colaboratorilor instituţiei în modul corespunzător în formă accesibilă şi comprehensibilă;
- este necesar de desemnat persoana responsabilă de politica de securitate a informaţiei, care să fie responsabilă de realizarea şi revizuirea politicii cel puţin o dată în an;
- revizuirile periodice trebuie să includă:
1) verificarea eficienţei politicii, reieşind din natura, numărul şi consecinţele incidentelor de încălcare a securităţii înregistrate;
2) determinarea costului activităţilor de management a securităţii şi influenţa acestora asupra eficienţei executării proceselor;
3) evaluarea impactului modificărilor în TI.
O politică de securitate a informaţiei eficientă trebuie să stabilească un set necesar şi suficient de cerinţe ale securităţii, care să permită diminuarea riscurilor securităţii pînă la un nivel acceptabil. Cerinţele respective trebuie să fie stabilite în funcţie de particularităţile proceselor din cadrul instituţiei ce prestează servicii publice, trebuie să fie susţinute de conducere, să fie asimilate pozitiv şi îndeplinite de colaboratorii instituţiei.
În planul de asigurare a securităţii sînt stabilite toate acţiunile privind realizarea scopurilor asigurării securităţii, implementarea complexului de hardware şi software şi sînt determinate procedurile de perfecţionare a procesului de asigurare a securităţii, de desfăşurare a instructajelor şi seminarelor de instruire şi ridicare a nivelului de informare a personalului.
Cerinţele privind planul de asigurare a securităţii în procesul de prestare a serviciilor publice trebuie să includă următoarele:
- cerinţe privind planul de asigurare a securităţii:
1) este necesar de elaborat şi de realizat planul de asigurare a securităţii în procesul de prestare a serviciilor;
2) planul de asigurare a securităţii trebuie să conţină o prezentare succintă a cerinţelor de securitate la prestarea serviciilor şi o descriere a măsurilor şi mijloacelor de asigurare a securităţii aplicate sau planificate pentru a fi implementate în vederea îndeplinirii cerinţelor respective;
3) planul de asigurare a securităţii trebuie să fie examinat şi aprobat de persoanele cu funcţii de răspundere corespunzătoare;
4) planul de asigurare a securităţii trebuie să fie revizuit şi corectat periodic, luîndu-se în consideraţie modificările în sistemul de prestare a serviciilor publice sau problemele apărute în procesul realizării acestuia, şi evaluarea eficienţei măsurilor şi mijloacelor de asigurare a securităţii;
- cerinţe privind regulile de comportare a personalului care participă la procesul de prestare a serviciilor publice:
1) este necesar de stabilit regulile de comportament al personalului cu privire la asigurare securităţii;
2) regulile de comportament trebuie să caracterizeze obligaţiile personalului şi acţiunile aşteptate din partea acestuia în privinţa asigurării securităţii;
3) trebuie depusă, din partea fiecărui specialist, o confirmare în scris a faptului că acesta a luat cunoştinţă şi este de acord să respecte regulile de comportament stabilite.
5.2. Managementul riscurilor
Managementul riscurilor reprezintă un proces de identificare, control şi minimalizare sau eliminare a riscurilor securităţii care influenţează asupra resurselor şi sistemelor informaţionale ce participă la procesul de prestare a serviciilor publice, în limitele unor cheltuieli admisibile.
Managementul riscurilor trebuie să includă următoarele etape:
- determinarea domeniului şi limitelor procesului de management al riscurilor;
- analiza şi evaluarea riscurilor;
- selectarea şi implementarea măsurilor şi mijloacelor de minimalizare a riscurilor;
- monitorizarea procesului de gestionare a riscurilor şi a eficienţei activităţilor selectate pentru reducerea riscului.
Managementul riscurilor trebuie să corespundă următoarelor cerinţe:
- este necesar de elaborat, de documentat şi de actualizat periodic politica de management al riscurilor, precum şi procedurile şi măsurile legate de realizare a acestei politici;
- este necesar de evaluat riscurile şi prejudiciul potenţial care poate fi cauzat în rezultatul accesului neautorizat, utilizării, divulgării, modificării sau distrugerii resurselor şi sistemelor informaţionale;
- este necesar de reevaluat riscurile la anumite intervale stabilite sau după introducerea unor modificări esenţiale în cadrul sistemului informaţional de prestare a serviciilor publice;
- cerinţele privind cercetarea pericolelor şi vulnerabilităţilor:
1) este necesar de identificat pericolele şi vulnerabilităţile noi la intervale stabilite;
2) cercetarea pericolelor şi vulnerabilităţilor trebuie să fie efectuată cu ajutorul unor metodici şi mijloace instrumentale speciale;
3) mijloacele instrumentale destinate cercetării pericolelor şi vulnerabilităţilor trebuie să ofere posibilitatea actualizării listelor de pericole şi vulnerabilităţi;
4) listele de pericole şi vulnerabilităţi trebuie să fie actualizate la intervale stabilite.
5.2.1. Determinarea domeniului şi limitelor procesului de management al riscurilor
La etapa respectivă este necesar de determinat domeniul de aplicare a managementului riscurilor, adică de stabilit categoriile de resurse şi procese interne în cadrul instituţiei, care vor fi examinate în decursul procesului respectiv, precum şi de stabilit nivelul de detaliere în determinarea riscurilor.
5.2.2. Analiza şi evaluarea riscurilor
Utilizarea sistemului de prestare a serviciilor este legată de o anumită totalitate de riscuri.
Analiza riscurilor reprezintă un proces de identificare a factorilor capabili să afecteze negativ procesul de prestare a serviciilor publice. Scopul acestui proces constă în stabilirea punctelor vulnerabile privind resursele din sistemul de prestare a serviciilor, a căror utilizare poate duce la încălcarea securităţii prestării serviciilor publice.
Evaluarea riscurilor reprezintă analiza sistematică a:
- prejudiciului probabil care poate fi cauzat în rezultatul dereglărilor în protecţie, luîndu-se în consideraţie consecinţele posibile ca urmare a pierderii confidenţialităţii, integrităţii sau disponibilităţii informaţiei şi a altor resurse;
- probabilităţii survenirii unei asemenea încălcări, luîndu-se în consideraţie pericolele şi punctele vulnerabile existente, precum şi măsurile şi mijloacele de asigurare a securităţii.
Pentru a controla eficienţa procesului de prestare a serviciilor publice, procesul de analiză şi evaluare a riscurilor trebuie să fie efectuat periodic, cel puţin o dată în an, prin aplicarea metodei de abordare a evaluării proporţiilor riscurilor.
Pentru a stabili conţinutul pericolelor şi al punctelor vulnerabile, este necesar de utilizat următoarele surse:
- rezultatele analizei conformităţii măsurilor şi mijloacelor aplicate de asigurare a securităţii cu cerinţele stabilite ale securităţii;
- surse publicate şi electronice ce conţin pericole şi puncte vulnerabile cunoscute ale mijloacelor de asigurare a securităţii;
- rezultatul funcţionării mijloacelor automatizate de identificare a pericolelor şi vulnerabilităţilor;
- rezultatele testării mijloacelor automatizate de asigurare a securităţii.
Este necesar de efectuat analiza şi evaluarea periodică a riscurilor securităţii şi a mijloacelor realizate de control pentru asigurarea:
- evidenţei modificărilor în cerinţele şi priorităţile instituţiei;
- luării în consideraţie a apariţiei pericolelor şi punctelor vulnerabile noi;
- garanţiei că mijloacele de asigurare a securităţii şi de control funcţionează eficient.
Analiza riscurilor trebuie efectuată la diferite niveluri în profunzime, în funcţie de rezultatele evaluărilor precedente şi de nivelurile ce variază ale riscurilor, al căror nivel este acceptabil pentru conducere.
Evaluările riscurilor trebuie efectuate iniţial la un nivel înalt în calitate de mijloace de stabilire a priorităţilor resurselor în zonele de risc sporit, iar ulterior la un nivel mai detaliat în vederea examinării riscurilor mai specifice.
Importanţa riscului condiţionat de realizarea pericolului trebuie stabilită ca funcţie a probabilităţii de survenire a prejudiciului în privinţa persoanelor fizice sau juridice, proprietăţii de stat, care poate fi cauzat în rezultatul neexecutării funcţiilor atribuite sistemelor de prestare a serviciilor şi al încălcării condiţiilor de exploatare a acestora.
Importanţa riscului încălcării securităţii pentru fiecare resursă concret trebuie determinată ca importanţă maximală a riscului pentru toate pericolele examinate ale securităţii care se referă la aceasta resursa informaţională.
În procesul de efectuare a analizei este necesar de îndeplinit un complex de acţiuni, după cum urmează:
- identificarea şi evaluarea resurselor (hardware, software, mijloace de telecomunicaţii, resurse şi sisteme informaţionale, mijloace de asigurare a securităţii);
- identificarea şi descrierea pericolelor, punctelor vulnerabile şi a mijloacelor de asigurare a securităţii şi de control. La identificarea pericolelor securităţii trebuie identificate toate pericolele securităţii existente şi potenţiale de următoarele categorii:
1) obiective şi subiective;
2) interne şi externe;
3) ocazionale şi premeditate.
Descrierea pericolului securităţii trebuie să includă următoarele:
1) sursa pericolului;
2) mijlocul (metoda) de realizare a pericolului;
3) punctul vulnerabil utilizat;
4) tipul resurselor protejate asupra cărora influenţează pericolul;
5) tipul de influenţă asupra resurselor;
6) caracteristica securităţii resurselor care este încălcată.
- determinarea probabilităţii pericolului şi a impactului asupra confidenţialităţii, integrităţii, disponibilităţii şi veridicităţii. La stabilirea probabilităţii realizării pericolului trebuie de luat în consideraţie următoarele:
1) motivaţia, competenţa sursei pericolului şi resursele utilizate de acesta;
2) puncte vulnerabile existente;
3) existenţa şi eficienţa măsurilor şi mijloacelor de asigurare a securităţii;
- evaluarea riscurilor, pregătirea recomandărilor privind contracararea acestora. Nivelul prejudiciului condiţionat de realizarea pericolului trebuie determinat ca nivel maxim al prejudiciului pentru caracteristicile încălcate, prin realizarea pericolului, ale securităţii informaţiei procesate în sistemul de prestare a serviciilor;
- elaborarea politicii şi documentaţiei corespunzătoare privind analiza, evaluarea şi managementul riscurilor.
Cerinţele privind protecţia trebuie identificate pe calea evaluării metodice a riscurilor pentru securitate. Metodele de evaluare a riscurilor pot fi aplicate în privinţa instituţiei în totalitate sau a unor secţiuni din cadrul ei, precum şi în privinţa unor SI separate, componente specifice de sistem sau servicii, atunci cînd acest lucru este practic realizabil sau necesar.
Rezultatele acestei evaluări trebuie să fie utilizate la determinarea sau selectarea direcţiei acţiunii corespunzătoare de administrare privind asigurarea securităţii, la stabilirea priorităţilor protecţiei informaţiei şi la realizarea mijloacelor de asigurare a securităţii şi de control;
5.2.3. Selectarea şi implementarea măsurilor şi mijloacelor de minimalizare a riscurilor
5.2.3.1. Selectarea măsurilor şi mijloacelor de minimalizare a riscurilor
După efectuarea analizei şi evaluării riscurilor este necesar de adoptat o decizie privind selectarea măsurilor şi mijloacelor de minimalizare a riscurilor pînă la un nivel admisibil, aprobat de conducere.
La adoptarea deciziei privind selectarea măsurilor şi mijloacelor de asigurare a securităţii şi controlului este necesar de luat în consideraţie următorii factori:
- cheltuielile privind implementarea şi mentenanţa măsurilor şi mijloacelor de asigurare a securităţii;
- politica de management al instituţiei;
- simplitatea realizării soluţiilor selectate.
Ţinîndu-se cont de faptul că securitatea în procesul de prestare a serviciilor poate fi asigurată cu ajutorul diferitor combinaţii de măsuri şi mijloace organizaţionale şi tehnice, ansamblul de măsuri şi mijloace concrete de asigurare a securităţii trebuie selectat pe baza minimalizării cheltuielilor organizaţionale, tehnice şi financiare privind realizarea SI de prestare a serviciilor publice.
Măsurile de minimalizare a riscurilor trebuie să includă:
- diminuarea riscului - riscul este considerat inadmisibil. Pentru diminuarea acestuia este necesar de selectat şi de realizat măsuri şi mijloace corespunzătoare de asigurare a securităţii şi controlului;
- transferul riscului - riscul este considerat inadmisibil şi în anumite condiţii trebuie să fie transferat către o organizaţie terţă (de exemplu, în caz de asigurare sau externalizare);
- acceptarea riscului – riscul în cazul respectiv este considerat admisibil în mod conştient. Instituţia cunoaşte şi acceptă eventualele consecinţe deoarece costul măsurilor de contracarare depăşeşte în mod considerabil pierderile financiare în caz de realizare a pericolului sau este imposibil de identificat măsuri şi mijloace adecvate de asigurare a securităţii şi controlului;
- refuzul riscului – refuzul proceselor în cadrul instituţiei, care constituie cauza riscului sau refuzul serviciilor părţilor terţe în cazul în care ultimii nu sînt în stare să asigure nivelul acceptabil al riscului aferent serviciilor pe care le prestează.
Măsurile şi mijloacele de asigurare a securităţii în procesul de prestare a serviciilor publice trebuie selectate în următoarea consecutivitate:
- analiza măsurilor şi mijloacelor de asigurare a securităţii aplicate;
- suplinirea măsurilor şi mijloacelor de asigurare a securităţii aplicate cu măsuri şi mijloace necesare pentru îndeplinirea cerinţelor stabilite în rezultatul evaluării riscurilor încălcării securităţii;
- evaluarea riscului încălcării securităţii pentru ansamblul selectat de măsuri şi mijloace de asigurare a securităţii;
- precizarea ansamblului selectat de măsuri şi mijloace de asigurare a securităţii, precum şi, în caz de necesitate, a cerinţelor securităţii, în cazul în care nivelul determinat al riscului nu corespunde nivelului admisibil stabilit al riscului de încălcare a securităţii.
După stabilirea măsurilor şi mijloacelor necesare privind minimalizarea riscurilor este necesar de îndeplinit un complex de acţiuni, după cum urmează:
- de stabilit condiţiile şi metodele de funcţionare a mijloacelor de asigurare a securităţii şi controlului, precum şi ale complexului de hardware şi software;
- de setat configuraţii mijloacelor de asigurare a securităţii şi controlului, precum şi complexul de hardware şi software pentru lucru automat sau urmărire de către personal;
- de repartizat responsabilitatea pentru efectuarea verificărilor de control ale funcţionării mijloacelor de asigurare a securităţii şi controlului şi ale complexului de hardware şi software.
Măsurile şi mijloacele de minimalizare a riscurilor trebuie revizuite periodic, cel puţin o dată în an.
5.2.3.2. Implementarea măsurilor şi mijloacelor de minimalizare a riscurilor
Măsurile şi mijloacele de minimalizare a riscurilor trebuie implementate în strictă conformitate cu politica de securitate a informaţiei.
Pentru implementarea măsurilor şi mijloacelor de minimalizare a riscurilor este necesar de:
- stabilit responsabilitatea personală pentru aplicarea măsurilor şi mijloacelor de asigurare a securităţii în procesul de exploatare a sistemului de prestare a serviciilor publice;
- elaborat documentaţia organizatorică şi dispoziţie privind implementarea măsurilor şi mijloacelor de asigurare a securităţii, în care să fie determinate:
1) sarcinile personalului şi utilizatorilor privind aplicarea măsurilor şi mijloacelor de asigurare a securităţii;
2) ordinea acţiunilor în caz de survenire a incidentelor de încălcare a securităţii în procesul de prestare a serviciilor;
3) procedura de control al aplicării măsurilor şi mijloacelor de asigurare a securităţii.
Mijloacele de asigurare a securităţi trebuie setate pe baza SI de prestare a serviciilor publice complet desfăşurat şi disponibil de a fi exploatat.
După implementarea măsurilor şi mijloacelor de asigurare a securităţii este necesar de efectuat verificări şi testări de control în vederea stabilirii corectitudinii realizării şi eficienţei acestora în calitate de contracarare a pericolelor securităţii.
Toate deciziile privind selectarea şi implementarea măsurilor şi mijloacelor referitoare la gestionarea riscurilor trebuie să fie înregistrate şi documentate; aceste decizii trebuie să garanteze faptul că riscurile sînt diminuate pînă la nivelul admisibil.
5.2.4. Monitorizarea procesului de management al riscurilor şi a eficienţei activităţilor selectate de minimalizare a riscurilor
Monitorizarea managementului riscurilor presupune analiza rezultatelor activităţilor de reducere a nivelului riscurilor identificate. La această etapă trebuie stabilite mecanismele de evaluare şi control al eficienţei managementului software-ului, proiectelor şi resurselor în limitele deciziilor adoptate în privinţa riscurilor.
În decursul monitorizării procesului de management al riscurilor şi a eficienţei măsurilor de minimalizare a riscurilor este necesar de îndeplinit un complex de acţiuni:
- de creat sistemul de monitorizare a riscurilor identificate şi a activităţilor de diminuare a acestora;
- de verificat eficienţa activităţilor şi lucrărilor de minimalizare a riscurilor;
- de identificat modificările riscurilor pentru instituţie la introducerea modificărilor în legislaţia naţională, apariţia tehnologiilor noi de prestare a serviciilor, modificare a structurii organizaţionale şi a împuternicirilor instituţiei, aplicare a noilor SI şi TI.;
- de edificat un sistem unic de informare despre modificări cu un proces adecvat de gestionare a modificărilor;
- de stabilit nivelul de corespundere a procesului curent de management al riscurilor cu mecanismele existente;
- de determinat mecanismul păstrării informaţiei de lucru examinate în procesul de gestionare a riscurilor.
În calitate de mijloace de monitorizare a procesului de management al riscurilor este necesar de îndeplinit următoarele acţiuni:
- de aplicat măsuri de ordin tehnic – monitorizarea, analiza registrelor de sistem şi a efectuării verificărilor în vederea pregătirii rapoartelor pentru a fi prezentate conducerii;
- de efectuat analiza din partea conducerii;
- de efectuat audit intern independent al securităţii informaţionale.
Auditul sistemului de management al riscurilor reprezintă o etapă indispensabilă a monitorizării riscurilor, în decursul căreia este necesar de examinat următoarele:
- eficienţa mijloacelor de telecomunicaţii din interiorul şi din exteriorul instituţiei;
- eficienţa utilizării mijloacelor alocate pentru activităţile legate de gestionarea riscurilor;
- eficienţa muncii consultanţilor externi şi a părţilor terţe care prestează servicii de externalizare;
- existenţa mecanismelor de reacţionare în caz de situaţii de criză şi eficienţa planului de asigurare a continuităţii activităţii;
- procedurile de manipulare a riscurilor-cheie, existenţa planurilor interne de verificări, elaborate în vederea identificării noilor riscuri şi pericole.
5.3. Securitate organizaţională
Crearea şi implementarea sistemului de asigurare a securităţii în procesul de prestare a serviciilor publice sînt posibile doar în condiţiile determinării clare a responsabilităţilor şi împuternicirilor privind realizarea procesului de management şi asigurare a securităţii.
Subdiviziunile şi anumiţi colaboratori ai instituţiei trebuie să-şi îndeplinească obligaţiile privind asigurarea securităţii în conformitate cu documentele organizatorico-dispozitive elaborate şi aprobate de conducere (dispoziţii, instrucţiuni, obligaţiuni, liste, formulare).
În procesul de stabilire a responsabilităţilor şi atribuţiilor legate de asigurarea securităţii procesului de prestare a serviciilor publice, îndeplinirea următoarelor cerinţe este obligatorie:
- este necesar de determinat rolurile şi obligaţiile specifice privind realizarea şi susţinerea măsurilor şi mijloacelor corespunzătoare privind protecţia resurselor instituţiei;
- conducerea trebuie să asigure confirmarea obligaţiilor sale privind crearea, implementarea, exploatarea, controlul permanent, analiza, menţinerea în stare de lucru şi perfecţionarea sistemului de asigurare a securităţii cu ajutorul unui complex de acţiuni, după cum urmează:
1) elaborarea politicii de securitate, precum şi planurilor de asigurare a securităţii;
2) aducerea la cunoştinţa personalului care participă la procesul de prestare a serviciilor publice a faptului privind importanţa realizării scopurilor de asigurare a securităţii în procesul de prestare a serviciilor publice;
3) asigurarea unui volum suficient de resurse pentru crearea, implementarea, exploatarea, controlul permanent, analiza, menţinerea în stare de lucru şi perfecţionarea sistemului de asigurare a securităţii;
4) adoptarea deciziei privind criteriile de acceptare a riscului şi nivelurile admisibile ale riscului;
- nivelurile de responsabilităţi şi atribuţii trebuie să fie clar determinate şi documentate;
- este necesar de desemnat o persoană responsabilă de managementul securităţii, precum şi de implementarea măsurilor şi mijloacelor de asigurare a securităţii;
- activitatea de protecţie a informaţiei trebuie să fie coordonată de către reprezentanţi ai diferitelor unităţi structurale din cadrul instituţiei, învestiţi cu funcţii şi obligaţii de lucru corespunzătoare;
- conducerea trebuie să solicite de la colaboratori şi părţile terţe asigurarea securităţii procesului de prestare a serviciilor publice în conformitate cu cerinţele de securitate stabilite;
- detaliile responsabilităţii stabilite trebuie să fie fundamentate în documentele organizatorice şi de dispoziţie;
- este necesar de stabilit obligaţiile privind protecţia anumitor resurse şi executarea anumitor procese şi proceduri legate de securitatea procesului de prestare a serviciilor;
- persoana responsabilă de protecţia resurselor respective poate să-şi transmită împuternicirile privind asigurarea securităţii unui alt colaborator al instituţiei sau unei părţi terţe, sub rezerva că împuternicirile transmise se vor realiza în modul corespunzător.
5.4. Clasificarea resurselor şi organizarea mediului de control
Clasificarea resurselor ce urmează să fie supuse protecţiei constituie un element necesar în organizarea lucrărilor de asigurare a securităţii informaţionale a sistemului de prestare a serviciilor publice.
Scopurile procesului de clasificare a resurselor sînt următoarele:
- determinarea şi menţinerea în stare de lucru a unui sistem adecvat şi eficient de protecţie a resurselor în procesul de prestare a serviciilor publice;
- asigurarea unui nivel corespunzător de protecţie a resurselor şi sistemelor informaţionale care participă la procesul de prestare a serviciilor publice.
În procesul de clasificare a resurselor este necesar de îndeplinit următoarele cerinţe:
- toate resursele trebuie să fie luate în consideraţie şi atribuite proprietarilor responsabili;
- este necesar de stabilit responsabilitatea proprietarilor de resurse pentru menţinerea măsurilor corespunzătoare de asigurare a securităţii informaţionale;
- fiecare resursă trebuie să fie identificată cu precizie şi clasificată conform criteriilor de securitate;
- proprietarii de resurse trebuie să fie autorizaţi, iar datele despre aceştia trebuie să fie documentate.
Este necesar de efectuat clasificarea resurselor protejate în scopul selectării corecte a măsurilor şi mijloacelor de asigurare a securităţii acestora, prin îndeplinirea următoarelor acţiuni:
- stabilirea gradelor de importanţă la asigurarea protecţiei resurselor;
- atribuirea resurselor concrete la categoriile corespunzătoare.
În calitate de resurse pot fi şi serviciile publice prestate prin intermediul Portalului Guvernamental.
Pentru sistemul de prestare a serviciilor publice trebuie să fie utilizate gradele de secretizare şi categoriile de integritate a resurselor protejate, precum şi gradul de accesibilitate a serviciilor.
Categoriile de protecţie pentru resurse, precum sînt mijloacele de procesare a informaţiei, trebuie stabilite în funcţie de categoriile de secretizare şi integritate a informaţiei păstrate sau procesate. Pentru resursele respective este necesar de stabilit cerinţe concrete privind utilizarea variantelor corespunzătoare de măsuri obligatorii şi setări ale mijloacelor de protecţie a informaţiei.
Toate rezultatele clasificării trebuie examinate şi aprobate de persoanele cu funcţii de răspundere corespunzătoare şi trebuie documentate în materie de asigurare a securităţii SI de prestare a serviciilor publice.
În baza clasificării resurselor urmează să fie organizat mediul de control dotat cu următoarele elemente:
- principiile fundamentale de gestionare a instituţiei;
- structura organizaţională;
- delimitarea responsabilităţilor şi împuternicirilor;
- politica de resurse umane.
Pentru fiecare element este necesar de efectuat proceduri de control, necesare pentru realizarea obiectivelor de corespundere cu cerinţele interne ale instituţiei şi asigurare a securităţii.
5.4.1. Gradele de secretizare a resurselor protejate
Gradele de secretizare a resurselor protejate sînt reglementate cu Legea Republicii Moldova „Cu privire la secretul de stat” nr. 245 din 27.11.2008.
5.4.2. Categoriile de integritate a resurselor protejate
Categoriile de integritate a resurselor protejate sînt următoarele:
- „Cu nivel înalt de cerinţe” - această categorie include resursele a căror modificare sau falsificare nesancţionată poate cauza un prejudiciu direct considerabil instituţiei şi a căror integritate şi autenticitate trebuie să fie asigurate cu ajutorul unor metode garantate (semnătura digitală) în conformitate cu cerinţele obligatorii ale legislaţiei în vigoare;
- „Cu nivel redus de cerinţe” - această categorie include resursele a căror modificare, substituire sau lichidare nesancţionată poate cauza un prejudiciu indirect nesemnificativ instituţiei, utilizatorilor şi colaboratorilor acesteia;
- „Fără cerinţe” - această categorie include resursele pentru care nu sînt înaintate cerinţe faţă de asigurarea integrităţii.
5.4.3. Gradele de disponibilitate a serviciilor
În privinţa sistemului de prestare a serviciilor publice trebuie aplicate următoarele grade de disponibilitate a serviciilor în funcţie de categoria de utilizatori:
- „Disponibilitate liberă” - accesul la serviciu este asigurat în orice moment, serviciul este oferit în permanenţă, durata reţinerii la primirea rezultatului nu depăşeşte cîteva secunde sau minute;
- „Disponibilitate înaltă” - accesul la serviciu este asigurat fără reţineri temporare substanţiale;
- „Disponibilitate medie” - accesul la serviciu poate fi asigurat cu reţineri temporare substanţiale, durata reţinerii la primirea rezultatului nu depăşeşte 3 zile;
- „Disponibilitate redusă” – reţinerile temporare la accesarea serviciului sînt practic nelimitate, durata admisibilă a reţinerii la primirea rezultatului este 7 zile.
5.5. Securitatea personalului
5.5.1. Cerinţe esenţiale privind securitatea personalului
Asigurarea nivelului necesar de securitate la prestarea serviciilor publice se realizează în baza pregătirii corespunzătoare a specialiştilor şi utilizatorilor care participă la procesul de prestare a serviciilor publice şi a respectării de către aceştia a tuturor regulilor stabilite, orientate spre asigurarea securităţii.
Cerinţele esenţiale privind securitatea personalului care participă la procesul de prestare a serviciilor publice trebuie să includă:
- elaborarea, documentarea şi reînnoirea periodică a politicii de asigurare a securităţii personalului, precum şi procedurile şi măsurile legate de realizarea acestei politici;
- cerinţe privind clasificarea personalului:
1) este necesar de desemnat categoriile de personal şi de determinat criteriile corespunzătoare de selectare a personalului din fiecare categorie;
2) categoriile de personal şi criteriile de selectare trebuie să fie periodic analizate şi, în caz de necesitate, ajustate;
- cerinţe de securitate la angajarea personalului:
1) este necesar de efectuat verificarea candidaţilor la funcţii, în special la funcţiile care implică accesul la resursele de valoare (existenţa recomandărilor pozitive, verificarea CV-ului candidatului, confirmarea studiilor şi calificărilor profesionale declarate, verificarea independentă a autenticităţii actelor de identitate);
2) toţi colaboratorii şi reprezentanţii organizaţiei terţe care utilizează mijloacele de procesare a informaţiei
trebuie să semneze acorduri de confidenţialitate;
- cerinţe de securitate la concedierea personalului:
1) la concedierea specialistului trebuie anulat accesul acestuia la resurse;
2) cu specialistul concediat trebuie să fie purtată discuţia finală;
3) trebuie să fie asigurată restituirea tuturor atributelor (cheilor, cartelelor de identificare etc.) aflate la specialistul concediat;
4) trebuie să fie asigurată posibilitatea de a accesa informaţia, creată de specialistul concediat, de către specialiştii împuterniciţi din cadrul instituţiei;
- în cazul transferului specialistului la o altă funcţie trebuie reexaminate atributele şi mijloacele specialistului, în baza cărora acestuia i se acordă accesul, (de exemplu, eliberarea repetată a cheilor, cartelelor de identificare, ştergerea înregistrării de evidenţă învechite şi crearea unei noi înregistrări de evidenţă);
- determinarea şi aplicarea diferitelor sancţiuni faţă de specialiştii care nu îndeplinesc cerinţele din cadrul politicilor şi procedurile corespunzătoare de asigurare a securităţii.
5.5.2. Cerinţe privind informarea şi instruirea în probleme de asigurare a securităţii
Pentru asigurarea certitudinii în informarea utilizatorilor despre pericolele şi problemele privind securitatea şi dotarea acestora cu tot necesarul pentru respectarea cerinţelor politicii de securitate în procesul de exercitare a obligaţiunilor de serviciu este necesar:
- de elaborat, documentat şi periodic de reînnoit politica instruirii în materie de securitate, precum şi procedurile şi măsurile privind realizarea politicii de instruire în materie de securitate;
- de respectat cerinţele privind informarea în problemele de securitate:
1) în fişele de post trebuie să fie incluse obligaţiile generale privind implementarea şi respectarea politicii de securitate şi aspectele specifice privind protecţia unor anumite resurse sau acţiuni referitoare la securitate;
2) este necesar de instruit utilizatorii în materie de proceduri de securitate şi utilizare corectă a mijloacelor de procesare a informaţiei în vederea minimalizării eventualelor riscuri de securitate;
- de respectat cerinţele privind instruirea în problemele de securitate:
1) este necesar de identificat persoanele din rîndurile personalului, care îndeplinesc roluri şi deţin obligaţii esenţiale din punct de vedere al influenţei asupra securităţii;
2) este necesar de format grupuri de instruire, în dependenţă de funcţiile şi obligaţiile exercitate;
3) pentru fiecare grup trebuie elaborate materiale educaţionale;
4) instruirea specialiştilor trebuie să asigure cunoaşterea de către aceştia a cerinţelor securităţii, a responsabilităţii în conformitate cu legislaţia în vigoare, a măsurilor şi mijloacelor de asigurare a securităţii, precum şi cunoaşterea utilizării corecte a mijloacelor de procesare a informaţiei;
5) persoanele identificate trebuie să fie instruite în probleme de securitate;
- personalul care participă la procesul de prestare a serviciilor publice trebuie să susţină un instructaj privind următoarele aspecte:
1) sistemul de protecţie a procesului de prestare a serviciilor publice şi modul de utilizare a acestui sistem;
2) principiile de bază privind structura şi particularităţile mijloacelor moderne de protecţie a informaţiei;
3) metodele de protecţie a informaţiei.
5.5.3. Cerinţe privind reacţionarea la incidentele de încălcare a securităţii
Pentru a minimaliza prejudiciul cauzat în rezultatul incidentelor de încălcare a securităţii şi deranjamentelor în funcţionarea complexului de mijloace hardware şi software, precum şi pentru a efectua monitorizarea şi reacţionarea în caz de incidente este necesar:
- de elaborat, documentat şi reînnoit periodic politica de reacţionare în caz de incidente de încălcare a securităţii, precum şi proceduri şi măsuri privind realizarea politicii de reacţionare în caz de incidente de încălcare a securităţii;
- de respectat cerinţele privind informarea despre incidentele de încălcare a securităţii:
1) este necesar, în conformitate cu procedura stabilită, de informat conducerea despre încălcarea securităţii imediat, dacă este posibil, şi;
2) toţi colaboratorii şi organizaţiile terţe trebuie să fie informate în privinţa procedurilor de informare despre diferite tipuri de incidente, precum sînt violarea securităţii, existenţa unui pericol potenţial şi a unei vulnerabilităţi, deranjamentele produse în funcţionarea mijloacelor software şi hardware, care pot influenţa negativ asupra securităţii resurselor instituţiei;
3) trebuie stabilite măsuri de răspundere disciplinară pentru colaboratorii care încalcă cerinţele securităţii;
- de respectat cerinţele privind instruirea despre acţiunile de reacţionare la incidentele de încălcare a securităţii:
1) personalul trebuie să fie instruit periodic privind responsabilitatea şi obligaţiile la îndeplinirea acţiunilor de gestionare a reacţionării la incidentele de încălcare a securităţii;
2) în procesul de instruire a personalului trebuie modelate evenimente corespunzătoare, ceea ce va ajuta pe viitor personalul să-şi îndeplinească eficient acţiunile cerute de la acesta în caz de survenire a situaţiilor de criză;
3) trebuie utilizate mijloace automatizate în vederea asigurării unui mediu mai complet şi real de instruire;
- de respectat cerinţele privind prelucrarea incidentelor:
1) posibilităţile de prelucrare a incidentelor trebuie să includă: depistarea, analiza, prevenirea evoluării, lichidarea incidentelor de încălcare a securităţii şi restabilirea securităţii după incidente;
2) trebuie utilizate mijloace automatizate pentru susţinerea procesului de prelucrare a incidentelor;
- de respectat cerinţele privind verificarea eficienţei acţiunilor de reacţionare la incidentele de încălcare a securităţii:
1) trebuie efectuată verificarea periodică a eficienţei acţiunilor de reacţionare la incidentele de încălcare a securităţii, cu utilizarea testelor corespunzătoare (succesiunilor acţiunilor de control);
2) trebuie utilizate mijloace automatizate pentru efectuarea unei verificări mai minuţioase a eficienţei acţiunilor de reacţionare la incidentele de încălcare a securităţii;
- de respectat cerinţele privind monitorizarea incidentelor:
1) este necesar de stabilit procedura de monitorizare şi înregistrare a incidentelor şi deranjamentelor în ce priveşte numărul, tipul şi parametrii acestora;
2) incidentele de încălcare a securităţii trebuie urmărite şi documentate permanent;
3) trebuie utilizate mijloace automatizate în procesul de urmărire a incidentelor de încălcare a securităţii, colectare şi analiză a informaţiei despre incidente;
- de respectat cerinţele privind prezentarea rapoartelor despre incidente:
1) este necesar de prezentat rapoarte privind incidentele organelor stabilite, în conformitate cu forma şi periodicitatea stabilită;
2) trebuie utilizate mijloace automatizate de susţinere a elaborării şi prezentării rapoartelor privind incidentele de încălcare a securităţii.
5.6. Securitate fizică
Pentru a preveni accesul neautorizat, deteriorarea şi influenţa asupra încăperilor şi informaţiei instituţiei, este necesar de asigurat securitatea fizică a mijloacelor de procesare a informaţiei de serviciu cu ajutorul diferitelor bariere de protecţie şi mijloacelor de control al intruziunii.
Cerinţele privind protecţia fizică trebuie să includă:
- elaborarea, documentarea şi reînnoirea periodică a politicii de protecţie fizică şi de protecţie a mediului SI, precum şi proceduri şi măsuri privind realizarea acestei politici;
- cerinţe privind sancţionarea accesului fizic:
1) trebuie elaborate listele personalului, căruia îi va fi autorizat accesul la resurse şi emise mandatele corespunzătoare (insigne, cartele de identificare, cartele intelectuale);
2) persoanele cu funcţii de răspundere corespunzătoare trebuie să examineze şi să aprobe listele şi mandatele ce permit accesul;
3) listele privind accesul trebuie revizuite în conformitate cu periodicitatea stabilită;
- cerinţe privind gestionarea accesului fizic:
1) nivelul de protecţie trebuie să fie proporţional riscurilor identificate;
2) trebuie efectuată gestionarea accesului fizic în toate punctele de acces la resurse;
3) este necesar de utilizat zone de securitate clar determinate pentru protejarea încăperilor şi zonelor de amplasare a mijloacelor de procesare a informaţiei;
4) accesul în încăperi şi clădiri trebuie să fie permis doar personalului autorizat;
5) înainte de acordarea accesului fizic la resurse, trebuie îndeplinită procedura de verificare a împuternicirilor de acces;
6) este necesar de analizat şi de revizuit în mod regulat drepturile de acces al colaboratorilor în zonele de securitate;
- cerinţe privind monitorizarea accesului fizic:
1) trebuie efectuat controlul permanent al accesului în zonele de intrare în perimetrul clădirii pentru a se asigura de faptul că accesul este permis doar personalului autorizat;
2) în procesul de monitorizare trebuie utilizate dispozitive de supraveghere şi semnalizare a timpului real, precum şi mijloace automatizate care să asigure recunoaşterea încălcărilor şi să iniţieze acţiuni de răspuns;
3) controlul accesului fizic la încăperi trebuie asigurat cu ajutorul celor mai stricte metode de identificare/autentificare;
- cerinţe privind controlul vizitatorilor:
1) trebuie repartizată zona de înregistrare a vizitatorilor sau trebuie să existe alte activităţi de gestionare a accesului fizic în încăperi şi clădiri;
2) trebuie efectuată gestionarea accesului fizic al vizitatorilor la obiecte;
3) trebuie efectuată însoţirea vizitatorilor la obiecte şi controlul asupra acţiunilor acestora;
- cerinţe privind ţinerea registrelor de evidenţă a accesului vizitatorilor:
1) în zonele de securitate vizitatorii trebuie să fie însoţiţi sau să deţină accesul corespunzător;
2) trebuie ţinute registrele de evidenţă a accesului vizitatorilor, în care urmează să fie înregistrate data şi ora intrării şi ieşirii;
3) registrele de evidenţă a accesului vizitatorilor trebuie să fie analizate periodic de către persoanele cu funcţii de răspundere corespunzătoare;
4) trebuie utilizate mijloace automatizate de ţinere a registrelor de evidenţă a accesului vizitatorilor;
- cerinţe privind protecţia echipamentului:
1) echipamentul trebuie să fie amplasat şi protejat astfel încît să fie diminuate riscurile cauzate de influenţele din partea mediului ambiant şi de posibilităţile de acces neautorizat;
2) echipamentul trebuie protejat de deranjamentele în furnizarea energiei electrice şi de alte deranjamente legate de electricitate, de exemplu, existenţa surselor de alimentare de rezervă;
3) echipamentul trebuie protejat de incendii şi alte situaţii excepţionale;
4) trebuie protejate reţelele de telecomunicaţii prin cablu de interceptarea informaţiei dau de deteriorări;
5) trebuie realizată deservirea tehnică corespunzătoare a echipamentului pentru a asigura capacitatea de lucru continuă şi integritatea acestuia.
5.7. Managementul comunicaţiilor şi al activităţii operaţionale a tehnologiilor informaţionale
Pentru a asigura certitudinea în privinţa funcţionării corespunzătoare şi sigure a mijloacelor de procesare a informaţiei este necesar de stabilit obligaţiuni şi proceduri de gestionare şi funcţionare a tuturor mijloacelor de procesare a informaţiei.
Managementul comunicaţiilor şi activităţii operaţionale de funcţionare a TI şi a mijloacelor de procesare a informaţiei trebuie să corespundă următoarelor cerinţe:
- cerinţe privind procedurile operaţionale:
1) procedurile operaţionale trebuie să fie considerate ca fiind documente oficiale, trebuie să fie documentate şi respectate cu stricteţe, iar modificările în cadrul acestora trebuie aprobate de către conducere;
2) procedurile trebuie să conţină instrucţiunea detaliată privind executarea unei sarcini concrete şi să includă:
a) procesarea şi gestionarea informaţiei;
b) stabilirea cerinţelor în privinţa graficului de îndeplinire a sarcinilor ce includ interconexiunile între sisteme;
c) ora începerii îndeplinirii sarcinii celei mai timpurii şi ora finalizării ultimei sarcini;
d) procesarea erorilor şi altor situaţii excepţionale care pot surveni în procesul de executare a sarcinilor;
e) restartarea sistemului şi a procedurii de restabilire în caz de deranjamente de sistem;
3) trebuie de asigurat sincronizarea ceasului de sistem pentru executarea corectă a operaţiunilor în reţea;
4) trebuie de controlat în permanenţă modificările configuraţiilor în cadrul mijloacelor şi sistemelor de procesare a informaţiei;
5) trebuie stabilite şi implementate roluri, responsabilităţi şi proceduri de asigurare a controlului tuturor modificărilor în echipament, software sau proceduri;
6) trebuie stabilite obligaţiuni şi proceduri de gestionare a incidentelor pentru asigurarea unei reacţii rapide, eficiente şi organizate în caz de încălcare a securităţii;
7) este necesară existenţa registrelor de înregistrare a erorilor survenite în rezultatul deranjamentelor şi necorespunderilor în procesul de funcţionare a sistemului;
- cerinţe privind protecţia împotriva software-ului dăunător:
1) utilizatorii trebuie informaţi despre pericolul utilizării software-ului neautorizat sau dăunător;
2) trebuie implementate mijloace speciale de control pentru depistarea şi/sau prevenirea pătrunderii acestui gen de programe;
3) trebuie instalat şi reînnoit în mod regulat software-ul antivirus pentru depistarea şi scanarea calculatoarelor şi purtătorilor de informaţii;
4) trebuie efectuată inventarierea regulată a software-ului şi a datelor din sistemele care susţin procesele critice ale instituţiei;
5) trebuie asigurată depistarea tentativelor şi protecţia împotriva modificării nesancţionate a software-ului şi informaţiei;
- cerinţe privind rezervarea şi păstrarea informaţiei:
1) trebuie efectuată în mod regulat copierea de rezervă a informaţiei de serviciu importante şi a software-ului;
2) trebuie asigurat nivelul garantat de protecţie fizică şi de protecţie împotriva influenţelor din partea mediului ambiant pentru copiile de rezervă;
3) trebuie efectuată testarea regulată a echipamentului de rezervă;
4) trebuie actualizate şi testate în mod regulat procedurile de restabilire pentru asigurarea eficienţei executării acestora;
5) trebuie efectuat controlul fizic şi păstrarea în siguranţă a purtătorilor de informaţii (de hîrtie sau în format electronic), luîndu-se în consideraţie categoria maximă de securitate a informaţiei înregistrate pe purtător;
6) pentru păstrarea informaţiei trebuie selectate metode de arhivare a acesteia care să permită restabilirea acestei informaţii în caz de necesitate, luîndu-se în consideraţie modificările mijloacelor software şi hardware utilizate;
7) la păstrarea informaţiei trebuie luate în consideraţie toate aspectele juridice legate de drepturile proprietarului informaţiei utilizate în SI;
8) trebuie identificate locaţiile de păstrare de rezervă a informaţiei şi trebuie soluţionate aspectele administrative privind păstrarea copiilor de rezervă ale informaţiei;
9) locaţiile de păstrare a copiilor de rezervă a informaţiei trebuie să fie delimitate în spaţiu (geografic) de locaţiile principale de păstrare a informaţiei pentru a nu fi supuse unor pericole identice;
10) locaţia de păstrare de rezervă a informaţiei trebuie configurată astfel încît să asigure executarea la timp şi eficientă a operaţiilor de restabilire;
11) trebuie determinate problemele potenţiale ce ţin de accesibilitatea locaţiilor de păstrare de rezervă a informaţiei, în caz de deranjament sau accident, şi trebuie stabilite acţiuni concrete privind restabilirea accesibilităţii;
- cerinţe privind securitatea purtătorilor de informaţie:
1) este necesară existenţa unor proceduri de utilizare a purtătorilor de informaţie de schimb (benzi, discuri, casete, precum şi rapoarte imprimate);
2) toate purtătorile de informaţie trebuie păstrate în locuri sigure;
3) acţiunile de lichidare a informaţiei de pe purtătorile de informaţie trebuie controlate, documentate şi verificate;
4) este necesar de distrus fizic sau de recopiat într-un mod sigur purtătorile de date ce conţin informaţii importante, funcţiile standard de lichidare nu urmează a fi utilizate;
5) este necesar de verificat toate componentele echipamentului ce conţine purtători de date (de exemplu, hard-discuri incorporate) în materie de lichidare a tuturor datelor importante şi a software-ului licenţiat;
6) procedurile de lichidare a informaţiei de pe purtătorile de informaţie trebuie să fie analizate periodic în materie de corectitudine şi eficienţă;
7) trebuie efectuată marcarea tuturor purtătorilor de informaţie şi trebuie limitat accesul în vederea identificării personalului neautorizat;
8) la purtătorile de informaţie detaşabile trebuie să fie ataşate menţiuni externe care să conţină informaţii despre conţinutul instalat;
9) trebuie pregătită lista purtătorilor de informaţie la care au fost ataşate menţiuni externe;
10) trebuie asigurată înregistrarea formalizată a beneficiarilor de date autorizaţi;
11) în cazul transmiterii purtătorului de informaţie pentru utilizare repetată, trebuie efectuată procedura de vidare a acestuia pentru a exclude posibilitatea acordării nesancţionate a accesului la informaţia stocată pe purtătorul de informaţie şi utilizării acesteia de către persoane ce nu sînt învestite cu împuternicirile corespunzătoare;
12) trebuie efectuat controlul transportării purtătorului de informaţie pentru a asigura recepţionarea acestuia doar de către persoana care este învestită cu împuterniciri corespunzătoare;
- cerinţe privind accesul la purtătorile de informaţie secretă – accesul la purtătorile de informaţie secretă trebuie să fie permis doar persoanelor ce dispun de împuternicirile corespunzătoare, în conformitate cu gradele de secretizare şi în conformitate cu Legea Republicii Moldova „Cu privire la secretul de stat” nr. 245 din 27.11.2008;
- cerinţe privind gestionarea serviciilor de reţea:
1) trebuie de repartizat responsabilităţile şi stabilite procedurile şi obligaţiunile privind susţinerea resurselor de reţea şi a operaţiilor de calculator;
2) trebuie implementate mijloace speciale de control pentru asigurarea confidenţialităţii şi integrităţii datelor care circulă prin reţele de acces comun, precum şi pentru protecţia sistemelor cheie;
- cerinţe privind schimbul de date:
1) trebuie stabilite procedurile şi măsurile de protecţie a informaţiei şi suporturilor în procesul transmiterii acestora;
2) la stabilirea cerinţelor de securitate trebuie luat în consideraţie gradul de importanţă a informaţiei ce constituie obiectul schimbului;
3) trebuie asigurată protecţia schimbului de date prin intermediul poştei electronice şi a tranzacţiei în regim on-line prin intermediul reţelelor de acces comun, în special, prin Internet;
4) este necesar de protejat software-ul, datele şi alte informaţii ce necesită un nivel înalt de integritate şi accesul la care este realizat prin sistemele de acces public, cu ajutorul mijloacelor de protecţie criptografică a informaţiei, de exemplu, prin intermediul semnăturii digitale;
5) trebuie asigurată protecţia procesului de schimb de informaţii prin intermediul mijloacelor verbale, de fax şi video de comunicaţii.
5.8. Controlul accesului
Pentru a asigura accesul sancţionat la resursele şi procesele instituţiei este necesar de efectuat controlul accesului luîndu-se în consideraţie cerinţele interne ale instituţiei şi cerinţele de securitate.Toate cerinţele privind controlul accesului trebuie să fie reflectate în politici cu privire la distribuirea şi autorizarea informaţiei.
5.8.1. Cerinţe faţă de accesul logic
Pentru a asigura accesul la informaţie doar pentru utilizatorii autorizaţi este necesar de efectuat controlul accesului logic.
Faţă de controlul logic sînt înaintate următoarele cerinţe:
- regulile privind controlul accesului şi drepturile fiecărui utilizator sau grup de utilizatori trebuie să fie stabilite clar în politica de securitate;
- clasificarea informaţiei în privinţa diferitor sisteme şi reţele trebuie să fie adusă în concordanţă cu politica de control al accesului;
- trebuie determinate profilurile standard de acces al utilizatorilor pentru obligaţiunile şi funcţiile tipice;
- stabilirea regulilor trebuie să se bazeze pe premisa „în caz general, totul trebuie să fie interzis, pînă cînd evident nu va fi admis”.
5.8.2. Cerinţe privind controlul accesului utilizatorilor
Pentru a preveni accesul neautorizat la resurse este necesar de efectuat controlul acordării drepturilor de acces la resursele instituţiei.
O abordare riguroasă a acordării accesului utilizatorilor la resursele instituţiei trebuie să asigure un control strict al accesului şi să permită stabilirea tuturor încălcărilor posibile ale securităţii.
Controlul accesului utilizatorilor trebuie să includă:
- cerinţe privind gestionarea înregistrărilor de evidenţă:
1) trebuie realizată gestionarea înregistrărilor de evidenţă, inclusiv crearea, activarea, modificarea, revizuirea în baza unei periodicităţi stabilite, dezactivarea şi lichidarea înregistrărilor de evidenţă;
2) trebuie utilizate mijloace automatizate de susţinere a gestionării înregistrărilor de evidenţă;
3) acţiunea înregistrărilor de evidenţă temporare trebuie să înceteze în mod automat la expirarea perioadei stabilite de timp (pentru fiecare tip de înregistrare de evidenţă);
4) trebuie efectuată dezactivarea automată a înregistrărilor de evidenţă inactive după o anumită perioadă de timp;
5) trebuie utilizate mijloace automatizate de înregistrare (audit) şi notificare despre crearea, modificarea, dezactivarea, anularea înregistrării de evidenţă;
- cerinţe privind gestionarea privilegiilor:
1) acordarea privilegiilor trebuie să fie controlată prin intermediul procesului de autorizare;
2) accesul la funcţiile securităţii realizate în software, hardware şi soft-hardware trebuie să fie permis doar persoanelor învestite cu împuterniciri corespunzătoare, de exemplu administratorilor de securitate;
3) privilegiile trebuie să fie acordate doar colaboratorilor care au nevoie de acestea pentru a executa o lucrare şi doar pe durata executării acesteia;
4) este necesar de asigurat procesul de autorizare şi înregistrare a tuturor privilegiilor acordate;
5) privilegiile nu trebuie să fie acordate înainte de încheierea procesului de autorizare;
6) trebuie realizat periodic procesul formalizat de revizuire a drepturilor de acces al utilizatorilor (se recomandă de realizat o dată în 6 luni sau după fiecare modificare);
- cerinţe privind controlul parolelor:
1) toţi utilizatorii trebuie să semneze documentul privind necesitatea de respectare a confidenţialităţii depline a parolelor personale;
2) parolele nu trebuie să fie păstrate niciodată în formă neprotejată.
5.8.3. Cerinţe privind obligaţiile utilizatorilor
Pentru a preveni accesul neautorizat al utilizatorilor la informaţie este necesar de asigurat informarea utilizatorilor despre obligaţiile lor privind utilizarea măsurilor efective de gestionare a accesului.
Obligaţiile utilizatorilor în privinţa controlului de acces sînt:
- utilizatorii trebuie să respecte anumite reguli de asigurare a securităţii în procesul selectării şi utilizării parolelor;
- toţi utilizatorii trebuie să fie informaţi despre necesitatea:
1) de a păstra confidenţialitatea parolelor;
2) de a interzice înregistrarea parolelor pe hîrtie, dacă nu este asigurată păstrarea în siguranţă a acestora;
3) de a modifica parolele ori de cîte ori există un indiciu de compromitere posibilă a sistemului şi parolei;
4) de a selecta parole calitative de lungime minimă formate din şase semne;
5) de a modifica parolele după anumite intervale de timp sau după un anumit număr de accese şi de a exclude utilizarea repetată sau ciclică a parolelor vechi;
6) parolele pentru înregistrările de evidenţă privilegiate trebuie să se schimbe mai frecvent decît parolele obişnuite;
- utilizatorii trebuie să asigure protecţia adecvată a echipamentului lăsat fără supraveghere şi să îndeplinească următoarele cerinţe:
1) şedinţele active la finalizarea lucrării trebuie să fie terminate în cazul în care lipseşte mecanismul de blocare a şedinţei;
2) trebuie limitat numărul de şedinţe paralele pentru fiecare utilizator;
3) trebuie efectuată finalizarea automată a şedinţei după o perioadă stabilită de inactivitate.
5.8.4. Cerinţe privind controlul accesului la reţea
Pentru a asigura protecţia serviciilor de reţea este necesar de efectuat controlul accesului la serviciile de reţea atît interne cît şi externe.
Cerinţele privind controlul accesului la reţea trebuie să includă următoarele:
- este necesar de asigurat accesul utilizatorilor doar la serviciile de care aceştia au nevoie pentru a-şi îndeplini obligaţiile şi pentru care dispun de autorizaţie;
- trebuie de stabilit:
1) reţelele şi serviciile de reţea la care este permis accesul;
2) procedurile de autorizare pentru determinarea cui, la care reţele şi servicii de reţea este permis accesul;
3) măsurile şi procedurile de protecţie împotriva conectării nesancţionate la serviciile de reţea;
- este necesar de limitat variantele de marşrutizare în fiecare punct al reţelei;
- cerinţe privind accesul la distanţă:
1) toate metodele de accesare la distanţă a resurselor (precum sînt legătura prin modem, Internet) trebuie să fie documentate şi supuse monitorizării şi controlului;
2) fiecare metodă de accesare la distanţă utilizată trebuie să fie sancţionată de către persoanele cu funcţii de răspundere corespunzătoare şi permisă doar utilizatorilor care au nevoie de aceasta pentru îndeplinirea sarcinilor stabilite;
3) pentru facilitatea monitorizării şi controlului accesului la distanţă este necesar de utilizat mijloace automatizate corespunzătoare;
4) este necesar de realizat gestionarea centralizată a accesului la distanţă la SI;
- cerinţe privind gestionarea accesului pentru dispozitivele portabile şi mobile:
1) trebuie stabilite restricţii şi elaborate instrucţiuni pentru utilizarea dispozitivelor portabile şi mobile;
2) accesul la SI cu ajutorul dispozitivelor portabile şi mobile trebuie să fie documentat şi supus monitorizării şi controlului;
3) utilizarea dispozitivelor portabile şi mobile trebuie să fie sancţionată de persoanele cu funcţii de răspundere corespunzătoare;
4) trebuie utilizate hard-discuri de schimb sau alte metode şi mijloace de protecţie a informaţiei fixate pe dispozitivele portabile şi mobile;
- cerinţe privind limitarea conexiunilor fără cablu:
1) trebuie stabilite restricţii şi elaborate instrucţiuni pentru utilizarea tehnologiilor fără cablu;
2) accesul fără cablu la SI trebuie să fie documentat şi supus monitorizării şi controlului;
3) accesul fără cablu la SI trebuie să fie permis doar în cazul aplicării mijloacelor de protecţie criptografică a informaţiei;
4) utilizarea tehnologiilor fără cablu trebuie să fie sancţionată de către persoanele cu funcţii de răspundere corespunzătoare.
5.8.5. Cerinţele accesului la sistemele operaţionale
Pentru a preveni accesul neautorizat la calculatoare la nivelul sistemului operaţional este necesar de utilizat mijloace de asigurare a securităţii care să asigure următoarele:
- identificarea şi verificarea calculatorului utilizatorului, a terminalului şi locaţiei fiecărui utilizator înregistrat;
- înregistrarea acceselor reuşite şi eşuate la sistem;
- autentificarea nivelului corespunzător.
Cerinţele accesului la sistemele operaţionale trebuie să includă:
- posibilitatea de a utiliza identificarea automată a terminalului;
- accesul la serviciile informaţionale trebuie să fie asigurat cu ajutorul unei proceduri sigure de intrare în sistem;
- accesul la comenzile sistemului operaţional trebuie să fie interzis utilizatorilor care nu dispun de drepturi de administrare de sistem;
- trebuie limitat numărul de încercări de acces eşuate permise (se recomandă trei încercări);
- în caz de depăşire a numărului admis de încercări de acces eşuate, trebuie realizată blocarea terminalului şi/sau a înregistrării de evidenţă pentru o anumită perioadă de timp sau trebuie executate alte acţiuni care să prevină sau să creeze dificultăţi substanţiale pentru accesul din partea potenţialilor contravenienţi;
- informaţia despre înregistrare trebuie să fie confirmată doar la finalizarea introducerii tuturor datelor de intrare;
- este necesar de limitat timpul maxim şi minim permis pentru procedurile de intrare în sistem;
- informaţia cu privire la înregistrarea efectuată cu succes trebuie să fie fixată în permanenţă;
- utilizarea utilităţilor de sistem trebuie să fie limitată şi controlată în permanenţă.
5.8.6. Cerinţe privind controlul accesului la aplicaţii
Pentru a preveni accesul neautorizat la datele SI, este necesar de aplicat măsuri de asigurare a securităţii în vederea limitării accesului la sistemele aplicate.
Cerinţele controlului accesului la aplicaţii trebuie să includă:
- asigurarea accesului utilizatorilor de aplicaţii la informaţie şi funcţiile acestor aplicaţii în conformitate cu politica de control al accesului care se bazează pe cerinţele faţă de anumite aplicaţii;
- limitarea furnizării către utilizatori a informaţiei despre datele şi funcţiile aplicaţiilor pentru care aceştia nu dispun de autorizaţia de acces;
- sistemele, ce procesează informaţii importante, trebuie să fie asigurate cu mediul de calcul separat, cu condiţii speciale de exploatare.
5.8.7. Cerinţe privind monitorizarea accesului
Pentru a depista acţiunile neautorizate sau devierile de la cerinţele politicii de control al accesului este necesar de efectuat monitorizarea sistemului.
Cerinţele privind monitorizarea accesului sînt:
- crearea registrelor de audit şi păstrarea lor în decursul perioadei de timp aprobate, în care trebuie să fie ţinută evidenţa incidentelor de încălcare a securităţii şi a altor evenimente privind securitatea;
- înregistrările de audit trebuie să conţină următoarele:
1) identificatorul utilizatorilor;
2) data şi ora intrării şi ieşirii;
3) identificatorul terminalului sau al locaţiei acestuia;
4) înregistrările încercărilor reuşite şi respinse de acces la sistem;
5) înregistrările încercărilor reuşite şi respinse de acces la date şi la alte resurse;
- stabilirea procedurilor de monitorizare a utilizării mijloacelor de procesare a informaţiei şi de analiză a rezultatelor acestora;
- nivelul de monitorizare a mijloacelor concrete de procesare a informaţiei trebuie să fie determinat în baza evaluării riscurilor.
5.9. Elaborarea şi mentenanţa sistemelor informaţionale
În procesul de elaborare şi mentenanţă a SI este necesar de utilizat metode speciale care iau în consideraţie criteriile gradului de protecţie, flexibilităţii şi costului şi care asigură următoarele:
- verificarea autenticităţii – utilizarea metodelor de verificare strictă, a politicilor parolelor, politicilor de blocare a înregistrărilor de evidenţă şi a cifrării;
- un sistem unic de autorizare – care trebuie să se bazeze pe modelul de permisiuni şi să asigure un grad înalt de detaliere a controlului accesului;
- delimitarea drepturilor de acces – politica ce permite gestionarea accesului la resursele informaţionale, sisteme şi operaţii protejate;
- prevenirea citirii mesajelor de către persoane terţe;
- protecţia traficului de date contra analizării acestora de către persoane terţe;
- depistarea modificărilor în fluxurile de mesaje;
- depistarea denaturărilor de date.
Cerinţele privind elaborarea şi mentenanţa SI includ:
- cerinţe privind arhitectura securităţii:
1) trebuie determinate mijloacele de securitate cu ajutorul cărora se va asigura securitatea serviciilor publice prestate;
2) trebuie de aplicat protocoale de asigurare a autenticităţii şi confidenţialităţii în două regimuri: regimul de transport (protecţia doar a conţinutului pachetelor şi a anumitor cîmpuri de titluri) şi regimul de tunelare (protecţia întregului pachet);
3) este necesar de utilizat mecanisme de gestionare a mijloacelor de protecţie criptografică a informaţiei (algoritmele de cifrare, de control al integrităţii şi autenticităţii);
- cerinţele de securitate în cadrul sistemelor aplicate:
1) este necesar de efectuat controlul şi de ţinut evidenţa instalării şi înlăturării mijloacelor software, hardware şi soft-hardware ale sistemelor;
2) trebuie efectuată verificarea corectitudinii introducerii datelor în vederea asigurării certitudinii că acestea corespund datelor iniţiale;
3) trebuie efectuat controlul asupra procesării datelor în sisteme;
4) pentru aplicaţiile în cadrul cărora trebuie de asigurat protecţia integrităţii conţinutului mesajelor este necesar de utilizat autentificarea mesajelor;
5) trebuie efectuată testarea de securitate a tuturor sistemelor utilizate;
6) de asemenea, trebuie efectuată verificarea independentă a funcţionării sistemelor;
- cerinţe privind controlul modificărilor:
1) este necesar de controlat cu stricteţe implementarea modificărilor;
2) este necesar de acordat programatorilor responsabili de mentenenţă accesul doar la porţiunile din sistem care sînt necesare pentru munca lor;
3) trebuie asigurată protocolarea nivelurilor de autorizare aprobate;
4) trebuie efectuat controlul versiunilor pentru toate actualizările software-ului;
5) în registrele de audit trebuie înregistrate toate solicitările de modificare;
6) trebuie efectuată analiza mijloacelor de control al aplicaţiilor şi procedurilor de integritate pentru a asigura garanţia că acestea nu au fost compromise de modificările din sistemul operaţional;
7) trebuie asigurată recepţionarea la timp a notificărilor despre modificările din sistemul operaţional;
8) trebuie evitată modificarea pachetelor de program;
- cerinţe privind aplicarea mijloacelor de protecţie criptografică a informaţiei:
1) trebuie stabilite metodele de utilizare a mijloacelor criptografice în cadrul instituţiei, inclusiv principiile generale şi metodele de restabilire a informaţiei cifrate în caz de pierdere, compromitere sau deteriorare a cheilor;
2) trebuie stabilite nivelurile corespunzătoare de protecţie criptografică pentru diferite date;
3) pentru a asigura protecţia informaţiei confidenţiale sau critice, trebuie aplicată metoda criptografică de cifrare, ţinîndu-se cont de tipul şi calitatea algoritmului de cifrare utilizat, precum şi de lungimea cheilor criptografice;
4) pentru a asigura protecţia autentificării şi integrităţii documentelor electronice este necesar de aplicat semnăturile digitale;
5) la utilizarea semnăturilor digitale este necesar de ţinut cont de cerinţele prevăzute de legislaţia în vigoare, care stabilesc condiţiile în care semnătura digitală obţine forţă juridică;
6) cheile criptografice trebuie protejate împotriva modificărilor şi distrugerii, iar cheile secrete şi personale trebuie protejate împotriva dezvăluirii neautorizate.
5.10. Managementul continuităţii activităţii
Continuitatea activităţii instituţiei trebuie asigurată în scopul minimalizării consecinţelor negative, cauzate de calamităţi şi încălcările securităţii, pînă la un nivel admisibil cu ajutorul unor combinări între activităţile profilactice şi de restabilire ce ţin de managementul securităţii.
Cerinţele privind managementul continuităţii trebuie să includă:
- elaborarea şi documentarea strategiei de asigurare a continuităţii, precum şi planurilor de asigurare a continuităţii şi de restabilire a activităţii;
- utilizarea sistemelor adecvate de rezervare şi restabilire;
- cerinţe la planurile de continuitate şi restabilire a activităţii:
1) planurile trebuie să includă stabilirea persoanelor responsabile şi acţiunilor executate de acestea în caz de restabilire a SI de prestare a serviciilor publice după producerea deranjamentului sau refuzului;
2) planurile trebuie să fie examinate de persoanele cu funcţii de răspundere corespunzătoare, aprobate, multiplicate în cantitate necesară şi adresate persoanelor responsabile de acţiunile întreprinse în situaţiile neprevăzute;
3) planurile trebuie să fie revizuite şi reînnoite periodic, luîndu-se în consideraţie modificările sau problemele apărute în rezultatul verificării sau realizării planului;
4) personalul trebuie să fie instruit (reinstruit – cu o periodicitate stabilită) în materie de roluri, responsabilitate şi obligaţii ce îi revin în procesul de executare a acţiunilor în situaţiile neprevăzute;
5) în procesul de instruire a personalului trebuie să se modeleze evenimentele corespunzătoare, ceea ce va ajuta pe viitor personalul să execute în mod eficient acţiunile cerute în caz de survenire a situaţiilor de criză;
6) este necesar de utilizat mijloace automatizate pentru a asigura un mediu de instruire mai complex şi real;
- cerinţe privind verificarea planurilor de continuitate şi restabilire a activităţii:
1) trebuie efectuată testarea periodică a planurilor în scopul evaluării eficienţei acestora şi pregătirii personalului pentru executarea acţiunilor prevăzute în plan;
2) persoanele cu funcţii de răspundere corespunzătoare trebuie să studieze rezultatele testării planurilor şi în caz de necesitate să iniţieze corectarea acestora;
3) trebuie utilizate mijloace automatizate pentru testarea mai minuţioasă şi eficientă a acţiunilor de asigurare a continuităţii şi de restabilire a activităţii;
- cerinţe privind locaţiile de rezervă pentru procesarea informaţiei:
1) trebuie determinate locaţiile de rezervă pentru procesarea informaţiei şi soluţionate aspectele administrative privind procesarea informaţiei pentru sarcinile de importanţă critică pînă la restabilirea posibilităţilor de procesare a informaţiei;
2) locaţiile de rezervă de procesare a informaţiei trebuie să fie delimitate (geografic) în spaţiu de locaţiile de bază pentru procesarea informaţiei pentru a nu fi supuse unor pericole identice;
3) trebuie determinate problemele potenţiale privind accesibilitatea locaţiilor de rezervă pentru procesarea informaţiei în caz de deranjament sau accident şi trebuie stabilite acţiunile concrete în vederea restabilirii accesibilităţii;
4) la utilizarea locaţiilor de rezervă pentru procesarea informaţiei trebuie luate în consideraţie priorităţile de deservire stabilite;
5) locaţia de rezervă pentru procesarea informaţiei trebuie să fie configurată astfel încît să asigure minimumul necesar de posibilităţi exploataţionale;
- cerinţe privind rezervarea serviciilor de telecomunicaţii:
1) este necesar de identificat serviciile de telecomunicaţii de bază şi de rezervă şi de soluţionat aspectele administrative privind utilizarea serviciilor de telecomunicaţii de rezervă pentru sarcinile de importanţă critică pînă la restabilirea accesibilităţii celor de bază;
2) la utilizarea serviciilor de telecomunicaţii de bază şi de rezervă trebuie luate în consideraţie priorităţile de deservire stabilite;
3) furnizorii de servicii de telecomunicaţii de bază şi de rezervă trebuie să fie separaţi între ei în modul corespunzător pentru a nu fi supuşi unora şi aceleaşi pericole identice;
4) furnizorii de servicii de telecomunicaţii de bază şi de rezervă trebuie să dispună de planuri de acţiuni corespunzătoare pentru situaţiile neprevăzute;
- cerinţe privind restabilirea sistemului:
1) trebuie utilizate mecanisme şi proceduri de susţinere a acestora, necesare pentru restabilirea sistemului după deranjament sau refuz;
2) restabilirea sistemului după deranjament sau refuz trebuie să fie utilizată ca o parte componentă a verificării planului de acţiuni pentru situaţii neprevăzute.
5.11. Conformitatea
Pentru a preveni orice încălcare a normelor legislaţiei în vigoare, a prevederilor obligatorii şi a cerinţelor de reglementare sau a obligaţiunilor contractuale, precum şi a cerinţelor securităţii, este necesar de efectuat controlul conformităţii în calitate de monitorizare şi audit al securităţii.
5.11.1. Cerinţe privind monitorizarea securităţii
Monitorizarea securităţii trebuie să asigure controlul permanent asupra menţinerii nivelului necesar de securitate în procesul prestării serviciilor publice.
Monitorizarea securităţii trebuie să permită depistarea modificării:
- funcţiilor realizate în procesul de prestare a serviciilor – monitorizarea funcţiilor trebuie să fie orientată spre identificarea necesităţii de modificare a categoriei resurselor în legătură cu modificarea prejudiciului eventual, cauzat prin încălcarea securităţii;
- resurselor – monitorizarea resurselor trebuie să fie orientată spre depistarea modificărilor în cadrul informaţiei, hardware-ului şi software-ului, care pot servi drept cauză pentru modificarea conţinutului punctelor vulnerabile şi pericolelor de încălcare a securităţii;
- pericolelor şi vulnerabilităţilor – monitorizarea vulnerabilităţilor şi pericolelor securităţii trebuie să fie orientată spre depistarea la timp a vulnerabilităţilor şi pericolelor care pot spori riscul încălcării securităţii în procesul de prestare a serviciilor;
- măsurilor şi mijloacelor de asigurare a securităţii – monitorizarea măsurilor şi mijloacelor de asigurare a securităţii trebuie să fie orientată spre controlul menţinerii eficienţei acestora pentru a contracara vulnerabilităţile şi pericolele stabilite şi depistate.
Monitorizarea securităţii în activitatea de prestare a serviciilor trebuie să includă:
- controlul curent al stării securităţii – trebuie să asigure certitudinea că măsurile şi mijloacele de asigurare a securităţii funcţionează, nu sînt compromise, iar securitatea sistemului de prestare a serviciilor publice nu a fost încălcată. În acest scop, este necesar de executat următoarele acţiuni:
1) controlul realizării măsurilor permanent active de asigurare a securităţii;
2) controlul capacităţii de lucru a mijloacelor de asigurare a securităţii;
3) controlul integrităţii resurselor şi sistemelor informaţionale;
4) depistarea şi lichidarea invaziilor (încălcarea drepturilor de acces, atacurilor de viruşi, spam). De asemenea, toate încălcările de securitate identificate în procesul prestării serviciilor publice trebuie să fie fixate, cercetate şi lichidate imediat cu ajutorul diferitor măsuri şi mijloace de protecţie a informaţiei.
- evaluarea securităţii – trebuie să asigure certitudinea că sistemul de prestare a serviciilor este în corespundere cu cerinţele securităţii şi politica de securitate. Evaluarea securităţii trebuie efectuată periodic, conform termenelor, dar nu mai puţin de o dată în an, precum şi în caz de modificări esenţiale în cadrul resurselor, pericolelor securităţii şi politicii de securitate. La evaluarea securităţii procesului de prestare a serviciilor publice urmează să fie evaluate:
1) conformitatea măsurilor şi mijloacelor de asigurare a securităţii cu cerinţele stabilite în politica securităţii;
2) corectitudinea aplicării măsurilor şi mijloacelor de asigurare a securităţii în conformitate cu politica securităţii;
3) corectitudinea acţiunilor privind lichidarea consecinţelor incidentelor de încălcare a securităţii şi neutralizarea vulnerabilităţilor.
Pentru a primi datele despre starea securităţii sistemului de prestare a serviciilor este necesar de utilizat următoarele:
- analiza documentelor privind evidenţa aplicării măsurilor şi mijloacelor de asigurare a securităţii;
- sondaje în rîndurile personalului care participă în procesul de prestare a serviciilor publice;
- analiza eficienţei măsurilor şi mijloacelor de asigurare a securităţii pentru a contracara incidentele de încălcare a securităţii care s-au produs;
- verificări şi testări ale măsurilor şi mijloacelor de asigurare a securităţii privind conformitatea cu cerinţele securităţii;
- testări de intruziune privind evaluarea posibilităţii de utilizare a vulnerabilităţilor pentru încălcarea securităţii;
- mijloace hardware şi software specializate pentru efectuarea controlului stării mijloacelor de asigurare a securităţii şi depistarea vulnerabilităţilor;
- datele evaluărilor securităţii anterioare.
În baza rezultatelor evaluării efectuate, în caz de depistare a deficienţelor în asigurarea securităţii sistemului de prestare a serviciilor este necesar de îndeplinit următoarele acţiuni, în funcţie de importanţa deficienţelor:
- precizarea măsurilor şi mijloacelor de asigurare a securităţii;
- ajustarea politicii de securitate;
- evaluarea riscului şi ajustarea cerinţelor securităţii la prestarea serviciilor.
5.11.2. Cerinţe privind auditul securităţii
Auditul securităţii reprezintă un proces complex de obţinere şi evaluare a unor date obiective despre starea curentă a SI, din punct de vedere al securităţii, acţiuni şi evenimente ce au loc în cadrul acestuia, proces care stabileşte gradul de conformitate al acestora cu un anumit nivel de securitate.
Scopul auditului securităţii pentru o instituţie ce prestează servicii publice este:
- obţinerea unei evaluări cît mai complete şi obiective a protecţiei;
- localizarea problemelor existente şi elaborarea unui sistem eficient de asigurare a securităţii instituţiei.
La efectuarea auditului securităţii în cadrul unei instituţii care prestează servicii publice pot fi utilizate diferite tipuri de audit în domeniul securităţii informaţiei, care diferă între ele doar prin scop, iar metoda de efectuare este identică:
- cercetarea iniţială (auditul primar) – rezultatul este concepţia securităţii instituţiei, care va permite edificarea unei protecţii adecvate a informaţiei;
- cercetarea anteproiect (auditul tehnic) – rezultatul este ansamblul de cerinţe faţă de sistemul de asigurare a securităţii;
- atestarea obiectului – rezultatul este documentul, certificatul de conformitate, care demonstrează că obiectul este conform cu standardul şi legislaţia naţională în vigoare, sau concluzia expertului;
- examinarea de control – examinarea de control conform planului în vederea verificării respectării regulilor de asigurare a securităţii.
Procesul de efectuare a auditului securităţii în cadrul instituţiei trebuie să includă următoarele etape:
- formularea sarcinilor şi precizarea limitelor lucrărilor – trebuie efectuate o analiză prealabilă şi activităţi organizaţionale de pregătire a efectuării auditului securităţii;
- colectarea şi analiza informaţiei – trebuie colectată informaţia şi trebuie evaluate următoarele măsuri şi mijloace: măsurile organizaţionale în domeniul securităţii, mijloacele software şi hardware de protecţie a informaţiei, de asigurare a securităţii fizice;
- efectuarea analizei riscurilor şi evaluării conformităţii sistemului cu cerinţele şi standardele înaintate – trebuie efectuate clasificarea resurselor, analiza vulnerabilităţilor, crearea modelului răufăcătorului potenţial, evaluarea riscurilor încălcării securităţii;
- elaborarea recomandărilor şi propunerilor cu privire la măsurile de sporire a securităţii:
1) recomandări privind perfecţionarea sistemului de protecţie a informaţiei, a căror aplicare va permite minimalizarea riscurilor;
2) aplicaţii cu lista vulnerabilităţilor concrete;
3) raportul final ce conţine evaluarea nivelului curent al securităţii;
4) informaţia despre erorile depistate;
5) analiza riscurilor corespunzătoare şi a recomandărilor privind lichidarea acestora.
Auditul securităţii în cadrul instituţiei permite obţinerea unei evaluări obiective şi independente a stării curente a protecţiei resurselor, estimarea riscurilor care admit probabilitatea realizării pericolelor, precum şi prejudiciul potenţial cauzat SI de aceste riscuri.
Cerinţele privind auditul securităţii în procesul de prestare a serviciilor publice trebuie să includă:
- elaborarea, documentarea şi reînnoirea periodică a politicii de audit şi asigurare a raportării (politica înregistrării şi evidenţei), precum şi procedurile şi măsurile privind realizarea politicii de audit şi asigurare a raportării;
- trebuie efectuată generarea înregistrărilor de audit pentru evenimentele indicate în lista evenimentelor supuse auditului;
- este necesar de pus la dispoziţie menţiuni despre timp pentru generarea înregistrărilor de audit;
- în fiecare înregistrare de audit trebuie indicată următoarea informaţie: data şi ora evenimentului, tipul evenimentului, identificatorul subiectului şi rezultatul evenimentului (reuşit sau eşuat), precum şi informaţii suplimentare;
- fiecare eveniment potenţial supus auditului trebuie să fie asociat cu identificatorul utilizatorului care a fost iniţiatorul evenimentului respectiv;
- administratorul autorizat trebuie să dispună de posibilitatea de a citi toată informaţia auditului din înregistrările de audit, adică trebuie să existe accesul la registrul de audit;
- accesul la citirea înregistrărilor de audit trebuie să fie interzisă utilizatorilor, cu excepţia utilizatorilor cărora accesul evident le este permis;
- trebuie oferită posibilitatea de a efectua căutarea, sortarea şi structurarea datelor auditului bazate pe identificatorul utilizatorului şi destinaţie;
- trebuie să existe posibilitatea de a include evenimentele ce pot fi supuse în mod potenţial auditului în totalitatea de evenimente supuse auditului sau excluderii lor din această totalitate în baza identificatorului utilizatorului sau a destinaţiei;
- înregistrările de audit stocate trebuie să fie protejate contra lichidării nesancţionate, trebuie să poată preveni modificarea înregistrărilor de audit;
- trebuie stabilită perioada de timp în decursul căreia datele auditului urmează a fi păstrate pentru a se asigura cercetarea incidentelor de securitate, precum şi respectarea cerinţelor normative cu privire la păstrarea datelor auditului;
- este necesar de generat notificări despre pericol către administratorul autorizat în cazul cînd registrul de audit depăşeşte restricţiile stabilite;
- trebuie să existe posibilitatea de a preveni pierderile de evenimente supuse auditării în caz de finisare a registrului;
- cerinţe privind volumul de memorie acordat pentru păstrarea datelor auditului:
1) trebuie de acordat volumul de memorie suficient pentru păstrarea datelor auditului;
2) trebuie de efectuat setările necesare astfel încît volumul datelor auditului să nu depăşească volumul memoriei acordat;
- cerinţe privind procesarea datelor auditului:
1) în caz de survenire a unui deranjament în cadrul auditului sau în caz de ocupare a întregului volum de memorie acordat pentru păstrarea datelor auditului, este necesar de adresat o notificare către persoanele cu funcţii de răspundere corespunzătoare şi de întreprins acţiunile stabilite, precum sînt: finalizarea lucrului sistemului, ignorarea evenimentelor supuse auditării, înregistrarea prin înlăturarea celor mai vechi înregistrări de audit păstrate;
2) în caz de completare a procentului sau volumului stabilit de memorie acordat pentru păstrarea datelor auditului, este necesar de adresat o notificare corespunzătoare;
- cerinţe privind monitorizarea, analiza şi generarea rapoartelor despre rezultatele auditului:
1) este necesar de vizualizat şi de analizat în mod regulat înregistrările de audit în scopul depistării unor activităţi neordinare sau suspecte, de elaborat rapoartele respective pentru persoanele cu funcţii de răspundere şi de efectuat acţiunile stabilite pentru astfel de cazuri;
2) este necesar de utilizat mijloace automatizate care să permită unirea monitorizării, analizei şi generării rapoartelor într-un singur proces de analiză a activităţilor suspecte şi de reacţionare în caz de încălcări potenţiale;
- cerinţe privind limitarea volumului datelor auditului:
1) trebuie realizate posibilităţile de limitare a volumului datelor auditului şi de generare a rapoartelor corespunzătoare;
2) trebuie realizată posibilitatea procesării automate a înregistrărilor de audit pentru anumite tipuri de evenimente;
- trebuie asigurată protecţia datelor auditului şi a mijloacelor de efectuare a auditului contra accesului neautorizat;
- trebuie realizată posibilitatea asigurării negării (de stabilit dacă un anumit utilizator a efectuat acţiunea respectivă).
5.11.3. Cerinţe privind controlul de stat
Pe lîngă auditul securităţii în cadrul instituţiei care prestează servicii publice este necesar de efectuat controlul de stat asupra respectării cerinţelor securităţii TI, care să fie realizat de către organele abilitate în scopul prevenirii şi depistării încălcărilor cerinţelor de securitate. În procesul realizării controlului de stat organele abilitate sînt în drept:
- să solicite de la instituţia care prestează servicii publice documentele care demonstrează conformitatea procesului de exploatare a SI cu cerinţele de securitate;
- să emită prescripţii privind lichidarea încălcărilor cerinţelor obligatorii de securitate în termenul stabilit în funcţie de natura încălcării;
- în urma deciziei instanţei de judecată să adopte decizii motivate cu privire la suspendarea deplină sau parţială a procesului de exploatare a SI de prestare a serviciilor în cazul cînd este imposibil de a lichida încălcarea cerinţelor securităţii cu ajutorul altor măsuri;
- să suspende sau să înceteze acţiunea certificatului de conformitate;
- să întreprindă alte măsuri prevăzute de legislaţie în scopul neadmiterii încălcării cerinţelor de securitate.
Organele abilitate să efectueze controlul de stat sînt obligate:
- în procesul activităţilor de control de stat să ofere explicaţii cu privire la aplicarea cerinţelor legislaţiei în domeniul securităţii TI;
- să respecte procedura stabilită pentru protecţia informaţiei în funcţie de gradul de criticitate şi importanţă al acesteia;
- să respecte procedura stabilită pentru realizarea activităţilor de control de stat şi perfectarea rezultatelor acestor activităţi;
- în baza rezultatelor activităţilor de control de stat să întreprindă măsuri de lichidare a consecinţelor încălcării cerinţelor de securitate şi regulilor de evaluare a conformităţii.
5.12. Managementul securităţii informaţiei la atragerea organizaţiilor terţe
În procesul prestării serviciilor publice pot fi implicaţi:
- colaboratorii organizaţiilor terţe care deservesc complexul de software şi hardware;
- partenerii care ar putea avea nevoie de schimb de informaţie sau de acces la resursele instituţiei.
La atragerea persoanelor terţe este necesar de respectat următoarele cerinţe:
- este necesar de identificat riscurile legate de resursele şi procesele care implică persoane terţe;
- înainte de acordarea accesului colaboratorilor organizaţiilor terţe la resurse şi procese este necesar de realizat măsuri şi mijloace corespunzătoare de asigurare a securităţii;
- trebuie controlat accesul organizaţiei terţe la mijloacele de procesare a informaţiei;
- contractele în baza cărora este asigurat accesul organizaţiilor terţe trebuie să includă procedura de stabilire a drepturilor şi condiţiilor de acces ale altor participanţi;
- reprezentanţii organizaţiei terţe trebuie să semneze un acord de respectare a confidenţialităţii înainte de a primi accesul la resursele şi mijloacele de procesare a informaţiei;
- în acordurile de confidenţialitate trebuie stabilită responsabilitatea părţilor, în conformitate cu cerinţele securităţii şi legislaţiei în vigoare;
- în contractul încheiat cu persoana terţă este necesar de acordat atenţie specială următoarelor aspecte:
1) nivelul serviciilor prestate;
2) aspectele juridice, conformitatea cu cerinţele prevăzute de legislaţie (de exemplu asigurarea integrităţii datelor personale);
3) repartizarea răspunderii, incluzînd răspunderea subantreprenorilor persoanei terţe;
4) asigurarea caracterului confidenţial, a integrităţii şi disponibilităţii informaţiei procesate, stocate şi transmise;
5) toate cerinţele de securitate legate de accesul persoanei terţei, inclusiv măsurile şi mijloacele de asigurare a securităţii şi controlului;
6) serviciile şi activităţile care vor fi menţinute în caz de survenire a unor situaţii excepţionale;
- este necesar de garantat faptul că mijloacele de asigurare a securităţii incluse în contractul de prestare a serviciilor organizaţiei terţe sînt realizate, exploatate şi susţinute de către organizaţia terţă în modul corespunzător;
- serviciile, rapoartele şi înregistrările prezentate de organizaţia terţă trebuie să fie controlate şi analizate în permanenţă;
- în procesul de elaborare a software-ului cu implicarea organizaţiei terţe este necesar de aplicat următoarele măsuri de control:
1) controlul existenţei contractelor de licenţă şi al clarităţii în materia dreptului de proprietate asupra software-ului şi respectării drepturilor de proprietate intelectuală;
2) verificarea valabilităţii certificării calităţii şi corectitudinii executării lucrărilor;
3) controlul asupra asigurării drepturilor de acces pentru audit în scopul verificării calităţii şi corectitudinii lucrărilor executate;
4) controlul asupra documentării cerinţelor privind calitatea programelor în formă contractuală;
5) verificarea procesului de testare înainte de instalarea software-ului.
6. Sisteme de asigurare a securităţii
Asigurarea securităţii resurselor instituţiei în procesul de prestare a serviciilor publice este pusă în sarcina sistemului de asigurare a securităţii. Pentru a realiza scopurile şi a soluţiona problemele ce ţin de asigurarea securităţii în procesul de prestare a serviciilor publice este necesar de utilizat cel puţin trei clase de sisteme de asigurare a securităţii:
- sisteme de securitate de bază – sisteme comune care stau la baza realizării multor altor sisteme de securitate;
- sisteme de prevenire a încălcărilor securităţii – sisteme de securitate orientate spre prevenirea diferitor încălcări ale securităţii în procesul de prestare a serviciilor;
- sisteme de depistare a încălcărilor şi de restabilire a securităţii – aceste sisteme trebuie orientate spre soluţionarea problemelor ce ţin de depistarea încălcărilor securităţii în procesul prestării serviciilor publice (înainte şi după realizarea acestora) şi de restabilirea sistemului de prestare a serviciilor în stare de siguranţă.
6.1. Sisteme de securitate de bază
Sistemele de securitate de bază trebuie să reprezinte baza, mediul de legătură pentru edificarea tuturor celorlalte sisteme de securitate. La această clasă sînt atribuite următoarele sisteme de securitate:
- sistemul de identificare – pentru realizarea majorităţii sistemelor de securitate este necesară identificarea unică a obiectelor şi subiectelor în procesul de prestare a serviciilor publice. Sistemul de identificare trebuie să asigure posibilitatea atribuirii identificatorului unic utilizatorilor, proceselor, SI, resurselor informaţionale şi altor resurse din SI;
- sistemul de protecţie criptografică – acest sistem este obligatoriu pentru asigurarea securităţii procesului de prestare a serviciilor publice. Sistemul de protecţie criptografică trebuie să includă metodele şi mijloacele speciale (hardware, software şi soft-hardware) de transformare a informaţiei, care sînt utilizate pentru protecţia integrităţii şi confidenţialităţii informaţiei şi a datelor;
- sistemul de management al securităţii şi de administrare. Sistemul de management al securităţii include distribuirea şi managementul informaţiei necesare pentru funcţionara sistemelor şi mecanismelor de securitate în vederea asigurării securităţii în procesul de prestare a serviciilor. Sistemul de administrare include procesele de setare a parametrilor instalării şi exploatării software-ului şi hardware-ului din cadrul sistemelor de securitate în procesul de prestare a serviciilor, precum şi evidenţa modificărilor introduse în echipamentul utilizat.
Este necesar de stabilit obligaţiile privind managementul echipamentului de procesare a informaţiei şi exploatarea acestui echipament.
Toate sistemele de securitate de bază asigură protecţia sistemului, care reprezintă o totalitate de proprietăţi ale sistemului ce permit încrederea în realizarea tehnică a sistemului de asigurare a securităţii. Exemple de măsuri şi mijloace de protecţie a sistemului sînt următoarele:
- protecţia informaţiei contra utilizării repetate;
- minimalizarea drepturilor de acces;
- divizarea proceselor;
- divizarea responsabilităţii;
- modularitatea şi etapele de elaborare;
- minimalizarea cercului de persoane informate.
Este necesar de examinat nu doar calitatea mijloacelor de protecţie a sistemului de prestare a serviciilor realizate, dar şi procedurile de elaborare a acestora, metodele de realizare şi soluţionare a sarcinilor tehnice.
6.2. Sisteme de prevenire a încălcărilor securităţii
Sistemele de prevenire a încălcării securităţii trebuie să asigure securitatea obiectelor protejate contra acţiunilor calificate drept invazie sau încălcare a securităţii.
La clasa respectivă sînt atribuite următoarele sisteme:
- sistemul de telecomunicaţii protejate (canale de comunicaţii). În cadrul sistemului de prestare a serviciilor publice asigurarea unei protecţii sigure depinde în mare măsură de protecţia canalelor de comunicaţii. Sistemul de protecţie a canalelor de comunicaţii trebuie să asigure integritatea, confidenţialitatea şi accesibilitatea informaţiei în procesul de transmitere a acesteia prin canalele de comunicaţii. Măsurile şi mijloacele de asigurare a securităţii trebuie să asigure protecţia contra distrugerii, substituirii, modificării şi transmiterii repetate al datelor şi contra altor tipuri de acţiuni premeditate;
- sistemul de autentificare reprezintă cel mai important sistem de securitate, în special în cadrul sistemului de prestare a serviciilor publice. Sistemul de autentificare execută procedura de verificare a autenticităţii subiectului care permite stabilirea cu certitudine a faptului că subiectul care şi-a prezentat identificatorul este într-adevăr subiectul, al cărui identificator îl utilizează. Metodele de identificare trebuie să fie aplicate pentru utilizatorii de toate categoriile, inclusiv pentru personalul de asistenţă tehnică, operatori, administratori de reţea, programatori de sistem, administratori de baze de date;
- sistemul de autorizare este orientat spre acordarea (atribuirea) subiecţilor anumitor împuterniciri legate de acţiunile executate de aceştia în cadrul SI de prestare a serviciilor publice;
- sistemul de management al accesului este sistemul calificat ca fiind „prevenirea utilizării neautorizate a resurselor, inclusiv prevenirea utilizării resurselor prin metode inadmisibile”. Sistemul trebuie să fie utilizat pentru diverse tipuri de acces la resursele şi sistemele informaţionale, de exemplu utilizarea resurselor comunicaţionale, citirea, înregistrarea sau lichidarea resurselor informaţionale, utilizarea resurselor sistemelor informaţionale de procesare a datelor. Politica de management al accesului trebuie să servească drept bază pentru politica de securitate a TI, care trebuie să cuprindă toate etapele de acces al utilizatorilor, începînd cu înregistrarea iniţială a noilor utilizatori pînă la anularea finală a înregistrării pentru utilizatorii care nu mai au nevoie de accesul la SI şi la servicii.
Sistemele de prevenire a încălcărilor securităţii în procesul de prestare a serviciilor publice trebuie să asigure confidenţialitatea, integritatea şi accesibilitatea informaţiei, precum şi negarea şi caracterul secret al tranzacţiilor.
Negarea (dovada apartenenţei) reprezintă „prevenirea posibilităţii refuzului unora din participanţii reali ai comunicaţiilor de faptul participării depline sau parţiale la transmiterea datelor”. Este necesar de utilizat două forme de negare: negarea de la expedierea mesajului (dovada sursei) şi confirmarea (dovada) primirii mesajelor. Negarea este necesară pentru prevenirea şi depistarea încălcărilor securităţii în cadrul SI de prestare a serviciilor. Măsurile şi mijloacele de asigurare a negării trebuie să prevină posibilitatea refuzului acţiunilor executate.
Caracterul secret al tranzacţiilor în cadrul SI de prestare a serviciilor publice semnifică respectarea cerinţelor de asigurare a caracterului secret al persoanei care utilizează resursele şi sistemele informaţionale. Caracterul secret reprezintă protecţia contra divulgării informaţiei (datelor) despre identitatea utilizatorului care foloseşte resursele şi sistemele informaţionale. Caracterul secret al tranzacţiilor trebuie să asigure protecţia contra pierderii negării pe calea analizei acţiunilor, operaţiilor efectuate de utilizatori în sistemul de prestare a serviciilor publice.
6.3. Sisteme de depistare a încălcărilor şi de restabilire a securităţii
Sistemele de depistare a încălcărilor şi de restabilire a securităţii trebuie să includă serviciile de depistare a încălcărilor securităţii orientate spre consolidarea serviciilor de prevenire, precum şi crearea şi testarea regulată a copiilor de rezervă ale datelor şi software-ului.
Pentru a depista încălcările securităţii SI de prestare a serviciilor publice este necesar de utilizat următoarele sisteme:
- sistemul de audit al securităţii, orientat spre depistarea evenimentelor care influenţează securitatea SI, asigurarea reacţionării sistemului la invaziile depistate, precum şi spre asigurarea formării datelor necesare pentru restabilirea ulterioară a SI în starea de siguranţă. În cadrul auditului securităţii este necesar de examinat diferite sisteme şi mecanisme de securitate care asigură protecţia informaţiei în procesul de prestare a serviciilor publice.
Mecanismele de audit trebuie să soluţioneze următoarele sarcini:
1) asigurarea subordonării utilizatorilor şi administratorilor, ceea ce reprezintă un mijloc de reţinere a tentativelor de încălcare a securităţii informaţionale. Unul din mecanismele importante de securitate pentru asigurarea subordonării sînt mecanismele de identificare şi autentificare, precum şi mecanismele de management al accesului pentru asigurarea caracterului confidenţial şi a integrităţii informaţiei ce urmează să fie raportată;
2) asigurarea posibilităţii de restabilire a consecutivităţii evenimentelor, ceea ce permite depistarea aspectelor vulnerabile în protecţia informaţiei, identificarea persoanei vinovate de invazie, evaluarea proporţiilor prejudiciului cauzat şi returnarea la regimul normal de activitate;
3) furnizarea informaţiei pentru identificarea şi analiza problemelor prin întocmirea rapoartelor corespunzătoare;
- sistemul de depistare a incidentelor şi politica de reţinere. Sistemul de depistare a incidentelor trebuie să fie orientat spre depistarea atît a tentativelor de încălcare a securităţii, cît şi spre înregistrarea activităţii legitime a utilizatorilor. Depistarea trebuie să fie locală şi/sau la distanţă, şi trebuie să fie realizată prin intermediul semnalizării de alarmă a incidentelor, înregistrarea evenimentelor şi acţiunilor de restabilire. Pentru a reduce consecinţele reale şi potenţiale ale incidentelor, politica de reţinere a incidentelor potenţiale trebuie să includă raportul de incident, contracţiunii de minimalizare a riscurilor şi prioritatea lor;
- sistemul de control al integrităţii componentelor software, hardware şi informaţionale ale SI trebuie să fie orientat spre depistarea la timp a încălcărilor integrităţii;
- sistemul de restabilire a securităţii trebuie să îndeplinească funcţia de reacţie a SI la încălcarea securităţii. Sistemul de restabilire a securităţii trebuie să fie realizat prin executarea acţiunilor, precum sînt: deconectarea imediată sau stoparea funcţionării, refuzul de a acorda acces subiectului, privarea temporară de drepturi a subiectului, introducerea subiectului în „lista neagră”.
7. Cerinţe minime de securitate la prestarea serviciilor publice
La crearea sistemului de asigurare a securităţii este necesar de a se baza pe profilurile de protecţie, ceea ce va permite asigurarea unei protecţii sigure a tuturor resurselor şi proceselor din cadrul instituţiei.
Profilurile de protecţie trebuie să caracterizeze anumite măsuri şi mijloace de asigurare a securităţii, de combinare a unor activităţi similare. În cadrul profilurilor de protecţie trebuie să fie incluse următoarele măsuri şi mijloace de bază de asigurare a securităţii:
- identificarea şi autentificarea;
- managementul accesului;
- protocolarea şi auditul;
- cifrarea;
- controlul integrităţii;
- ecranarea;
- analiza protecţiei;
- asigurarea negării;
- asigurarea restabilirii sigure;
- tunelarea.
La crearea sistemului complex de securitate informaţională în procesul prestării serviciilor publice trebuie să fie utilizate următoarele profiluri de protecţie:
- acces controlat;
- protecţia prin marcare;
- sisteme operaţionale;
- sisteme operaţionale cu un singur nivel;
- sisteme operaţionale cu multe niveluri;
- sisteme de management al bazelor de date.
Toate cerinţele profilurilor de protecţie trebuie să fie divizate în următoarele:
- cerinţe funcţionale ce corespund aspectului activ al protecţiei şi care sînt înaintate faţă de funcţiile de securitate a sistemului de prestare a serviciilor publice şi mecanismele de realizare a acestora;
- cerinţe de încredere, care corespund aspectului pasiv, sînt înaintate faţă de tehnologia şi procesul de elaborare şi exploatare a sistemului de prestare a serviciilor publice.
Cerinţele de încredere a securităţii trebuie să cuprindă tot ciclul de viaţă al prestării serviciilor publice. Cerinţele de încredere presupun îndeplinirea următoarelor acţiuni:
- evaluarea sarcinilor privind securitatea şi a profilurilor de protecţie care au devenit surse ale cerinţelor securităţii;
- verificarea proceselor şi procedurilor securităţii, aplicarea acestora;
- analiza documentaţiei;
- verificarea dovezilor prezentate;
- analiza testelor şi rezultatele lor;
- analiza punctelor vulnerabile;
- efectuarea testării independente.
7.1. Profilul de protecţie „Acces controlat”
Profilul de protecţie „Acces controlat” este destinat pentru formularea cerinţelor faţă de mecanismele de protecţie care realizează, în special, principiul discreţionar (selectiv) de control al accesului. Profilul de protecţie cu acces controlat stabileşte un set de cerinţe funcţionale şi cerinţe de încredere pentru SI de prestare a serviciilor publice. Accesul controlat susţine managementul accesului care permite limitarea acţiunii unor anumiţi utilizatori şi accesul la resursele şi sistemele informaţionale.
Scopurile securităţii profilului de protecţie „Acces controlat” sînt:
- asigurarea accesului la resursele şi sistemele informaţionale doar pentru utilizatorii autorizaţi;
- managementul accesului la resurse pentru a stabili care resurse pot fi accesibile utilizatorilor;
- protocolarea acţiunilor utilizatorilor în SI în procesul prestării serviciilor publice;
- asigurarea nedivulgării oricărei informaţii conţinute în resursa protejată, în procesul de redistribuire a acesteia.
Cerinţele de securitate în procesul prestării serviciilor profilului de protecţie „Acces controlat” trebuie să fie divizate în cerinţe funcţionale şi cerinţe de încredere, care contribuie la realizarea scopurilor acestui profil al securităţii.
7.1.1. Cerinţe funcţionale pentru profilul de protecţie „Acces controlat”
7.1.1.1. Cerinţe privind protecţia datelor utilizatorilor la prestarea serviciilor publice
Cerinţele privind protecţia datelor utilizatorului la prestarea serviciilor publice sînt:
- trebuie realizată politica managementului discreţionar (selectiv) al accesului pentru utilizatori şi al tuturor operaţiilor între subiecţi şi obiecte (determinarea limitelor managementului);
- cerinţe privind managementul accesului, bazat pe atributele securităţii:
1) trebuie să existe posibilitatea de a compara operaţiile permise şi interzise cu identificatorii unui sau mai multor utilizatori;
2) trebuie să existe posibilitatea de a utiliza operaţii permise şi interzise predefinit;
3) pentru fiecare operaţie trebuie să fie setate regulile de utilizare predefinit a atributelor de permitere, determinate în atributele de management al accesului la obiect;
4) este necesar de permis sau de refuzat în mod clar accesul subiecţilor la obiecte în baza regulilor;
- trebuie realizat un pachet de programe-test la lansarea iniţială, periodic în timpul funcţionării în regim normal sau la solicitarea administratorului autorizat pentru a demonstra corectitudinea îndeplinirii cerinţelor de securitate;
- trebuie susţinut domeniul securităţii pentru executare proprie, care să protejeze contra intruziunilor şi denaturărilor din partea subiecţilor neautorizaţi;
- trebuie furnizate menţiuni temporale sigure de utilizare proprie, deoarece generarea înregistrărilor de audit depinde de corectitudinea prezentării interne a datei şi orei;
- trebuie asigurată inaccesibilitatea tuturor conţinuturilor informaţionale anterioare ale resurselor în procesul distribuirii resursei pentru toate obiectele.
7.1.1.2. Cerinţe privind managementul securităţii în procesul prestării serviciilor publice
Cerinţele privind managementul securităţii în procesul prestării serviciilor publice sînt:
- posibilitatea de a modifica drepturile de acces trebuie să fie limitată astfel încît utilizatorul care deţine dreptul de acces la obiectul informaţional să nu poată modifica aceste drepturi înainte de a primi permisiunea respectivă;
- cerinţe privind gestionarea datelor:
1) trebuie să existe posibilitatea creării, distrugerii şi vidării registrului de audit doar de către administratori autorizaţi;
2) trebuie să existe posibilitatea modificării sau vizualizării multitudinii de evenimente supuse auditării doar de către administratorii autorizaţi;
3) trebuie să existe posibilitatea iniţializării şi modificării atributelor securităţii utilizatorilor, cu excepţia datelor de autentificare, doar de către administratorii autorizaţi;
4) trebuie să existe posibilitatea iniţializării şi modificării datelor autentificării doar de către administratorii autorizaţi;
- cerinţe cu privire la rolurile securităţii:
1) trebuie susţinute următoarele roluri: administrator autorizat; utilizatori împuterniciţi prin politica managementului discreţionar a accesului de a modifica atributele securităţii obiectului informaţional; utilizatorii împuterniciţi de a modifica datele de autentificare personale;
2) trebuie să existe posibilitatea de a asocia utilizatorii cu rolurile.
7.1.2. Cerinţe de încredere a securităţii pentru profilul de protecţie „Acces controlat”
7.1.2.1. Cerinţe privind documentaţia şi software
Cerinţele privind documentaţia şi software-ul care asigură prestarea serviciilor publice trebuie să includă următoarele:
- cerinţe privind documentaţia sistemului de prestare a serviciilor publice, care trebuie să:
1) fie actuală, protejată în modul corespunzător şi accesibilă pentru categoriile de personal stabilite;
2) includă documentaţia în care sînt descrise măsurile şi mijloacele de asigurare a securităţii în procesul de prestare a serviciilor publice, cu detaliile necesare pentru analiza şi verificarea acestora;
- cerinţe privind manualul administratorului, care trebuie să conţină:
1) descrierea funcţiilor de administrare şi a interfeţelor accesibile administratorului;
2) descrierea modului inofensiv de management al sistemului de prestare a serviciilor publice;
3) avertizări privind funcţiile şi privilegiile care urmează să fie controlate într-un mediu inofensiv de procesare a informaţiei;
4) descrierea tuturor parametrilor securităţii controlaţi de administrator, cu specificarea, în caz de necesitate, a valorilor inofensive ale parametrilor;
5) descrierea tuturor presupunerilor privind comportamentul utilizatorului, care au legătură cu exploatarea inofensivă a sistemului de prestare a serviciilor publice;
6) descrierea evenimentelor posibile legate de securitate şi de exercitarea funcţiilor obligatorii de management;
- cerinţe privind manualul utilizatorului, care trebuie să:
1) conţină descrierea funcţiilor şi interfeţelor accesibile utilizatorilor;
2) conţină descrierea mijloacelor aplicate de asigurare a securităţii şi controlului accesibile utilizatorilor, precum şi descrierea modalităţii de utilizare a acestora;
3) conţină avertizări privind funcţiile şi privilegiile accesibile utilizatorilor;
4) fie expuse într-o manieră exactă toate obligaţiile utilizatorilor necesare pentru exploatarea inofensivă a sistemului de prestare a serviciilor publice;
- cerinţe privind instalarea software-ului:
1) instituţia exploatatoare trebuie să stabilească şi să aplice reguli bine definite privind instalarea software-ului de către utilizatori;
2) trebuie să fie identificate tipurile de software permise şi interzise pentru a fi instalate de către utilizatori;
- cerinţe privind utilizarea software-ului:
1) în procesul utilizării software-ului şi a documentaţiei aferente acestuia trebuie să fie respectate acordurile cu producătorii şi cerinţele legislaţiei naţionale în vigoare cu privire la dreptul de autor;
2) instituţia exploatatoare trebuie să dispună de un sistem de control al copierii şi distribuirii software-ului şi a documentaţiei aferente acestuia în conformitate cu licenţele obţinute.
7.2. Profilul de protecţie „Protecţie prin marcare”
Profilul de protecţie „Protecţie prin marcare” este destinat pentru managementul accesului care permite limitarea acţiunilor anumitor utilizatori şi a accesului la resursele şi sistemele informaţionale şi stabileşte ansamblul de cerinţe funcţionale şi cerinţe de încredere pentru SI de prestare a serviciilor publice.
În cazul „Protecţiei prin marcare” trebuie să fie aplicate două clase de mecanisme de management al accesului, care permit utilizatorilor individuali să determine modul de utilizare în comun a resurselor şi sistemelor informaţionale (de exemplu, fişiere, cataloage) în condiţiile managementului realizat de către aceşti utilizatori, şi care impun restricţii privind utilizarea resurselor şi sistemelor în rîndurile utilizatorilor.
Scopurile securităţii profilului de protecţie „Protecţie prin marcare” include toate scopurile profilului de protecţie „Acces controlat”, precum şi următoarele scopuri:
- acordarea tuturor funcţiilor şi posibilităţilor pentru susţinerea administratorilor autorizaţi care sînt responsabili de managementul securităţii în procesul de prestare a serviciilor publice;
- proiectarea şi realizarea astfel încît să fie asigurată realizarea politicii de securitate a instituţiei într-un mediu prestabilit, ţinîndu-se cont de cerinţele privind securitatea fizică şi de cerinţele privind personalul.
Cerinţele de securitate la prestarea serviciilor publice ale profilului de securitate „Protecţie prin marcare” trebuie să fie divizate în cerinţe funcţionale şi cerinţele de încredere, care contribuie la realizarea scopurilor acestui profil de securitate. Cerinţele funcţionale ale profilului de protecţie „Protecţie prin marcare” coincid parţial cu cerinţele profilului de protecţie „Acces controlat”, iar cerinţele de încredere coincid cu profilul de protecţie „Acces controlat”.
7.2.1. Cerinţe funcţionale pentru profilul de protecţie „Protecţie prin marcare”
Cerinţele funcţionale ale profilului de protecţie „Protecţie prin marcare” coincid cu cerinţele profilului de protecţie „Acces controlat”, care trebuie să fie completate cu următoarele:
- cerinţe faţă de exportul datelor utilizatorului fără atribute de securitate:
1) trebuie realizată politica de management al accesului prin mandat în cazul exportului datelor „nemarcate” ale utilizatorului;
2) dispozitivele utilizate pentru exportul datelor fără atribute de securitate nu trebuie să fie utilizate pentru a exporta date cu atribute de securitate;
- cerinţe faţă de exportul datelor utilizatorului cu atribute de securitate:
1) în cazul de export al datelor utilizatorului peste limite, atributele de securitate trebuie să fie asociate univoc cu datele exportate „marcate” ale utilizatorului;
2) dispozitivele utilizate pentru exportul datelor cu atribute de securitate nu pot fi utilizate pentru exportul datelor fără atribute de securitate;
- trebuie să fie realizată politica de management al accesului prin mandat pentru subiecţi şi obiecte şi al tuturor operaţiilor între subiecţi şi obiecte;
- cerinţe privind atributele de securitate ierarhice:
1) trebuie realizată politica de management prin mandat al accesului, bazată pe următoarele tipuri de atribute de securitate a subiecţilor şi informaţiei: menţiunea privind sensibilitatea subiectului şi menţiunea privind sensibilitatea obiectului ce conţine informaţii;
2) fluxul informaţional dintre subiectul gestionat şi informaţie trebuie să fie permis: dacă menţiunea privind sensibilitatea subiectului este mai mare decît sau este egală cu menţiunea privind sensibilitatea obiectului, atunci este permis fluxul informaţional de la obiect la subiect (operaţia de citire); dacă menţiunea privind sensibilitatea obiectului este mai mare decît sau este egală cu menţiunea privind sensibilitatea subiectului, atunci este permis fluxul informaţional de la subiect la obiect (operaţia de înregistrare); dacă menţiunea privind sensibilitatea subiectului A este mai mare decît sau este egală cu menţiunea privind sensibilitatea subiectului B, atunci este permis fluxul informaţional de la subiectul B la subiectul A;
- cerinţe privind anularea drepturilor de acces:
1) trebuie să existe posibilitatea anulării imediate a împuternicirilor importante pentru securitate;
2) drepturile de acces asociate cu obiectul trebuie să fie activate după verificareа accesului;
- pe lîngă rolurile indicate mai sus, este necesar de a susţine utilizatorii împuterniciţi prin politica de management al accesului prin mandat de a modifica atributele de securitate ale obiectului informaţional.
7.3. Profilul de protecţie „Sisteme operaţionale”
Profilul de protecţie „Sisteme operaţionale” stabileşte cerinţele securităţii pentru sistemele operaţionale de destinaţie comună în procesul de prestare a serviciilor publice, care conţin de regulă sisteme de fişiere, servicii de imprimare, servicii de reţea, servicii de arhivare a datelor şi alte aplicaţii asigurate de host (de exemplu, poşta electronică, bazele de date). Sistemele operaţionale care corespund cerinţelor acestui profil susţin medii în care poate fi procesată informaţia confidenţială. Profilul de protecţie „Sisteme operaţionale” asigură managementul accesului discreţionar, ceea ce înseamnă că subiectul care deţine o anumită permisiune de acces are posibilitatea de a transmite această permisiune oricărui alt subiect.
Managementul accesului la toate datele şi resursele informaţionale protejate trebuie să fie realizat în baza identificatorului. Pentru toţi utilizatorii trebuie să fie desemnaţi identificatori unici. Acest identificator trebuie să asigure responsabilitatea utilizatorului. Trebuie să fie confirmată autenticitatea identificatorului declarat al utilizatorului înainte de obţinerea permisiunii de către utilizator de a executa orice acţiuni.
Particularităţile specifice ale securităţii, care sînt necesare pentru astfel de sisteme trebuie să includă:
- identificarea şi autentificarea: utilizatorii autorizaţi trebuie să fie identificaţi şi autentificaţi înainte de accesul la informaţia păstrată în sistemul de prestare a serviciilor publice;
- managementul accesului discreţionar oferă utilizatorilor autorizaţi posibilitatea de a determina protecţia pentru fişierele de date pe care aceştia le creează;
- serviciile de audit, care oferă posibilitate administratorilor împuterniciţi, trebuie să depisteze şi să analizeze încălcările potenţiale ale securităţii.
Scopurile securităţii profilului de protecţie „Sisteme operaţionale” sînt:
- sistemul operaţional trebuie să asigure obţinerea accesului la ea şi la resursele informaţionale pe care le gestionează doar de către utilizatorii autorizaţi;
- sistemul trebuie să reprezinte informaţia legată de tentativele anterioare de a stabili o şedinţă;
- sistemul operaţional trebuie să ofere posibilitatea de a depista şi de a înregistra evenimentele semnificative pentru securitate în procesul de prestare a serviciilor publice, asociate cu utilizatorii individuali; trebuie să ofere posibilitatea de a proteja şi de a vizualiza selectiv informaţia de audit asociată cu utilizatorii individuali;
- sistemul operaţional trebuie să gestioneze accesul la resurse în baza identificatorilor utilizatorilor sau ai grupurilor de utilizatori;
- sistemul operaţional trebuie să ofere utilizatorilor împuterniciţi posibilitatea de a stabili tipul de resurse informaţionale şi utilizatorii sau grupurile de utilizatori care pot obţine acces;
- sistemul operaţional trebuie să fie setat şi instalat prin metoda care susţine securitatea sistemului de prestare a serviciilor publice;
- sistemul operaţional trebuie să ofere mijloace pentru protecţia datelor utilizatorului şi a resurselor;
- nici un utilizator nu trebuie să-i blocheze pe ceilalţi utilizatori în caz de apelare la resursele informaţionale;
- sistemul operaţional trebuie să fie supus unei testări independente care să includă scenarii de testare şi rezultate;
- sistemul operaţional trebuie să verifice identificatorul declarat al utilizatorului;
- în sistemul operaţional utilizatorii trebuie să se identifice o singură dată.
Cerinţele de securitate în procesul de prestare a serviciilor publice ale profilului de protecţie „Sisteme operaţionale” trebuie să fie divizate în cerinţe funcţionale şi cerinţele de încredere care contribuie la realizarea scopurilor acestui profil de securitate.
7.3.1. Cerinţe funcţionale pentru profilul de protecţie „Sisteme operaţionale”
Cerinţele funcţionale pentru profilul de protecţie „Sisteme operaţionale” coincid cu anumite cerinţe ale profilului de protecţie „Protecţie prin marcare”, care urmează a fi completate cu următoarele:
- trebuie să existe posibilitatea determinării regimului de executare, deconectare, conectare, modificării regimului de executare a funcţiilor privind selectarea evenimentelor supuse auditării;
- trebuie să existe posibilitatea protejării datelor contra revelării şi modificării în procesul de transmitere a lor între porţiunile divizate ale SI;
- trebuie să fie asigurată concordanţa datelor la dublarea lor în diverse porţiuni ale SI de prestare a serviciilor publice;
- cerinţe privind autotestarea:
1) trebuie să fie realizat un pachet de programe de autotestare la lansare sau la solicitarea administratorului autorizat pentru demonstrarea executării corecte;
2) trebuie să existe posibilitatea la administratorii autorizaţi de a verifica integritatea datelor şi a codului executat păstrat;
- trebuie să realizeze cotele maxime ale următoarelor procese: procentul de memorie a spaţiului de disc şi procentul de memorie de sistem, pe care utilizatorii individuali le pot utiliza în orice timp stabilit;
- trebuie să fie furnizat traseul de comunicaţii dintre sine şi utilizatorii locali care este diferit din punct de vedere logic de alte trasee de comunicaţii şi asigură o identificare certă a părţilor sale terminale, precum şi protecţia datelor transmise contra modificării sau revelării.
7.3.2. Cerinţe de încredere a securităţii pentru profilul de protecţie „Sisteme operaţionale”
Cerinţele de încredere a securităţii profilului de protecţie „Sisteme operaţionale” coincid cu cerinţele de acelaşi gen ale profilului de protecţie „Protecţie prin marcare”, care urmează a fi completate cu următoarele:
- cerinţe privind testareа:
1) elaboratorul trebuie să testeze funcţiile SI de prestare a serviciilor publice şi să documenteze rezultatele;
2) documentaţia de testare trebuie să fie constituită din planuri şi descrieri ale procedurilor de testare, precum şi ale rezultatelor preconizate şi reale ale testării;
3) planurile de testare trebuie să identifice funcţiile verificate ale securităţii şi să conţină descrierea scopurilor testării;
4) rezultatele testelor executate de elaborator trebuie să demonstreze că fiecare funcţie verificată a securităţii a fost îndeplinită cu succes;
- trebuie să fie identificate toate regimurile posibile de exploatare a sistemului de prestare a serviciilor publice, inclusiv acţiunile de după deranjament sau eroare în funcţionare, consecinţele şi importanţa acestora pentru asigurarea unei exploatări inofensive; documentaţia trebuie să demonstreze pentru toate punctele vulnerabile identificate faptul că nici unul dintre acestea nu poate fi utilizat în sistemul de prestare a serviciilor.
Exemple de pericole pentru profilul de protecţie „Sisteme operaţionale” sînt prezentate în anexa nr.1.
7.4. Profilul de protecţie „Sisteme operaţionale cu un singur nivel”
Sistemele operaţionale care corespund cerinţelor acestui profil susţin mediile în care pot fi procesate datele cu un singur nivel în procesul de prestare a serviciilor publice. Acest profil trebuie să asigure managementul accesului discreţionar şi să furnizeze servicii criptografice. Pentru crearea sistemului de prestare a serviciilor publice pentru acest profil de protecţie este necesar de utilizat hardware-ul şi software-ul sau combinarea lor pentru realizarea serviciilor criptografice. Serviciile criptografice trebuie să asigure un nivel corespunzător de posibilităţi funcţionale şi încredere în atingerea scopurilor de asigurare a securităţii informaţionale. Trebuie utilizate mijloacele de protecţie criptografică certificate. Profilul „Sisteme operaţionale cu un singur nivel” este utilizat pentru sistemele cu destinaţie comună cu un număr mare de utilizatori, ceea ce convine sistemului de prestare a serviciilor publice.
Scopurile profilului de protecţie „Sisteme operaţionale cu un singur nivel” includ obiective identice cu cele ale profilului de protecţie „Sisteme operaţionale”, precum şi următoarele scopuri:
- sistemul operaţional trebuie să funcţioneze susţinînd securitatea SI de prestare a serviciilor publice;
- sistemul operaţional trebuie să furnizeze mecanisme criptografice de asigurare a integrităţii datelor în procesul de transmitere a lor către porţiunile îndepărtate ale SI.
Cerinţele securităţii în procesul de prestare a serviciilor ale profilului de protecţie „Sisteme operaţionale cu un singur nivel” trebuie să fie divizate în cerinţe funcţionale şi cerinţe de încredere, care contribuie la realizarea scopurilor acestui profil de securitate.
7.4.1. Cerinţe funcţionale pentru profilul de protecţie „Sisteme operaţionale cu un singur nivel”
Cerinţele funcţionale pentru profilul de protecţie „Sisteme operaţionale cu un singur nivel” coincid cu anumite cerinţe ale profilului de protecţie „Sisteme operaţionale”, care trebuie să fie completate cu următoarele:
- cerinţe privind managementul mijloacelor de protecţie criptografică:
1) trebuie generate chei criptografice simetrice şi asimetrice conform algoritmului stabilit de generare a cheilor criptografice;
2) la fiecare cheie simetrică generată trebuie să fie adăugată suma de control a altui algoritm atestat;
3) toate certificatele cheilor publice generate trebuie să corespundă cerinţelor legislaţiei naţionale în vigoare;
4) cheile criptografice trebuie să fie distribuite în conformitate cu metoda stabilită de distribuire: metoda manuală (fizică), metoda automată (electronică);
5) trebuie să fie asigurată păstrarea cheilor numai în formă cifrată în conformitate cu cerinţele legislaţiei naţionale în vigoare;
6) cheile criptografice trebuie să fie distruse conform metodei de distrugere a cheilor criptografice care corespunde cerinţelor legislaţiei naţionale în vigoare, iar lichidarea întregului text public al cheilor criptografice şi a tuturor altor parametri critici ai securităţii în limitele dispozitivului trebuie să fie imediată şi totală;
- trebuie efectuate operaţiile de cifrare/descifrare a datelor, calculare a semnăturii digitale criptografice, operaţiile de hashing, operaţiile de schimb de chei criptografice în conformitate cu legislaţia în vigoare;
- trebuie adăugat rolul de administrator al mijloacelor de protecţie criptografică a informaţiei;
- trebuie susţinut domenul criptografic, care este separat de cealaltă porţiune şi este protejat contra intruziunilor şi denaturărilor din partea subiecţilor neautorizaţi.
7.4.2. Cerinţe de încredere a securităţii pentru profilul de protecţie „Sisteme operaţionale cu un singur nivel”
Cerinţele de încredere a securităţii pentru profilul de protecţie „Sisteme operaţionale cu un singur nivel”, utilizate în procesul de prestare a serviciilor publice, trebuie să includă analiza punctelor vulnerabile/testul de intruziune, cerinţe privind elaborarea şi analiza canalelor secrete pentru criptografie.
Cerinţele de încredere a securităţii pentru profilul de protecţie „Sisteme operaţionale cu un singur nivel” coincid cu cerinţele de acelaşi gen ale profilului de protecţie „Sisteme operaţionale”, care trebuie completate cu următoarele:
- modulul criptografic trebuie să fie proiectat şi structurat astfel încît să fie separat de celelalte procese;
- trebuie stabilite porturile fizice/logice ale modulului criptografic;
- cerinţe privind înlăturarea deficienţelor:
1) trebuie stabilită procedura de recepţionare şi prelucrare a mesajelor utilizatorilor despre deficienţele securităţii şi a solicitărilor de remediere;
2) procedurile de înlăturare a deficienţelor trebuie să conţină descrierea procedurilor de monitorizare a tuturor deficienţelor de securitate devenite publice, în procesul de prestare a serviciilor publice;
3) procedurile de înlăturare a deficienţelor trebuie să conţină descrierea naturii şi manifestărilor fiecărei deficienţe de securitate, precum şi a statutului de finalizare a remedierii deficienţei respective.
- cerinţe privind analiza canalelor secrete ale modulului criptografic:
1) pentru modulul criptografic trebuie efectuată căutarea canalelor secrete de scurgere a parametrilor critici ai securităţii;
2) documentarea analizei trebuie să identifice canalele secrete din modulul criptografic şi să conţină evaluarea capacităţii de transmitere;
3) documentaţia analizei trebuie să conţină descrierea celei mai periculoase variante de scenariu de utilizare a fiecărui canal secret identificat;
4) trebuie să existe confirmarea faptului că rezultatele analizei canalelor secrete demonstrează corespunderea modulului criptografic cu cerinţele funcţionale.
Exemple de pericole pentru profilul de protecţie „Sisteme operaţionale cu un singur nivel” sînt prezentate în anexa nr. 2.
7.5. Profilul de protecţie „Sisteme operaţionale cu multe niveluri”
Sistemele operaţionale ce corespund cerinţelor acestui profil susţin medii în care pot fi procesate date cu multe niveluri în procesul de prestare a serviciilor publice. Sistemele acestui profil de protecţie trebuie să asigure managementul accesului discreţionar, managementul accesului prin mandat, managementul integrităţii prin mandat şi să furnizeze servicii criptografice. Toţi utilizatorii trebuie să deţină un nivel asociat de acces, care să determine nivelul maxim al sensibilităţii resurselor şi sistemelor informaţionale la care aceştia pot recurge.
Scopurile sistemului operaţional al profilului de protecţie „Sisteme operaţionale cu multe niveluri” includ scopuri identice cu cele ale profilului de protecţie „Sisteme operaţionale cu un singur nivel” şi suplimentar scopul: sistemul operaţional trebuie să gestioneze accesul la resurse, care este bazat pe nivelul accesului utilizatorilor şi resurselor, precum şi nivelul integrităţii resurselor şi nivelul drepturilor utilizatorilor la modificarea datelor.
Cerinţele securităţii în procesul de prestare a serviciilor publice ale profilului de protecţie „Sisteme operaţionale cu multe nivele” trebuie să fie divizate în cerinţe funcţionale şi cerinţe de încredere, care contribuie la realizarea scopurilor acestui profil de protecţie. Cerinţele de încredere ale securităţii acestui profil coincid cu cerinţele de încredere ale securităţii profilului „Sisteme operaţionale cu un singur nivel”.
7.5.1. Cerinţe funcţionale pentru profilul de protecţie „Sisteme operaţionale cu multe niveluri”
Cerinţele funcţionale pentru profilul de protecţie „Sisteme operaţionale cu multe niveluri” coincid cu cerinţele funcţionale ale profilului de protecţie „Sisteme operaţionale cu un singur nivel”, care urmează să fie completate cu cerinţele privind gestionarea totală a fluxurilor informaţionale:
- pentru toate operaţiile de transmitere a informaţiei gestionate către subiecţii gestionaţi trebuie realizată politica de management a accesului prin mandat;
- dacă menţiunea sensibilităţii subiectului este mai mare decît sau este egală cu menţiunea privind sensibilitatea obiectului, atunci este permis fluxul de informaţii de la obiect către subiect (operaţia de citire);
- dacă menţiunea sensibilităţii obiectului este mai mare decît sau este egală cu menţiunea privind sensibilitatea subiectului, atunci este permis fluxul de informaţii de la subiect la obiect (operaţia înregistrării).
Exemple de pericole pentru profilul de protecţie „Sisteme operaţionale cu multe niveluri” sînt prezentate în anexa 3.
7.6. Profilul de protecţie „Sisteme de management al bazelor de date”
Profilul de protecţie „Sisteme de management al bazelor de date” stabileşte cerinţele securităţii pentru sistemele de management al bazelor de date în cadrul instituţiilor care prestează servicii publice, unde există cerinţe pentru protecţia confidenţialităţii, integrităţii şi accesibilităţii informaţiei păstrate în bazele de date. Revelarea, modificarea nesancţionată sau refuzul de a deservi o astfel de informaţie poate avea o influenţă nefavorabilă asupra procesului de prestare a serviciilor publice şi asupra funcţionării însăşi a instituţiei.
Acest profil de protecţie trebuie să stabilească:
- totalitatea cerinţelor de bază care trebuie respectate de toate bazele de date;
- totalitatea pachetelor cu datele de autentificare ce reprezintă mijloace de confirmare a autenticităţii utilizatorului.
Scopurile profilului de protecţie „Sisteme de management al bazelor de date” sînt următoarele:
- prevenirea dezvăluirii, introducerii, modificării sau distrugerii neautorizate a datelor şi obiectelor din bazele de date (fişiere, cataloage, inclusiv programe, biblioteci de programe de lucru, fişiere ale bazei de date, fişiere exportate, fişiere ale înregistrării repetate, fişiere gestionate, fişiere cu trasare şi fişiere cu dump), precum şi prevenirea vizualizării bazei de date, gestionării datelor şi a auditului datelor din baza de date;
- acordarea mijloacelor de gestionare utilizînd resursele informaţionale ale bazei de date de către utilizatorii autorizaţi;
- acordarea mijloacelor de identificare/autentificare a utilizatorilor pentru confirmarea sigură a autenticităţii utilizatorilor;
- acordarea mijloacelor de înregistrare detaliată a evenimentelor semnificative pentru securitate.
Cerinţele de securitate în procesul prestării serviciilor publice ale profilului de protecţie „Sisteme de management al bazelor de date” trebuie să fie divizate în cerinţe funcţionale şi cerinţe de încredere, care contribuie la realizarea scopurilor acestui profil de securitate.
7.6.1. Cerinţe funcţionale pentru profilul de protecţie „Sisteme de management al bazelor de date”
Cerinţele funcţionale pentru profilul de protecţie „Sisteme de management al bazelor de date” în procesul de prestare a serviciilor publice trebuie să includă:
- fiecare eveniment care poate fi supus auditului bazei de date trebuie să se asocieze cu identificatorul utilizatorului bazei de date, care a fost iniţiatorul evenimentului respectiv;
- managementul accesului trebuie să fie realizat pentru subiecţi, obiecte şi operaţiile bazei de date;
- pentru fiecare utilizator al bazei de date trebuie să se menţină următoarea listă de atribute ale securităţii: identificatorul utilizatorului bazei de date şi privilegiile de acces la obiectul din baza de date;
- fiecare utilizator al bazei de date trebuie să fie identificat cu succes înainte de permiterea oricărei alte acţiuni în numele utilizatorului respectiv;
- trebuie să existe o limitare a posibilităţilor de efectuare a operaţiilor cu date de către utilizatorii autorizaţi ai bazelor de date;
- trebuie menţinute următoarele roluri: utilizator administrativ al bazei de date şi utilizator al bazei de date;
- trebuie menţinut domenul securităţii pentru executare proprie, care protejează datele contra intruziunilor şi denaturărilor din partea subiecţilor neautorizaţi ai bazei de date;
- numărul maxim al şedinţelor paralele cu baza de date, acordate aceluiaşi utilizator al bazei de date, trebuie să fie limitat şi stabilit în prealabil.
- trebuie să existe posibilitatea acordării refuzului de a deschide şedinţa cu baza de date utilizatorului, bazîndu-se pe drepturile lui;
- cerinţe privind autentificarea cu mijloacele bazei de date:
1) trebuie depistate tentativele eşuate de autentificare cu ajutorul mijloacelor bazei de date;
2) parolele bazei de date trebuie să corespundă cerinţelor legislaţiei în vigoare.
7.6.2. Cerinţe de încredere a securităţii pentru profilul de protecţie „Sisteme de management al bazelor de date”
Cerinţele de încredere a securităţii pentru profilul de protecţie „Sisteme de management al bazelor de date” trebuie să includă cerinţele de bază:
- sistemul trebuie să identifice şi să autentifice utilizatorii înainte de acordarea accesului la orice resurse, sisteme şi mijloace informaţionale;
- sistemul trebuie să furnizeze mecanisme de management al accesului pentru realizarea scopurilor fixate;
- sistemul trebuie să furnizeze mecanisme de audit şi mijloace instrumentale de gestionare a auditului în vederea susţinerii SI de prestare a serviciilor;
- sistemul trebuie să furnizeze o copie de rezervă, să asigure capacitatea de returnare la starea de lucru şi alte mecanisme sigure de restabilire.
Exemple de pericole pentru profilul de protecţie „Sisteme de management al bazelor de date” sînt prezentate în anexa nr. 4.
Anexa nr.1
Pericolele securităţii
ale profilului de protecţie „Sisteme operaţionale”
ale profilului de protecţie „Sisteme operaţionale”
|
Pericolele securităţii
|
|
1. Erori în proiectul sistemelor operaţionale
|
|
2. Erori în realizarea sistemelor operaţionale
|
|
3. Erori de documentare
|
|
4. Acţiuni eronate ale administratorului, care încalcă politica de securitate a informaţiei a sistemelor operaţionale
|
|
5. Acţiuni eronate ale utilizatorului, care duc la încălcarea politicii de securitate a informaţiei a sistemelor operaţionale
|
|
6. Deficienţă (refuz) a (al) sistemelor operaţionale
|
Anexa nr. 2
Pericolele securităţii
ale profilului de protecţie „Sisteme operaţionale
cu un singur nivel”
ale profilului de protecţie „Sisteme operaţionale
cu un singur nivel”
|
Pericolele securităţii |
|
1. Administrarea incorectă poate duce la încălcarea proprietăţilor caracteristice ale securităţii. |
|
2. Deteriorarea sau pierderea datelor auditului |
|
3. Deteriorarea sau pierderea datelor configuraţiei sau a altor date încredinţate. |
|
4. Atacuri care conduc la refuzul de deservire.
|
|
5. Accesul neautorizat al utilizatorului neautorizat sau autorizat la datele aflate în tranzit, care sunt transmise sau recepţionate de sistemul operaţional |
|
6. Instalarea incorectă a sistemului operaţional, ceea ce poate duce la încălcarea securităţii |
|
7. Restartarea poate conduce la o stare periculoasă a sistemului operaţional. |
|
8. Sistemele nu pot transmuta în mod adecvat datele din obiecte, care sunt utilizate în comun de diferiţi utilizatori, în procesul de eliberare şi utilizare ulterioară a resurselor. |
|
9. Erorile ocazionale sau premeditate în specificaţiile cerinţelor, în proiect sau în procesul elaborării sistemului operaţional |
|
10. Erorile ocazionale sau premeditate în procesul realizării proiectului sistemului operaţional |
|
11. Comportamentul incorect al sistemului poate fi rezultatul incapacităţii de a stabili faptul că toate funcţiile şi interacţiunile sistemului operaţional sunt corecte. |
|
12. Intrusul poate primi accesul repetând informaţia de autentificare |
|
13. Utilizatorii autorizaţi pot considera în mod greşit că menţin legătura cu sistemul operaţional, pe când aceştia de fapt menţin legătura cu o entitate nocivă care pretinde că reprezintă un sistem operaţional |
|
14. Accesul ilegal al intrusului la înregistrarea de evidenţă a administratorului sau la înregistrarea de evidenţă a altei persoane din rândurile personalului împuternicit |
|
15. La şedinţa rămasă fără supraveghere poate fi obţinut un acces neautorizat |
|
16. Accesul neautorizat al utilizatorilor neautorizaţi şi autorizaţi la datele sistemului informaţional |
|
17. Modificarea sau utilizarea neautorizată a atributelor sistemului operaţional şi ale resurselor |
|
18. Deficienţa sistemului operaţional în caz de depistare şi înregistrare a acţiunilor neautorizate |
|
19. Refuzul sistemului la tentativele administratorului de a identifica acţiunile neautorizate şi de acţiona asupra lor |
|
20. După deranjamentul sistemului operaţional starea securităţii poate fi necunoscută. |
|
21. Pierderea sau deteriorarea datelor utilizatorului de către alţi utilizatori |
Anexa nr. 3
Pericolele securităţii
ale profilului de securitate „Sisteme operaţionale
cu multe niveluri”
Pericolele securităţii includ pericolele securităţii ale profilului de protecţie „Sisteme operaţionale cu un singur nivel” şi pericolele securităţii indicate în tabel.ale profilului de securitate „Sisteme operaţionale
cu multe niveluri”
|
Pericolele securităţii |
|
1. Entitatea, care operează la un calculator în reţea, poate să-şi schimbe aparenţa în această reţea, preluând aparenţa unei entităţi care operează la un alt calculator |
|
2. Accesul neautorizat al utilizatorilor la datele „marcate” deoarece sistemele nu pot diviza în mod adecvat datele în baza menţiunilor pe care acestea le comportă |
Anexa 4
Pericolele securităţii
ale profilului de securitate „Sisteme de management
a bazelor de date”
ale profilului de securitate „Sisteme de management
a bazelor de date”
|
Pericolele securităţii |
|
1. Accesul neautorizat la baza de date
|
|
2. Accesul neautorizat la informaţia din baza de date
|
|
3. Utilizarea excesivă a resurselor bazei de date
|
|
4. Utilizarea incorectă a privilegiilor utilizatorilor bazei de date
|
|
5. Pierderea sau distrugerea datelor de management a bazei de date sau a datelor auditului în rezultatul întreruperilor inopinate în procesul funcţionării obiectelor din sistem |
Anexa nr. 4
la Ordinul nr. 94
din 17 09 2009
la Ordinul nr. 94
din 17 09 2009
REGLEMENTARE TEHNICĂ
Determinarea costului de elaborare şi implementare
a sistemelor informaţionale automatizate.
Normativele şi estimаrеа cheltuielilor de lucru
1 Domeniu de aplicareDeterminarea costului de elaborare şi implementare
a sistemelor informaţionale automatizate.
Normativele şi estimаrеа cheltuielilor de lucru
Prezenta reglementare stabileşte principiile generale pentru determinarea costului de elaborare şi implementare a sistemelor informaţionale automatizate (în continuare - sisteme informaţionale (SI)). În prezenta reglementare sînt stabilite procesele, lucrările şi sarcinile care sînt folosite la determinarea costului de elaborare şi implementare a SI, fără stabilirea detaliilor privind realizarea sau îndeplinirea lucrărilor şi sarcinilor.
Prezenta reglementare propune metodologia de formare a costului SI, descrie componentele de bază ale costului SI, propune o metodă de determinare a costului componentelor SI, inclusiv de elaborare şi implementare a SI.
Prezenta reglementare este folosită pentru formarea sau estimarea costului SI. Reglementarea este destinată: clienţilor SI, produselor şi serviciilor software; furnizorilor, elaboratorilor şi administratorilor SI; managerilor de proiecte; managerilor responsabili de calitate şi utilizatorilor produselor software.
În prezenta reglementare este stabilit setul de procese, lucrări şi sarcini destinate adaptării la condiţiile unor proiecte concrete în domeniul de implementare a SI.
2 Baza normativ-legislativă
Prezenta reglementare este alcătuită în baza prevederilor următoarelor acte legislative ale Republicii Moldova:
1) Legea Republicii Moldova privind accesul la informaţie nr. 982-XIV din 11.05.2000;
2) Legea Republicii Moldova cu privire la informatizare şi resursele informaţionale de stat nr. 467–XV din 21.11.2003;
3) Legea Republicii Moldova cu privire la documentul electronic şi semnătura digitală nr. 264-XV din 15.07.2004;
4) Legea Republicii Moldova privind comerţul electronic nr. 284-XV din 22.07.2004;
5) Legea Republicii Moldova privind activitatea de reglementare tehnică nr.420-XVI din 22.12.2006;
6) Legea Republicii Moldova cu privire la protecţia datelor cu caracter personal nr. 17-XVI din 15.02.2007;
7) Legea Republicii Moldova cu privire la registre nr. 71-XVI din 22.03.2007;
8) Legea Republicii Moldova privind achiziţiile publice nr. 96 din 13.04.2007.
3 Terminologie
Componenta produsului de program — parte identificabilă şi cuprinzătoare a produsului de program, de exemplu, procedură de program, compartiment sau alineat al documentului, documentul integral.
Divizarea structurală a lucrărilor — structurarea ierarhică a lucrărilor proiectului, orientată spre rezultatele de bază ale proiectului, care îi determină domeniul de obiect. Fiecare nivel inferior al structurii constituie o detaliere a elementului nivelului superior al proiectului. Element al proiectului poate fi un produs, serviciu, precum şi un pachet de lucrări sau o lucrare.
Hardware — echipamentul folosit pentru introducerea, procesarea şi extragerea datelor din sistemele informaţionale.
Modelul ciclului de viaţă — structură compusă din procesele, lucrările şi sarcinile implicate în elaborarea, exploatarea şi mentenanţa produsului de program care cuprinde viaţa sistemului de program începînd cu stabilirea cerinţelor faţă de acesta pînă la încetarea utilizării sale.
Monitorizare — procesul de colectare, analiză a datelor, prezentare a rapoartelor privind executarea lucrărilor.
Sarcină tehnică — document folosit de client în calitate de mijloc pentru descrierea şi fixarea sarcinilor executate la realizarea contractului.
Tehnologie comunicaţională — echipamentul şi software-ul care servesc pentru legătura dintre elementele separate ale sistemelor informaţionale şi transmiterea „fizică” a datelor.
4 Conţinutul sistemului informaţional
SI reprezintă o totalitate organizatoric-aranjată de resurse informaţionale, tehnologii informaţionale, echipament şi mijloace de comunicare ce permite colectarea, păstrarea, procesarea şi utilizarea informaţiei.
SI constă din următoarele componente de bază:
1) software reprezintă totalitatea informaţiei, datelor şi programelor ce sînt procesate de sistemele computerizate;
2) asigurarea informaţională reprezintă asigurarea cu date faptice ale structurilor de administrare, utilizarea datelor informaţionale pentru sistemele automatizate de administrare, folosirea informaţiei pentru asigurarea activităţii diferiţilor consumatori;
3) hardware reprezintă un complex de dispozitive electronice, electrice şi mecanice ce fac parte din sistem sau reţea;
4) personalul de deservire.
4.1. Software
Software reprezintă totalitatea de programe ale sistemelor de procesarea informaţiei şi documentelor de program, necesare pentru exploatarea programelor acesteia, clasificîndu-se în următoarele:
1) software de sistem – un set de programe care gestionează componentele SI, cum sînt procesorul, dispozitivele comunicaţionale şi periferice, precum şi programele destinate asigurării funcţionării şi capacităţii de funcţionare a întregului sistem:
- sistemele operaţionale cu destinaţie generală, de timp real, de reţea, incorporabile;
- încărcătorul sistemului operaţional;
- driver-ele dispozitivelor;
- programele capabile să realizeze transformarea fluxului de date sau a semnalului;
- utilite;
2) mijloacele software de protecţie - includ programe pentru identificarea utilizatorilor, controlul accesului, criptarea informaţiei, ştergerea informaţiei reziduale (de lucru) de tipul fişierelor temporare, controlul de testare a sistemului de protecţie. Mijloacele software de protecţie sînt:
- gateway criptice;
- mijloacele de autentificare;
- mijloacele de monitorizare şi audit;
- scanerele gradului de protecţie;
- mijloacele de delimitare a accesului;
- sistemele de protecţie criptografică, criptare şi semnătură electronică digitală;
- programele antivirus şi antispam;
- ecrane între reţele;
3) software instrumental – programele destinate utilizării în procesul de proiectare, elaborare şi mentenanţă a SI. Include mijloacele de elaborare a software, sisteme de gestionare a bazelor de date, compilatoare, translatoare, generatoare;
4) software aplicativ include:
- aplicaţiile de birou: redactori de text, procesoare de text, procesoare de tabele, redactori de prezentări;
- SI corporative: programe de contabilitate, sisteme MRP (Material Requirement Planning), sisteme MRP II, sisteme ERP (Enterprise Resource Planning System), sisteme CRM (Customer relationship management), sisteme SCM (Supply Chain Management), sisteme de gestionare a proiectelor, sisteme de automatizare a circuitului documentelor, sisteme de gestionare a arhivelor documentelor, portalul corporativ;
- sisteme de proiectare şi producere: sisteme de proiectare automatizată (sisteme CAD Computer-Aided Design), sisteme CAE (Computer-aided engineering), sisteme CAM (Computer-aided manufacturing), sisteme PDM (Product Data Management), sisteme PLM (Product Lifecycle Management), sisteme automatizate de gestionare a procesului tehnologic;
- sisteme de suport logistic al produselor: sisteme de analiză a suportului logistic şi sisteme organizatorico-tehnice;
-sisteme de prelucrare şi păstrare a informaţiei medicale;
- software-ul ştiinţific;
- sisteme geoinformaţionale;
- sisteme de susţinere a luării deciziilor;
- clienţi pentru acces la serviciile Internet: poşta electronică, resursele Web, transmiterea momentană a mesajelor, canalele chat, telefonia IP, schimbul de fişiere P2P, difuzarea în torente, client-bancă;
- multimedia.
4.2. Asigurarea informaţională
Infrastructura SI include subsisteme organizatorice şi tehnologice, precum şi un complex de resurse de furnizare, cu ajutorul cărora sînt realizate atît sarcinile interne, cît şi cele externe de administrare şi organizare, în conformitate cu funcţiile stabilite de legislaţie.
SI asigură legătura subsistemelor în cadrul unei logici unice, a standardelor, „interfeţelor” şi utilizării în comun a resurselor informaţionale.
Resursele informaţionale includ:
1) bazele de date şi banca de date;
2) documentaţia de sistem;
3) ghidul utilizatorului;
4) materialele educaţionale;
5) procedurile operaţionale şi procedurile de suport;
6) planurile de asigurare a funcţionării neîntrerupte a organizaţiei;
7) procedurile de trecere la regimul de avarie.
În dependenţă de utilizare, resursele informaţionale de stat se împart în:
1) resurse informaţionale de stat de bază;
2) resurse informaţionale de stat departamentale;
3) resurse informaţionale de stat teritoriale.
Resursele informaţionale de stat de bază sînt resursele informaţionale destinate utilizării comune de către toate autorităţile administraţiei publice, persoanele juridice şi fizice, în limitele împuternicirilor acordate.
Resursele informaţionale de stat departamentale se formează şi sînt folosite de organele de specialitate ale administraţiei publice, deţinătoare ale acestor resurse. Resursele informaţionale departamentale conţin informaţia necesară pentru îndeplinirea de către organele menţionate a funcţiilor acestora, cu excepţia datelor destinate includerii în resursele informaţionale de bază.
Resursele informaţionale teritoriale se formează şi sînt utilizate de autorităţile administraţiei publice locale, deţinătoare ale acestor resurse. Resursele informaţionale teritoriale conţin date despre toate tipurile de obiecte geografice naturale şi artificiale, inclusiv potenţialul de resurse pe teritoriile administrate.
4.3. Hardware
Hardware sînt folosite în scop de instalare, menţinere şi stopare a conexiunii, precum şi în scop de asigurare a prelucrării semnalelor între echipamentul de date definitiv şi canalul de acces comun, şi includ:
1) calculatoare şi dispozitive logice;
2) dispozitive externe şi aparataj de diagnosticare;
3) resurse comunicaţionale;
4) dispozitive energetice;
5) baterii;
6) acumulatoare.
Resursele comunicaţionale sînt destinate gestionării proceselor de transmitere a informaţiei între alte sisteme şi includ:
1) comutatoare;
2) concentratoare;
3) routere;
4) ecrane între reţele;
5) adaptoare;
6) sisteme de cablare;
7) dispozitive de repetare, poduri.
Resursele comunicaţionale constituie un multiprocesor complex specializat, care trebuie să fie configurat, optimizat şi administrat.
5. Metodele de determinare a costului sistemelor informaţionale
La baza metodelor de determinare a costului SI se află modelul constructiv de cost (Constructive Cost Model – COCOMO), elaborat de către Barry Boehm şi aplicat pentru determinarea costului SI comerciale şi de stat. COCOMO II este adaptat la metodologiile moderne de elaborare a software-ului şi se potriveşte pentru toate modelele ciclului de viaţă al software-ului.
Modelul prezentat reprezintă unul din cele mai populare, deschise şi bine documentate modele matematice de evaluare a costului şi volumului de lucru pentru elaborarea software-ului. Pentru prelucrarea datelor statistice este folosită analiza lui Bayes, care oferă cele mai bune rezultate pentru proiectele de program incomplete şi ambigue.
Analiza lui Bayes constituie o abordare, care ia în consideraţie distribuirea probabilităţilor, bazată fie pe opinia subiectivă, fie pe astfel de date obiective precum rezultatele cercetării anterioare; poate fi folosită pentru cercetări unice şi pentru meta-analiză. Analiza lui Bayes utilizează teorema lui Bayes şi permite reevaluarea distribuirii cu luarea în consideraţie a rezultatelor cercetării, oferind următoarea distribuire, pe care se bazează concluziile statistice (evaluări punctiforme, intervale de încredere).
Modelul se bazează pe indicatori real măsurabili. Pentru evaluarea volumului de lucru şi costului proiectului, aceste date iniţiale trebuie să fie detaliate. La calcularea indicatorilor, modelul ia în consideraţie nivelul de maturitate a procesului de elaborare.
În prezentul document se prezintă abordarea formării costului SI la fiecare etapă a ciclului de viaţă. Abordarea este prezentată sub forma executării pe etape a lucrărilor, cu respectarea şirului de cerinţe enumerate mai jos.
6. Etapele de determinare a costului sistemelor informaţionale
Înainte de începerea etapelor de determinare a costului de elaborare şi implementare a SI, este necesar a parcurge etapa lucrărilor de anteproiect. Etapa lucrărilor de anteproiect începe de la conştientizarea iniţială a necesităţii de creare a unui SI nou sau de modificare a unui SI existent.
Această etapă reprezintă o perioadă de examinare iniţială, colectare de fapte şi analiză, examinare a legislaţiei în vigoare şi a structurii organizaţionale existente, examinare a SI analogice existente. Rezultatele etapei lucrărilor de anteproiect sînt concepţia sistemului şi propunere-business, care permit luarea deciziei – de a continua sau de a înceta realizarea SI.
Totuşi, în cazul în care este necesară introducerea unor sarcini suplimentare, trebuie să fie evaluată oportunitatea îndeplinirii lor.
În scop de determinare a costului elaborării şi implementării SI, este necesar de urmat consecutiv cîteva etape:
1) analiza şi specificarea cerinţelor faţă de SI - analiza cerinţelor funcţionale şi nefuncţionale, a cerinţelor faţă de interfeţele externe ale SI, faţă de hardware-ul, faţă de asigurarea securităţii informaţionale, determinarea arhitecturii hardware-ului, proiectarea software-ului, identificarea obiectelor şi ierarhia acestora;
2) determinarea unităţilor structurale şi a costului de livrare a software-ului şi a hardware-ului - determinarea livrărilor şi arendării hardware-ului şi software-ului;
3) estimarea mărimii segmentului de programare al SI - determinarea mărimii segmentului de programare al SI şi alcătuirea documentaţiei privind evaluarea volumului segmentului de programare;
4) estimarea volumului lucrărilor - identificarea riscurilor, a Divizării structurale a lucrărilor, calculul şi corectarea volumului de lucrări şi de cheltuieli de lucru pentru elaborarea software-ului;
5) cheltuielile de lucru pentru codificare şi testare - calcularea volumului de lucrări şi a cheltuielilor pentru codificare şi testare, calcularea duratei codificării şi testării, elaborarea planului de lucru pentru elaborarea SI şi a scenariilor de testare;
6) determinarea caracteristicilor calităţii SI - determinarea caracteristicilor cantitative, calitative, interne şi externe ale calităţii şi evaluarea calităţii SI;
7) calcularea costului SI - aprecierea costului total al proiectului;
8) determinarea influenţei riscurilor - evaluarea influenţei riscurilor, reglarea acesteia, precum şi reglarea cheltuielilor bazate pe evaluarea riscului;
9) confirmarea şi corectarea estimării costului riscurilor - evaluarea riscurilor efectuată de un grup independent de experţi, analiza datelor statistice, compararea evaluărilor riscurilor şi corectarea acestora;
10) implementarea SI - elaborarea planului şi sarcinilor de implementare, realizarea implementării depline a SI.
6.1. Analiza şi specificarea cerinţelor faţă de sistemul informaţional
Scopul analizei cerinţelor faţă de SI constă în elaborarea şi confirmarea cerinţelor funcţionale, nefuncţionale, a cerinţelor faţă de interfeţele externe şi securitatea sistemului, identificarea restricţiilor tehnice şi de program, care permit cea mai exactă estimare a costului SI.
Procesul de colectare şi analiză a cerinţelor constă din următoarele:
11) analiza şi modelarea detaliată a cerinţelor de program;
12) determinarea arhitecturii SI;
13) determinarea limitelor de realizare a SI;
14) determinarea arhitecturii hardware-ului, comunicaţiilor.
6.1.1. Analiza şi modelarea detaliată a cerinţelor de program
6.1.1.1. Cerinţele funcţionale
Cerinţele funcţionale descriu acţiunile pentru realizarea cărora este destinată aplicaţia şi pot fi exprimate sub formă de servicii, sarcini sau funcţii pe care aplicaţia trebuie să le îndeplinească.
Modelul cerinţelor determină un complex orientat de interacţiuni între participanţii externi şi sistemul examinat. Participanţii externi sînt părţile din afara sistemului, care interacţionează cu sistemul. Participant extern poate fi clasa utilizatorilor, rolurile îndeplinite de către utilizatori sau alte sisteme.
Scopul principal al modelării cerinţelor funcţionale constă în stabilirea limitelor funcţionării aplicaţiei şi a întregului complex de posibilităţi funcţionale, oferite utilizatorului final.
Cerinţele funcţionale trebuie să includă cel puţin următoarele:
1) cerinţele, coordonate de către toţi reprezentaţii subdiviziunilor de afaceri interesaţi, care includ:
- caracteristica SI;
- scopurile de bază ale creării şi destinaţia;
- dezvoltarea planificată;
- cerinţele faţă de SI în întregime;
- cerinţele faţă de structura datelor SI;
- cerinţele faţă de funcţionalitatea SI;
- cerinţele faţă de interfaţa utilizatorului şi rapoarte;
- cerinţele faţă de mijloacele de administrare;
- cerinţele faţă de mijloacele de elaborare;
- cerinţele faţă de interacţiunea cu alte produse software;
- cerinţele faţă de documentare;
- cerinţele faţă de software şi hardware;
- descrierea specificaţiei SI în care se aplică aplicaţia respectivă;
- documentarea formatelor datelor de intrare şi de ieşire;
- metodele de realizare a controalelor pregătirii, introducerii datelor şi prelucrării erorilor de introducere a datelor, care permit depistarea, indicarea şi corectarea erorilor;
- metodele de realizare a controalelor verificării datelor tranzacţiilor, introduse pentru prelucrare (manual sau de către sistem) pentru exactitate, integritate şi veridicitate;
- metodele de identificare şi eliminare a tranzacţiilor eronate concomitent cu prelucrarea acestora;
- mijloacele ce susţin imposibilitatea de refuz al tranzacţiilor;
2) cerinţele formalizate, coordonate de către toţi reprezentanţii subdiviziunilor de afaceri interesaţi, care includ:
- descrierea specificaţiilor detaliate ale software în privinţa funcţionalităţii sistemului;
- cerinţele faţă de elaborarea şi documentarea interfeţelor cu sisteme interne;
- cerinţele faţă de elaborarea şi documentarea algoritmelor de procesare a datelor;
- cerinţele de asigurare a securităţii, integrităţii şi accesibilităţii (inclusiv în situaţii excepţionale).
6.1.1.2. Cerinţele faţă de interfeţele externe
Cerinţele faţă de interfeţele externe, în dependenţă de necesitate, trebuie să includă următoarele puncte:
1) prioritatea pe care SI trebuie să o atribuie interfeţei;
2) cerinţele faţă de tipul interfeţei (funcţionarea în regim de timp real, transmiterea datelor, păstrarea şi extragerea datelor), care trebuie să fie asigurate;
3) caracteristicile necesare ale elementelor individuale ale datelor, pe care trebuie să le ofere SI pentru a asigura păstrarea, transmiterea, accesul, primirea datelor:
- numele/identificatorii;
- tipul datelor (cifre-litere, integru);
- dimensiunea şi formatul (lungimea şi punctuaţia rîndului de simboluri);
- unităţile de măsură (volumului, costului, timpului);
- intervalul sau enumerarea valorilor posibile (de exemplu, 0–99);
- acurateţea (pe cît de corect este) şi exactitatea (numărul categoriilor semnificative);
- prioritatea, cronometrajul, frecvenţa, volumul, ordinea şi alte restricţii pentru actualizarea elementului datelor şi regulile aplicabile de afaceri;
- restricţiile de securitate;
- sursele (obiectele care creează / expediază datele) şi destinatarii (obiectele care utilizează / primesc datele);
4) caracteristicile necesare ale totalităţilor elementelor datelor (înregistrări, mesaje, fişiere, matrice, rapoarte), pe care SI trebuie să le ofere, păstreze, transmită, primească şi la care trebuie să asigure accesul:
- numele/identificatorii;
- elementele datelor care fac parte din structura lor (numărul, ordinea, gruparea);
- mediile (cum sînt discurile) şi structurile datelor / elementelor în mediu;
- caracteristicile audiovizuale ale mesajelor şi altor ieşiri;
- relaţiile dintre grupuri, caracteristicile sortării / accesului;
- prioritatea, cronometrajul, frecvenţa, volumul, ordinea şi alte restricţii;
- timpul de reacţionare la interpelare;
- restricţiile de securitate;
- sursele şi destinatarii;
5) caracteristicile necesare pentru metodele de comunicare, pe care trebuie să le folosească SI pentru interfaţă:
- identificatorii unici de proiect;
- comunicaţiile, conexiunile/benzile de transmitere/frecvenţele/mediile şi caracteristicile acestora;
- formatul mesajelor;
- controlul fluxurilor;
- vitezele de transmitere, periodicitatea, intervalul între transmiteri;
- marşrutizarea, adresarea şi spaţiul denumirilor;
- serviciile de transmitere, inclusiv priorităţile şi evaluările;
- consideraţiile de securitate/confidenţialitate, cum sînt criptarea, autentificarea utilizatorilor, efectuarea auditului;
6) cerinţele faţă de caracteristicile de care trebuie să dispună protocoalele SI pentru interacţiune:
- identificatorul unic de proiect;
- prioritatea/nivelul protocolului;
- divizarea pe pachete, inclusiv fragmentarea, asamblarea repetată, marşrutizarea şi adresarea;
- verificările legalităţii, controlul erorilor şi procedurile de restabilire;
- sincronizarea, inclusiv instalarea conexiunii, menţinerea, încetarea;
- starea, identificarea şi toate posibilităţile rapoartelor;
7) alte caracteristici necesare, compatibilitatea fizică a obiectelor resurselor informaţionale, care interacţionează (dimensiuni, intervale, încărcări).
6.1.1.3. Cerinţele nefuncţionale
Cerinţele nefuncţionale trebuie să fie utilizate pentru determinarea cerinţelor şi restricţiilor SI. Cerinţele trebuie să fie folosite ca bază pentru sistemul iniţial de măsurare şi evaluare a viabilităţii SI elaborat.
Cerinţele nefuncţionale includ:
1) restricţii de mediu şi realizare;
2) productivitatea (viteza, capacitatea de trecere, timpul de reacţie, memoria folosită);
3) dependenţa de platformă;
4) expansivitatea;
5) fiabilitatea (utilitatea, exactitatea, timpul mediu de funcţionare pînă la refuz, cantitatea erorilor la o mie de rînduri de program, cantitatea erorilor pe o clasă).
În cadrul elaborării cerinţelor nefuncţionale trebuie să fie folosite următoarele categorii de atribute ale calităţii:
1) caracter dirijabil;
2) rentabilitatea;
3) eficacitatea;
4) posibilitatea interacţiunii cu alte aplicaţii şi servicii;
5) accesibilitatea şi fiabilitatea;
6) capacitatea şi productivitatea;
7) posibilitatea introducerii corectărilor;
8) posibilitatea instalării;
9) testabilitatea;
10) capacitatea de menţinere;
11) comoditatea folosirii;
12) securitatea.
Cerinţele nefuncţionale trebuie să fie folosite pentru prescripţia atributelor calitative ale aplicaţiei elaborate. Atributele calitative respective trebuie să fie folosite pentru alcătuirea planurilor de testare a aplicaţiilor în conformitate cu cerinţele nefuncţionale (a se vedea 6.5).
6.1.1.4. Cerinţele principale faţă de SI ale autorităţilor administraţiei publice
SI ale autorităţilor administraţiei publice trebuie să asigure:
1) accesul garantat şi sigur la resursele informaţionale de stat accesibile;
2) posibilitatea căutării, colectării, prelucrării şi păstrării resurselor informaţionale de stat;
3) posibilitatea acordării accesului la resursele informaţionale globale şi locale autorităţilor administraţiei publice;
4) fiabilitatea funcţionării şi stabilitatea în cazul defectelor software-ului sau hardware-ului, inclusiv în cazurile de acţiuni incorecte ale utilizatorilor;
5) schimbul operativ şi sigur de date între utilizatori;
6) posibilitatea extinderii ulterioare prin intermediul modernizării hardware-ului şi software-ului, adăugării componentelor noi la sistem;
7) alte funcţii legate de direcţia principală de activitate a autorităţilor administraţiei publice.
Cerinţele faţă de SI ale autorităţilor administraţiei publice trebuie să fie documentate şi necesar de a verifica corespunderea lucrărilor în baza următoarelor categorii de sisteme:
1) sisteme tranzacţionale şi de evidenţă care asigură susţinerea îndeplinirii de către autorităţile administraţiei publice a sarcinilor şi funcţiilor de bază ale acestora;
2) sisteme de interacţiune informaţională interdepartamentală între SI ale autorităţilor administraţiei publice;
3) sisteme de gestionare a resurselor, care asigură susţinerea proceselor de afaceri şi a regulamentelor administrative în activitatea autorităţilor administraţiei publice;
4) sisteme informaţional-analitice, care asigură colectarea, prelucrarea, păstrarea şi analiza datelor cu privire la rezultatele îndeplinirii sarcinilor şi funcţiilor de bază ale autorităţilor administraţiei publice de către acestea;
5) sisteme de circuit electronic al documentelor;
6) sisteme de gestionare a arhivelor electronice de documente;
7) sisteme de gestionare a exploatării (inclusiv sistemele de gestionare a componentelor de infrastructură);
8) sisteme de interacţiune cu persoanele fizice sau juridice, care asigură acordarea informaţiei şi a serviciilor de informare, inclusiv portalurile şi centrele de deservire telefonică, de către autorităţile administraţiei publice prin Internet sau prin alte canale de legătură;
9) sisteme de asigurare a securităţii informaţionale;
10) sisteme de birou, folosite de către colaboratorii autorităţilor administraţiei publice în activitatea lor zilnică pentru pregătirea documentelor şi schimbul de informaţie.
SI ale autorităţilor administraţiei publice trebuie să fie create în baza următoarelor principii:
1) accesibilitatea, veridicitatea, completitudinea şi oportunitatea acordării informaţiei;
2) confidenţialitatea — asigurarea delimitării accesului la resursele informaţionale ale SI în limitele împuternicirilor acordate utilizatorilor;
3) deschiderea — posibilitatea integrării cu alte SI şi cu SI naţional;
4) capacitatea de dezvoltare a proporţiilor — posibilitatea extinderii ulterioare a posibilităţilor funcţionale ale SI prin adăugarea de software şi hardware în componenţa lor, prin modernizare;
5) protecţia — asigurarea integrităţii resurselor informaţionale care fac parte din SI;
6) fiabilitatea funcţionării şi stabilitatea SI.
6.1.1.5. Cerinţele faţă de asigurarea securităţii informaţionale a sistemelor informaţionale ale autorităţilor administraţie publice
Securitatea informaţională în SI ale autorităţilor administraţie publice trebuie să fie asigurată de un sistem, care include un complex de măsuri organizatorico-tehnice, precum şi software şi hardware pentru protecţia informaţiei.
Software-ul şi hardware-ul pentru protecţia informaţiei utilizate în SI ale autorităţilor administraţiei publice trebuie să fie licenţiate, certificate şi să asigure:
1) identificarea resurselor informaţionale protejate;
2) autentificarea utilizatorilor SI;
3) confidenţialitatea informaţiei care circulă în sistem;
4) schimbul autentificat de date;
5) integritatea datelor la formarea, transmiterea, utilizarea, prelucrarea şi păstrarea informaţiei;
6) accesibilitatea autorizată a tuturor resurselor sistemului în condiţii de exploatare normală;
7) delimitarea accesului utilizatorilor la resursele Sl;
8) administrarea (desemnarea drepturilor de acces la resursele SI, prelucrarea informaţiei din jurnalele de înregistrare, instalarea şi dezinstalarea sistemului de protecţie);
9) înregistrarea acţiunilor de intrare şi ieşire ale utilizatorilor, precum şi a încălcărilor drepturilor de acces la resursele SI;
10) controlul integrităţii şi capacităţii de lucru a sistemului de asigurare a securităţii informaţionale;
11) securitatea şi funcţionarea neîntreruptă a sistemului în situaţii excepţionale.
6.1.2. Determinarea arhitecturii sistemului informaţional
La această etapă este necesar a efectua analiza şi precizarea ierarhiei arhitecturii fizice a SI rezultante, a segmentelor de program şi a realizării construcţiei segmentelor. Datele iniţiale pentru această etapă le constituie pachetul de cerinţe de afaceri, care includ cerinţele funcţionale, nefuncţionale şi de asigurare a securităţii SI.
La etapa determinării arhitecturii SI, trebuie să fie elaborate modelele detaliate ale rezultatelor atinse la etapa elaborării propunerii-business. Modelele elaborate includ modele arhitecturale în care este necesar a determina metoda de transformare a diferitelor componente funcţionale în componente fizice (adică masa de lucru, serverul, baza de date, reţeaua).
La această etapă trebuie să fie elaborate planurile de testare pentru diferitele niveluri de testare (a se vedea capitolul 6.5):
1) testarea în bloc;
2) testarea modulului;
3) testarea sistemului (posibilităţile de integrare a sistemelor);
4) testarea interfeţelor între sisteme;
5) testarea fişierelor de încărcare;
6) testarea de încărcare;
7) testarea securităţii;
8) testarea copierii de rezervă.
6.1.3. Determinarea limitelor realizării SI
La această etapă este necesar a efectua analiza proiectului şi planului de elaborare a SI. Trebuie să fie identificate restricţiile şi cerinţele de program, inclusiv resursele ajutătoare, specificaţiile, stabilirea deciziilor cu privire la procurarea sau elaborarea internă a componentelor necesare ale aplicaţiei.
Este determinat setul complet al elementelor sistemice viabile din punct de vedere tehnic şi comercial, din care este configurat SI.
Este necesar a examina arhitectura SI şi schema structurală a acesteia cu asocieri dintre elemente, de a determina interfeţele cele externe în raport cu sistemul şi între componentele sistemului.
Este descris mediul de program al SI elaborat. Dacă SI elaborat constituie o extindere a unui SI existent deja, atunci sînt descrise, în primul rînd, caracteristicile suplimentare ale acesteia. Este prezentată lista software-ului şi hardware-ului necesare pentru funcţionarea SI.
Este necesar a examina cîteva aspecte de compatibilitate: neuniformitatea mediului de program, limbajele de programare, formatele datelor şi ale mesajelor, formatele rapoartelor, formatele listing-urilor. Trebuie să fie discutată în special compatibilitatea cu software-urile diferite.
6.1.4. Analiza arhitecturii hardware-ului, comunicaţiilor
La această etapă este necesar a verifica capacitatea hardware-ului ale SI a face faţă cerinţelor noi şi în schimbare ce ţin de organizarea afacerilor din partea unor astfel de componente ale infrastructurii precum reţelele, telecomunicaţiile şi alte aplicaţii de software.
La etapa de proiectare sînt determinate atît arhitectura hardware-ului, cît şi cerinţele nivelului inferior. Elaborarea arhitecturii constă în luarea unui şir de decizii succesive şi interconexe cu privire la structura hardware-ului SI. Elaborarea cerinţelor de nivel inferior faţă de SI – formarea cerinţelor faţă de anumite module de program.
Arhitectura SI include descrierea:
1) entităţilor fizice din care constă sistemul (nodurile reţelei, reţele);
2) fluxurilor informaţionale între entităţile fizice în sistem;
3) specificaţiilor canalelor de transmitere a informaţiei în sistem;
4) alegerii platformei (platformelor) şi a sistemului operaţional (sistemelor operaţionale);
5) alegerii arhitecturii “fişier–server” sau “client–server”;
6) alegerii arhitecturii din 3 niveluri cu următoarele straturi: server, software-ul stratului intermediar (serverul de aplicaţii), software-ul clientului;
7) alegerii bazei de date centralizate sau distribuite.
Confirmarea cerinţelor faţă de capacitatea, productivitatea şi accesibilitatea SI se referă la acţiunile de bază care sînt realizate la această etapă.
Rezultatele etapei:
1) determinarea cerinţelor şi restricţiilor aplicate hardware-ului şi software-ului;
2) determinarea cerinţelor funcţionale, nefuncţionale şi faţă de securitatea SI;
3) crearea ierarhiei arhitecturii de program a segmentelor şi funcţiilor aferente;
4) crearea arhitecturii echipamentului.
La această etapă, costul SI va include componentele cheltuielilor, indicate în tabelul 1.
Tabelul 1. Costul sistemului informaţional
la etapa „Colectarea şi analiza cerinţelor faţă
de sistemului informaţional”
la etapa „Colectarea şi analiza cerinţelor faţă
de sistemului informaţional”
|
Nr.
d/o
|
Componentele cheltuielilor
|
Costul lucrărilor organizaţiilor externe
|
Costul lucrărilor personalului propriu
|
Costul cursurilor de instruire şi al certificării
|
|
1
|
Elaborarea documentaţiei privind cerinţele funcţionale |
|
|
|
|
2
|
Elaborarea documentaţiei privind cerinţele faţă de interfeţele externe |
|
|
|
|
3
|
Elaborarea documentaţiei privind cerinţele nefuncţionale |
|
|
|
|
4
|
Elaborarea specificaţiei cerinţelor faţă de SI |
|
|
|
|
5
|
Elaborarea documentaţiei privind cerinţele faţă de software |
|
|
|
|
6
|
Verificarea şi validarea, definirea restricţiilor pentru SI |
|
|
|
|
7
|
Determinarea arhitecturii SI
|
|
|
|
|
8
|
Determinarea restricţiilor de realizare a SI |
|
|
|
|
9
|
Planificarea administrării configuraţiei software-ului |
|
|
|
|
10
|
Controlul configuraţiei
|
|
|
|
|
11
|
Alcătuirea rapoartelor privind configuraţie |
|
|
|
|
12
|
Determinarea arhitecturii hardware-ului |
|
|
|
|
13
|
Stabilirea cerinţelor faţă de hardware |
|
|
|
|
14
|
Elaborarea modelului critic de SI
|
|
|
|
|
15
|
Stabilirea cerinţelor cu privire la asigurarea securităţii informaţionale |
|
|
|
|
16
|
Proiectarea software-ului
|
|
|
|
|
17
|
Cheltuielile administrative legate de colectarea şi analiza cerinţelor faţă de SI |
|
|
|
|
Total:
|
|
|
|
|
|
Totalul pentru etapă:
|
|
|||
6.2. Determinarea unităţilor structurale şi a costurilor de livrare a software-ului şi hardware-ului
Scopul prezentei etape constă în determinarea unităţilor structurale şi a costului de livrare a software-ului şi hardware-ului, care vor fi incluse în costul SI.
Urmează să fie aplicat principiul Divizării structurale a lucrărilor pentru planificarea unităţilor structurale ale proiectului, pentru care este necesară estimarea costului.
Unităţile structurale şi livrările de software şi hardware, care trebuie să fie analizate la această etapă, includ următoarele:
1) gestionarea software-ului presupune rezolvarea unui spectru larg de sarcini:
- urmărirea defecţiunilor în calculatoarele gestionate, înlăturarea automată a cauzelor acestor defecţiuni, corectarea consecinţelor lor şi acţiunile de prevenire a lor;
- gestionarea productivităţii calculatoarelor şi aplicaţiilor;
- configurarea automată a calculatoarelor şi dispozitivelor de reţea;
- configurarea şi actualizarea software-ului;
2) proiectarea SI este definită ca un proces iterativ de obţinere a modelului logic al SI împreună cu scopurile clar formulate, care sînt fixate pentru SI respectiv, precum şi cu elaborarea specificaţiilor sistemului fizic, care să corespundă acestor cerinţe;
3) elaborarea software-ului reprezintă specificarea destul de detaliată a cerinţelor clientului şi a deciziei de proiect şi transformarea acestora în unul sau mai multe software-uri viabile;
4) testarea software-ului constituie una din etapele principale de verificare a calităţii software-ului elaborat;
5) mediul de elaborare a software-ului reprezintă un sistem de mijloace de program folosit de către programatori pentru elaborarea software-ului. Mediul de elaborare include:
- redactorul de texte;
- compilatorul şi/sau interpretatorul;
- mijloacele de automatizare a asamblării şi reglementatorul;
- sistemul de gestionare a versiunilor;
- instrumentele pentru simplificarea construirii interfeţei grafice a utilizatorului;
- browser-ul claselor, inspectorul obiectelor şi diagrama ierarhiei claselor;
6) nivelul sistemic de susţinere a testării include testarea software-ului elaborat, testarea nivelului sistemic al software-ului, susţinerea asamblării, testările şi procedurile de dare a software-ului în exploatare;
7) asamblarea, testarea şi procedura de dare a software-ului în exploatare – software-ul pregătit este transmis clientului, sînt efectuate testările de predare-primire, este realizată instruirea utilizatorilor şi exploatarea experimentală, după care software-ul este pus pe mentenanţă şi începe exploatarea productivă a software-ului;
8) sistemul de asigurare a calităţii este orientat spre asigurarea nivelului necesar de obiectivitate şi veridicitate a rezultatelor elaborării şi implementării software-ului, precum şi spre asigurarea calităţii necesare a producţiei produse şi/sau serviciilor prestate ale organizaţiei;
9) verificarea independentă şi confirmarea potrivirii SI.
Aceste categorii de Divizare structurală a lucrărilor includ procesele ciclului de viaţă a elaborării SI.
Rezultatele etapei:
1) determinarea livrărilor de software şi hardware;
2) determinarea unităţilor structurale ale SI.
La această etapă, în costul SI vor fi incluse componentele cheltuielilor, indicate în tabelul 2.
Tabelul 2. Costul sistemului informaţional la etapa
„Determinarea unităţilor structurale şi a costului de livrare
a software-ului şi hardware-ului”
„Determinarea unităţilor structurale şi a costului de livrare
a software-ului şi hardware-ului”
|
Nr. d/o
|
Componentele cheltuielilor
|
Costul de achiziţie
|
Costul de organizare a tenderelor
|
Costul lucrărilor adiţionale pentru punerea în exploatare
|
|
1
|
Determinarea componentelor software-ului şi hardware-ului |
|
|
|
|
2
|
Mediul de elaborare a software-ului
|
|
|
|
|
3
|
Instrumentele de gestionare a bazei de date |
|
|
|
|
4
|
Instrumentele de monitorizare a sistemului |
|
|
|
|
5
|
Instrumentele de evidenţă a sistemului |
|
|
|
|
6
|
Instrumentele de generare a rapoartelor |
|
|
|
|
7
|
Cheltuielile pentru monitorizarea sistemului |
|
|
|
|
8
|
Instrumentele de diagnosticare a hardware-ului şi software-ului |
|
|
|
|
9
|
Instrumentele de analiză şi proiectare |
|
|
|
|
10
|
Instrumentele de testare
|
|
|
|
|
11
|
Staţiile de lucru şi accesoriile
|
|
|
|
|
12
|
Imprimante, scannere, xeroxe
|
|
|
|
|
13
|
Dispozitive de păstrare a datelor
|
|
|
|
|
14
|
Servere
|
|
|
|
|
15
|
Echipament pentru încăperea de servere |
|
|
|
|
16
|
Instrumentele de asigurare a securităţii informaţionale |
|
|
|
|
17
|
Costul pentru închirierea hardware-ului şi software-ului |
|
|
|
|
18
|
Echipament de reţea
|
|
|
|
|
19
|
Suportul de mentenanţă
|
|
|
|
|
20
|
Sisteme de operare
|
|
|
|
|
21
|
Actualizarea software-ului
|
|
|
|
|
22
|
Licenţe
|
|
|
|
|
23
|
Servicii de comunicaţii
|
|
|
|
|
24
|
Programe pentru comunicaţii
|
|
|
|
|
25
|
Instruirea, reciclarea, instructajul personalului |
|
|
|
|
26
|
Cheltuielile administrative legate de definirea unităţilor structurale şi livrările de software şi hardware |
|
|
|
|
Total:
|
|
|
|
|
|
Total pentru etapă:
|
|
|||
6.3. Estimarea mărimii segmentului de programare al sistemului informaţional
Scopul prezentei etape constă în determinarea mărimii segmentului de programare al SI.
Unitatea industrială de măsurare a mărimii software-ului este cantitatea rîndurilor iniţiale ale codului — Source Lines of Code (SLOC). Prin rîndurile codului SLOC se subînţeleg rîndurile logice ale codului, şi anume: rîndurile în înţelegerea limbajului de programare folosit, fără a lua în consideraţie comentariile.
Evaluarea mărimii software-ului SI are loc în felul următor:
1) divizarea şi gruparea cerinţelor funcţionale de program şi cerinţelor faţă de SI ale autorităţilor administraţiei publice în categorii ale moştenirii de program.
Categorii ale moştenirii de program includ:
- proiect nou şi cod nou;
- proiect analogic şi cod nou;
- proiect analogic şi cod utilizat de multe ori;
- proiect analogic şi cod extins utilizat de multe ori.
Cerinţele nefuncţionale şi cerinţele faţă de interfeţe sînt utilizate pentru alcătuirea planurilor de testare la testarea software-ului şi a aplicaţiilor.
Ulterior, categoriile moştenirii de program vor fi folosite în calitate de multiplicatori pentru corectarea volumului de lucrări pentru moştenirea de program (a se vedea punctul 6.4.2.2, formula (3), tabelul 6);
2) evaluarea dimensiunii fiecărei funcţii de program în conformitate cu coeficienţii prezentaţi în tabelul 3.
Tabelul 3. Estimarea KSLOC a dimensiunilor de
bază a software-ului pentru modelul COCOMO II
bază a software-ului pentru modelul COCOMO II
|
Dimensiunea SI
|
KSLOC
|
Unitatea de măsură
|
|
Mic
|
2
|
mii rânduri ale codului
|
|
Nu prea mare
|
8
|
mii rânduri ale codului
|
|
Mediu
|
32
|
mii rânduri ale codului
|
|
Mare
|
128
|
mii rânduri ale codului
|
|
Foarte mare
|
512
|
mii rânduri ale codului
|
Pentru calcularea KSLOC, este necesar a folosi formula:
, (1)unde:
- KSLOC - numărul miilor de rînduri ale codului;
- SLOCP - codul care asigură o anumită logică a funcţionării sistemului. De obicei, acestea sînt clasele care descriu caracteristicile obiectelor sistemului, legătura dintre funcţiile-business;
- SLOCI - codul care prelucrează elementele interfeţei şi o uneşte cu alte părţi ale sistemului. De obicei, acestea sînt clasele de prelucrare a erorilor de introducere a datelor, de înregistrare a datelor în baza de date:
- SLOCR - codul care descrie interfaţa sistemului. De obicei, acesta este codul care descrie interfaţa însăşi. Pentru componentele care funcţionează în mediul Internet acesta este codul HTML;
- Kp - factorul modificării logicii funcţionării sistemului;
- Ki - factorul modificării prelucrării elementelor de interfaţă ale sistemului;
- Kr - factorul modificării interfeţei sistemului.
Factorii K sînt selectaţi pe cale experimentală şi sînt măsuraţi de la 0,01 — 0,6 şi mai sus de 0,6 la crearea unui sistem nou. Pentru determinarea factorilor K este folosită abordarea statistică, care ajută la modificarea evaluărilor apriorice cu luarea în consideraţie a datelor cercetărilor noi;
3) calcularea mărimii totale a segmentului de programare al SI în KSLOC, sumînd datele obţinute în punctul 2 pentru fiecare funcţie de program.
Metodele alternative de evaluare a segmentului de programare al SI sînt prezentate în anexa nr. 1.
Rezultatele etapei:
1) mărimea software este evaluată pentru fiecare categorie funcţională a moştenirii KSLOC;
2) evaluarea totală de program a dimensiunii KSLOC.
La această etapă costul SI va include componentele cheltuielilor, indicate în tabelul 4.
Tabelul 4. Costul sistemului informaţional la etapa
„Aprecierea mărimii segmentului de programare
al sistemului informaţional”
„Aprecierea mărimii segmentului de programare
al sistemului informaţional”
|
Nr.
d/o
|
Componentele cheltuielilor
|
Costul lucrărilor organizaţiilor externe
|
Costul lucrărilor personalului propriu
|
Costul cursurilor de instruire şi al certificării
|
|
|
1
|
Elaborarea documentaţiei de apreciere a mărimii segmentului de programare al SI |
|
|
|
|
|
2
|
Determinarea mărimii segmentului de programare al SI |
|
|
|
|
|
3
|
Analiza datelor statistice din domeniul dat |
|
|
|
|
|
4
|
Cheltuielile administrative legate de aprecierea mărimii segmentului de programare al SI |
|
|
|
|
|
Total:
|
|
|
|
||
|
Totalul pentru etapă:
|
|
||||
6.4 Estimarea volumului lucrărilor
Pentru estimarea resurselor umane (în persoane pe lună), a duratei (în zile calendaristice) şi a costului (în unităţi monetare) este necesar a se baza pe statistica din experienţa anterioară. În cazul absenţei datelor istorice sau dacă se lucrează asupra unui proiect nou, este necesar a aplica metodici speciale, care permit evaluarea prealabilă a cheltuielilor pentru proiectul planificat.
6.4.1. Identificarea categoriilor Divizării structurale a lucrărilor, atributele cărora vor influenţa asupra dimensiunii şi volumului lucrărilor
Este necesar de identificat categoriile Divizării structurale a lucrărilor, atributele cărora vor influenţa asupra dimensiunii şi volumului lucrărilor conform devizului de cheltuieli al proiectului, din punctul de vedere al moştenirii şi riscului. Categoriile de bază ale riscurilor vor fi următoarele:
1) noile tehnologii: codul, limbajul de programare sau metoda de proiectare. Alegerea limbajului de programare mai poate avea şi o influenţă substanţială asupra securităţii SI. Cele mai bune limbaje de programare sînt cele în care toate acţiunile sînt determinate şi întemeiate, sînt susţinute funcţiile care reduc numărul erorilor, este efectuat controlul asupra distribuirii memoriei şi utilizării indicatorilor. Acest grup de riscuri cuprinde riscurile legate de tehnologiile folosite, incompatibilitatea limbajelor de programare, necorespunderea metodelor de proiectare;
2) nivelul redus de pregătire a tehnologiilor – expirarea termenului de valabilitate a licenţei, învechirea morală a tehnologiilor, apariţia unei tehnologii principial noi, care face imediat unele produse şi servicii neactuale;
3) presupunerile optimiste, legate de moştenirea elementelor SI;
4) posibilitatea utilizării multiple a codului — sporirea numărului de erori în legătură cu alcătuirea incorectă a codului de program, folosit de multe ori;
5) riscul legat de furnizorii de software şi hardware — este necesar a crea nişte proceduri formale de gestionare a riscurilor legate de furnizori. La această categorie de riscuri se mai referă şi riscurile formării preţurilor, legate de imprecizia indicatorilor economici ai proiectelor, riscurile valutare;
6) riscul protecţiei insuficiente a proprietăţii intelectuale: posibilitatea încălcării patentelor şi furtului de proprietate intelectuală pe pieţele în dezvoltare;
7) riscurile legate de servicii şi de deservirea tehnică: lipsa unor servicii inginereşti specializate, a forţei de muncă calificate şi a echipamentului substutuit;
8) elaborarea în paralel a dispozitivelor;
9) cantitatea interfeţelor între numeroasele subdiviziuni ale elaboratorilor;
10) riscurile de infrastructură – probleme de conectare la reţea şi lipsa accesului la sistemele de emitere şi distribuire;
11) distribuirea geografică a numeroaselor subdiviziuni ale elaboratorilor;
12) gradul înalt de complexitate a elementelor SI;
13) abilităţile profesionale şi experienţa personalului – această categorie de riscuri necesită o atenţie deosebită. Conducătorul proiectului trebuie să aprecieze riscurile şi să organizeze instruirea pînă la începutul proiectului pentru a nu pierde în viitor timpul cu erori;
14) cerinţele nedeterminate sau incomplete – procesul de elaborare a SI începe cu determinarea cerinţelor şi variantelor de utilizare a sistemului. Problema principală constă în faptul că unele cerinţe-cheie pot fi omise, alte cerinţe pot să nu fie înţelese corect de către elaboratori. O altă categorie de riscuri legată de cerinţe este realizarea cerinţelor auxiliare şi amînarea cerinţelor de bază;
15) riscurile legate de outsourcing;
16) riscurile politice – riscuri legate de politica corporativă a părţilor care interacţionează, precum şi de caracteristicile organizaţiilor şi activitatea subdiviziunilor componente.
Pentru fiecare categorie de riscuri, coeficientul mediu ponderat al influenţei asupra mărimii şi volumului lucrărilor este determinat conform abordări statistice, care contribuie la modificarea evaluărilor apriorice cu luarea în consideraţie a datelor cercetărilor noi.
6.4.2. Transformarea mărimii software-ului în volumul lucrărilor
Scopul constă în transformarea mărimii software-ului, obţinute în conformitate cu subcapitolul 6.3 (formula (1)), în volumul lucrărilor. Elaborarea software-ului include inginerii de program, tehnicienii de sistem, testatorii, programatorii, precum şi: elaborarea şi analiza cerinţelor de integrare şi testare a software-ului. Volumul lucrărilor şi costul altor categorii ale Divizării structurale a lucrărilor sînt calculate în punctele următoare cu utilizarea altor metode.
Calcularea volumului lucrărilor se efectuează în luni lucrătoare (LL) pentru următoarele categorii ale Divizării structurale a lucrărilor: ”Proiectarea SI”, “Elaborarea software” şi “Testarea software”.
6.4.2.1. Evaluarea cheltuielilor de lucru şi a volumului lucrărilor pentru proiectarea sistemului informaţional
Analiza şi proiectarea sînt determinante la construirea SI. Se evidenţiază trei faze de analiză şi proiectare a SI:
1) examinarea şi analiza sistemică a SI existent şi identificarea neajunsurilor acestuia;
2) generalizarea rezultatelor analizei sistemice şi crearea concepţiei provizorii a SI nou sau modernizat;
3) elaborarea proiectului sistemic al complexului de programe şi baze de date, care determină metodele şi mijloacele proiectării detaliate ulterioare şi ale întregului ciclu de viaţă al SI şi al bazei de date.
Analiza sistemică este importantă pentru proiectarea reuşită a SI, de aceea poate fi examinată ca unul din factorii de risc. Pentru realizarea lucrărilor de proiectare a SI pot fi implicate organizaţiile specializate, care posedă experienţă de proiectare a unor astfel de proiecte, sau structurile analitice proprii, care cunosc procesele-business ale organizaţiei. Lucrările de proiectare a SI sînt îndeplinite cel mai eficient de către un grup de proiect combinat.
La realizarea analizei sistemice sînt obţinute următoarele rezultate:
1) descrierea proceselor-business şi informaţionale, care s-au stabilit în organizaţie;
2) locurile înguste în procesele-business şi modalităţile de lichidare a acestora;
3) modelul informaţional şi funcţional al SI;
4) lista cerinţelor faţă de SI nou sau modernizat;
5) metodele şi mijloacele de proiectare şi realizare a SI;
6) planul provizoriu mărit de proiectare a SI;
7) fundamentarea tehnico-economică.
Cheltuielile de lucru pentru proiectarea SI includ plata pentru lucrul specialiştilor organizaţiilor terţe, conform condiţiilor contractului semnat, precum şi plata pentru lucrul structurilor analitice proprii.
Volumul lucrărilor pentru proiectarea SI este determinat conform contractului încheiat cu specialiştii organizaţiilor terţe în care se indică volumul lucrărilor îndeplinite şi termenele de îndeplinire a acestora, precum şi conform instrucţiunilor de funcţie ale personalului propriu.
Volumul lucrărilor pentru proiectarea SI la secţiunea descompunerii categoriilor de bază ale Divizării structurale a lucrărilor în raport procentual este determinat conform metodicii şi analizei statistice SEER–SEM (a se vedea punctul 6.4.3(2), tabelul 11) sau conform metodei statistice (Anexa 1).
Proiectarea SI cuprinde trei domenii principale:
1) proiectarea obiectelor de date, care vor fi realizate în baza de date;
2) proiectarea programelor, formelor de ecran, rapoartelor care vor asigura efectuarea interpelărilor la date;
3) evidenţa mediului concret sau a tehnologiei concrete, şi anume: a topologiei reţelei, configuraţiei hardware-ului, prelucrării paralele, prelucrării distribuite a datelor.
6.4.2.2. Transformarea mărimii fiecărei funcţii de program în volumul lucrărilor pentru elaborarea software-ului
Transformarea mărimii fiecărei funcţii de program în volumul lucrărilor pentru elaborarea software-ului se calculează in felul următor:
1) calcularea volumului lucrărilor pentru elaborare - conform formulei (2).
, (2)unde
- Volumul lucrărilor pentru elaborarea software - măsurat în luni lucrătoare (LL);
- Productivitatea de program - măsurată în SLOC/РМ;
- Mărimea obţinută – măsurată în SLOC.
Pentru determinarea productivităţii de program se folosesc datele din proiectul analogic de program. Dacă datele proiectului analogic sînt inaccesibile, se foloseşte tabelul 3. Indicatorii productivităţii, prezentaţi în tabelul 5, reflectă procesul de elaborare a software-ului.
Tabelul 5. Productivitatea elaborării de program
pentru proiectele industriale medii
pentru proiectele industriale medii
|
Caracteristica
|
Productivitatea elaborării de program (SLOC/РМ)
|
|
Indicatori clasici
|
130–195
|
|
Metodele în dezvoltare
|
244–325
|
|
Software nou incorporat
|
17–105
|
2) сorectarea volumului lucrărilor pentru evaluarea fiecărei categorii a Divizării structurale a lucrărilor se efectuează conform formulei (3), folosind multiplicatorii volumului lucrărilor pentru moştenirea de program, prezentaţi în tabelul 6.
Volumul_lucrărilor_corectat=Volumul_lucrărilor *
Multiplicatorul_volumului_lucrărilor, (3)
unde
- Volumul_lucrărilor_corectat - măsurat în luni lucrătoare (LL);
- Volumul_lucrărilor - măsurat în luni lucrătoare (LL);
- Multiplicatorul_volumului_lucrărilor – este indicat în tabelul 4.
Tabelul 6. Multiplicatorii volumului lucrărilor
pentru moştenirea de program
pentru moştenirea de program
|
Categoria moştenirii de program
|
Multiplicatorul volumului lucrărilor
|
|
Proiect nou şi cod nou
|
1,2
|
|
Proiect analogic şi cod nou
|
1,0
|
|
Proiect analogic şi cod, care este folosit de multe ori |
0,8
|
|
Proiect analogic şi cod extins, care este folosit de multe ori |
0,6
|
3) adunarea volumului corectat al lucrărilor pentru fiecare categorie funcţională şi de program a moştenirii pentru a ajunge la volumul total al lucrărilor.
6.4.2.3. Estimarea cheltuielilor de lucru pentru elaborarea software-ului
Cheltuielile de lucru pentru elaborarea software-ului pot include plata pentru lucrul specialiştilor organizaţiilor terţe conform condiţiilor contractului semnat, precum şi plata pentru lucrul personalului propriu.
6.4.2.3.1. Cheltuielile de lucru pentru outsourcing la elaborarea software-ului
Outsourcing este definit ca refuzul de elaborare a software-ului de către personalul propriu şi procurarea serviciilor de elaborare a acestuia de la alte organizaţii.
Outsourcing-ul la elaborarea software-ului poate include următoarele tipuri de servicii:
1) elaborarea software-ului;
2) susţinerea software-ului;
3) refactoring-ul şi reengineering-ul aplicaţiilor;
4) implementarea software-ului elaborat;
5) documentarea software-ului;
6) instruirea personalului clientului;
7) consultanţă în domeniul de TI.
La luarea deciziei privind utilizarea outsourcing-ului pentru elaborarea software-ului trebuie să fie luaţi în consideraţie următorii factori:
1) costul propriilor elaborări în raport cu costul serviciilor de outsourcing;
2) riscurile de încălcare a regimului securităţii informaţionale;
3) riscurile întreruperii relaţiilor cu compania de outsourcing şi dezvoltarea ulterioară a aplicaţiei create;
4) particularităţile organizării şi gestionării proceselor de elaborare în cadrul companiei;
5) gradul de încredinţare de către organizaţia terţă a unor secrete ale sale.
Outsourcing-ul permite utilizarea experienţei profesioniştilor, reducerea riscurilor şi a cheltuielilor, sporind randamentul mijloacelor investite.
Cheltuielile de lucru pentru elaborarea software-ului de către specialiştii organizaţiilor terţe includ plata lucrărilor de acordare a serviciilor pentru elaborarea software-ului, conform condiţiilor contractului încheiat.
6.4.2.3.2. Cheltuielile de lucru pentru elaborarea software-ului de către personalul propriu
Estimarea cheltuielilor de lucru pentru elaborarea software-ului se determină în baza numărului de rînduri ale codului. Formula de bază pentru estimarea cheltuielilor de lucru prin utilizarea modelului COCOMO II:
, (4)- E - cheltuielile de lucru exprimate în luni lucrătoare;
- a, b - constantele care depind de regimul utilizării modelului (a se vedea tabelele 4, 5);
- KSLOC - numărul miilor de rînduri ale codului;
- EAF - factorul corectării cheltuielilor de lucru.
Sînt prevăzute trei regimuri de utilizare a modelului COCOMO II în funcţie de mărimea echipei şi a proiectului (tabelul 7).
Tabelul 7. Regimurile modelului COCOMO II
|
Denumirea regimului
|
Mărimea proiectului
|
Descrierea
|
|
Organic
|
Până la 50 KSLOC
|
Proiectul nu prea mare este elaborat de o echipă nu prea mare, căreia nu-i sunt caracteristice inovaţiile, iar mediul rămâne stabil |
|
Blocat
|
50–300 KSLOC
|
O echipă relativ nu prea mare se ocupă de un proiect de proporţii medii, în procesul elaborării sunt necesare anumite inovaţii, mediul este caracterizat prin instabilitate nesemnificativă |
|
Implementat
|
Mai mult de 300 KSLOC
|
O echipă mare de elaboratori lucrează asupra unui proiect mare, este necesar un volum considerabil de inovaţii, mediul constă din numeroase elemente, care nu sunt caracterizate prin stabilitate |
Valorile de bază ale coeficienţilor modelului COCOMO II în funcţie de regim sînt prezentate în tabelul 8.
Tabelul 8. Valorile de bază ale coeficienţilor modelului
COCOMO II în funcţie de regim
COCOMO II în funcţie de regim
|
Denumirea regimului
|
Valoarea coeficientului
a
|
Valoarea coeficientului b
|
|
Organic
|
2,4
|
1,05
|
|
Blocat
|
3,0
|
1,12
|
|
Implementat
|
3,6
|
1,20
|
Factorul corectării cheltuielilor de lucru EAF sporeşte sau reduce cheltuielile de lucru în funcţie de factorii mediului de elaborare. Calcularea factorului corectării cheltuielilor de lucru se efectuează după formula (5):
, (5)- Ci - este unul din factorii mediului de elaborare.
Determinarea factorilor corectării cheltuielilor de lucru EAF:
1) Factorul Evidenţei Tehnologiei de Elaborare (FETE). În cadrul acestui factor se duce evidenţa creşterii volumului cheltuielilor de lucru în urma implicării unui număr diferit de angajaţi.
Următoarele categorii de angajaţi sînt implicate în acest proces:
- categoria “А”: managerul proiectului; managerul elaborării sistemului de program; managerul implementării software-ului; managerul exploatării; managerul mentenanţei software-ului; analistul proceselor-business; proiectantul business; analistul de sistem; tehnologul proceselor-business;
- categoria “В”: programatorul; proiectantul sistemului de program; proiectantul interfeţei utilizatorului; integratorul; scriitorul tehnic; administratorul de sistem; administratorul bazelor de date; specialistul în gestionarea configuraţiei;
- categoria “С”: testatorul; testatorul serviciului de mentenanţă; elaboratorul testelor; analistul serviciului de mentenanţă.
Durata testării este o valoare ce depinde de durata codificării şi se determină cu coeficientul Ktest, care se calculează după formula (6):
, (6)- l - durata procesului de codificare exprimată în luni lucrătoare;
- ltest - durata procesului de testare exprimată în luni lucrătoare.
Calcularea Factorului Evidenţei Tehnologiei de Elaborare exprimată în luni lucrătoare se efectuează după formula (7):
, (7)- А, В, С — numărul angajaţilor din categoriile respective.
Calcularea duratei elaborării exprimată în luni lucrătoare se efectuează după formula (8):
, (8)2) Factorul Evidenţei Complexităţii şi Experienţei de Elaborare (FECEE) este determinat în mod empiric şi este alcătuit din valorile prezentate în tabelul 9.
Tabelul 9. Valorile de bază ale coeficienţilor Factorului
Evidenţei Complexităţii şi Experienţei de Elaborare
Evidenţei Complexităţii şi Experienţei de Elaborare
|
Factorul evidenţei complexităţii şi experienţei de elaborare
|
Valoarea
|
|
Trebuie să corectăm ceea ce este
|
1,00
|
|
S-a făcut mai înainte, există experienţă |
1,10
|
|
Există experienţă şi nu se văd dificultăţi |
1,30
|
|
Experienţă nu este, dar există asistenţă |
2,00
|
|
Nu există nici experienţă, nici asistenţă |
4,00
|
Această metodă de evaluare este folosită la etapa incipientă a proiectului pentru evaluarea întregului proiect. Aplicarea acesteia este dificilă pentru proiectele mici şi pentru volumele mici de lucrări.
6.4.3 Finalizarea estimării volumului lucrărilor
Scopul pasului dat constă în extinderea evaluării pentru a acoperi toate categoriile Divizării structurale a lucrărilor. Pînă la acest pas sînt evaluate următoarele categorii ale Divizării structurale a lucrărilor: ”Proiectarea SI”, “Elaborarea software” şi “Testarea software”. Volumul lucrărilor, cum sînt “Gestionarea volumului de program al lucrărilor” şi “Sistemul de asigurare a calităţii” este suplimentar la volumul lucrărilor pentru elaborarea software-ului.
1) În scopul obţinerii estimării costului lucrărilor pentru toate categoriile enumerate este necesar a adăuga volumul suplimentar al lucrărilor de elaborare a software-ului la volumul lucrărilor evaluat anterior. Volumul suplimentar al lucrărilor de elaborare a software-ului este procentul volumului de lucrări de elaborare a software-ului pentru activitate suplimentară, din volumul total al lucrărilor, pentru toate elementele de lucru ale Divizării structurale a lucrărilor. Volumul suplimentar al lucrărilor de elaborare a software-ului este prezentat în tabelul 10.
Tabelul 10. Volumul suplimentar al lucrărilor
de elaborarea software-ului
de elaborarea software-ului
|
Categoria Divizării structurale a lucrărilor
|
Volumul suplimentar al lucrărilor de elaborarea software-ului, % |
|
Gestionarea software
|
Adăugaţi 6–27%
|
|
Nivelul sistemic de susţinere a testării |
Adăugaţi 34–112%
|
|
Sistemul de asigurare a calităţii
|
Adăugaţi 6–11%
|
|
Verificarea independentă
|
Adăugaţi 9–45%
|
|
Activitatea suplimentară:
|
|
|
gestionarea configuraţiei proiectelor |
Adăugaţi 3–6%
|
|
gestionarea proiectelor
|
Adăugaţi 8–11%
|
|
gestionarea livrărilor de software şi hardware |
Adăugaţi 11–22%
|
|
finisarea
|
Adăugaţi 17–22%
|
|
Exploatarea, primii cinci ani
|
Adăugaţi 22% din volumul lucrărilor pentru elaborarea software-ului în decursul unui an de exploatare |
2) Adunaţi volumul total al lucrărilor pentru fiecare categorie a Divizării structurale a lucrărilor care nu se referă la elaborarea software-ului pentru a obţine volumul total de lucrări. Descompunerea volumului lucrărilor categoriilor principale ale Divizării structurale a lucrărilor conform metodicii şi analizei statistice SEER–SEM este prezentată în tabelul 11.
Tabelul 11. Descompunerea elaborării software-ului
|
Categoria Divizării structurale a lucrărilor
|
% din volumul lucrărilor pentru elaborarea software-ului
|
|
Elaborarea software-ului:
|
100%
|
|
Analiza cerinţelor software-ului
|
12%
|
|
Elaborarea codului software-ului
|
55%
|
|
Implementarea software-ului
|
13%
|
|
Integrarea şi testarea de program
|
20%
|
SEER–SEM este un sistem de determinare şi evaluare a resurselor software, folosit pe larg şi creat în baza combinării matematicii şi statisticii.
Descompunerea volumului lucrărilor poate fi efectuată conform metodei statistice (Anexa 1).
Rezultatele etapei:
1) volumul lucrărilor de elaborare a software-ului pentru toate categoriile Divizării structurale a lucrărilor (în luni lucrătoare);
2) volumul total al lucrărilor pentru elaborarea software-ului.
La această etapă, costul SI va include componentele cheltuielilor indicate în tabelul 12.
Tabelul 12. Costul sistemului informaţional la etapa
„Evaluarea volumului lucrărilor”
„Evaluarea volumului lucrărilor”
|
Nr.
d/o
|
Componentele cheltuielilor
|
Costul lucrărilor organizaţiilor externe
|
Costul lucrărilor personalului propriu
|
Costul cursurilor de instruire şi al certificării
|
|
1
|
Identificarea Divizării structurale a lucrărilor |
|
|
|
|
2
|
Identificarea riscurilor
|
|
|
|
|
3
|
Calcularea volumului lucrărilor de elaborare a software-ului |
|
|
|
|
4
|
Corectarea volumului lucrărilor de elaborare a software-ului |
|
|
|
|
5
|
Estimarea cheltuielilor de lucru pentru elaborarea software-ului |
|
|
|
|
6
|
Calcularea factorului de corectare a cheltuielilor de lucru |
|
|
|
|
7
|
Determinarea lucrărilor suplimentare de elaborare a software-ului |
|
|
|
|
8
|
Determinarea volumului de lucrări suplimentare pentru elaborarea software-ului |
|
|
|
|
9
|
Descompunerea elaborării a software-ului
|
|
|
|
|
10
|
Cheltuielile administrative legate de evaluarea volumului de lucrări |
|
|
|
|
Total:
|
|
|
|
|
|
Totalul pentru etapă:
|
|
|||
6.5. Cheltuielile de lucru pentru codificare şi testare
Scopul prezentei etape este de a determina perioada de timp şi a calcula cheltuielile de lucru pentru codificare şi testare, necesare pentru finalizarea proiectului de program şi perioadele de executare a elementelor de lucru ale Divizării structurale a lucrărilor.
6.5.1. Volumul lucrărilor pentru codificare şi testare
Ca bază pentru estimarea cheltuielilor de lucru pentru elaborarea componentei de program vom lua estimarea cheltuielilor de lucru după numărul rîndurilor codului, conform formulelor (4), (5). Vom evalua fiecare cerinţă funcţională în parte şi vom presupune că valoarea constantei b este egală cu 1, deoarece cerinţa funcţională este parte componentă a proiectului. Volumul lucrărilor depinde de tipul lucrului, iar timpul pentru îndeplinirea acestuia depinde de productivitatea de program necesară pentru îndeplinirea sa. Productivitatea de program este o valoare egală cu proporţia dintre volumul lucrului efectuat şi timpul în care a fost efectuat. Formula (4) se transformă în forma prezentată în formula (9):
, (9)unde:
- Wj - productivitatea de program necesară pentru îndeplinirea tipului j de lucru;
- KSLOC(i,j) - numărul rîndurilor codului la tipul de lucru j pentru realizarea cerinţei i.
Productivitatea W se determină pe cale experimentală, reieşind din experienţa de lucru asupra componentelor anterioare.
6.5.2. Determinarea duratei codificării şi testării
Codificarea este scrierea unui program proiectat deja, într-un anumit limbaj formal de programare. În procesul codificării sînt verificate anumite cerinţe faţă de SI. Apoi începe testarea integrală a sistemului ca un tot întreg, care începe încă în procesul de codificare. Testarea este însoţită de verificarea codului iniţial, căutarea erorilor după manifestările acestora în procesul îndeplinirii programului.
Durata codificării şi testării este exprimată în luni lucrătoare şi calculată după formula (10):
, (10)A se distribui timpul pentru fiecare categorie a Divizării structurale a lucrărilor şi a se determina încărcătura permisă de lucru. După alcătuirea planului de activităţi, a se verifica distribuirea lucrărilor conform experienţei analogice, folosind tabelul 13 şi tabelul 14. Numerele din tabelul 13 şi tabelul 14 reprezintă orarul mediu, de bază. Deviaţiile semnificative de la aceste date vor duce la creşterea riscului şi a costului.
Tabelul 13. Distribuirea timpului pe faze de elaborare a
software-ului, în baza datelor industriale
software-ului, în baza datelor industriale
|
Faza
|
Datele (mijloacele) industriale
|
|
Analiza cerinţelor
|
18%
|
|
Elaborarea software-ului
|
22%
|
|
Implementarea software-ului
|
36%
|
|
Integrarea şi testarea de program
|
24%
|
Tabelul 14. Distribuirea volumului lucrărilor
pentru software-ului nou, modificat sau transformat
în baza datelor industriale
pentru software-ului nou, modificat sau transformat
în baza datelor industriale
|
Faza
|
Software-ul nou
|
Software-ul modificat existent
|
Software-ul transformat
|
|
Analiza cerinţelor proiectului
|
20%
|
15%
|
5%
|
|
Proiectul de lucru, codul şi testul
|
57%
|
10%
|
5%
|
|
Integrarea şi testarea software-ului
|
23%
|
40%
|
30%
|
|
Volumul relativ al lucrărilor
|
100%
|
65%
|
40%
|
6.5.3. Cheltuielile de lucru pentru codificare şi testare
Cheltuielile de lucru pentru estimarea costului codificării şi testării exprimate în luni lucrătoare sînt calculate cu ajutorul formulei (11):
, (11)La determinarea cheltuielilor de lucru pentru testare este important a lua în consideraţie cheltuielile de lucru pentru personalul din categoria “С” (a se vedea punctul 5.4.2.3) la alcătuirea planurilor de testare (a se vedea punctul 5.1.2).
Unul din elementele-cheie pentru asigurarea calităţii este testarea. Procesul de testare se efectuează în cîteva etape, care diferă după tipurile lucrărilor îndeplinite şi ale resurselor implicate.
Prima etapă de testare este testarea internă, în cadrul căreia este verificată completitudinea funcţională a SI, corespunderea documentaţiei de proiect, corectitudinea deciziilor de proiect, precum şi corespunderea cu legislaţia.
Următoarea etapă este testarea externă, în cadrul căreia are loc concentrarea eforturilor experţilor cu experienţă, care folosesc diferite metodologii şi abordări faţă de funcţionarea SI.
Atît în cadrul testării interne, cît şi al celei externe, se efectuează permanent analiza statistică a numărului erorilor depistate şi corectate, în baza rezultatelor căreia se ia decizia de a trece la următoarea etapă.
La testarea finală este verificată realizarea cantităţii maxime a proceselor de afaceri şi sînt corectate erorile de la etapele anterioare.
Pentru această etapă de testare este necesar a acorda mai mult timp şi resurse de lucru pentru a garanta un grad înalt de fiabilitate a SI. Nivelul înalt al asigurării metodice, tehnice, organizaţionale a testării la toate etapele determină calitatea înaltă a SI. Urmează exploatarea experimentală, care permite depistarea tuturor nuanţelor ce nu au fost identificate la etapele anterioare de testare.
Testarea este un proces ce implică tehnologii înalte şi cheltuieli de lucru mari. Acest proces necesită de la organizaţie disponibilitatea unei multitudini de resurse de echipament, program şi umane. În unele cazuri, este oportun a utiliza outsourcing-ul pentru testare.
Outsourcing-ul testării reprezintă transmiterea funcţiilor de evaluare a calităţii SI unei părţi terţe, care se ocupă în mod profesional de testare. Pentru a asigura nivelul cuvenit al testării efectuate, este necesar a asigura calificarea suficientă a testatorilor, instrumente moderne de automatizare a testării, dotarea cu utilaj, care permite imitarea situaţiei de exploatare reală a SI.
Încredinţînd testarea SI unei părţi terţe, este necesar a asigura garanţia verificării şi evaluării anume a aspectelor care au nevoie de aceasta. În acest scop, este elaborat un plan şi un scenariu de testare, care descriu în detalii ce, în ce ordine, cu ce priorităţi, cu ce grad de meticulozitate, în ce mod, cu ajutorul căror instrumente şi în ce mediu va fi testat.
Procesul de testare trebuie să fie numaidecît documentat, şi anume: sînt necesare rapoartele şi protocoalele testării, care arată rezultatele şi dinamica evaluării efectuate.
Rezultatele etapei:
1) determinarea cheltuielilor de lucru pentru codificare şi testare;
2) distribuirea termenelor de îndeplinire a lucrărilor categoriilor Divizării structurale a lucrărilor.
La această etapă, costul SI va include componentele cheltuielilor, indicate în tabelul 15.
Tabelul 15. Costul sistemului informaţional
la etapa „Cheltuielile de lucru pentru codificare şi testare”
|
Nr.
d/o
|
Componentele cheltuielilor
|
Costul lucrărilor organizaţiilor externe |
Costul lucrărilor personalului propriu
|
Costul cursurilor de instruire şi al certificării
|
|
1
|
Determinarea volumului lucrărilor de codificare |
|
|
|
|
2
|
Determinarea volumului lucrărilor de testare |
|
|
|
|
3
|
Determinarea factorului de mediu EAF
|
|
|
|
|
4
|
Calcularea Factorului de Evidenţă a Tehnologiei de Elaborare |
|
|
|
|
5
|
Calcularea Factorului de Evidenţă a Complexităţii şi Experienţei de Elaborare |
|
|
|
|
6
|
Calcularea duratei de codificare şi testare |
|
|
|
|
7
|
Calcularea cheltuielilor de lucru pentru codificare şi testare |
|
|
|
|
8
|
Distribuirea timpului după faze de elaborare a software-ului |
|
|
|
|
9
|
Crearea planului de elaborare a SI
|
|
|
|
|
10
|
Elaborarea planurilor şi scenariilor de testare |
|
|
|
|
11
|
Cheltuielile administrative legate de estimarea cheltuielilor de lucru pentru codificare şi testare |
|
|
|
|
Total:
|
|
|
|
|
|
Totalul pentru etapă:
|
|
|||
6.6. Determinarea caracteristicilor calităţii sistemului informaţional
Scopul prezentei etape este de a determina caracteristicile interne şi externe ale calităţii, metodologia de analizare a calităţii, indicatorii calităţii şi de a determina lucrările necesare pentru îmbunătăţirea calităţii SI, care necesită asigurare organizaţională, tehnică şi metodologică.
Pentru a descrie caracteristicile calităţii SI sînt evidenţiate următoarele procese:
1) selectarea şi argumentarea setului de date iniţiale care reflectă particularităţile generale şi etapele ciclului de viaţă al SI, care influenţează anumite caracteristici ale calităţii SI;
2) selectarea, stabilirea şi confirmarea parametrilor concreţi şi a scărilor de măsurare a caracteristicilor şi atributelor calităţii SI pentru estimarea lor ulterioară şi compararea cerinţelor specificaţiilor în procesul testărilor de calificare sau al certificării la anumite etape ale ciclului de viaţă a SI.
6.6.1. Parametrii calităţii
La etapele iniţiale ale ciclului de viaţă se stabilesc detaliat cerinţele faţă de SI (a se vedea punctul 6.1.1). Cerinţele detaliate necesare pentru funcţionarea SI sînt stabilite de caracteristicile calităţii care precizează şi concretizează cerinţele date faţă de conţinutul şi realizarea lor.
La selectarea parametrilor calităţii, indicatorii principali sînt: potrivirea perfectă a parametrilor scopurilor calităţii, transparenţa şi claritatea interpretării şi eficacitatea economică de obţinere a rezultatului.
Parametrii calităţii:
1) adaptabilitatea - măsură de flexibilitate a sistemului, estimează capacitatea SI de a se adapta la modificarea cerinţelor sau la reproiectarea SI, sau la integrarea aplicaţiilor;
2) complexitatea interfeţelor şi integrării - parametru ce măsoară nivelul de complexitate al interfeţei sau volumul suplimentar de lucrări de programare necesare pentru integrarea componentelor în SI, necesare pentru testare, corectare şi mentenanţă;
3) aria de testare indică nivelul de completitudine al diverselor tipuri de testare;
4) fiabilitatea - parametru care determină probabilitatea funcţionării SI fără refuzuri;
5) profilurile erorilor - parametru care măsoară numărul cumulativ al erorilor identificate.
Din punctul de vedere al posibilităţii şi exactităţii, caracteristicile, subcaracteristicile şi atributele calităţii SI se divizează în tipurile:
1) categoric – descriptiv, care reflectă setul de proprietăţi şi caracteristici generale ale obiectului. La tipul dat se atribuie proprietăţile software-ului şi ale setului de date, care cuprind scopul şi funcţiile SI. Utilitatea funcţională este cea mai importantă şi dominantă caracteristică a SI;
2) cantitativ - este reprezentat de o mulţime de puncte numerice ordonate care pot fi măsurate obiectiv şi contrapuse numeric cerinţelor. Valorile caracteristicilor de acest tip influenţează posibilităţile funcţionale ale SI. Astfel de caracteristici sînt fiabilitatea şi eficacitatea software-ului. Fiabilitatea este reflectată de durata de lucru pînă la refuz, durata medie de restabilire şi coeficientul de pregătire. Caracteristicile cantitative ale calităţii sînt prezentate în tabelul 16;
3) calitativ – care conţine cîteva valori ordonate sau separate care se caracterizează prin scara de ordin sau punctiformă, se stabilesc, se selectează şi se estimează subiectiv şi de către experţi. Caracteristicile calitative ale calităţii SI sînt prezentate în tabelul 17.
Tabelul 16. Caracteristicile cantitative ale calităţii SI
|
Caracteristicile calităţii
|
Unitate de măsură
|
Intervalul valorilor
|
|
Fiabilitatea
|
||
|
Nivelul de completare:
|
|
|
|
durata de lucru până la refuz în lipsa restartării |
oră
|
10–1000
|
|
Durabilitatea:
|
|
|
|
durata de lucru până la refuz cu restartare |
oră
|
10–1000
|
|
resursele relative pentru asigurarea fiabilităşii şi restartării |
%
|
10–90
|
|
Capacitatea de restabilire:
|
|
|
|
durata restabilirii
|
minut
|
10–2 – 10
|
|
Accesibilitatea-pregătirea:
|
|
|
|
timpul relativ de funcţionare SI cu menţinerea capacităţii de lucru |
probabilitatea
|
0,7–0,99
|
|
Eficacitatea
|
||
|
Eficacitatea temporară:
|
|
|
|
perioada de reacţionare – primirea rezultatelor pentru sarcina tipică |
secundă
|
1–1000
|
|
capacitatea de trecere - numărul sarcinilor tipice efectuate într-o unitate de timp |
numere per minut
|
1–1000
|
|
Gradul de utilizare a resurselor:
|
|
|
|
valoarea relativă a utilizării resurselor la funcţionarea normală a software-ului |
probabilitatea
|
0,7–0,99
|
Tabelul 17. Caracteristicile calitative ale calităţii SI
|
Caracteristicile calităţii
|
Unitate de măsură
|
Intervalul valorilor
|
|
Utilitatea
|
||
|
Claritatea:
|
|
|
|
exactitatea conceptului de SI
|
-
|
Excelentă; bună;
satisfăcătoare;
nesatisfăcătoare
|
|
capacităţile de demonstrare
|
||
|
claritatea şi completitudinea documentaţiei |
||
|
Simplitatea utilizării:
|
|
|
|
simplitatea administrării funcţiilor
|
-
|
Excelentă; bună;
satisfăcătoare;
nesatisfăcătoare
|
|
confortul exploatării
|
||
|
timpul mediu de introducere a sarcinilor |
-
|
1 – 1000
|
|
timpul mediu de reacţionare la sarcină |
||
|
Studierea
|
||
|
dificultatea studierii aplicaţiilor SI |
om-oră
|
1 – 1000
|
|
durata studierii
|
oră
|
1 – 1000
|
|
volumul documentaţiei de exploatare
|
pagini
|
1 – 1000
|
|
volumul manualelor electronice
|
kilobait
|
1 – 1000
|
|
Atractivitatea:
|
||
|
estimări subiective sau ale experţilor |
-
|
Excelentă; bună;
satisfăcătoare;
nesatisfăcătoare
|
|
Mentenabilitatea
|
-
|
Excelentă; bună;
satisfăcătoare;
nesatisfăcătoare
|
|
Comoditatea analizării:
|
||
|
organizarea arhitecturii programelor
|
om-oră
|
1–1000
|
|
unificarea interfeţelor
|
oră
|
1–1000
|
|
completitudinea şi corectitudinea documentaţiei |
-
|
Excelentă; bună;
satisfăcătoare;
nesatisfăcătoare
|
|
Modificabilitatea:
|
|
|
|
volumul de lucru pentru pregătirea modificărilor |
om-oră
|
1–1000
|
|
durata de pregătire a modificărilor
|
oră
|
1–1000
|
|
Stabilitatea:
|
|
|
|
rezistenţa la manifestările negative apărute în urma modificărilor |
-
|
Excelentă; bună;
satisfăcătoare;
nesatisfăcătoare
|
|
Testabilitatea:
|
|
|
|
volumul de lucru pentru testarea modificărilor |
om-oră
|
1–1000
|
|
durata testării modificărilor
|
oră
|
1–1000
|
|
Mobilitatea
|
||
|
Adaptabilitatea:
|
|
|
|
volumul de lucru necesar pentru adaptare
|
om-oră
|
1–100
|
|
durata adaptării
|
oră
|
1–100
|
|
Simplitatea instalării:
|
|
|
|
volumul de lucru necesar pentru instalare |
om-oră
|
1–100
|
|
durata instalării
|
oră
|
1–100
|
|
Coexistenţa-corespunderea:
|
|
|
|
standardizarea interfeţei cu mediul operaţional şi echipamentul |
-
|
Excelentă; bună;
satisfăcătoare;
nesatisfăcătoare
|
|
Substituibilitatea:
|
|
|
|
volumul de lucru necesar pentru substituirea componentelor
|
om-oră
|
1–100
|
|
durata substituirii componentelor
|
oră
|
1–100
|
Calitatea SI trebuie să fie conform caracteristicilor interne şi externe care sînt compuse din şase grupuri de indicatori de bază, fiecare dintre care este detaliat prin cîteva subcaracteristici normative:
1) utilitatea funcţională a SI:
- utilitatea pentru aplicare;
- corectitudinea (precizia, exactitatea);
- capacitatea de interacţiune;
- protecţia;
2) fiabilitate SI:
- nivelul de completare (lipsa erorilor);
- rezistenţa la defecte;
- capacitatea de restabilire;
- accesibilitatea-pregătirea;
3) eficacitatea SI:
- eficacitatea temporară;
- gradul de utilizare a resurselor;
4) aplicabilitatea (caracterul practic) SI:
- claritatea;
- simplitatea utilizării;
- posibilitatea de studiere;
- atractivitatea;
5) mentenabilitatea SI:
- comoditatea analizării;
- modificabilitatea;
- stabilitatea;
- testabilitatea;
6) transferabilitatea (mobilitatea) SI:
- adaptabilitatea;
- simplitatea instalării;
- coexistenţa –corespunderea;
- substituibilitatea.
Fiecare caracteristică trebuie să fie însoţită suplimentar de o subcaracteristică „conformitatea”, care reflectă lipsa contradicţiilor cu documentele normative.
6.6.3. Caracteristicile calităţii software-ului în utilizare
Caracteristicile interne şi externe ale calităţii se referă nemijlocit la SI, iar caracteristicile calităţii în utilizare se manifestă prin efectul utilizării acestuia şi depind de mediul extern. Între caracteristicile calităţii există interdependenţă de sus în jos şi dependenţă de jos în sus, adică mărirea unei caracteristici poate duce la scăderea altei caracteristici şi invers.
Caracteristicile de bază ale calităţii software-ului în utilizare sînt:
1) eficacitatea de sistem a aplicării software-ului potrivit scopului său;
2) productivitatea - randamentul la soluţionarea sarcinilor de bază ale SI, obţinut cu resurse limitate într-un mediu extern concret de aplicare;
3) securitatea - fiabilitatea funcţionării complexului de software şi riscul ce poate decurge din aplicarea sa pentru oameni, afaceri şi mediul extern;
4) satisfacerea cerinţelor şi cheltuielilor utilizatorilor în conformitate cu scopurile utilizării SI.
6.6.2. Metodologia de apreciere a calităţii sistemului informaţional
Pentru a asigura completitudinea măsurării calităţii SI este necesară elaborarea parametrilor structurali ai calităţii la etapele iniţiale ale ciclului de viaţă al SI.
Măsurarea calităţii SI constă în calcularea devierii caracteristicilor reale ale SI de la normative.
Мetodologia creării parametrilor calităţii SI constă din următorii paşi:
1) stabilirea nivelului nontehnic, destinat managerilor, utilizatorilor, clientului:
- formarea cerinţelor de calitate;
- selectarea proprietăţilor calităţii, stabilirea priorităţilor şi legăturii cu cerinţele;
- stabilirea pasajelor admisibile pentru valorile calităţii;
2) determinarea nivelului tehnic, destinat analiticilor, designerilor, elaboratorilor:
- realizarea descompunerii factorilor calităţii în caracteristici de software măsurabile;
3) determinarea nivelului inferior al ierarhiei – nivelul regulilor şi normelor elaborate, cărora va trebui să se conformeze SI pentru realizarea factorilor calităţii.
Estimarea metodologică a calităţii SI efectuată minuţios şi în conformitate cu scopurile elaborării SI creează baza pentru planificarea corectă şi controlul cheltuielilor referitoare la calitate, pentru realizarea indicilor necesari şi eficacitatea activităţii SI. Cheltuielile pentru estimarea calităţii SI includ remunerarea specialiştilor din propria organizaţie.
Rezultatele etapei:
1) determinarea caracteristicilor calităţii;
2) costul cheltuielilor de estimare a calităţii SI.
La etapa dată în costul SI vor fi incluse componentele cheltuielilor indicate în tabelul 18.
Tabelul 18. Costul sistemului informaţional la etapa
„Determinarea caracteristicilor calităţii sistemului informaţional”
„Determinarea caracteristicilor calităţii sistemului informaţional”
|
Nr.
d/o
|
Componentele cheltuielilor
|
Costul lucrărilor organizaţiilor externe
|
Costul lucrărilor personalului propriu
|
Costul cursurilor de instruire şi al certificării
|
|
1
|
Determinarea caracteristicilor cantitative ale calităţii SI |
|
|
|
|
2
|
Determinarea caracteristicilor calitative ale calităţii SI |
|
|
|
|
3
|
Determinarea caracteristicilor interne şi externe ale calităţii SI |
|
|
|
|
4
|
Evaluarea calităţii SI
|
|
|
|
|
Total:
|
|
|
|
|
|
Total pentru etapă:
|
|
|||
6.7. Calcularea costului sistemului informaţional
Scopul - de a efectua estimarea costului total al proiectului pentru elaborarea SI, incluzînd livrările de software şi hardware şi Divizarea structurală a lucrărilor.
În costul total al SI sînt incluse:
1) cheltuielile capitale;
2) cheltuielile operaţionale.
6.7.1. Cheltuielile capitale
Cheltuielile capitale sînt cheltuielile pentru achiziţionarea noilor şi schimbarea vechilor active materiale şi nemateriale de lungă durată, utilizate în procesul de creare a SI.
Cheltuielile capitale includ şi costul livrărilor de:
1) hardware:
- costul echipamentului (preţul total al echipamentului, fără includerea amortizării);
- cheltuielile de amortizare (perioada de amortizare se calculează în funcţie de tipul tehnicii);
- upgrade (include toate actualizările şi schimbările în configuraţia echipamentului, acestea sînt: schimbarea discurilor fixe, instalarea dispozitivelor suplimentare. Într-o subcategorie separată sînt incluse upgrade-urile de procesoare);
- memoria (cheltuielile pentru majorarea volumului memoriei atît pentru locurile clienţilor cît şi pentru celelalte dispozitive ce conţin module de memorie);
- dispozitive de păstrare a informaţiei (disc drivere, discuri fixe, plăci de memorie, drive optic, sisteme de păstrare, streamere, dispozitive de stocare a datelor, flash carduri);
- periferiсe (imprimante, scanere, plottere);
- echipament de reţea (concentratoare, comutatoare, plăci de reţea (cu excepţia celor încorporate în computerele clienţilor), routere, poduri şi altele);
2) software:
- sisteme operaţionale;
- preţul licenţelor;
- aplicaţii (pe lîngă aplicaţiile de birou standard acestea includ şi software-ul specializat, elaborat de compania dată, precum şi de organizaţii terţe);
- programe de deservire (de diagnosticare, de corectare, programe defragmentatoare, criptografice, antivirus şi altele);
- programe pentru comunicaţii: diverse browsere, protocoale FTP de transfer al fişierelor, programe de e-mail, mijloacele de acces la distanţa şi altele.
- determinarea costului cheltuielilor de transport legate de SI.
6.7.2. Cheltuielile operaţionale
Cheltuielile operaţionale sînt cheltuielile şi plăţile legate de efectuarea într-o anumită perioadă de timp a operaţiunilor financiare, de producere, administrative ce ţin de procesul de susţinere a SI. Cheltuielile operaţionale includ cheltuielile pentru producerea şi realizarea produselor şi / sau oferirea serviciilor, cheltuielile administrative şi financiare.
La cheltuielile operaţionale se referă:
1) plăţile - plata pentru închirierea hardware-ului şi software-ului şi alte cheltuieli pentru echipament de computer, care nu sînt incluse în nici una din categoriile menţionate;
2) administrarea:
- administrarea reţelei;
- diagnosticul şi reparaţia;
- gestionarea şi planificarea traficului;
- optimizarea productivităţii (se efectuează de către administratorul de sistem şi include identificarea zonelor înguste din reţea şi luarea măsurilor corespunzătoare);
- administrarea utilizatorilor (adăugarea, excluderea, modificarea drepturilor);
- suportul sistemelor operaţionale;
- lucrările regulamentare curente (profilaxia);
- alte lucrări de administrare a reţelei;
3) administrarea sistemului:
- studierea şi planificarea dezvoltării sistemului;
- determinarea costului şi procurarea echipamentului;
- licenţierea şi distribuirea software-ului;
- gestionarea bunurilor (echipamentului);
- administrarea aplicaţiilor;
- controlul securităţii şi protecţia contra viruşilor;
- configurarea şi resetarea echipamentului;
- instalarea echipamentului;
- alte sarcini de administrare a sistemului;
- administrarea dispozitivelor de păstrare a datelor;
- administrarea discurilor şi fişierelor;
- planificarea capacităţii dispozitivelor de păstrare a datelor;
- administrarea accesului la date;
- arhivarea şi copierea de rezervă;
- pronosticul defecţiunilor şi restabilirea;
- administrarea repository-ului;
- alte tipuri de administrare;
4) susţinerea:
- activitatea operativă;
- ajutorul personalului administrativ;
- instruirea neregulată (personalul administrativ);
- susţinerea producătorului;
- susţinerea realizată de organizaţii externe (outsourcing);
- instruirea personalului administrativ;
- instruirea utilizatorului final;
- cheltuieli pentru deplasare;
- achiziţii;
- alte cheltuieli pentru lucrul operativ;
- contracte de livrare;
- contracte de susţinere;
- cursuri de instruire şi certificarea;
5) stabilirea nivelului profesional şi a remunerării personalului.
Rezultatele etapei:
1) costul livrărilor de software şi hardware;
2) stabilirea costului categoriilor de Divizare structurală a lucrărilor;
3) costul estimativ total al SI.
La etapa dată în costul SI vor fi incluse componentele cheltuielilor, indicate în tabelul 19.
Tabelul 19. Costul sistemului informaţional la etapa
„Calcularea costului sistemului informaţional”
„Calcularea costului sistemului informaţional”
|
Nr.
d/o
|
Componentele cheltuielilor
|
Costul lucrărilor organizaţiilor externe
|
Costul lucrărilor personalului propriu
|
Costul cursurilor de instruire şi al certificării
|
|
1
|
Estimarea costului total al proiectului pentru elaborarea SI |
|
|
|
|
2
|
Realizarea lucrărilor curente regulamentare |
|
|
|
|
3
|
Studierea şi planificarea dezvoltării SI |
|
|
|
|
4
|
Cheltuielile administrative legate de calcularea costului SI |
|
|
|
|
Total:
|
|
|
|
|
|
Total pentru etapă:
|
|
|||
6.8. Determinarea influenţei riscurilor
Scopul prezentei etape de a determina riscurile proiectului pentru a estima influenţa lor asupra costului de elaborare.
6.8.1. Evaluarea influenţei riscurilor asupra costului SI
Riscurile se evaluează în modul următor:
1) în baza listei iniţiale a riscurilor (a se vedea punctul 5.4.1) de identificat riscul de bază care are cea mai mare influenţă asupra evaluării SI;
2) de evaluat influenţa generală a riscurilor (a se vedea tabelele 20, 21). De calculat influenţa generală a riscurilor prin înmulţirea valorilor evaluării influenţei a riscurilor la costul tuturor cauzelor riscurilor. Evaluarea influenţei a riscurilor asupra costului este prezentat în tabelul 21;
Tabelul 20. Evaluarea cauzelor riscurilor
|
Tipurile de riscuri
|
Evaluarea cauzelor riscurilor
|
|
|
Reduce riscul
|
Sporeşte riscul
|
|
|
Experienţă şi abilităţi de lucru în echipă |
Experienţa de participare la elaborarea de software; Experienţa de planificare şi de luare a deciziilor; Integrarea hardware-ului şi software-ului ale grupurilor |
Lipsa experienţei de elaborare a software-ului; Lipsa experienţei de planificare;
Hardware-ul şi software-ul ale grupului nu sunt integrate |
|
Planificare
|
Planul detaliat şi revizuit;
Suficient timp pentru elaborarea tuturor modulelor principale ale proiectului; Destinaţia corespunzătoare a rezervelor;
Moştenirea software-ului se bazează într-un mod clar pe analiză |
Lacune în planificare;
La planificarea proiectului nu au luat parte toate părţile interesate; O abordare simplificată a repartizării rezervelor;
Presupuneri optimiste, neverificate, cu privire la moştenirea software-ului |
|
Proiectare
|
Arhitectura de sistem şi de program completă, precum şi reguli clare care divizează sistemul în module; Decizii de sistem integrate se bazează atât pe hardware cât şi pe software; Procesul de elaborare a software-ului este proiectat ţinând cont de creşterea ulterioară a funcţionalităţii |
Arhitectură de sistem şi de program cu o descriere neclară a bazelor de divizare funcţională a hardware-ul şi software-ul; Deciziile de sistem sunt luate fără a ţine cont de influenţa lor asupra software; Presupunerea că nu va fi necesară modificarea şi dezvoltarea software-ului până la sfîrşitul ciclului de viaţă |
|
Resursele umane
|
Nivel redus de fluctuaţie a cadrelor; Angajarea la timp a personalului pentru elaborarea software-ului; Păstrarea grupului de elaborare a programelor până la emiterea produsului |
Nivel înalt de fluctuaţie a cadrelor;
Completarea slabă cu personal;
Planificarea de eliberare a grupului de elaboratori înainte de asamblarea, testarea şi procedura de dare în exploatare a software-ului |
|
Testare
|
Standurile de testare sunt pregătite până la începutul elaborării; Un grup separat de testatori;
Elaborarea la timp a planului de testare |
Insuficienţă de standuri de testare sau lipsa lor; Se planifică de a transforma grupul de elaboratori în grupul de testatori la finele elaborării; Lipsa planului de testare
|
|
Instrumente
|
Sistemul de gestionare corespunde mijloacelor de testare şi cerinţelor proiectului; Mijloace de proiectare verificate
|
Lipsa sau insuficienţa compatibilităţii sistemului de gestionare cu instrumentele de analiză a testării; Mijloace de proiectare nepotrivite
|
Tabelul 21. Evaluarea influenţei riscurilor asupra costului
|
Cauzele riscului
|
Evaluarea influenţei asupra costului
|
||
|
Înaltă
|
Foarte înaltă
|
Cea mai înaltă
|
|
|
Experienţă şi abilităţi de lucru în echipă |
1,02
|
1,05
|
1,08
|
|
Planificare
|
1,10
|
1,17
|
1,25
|
|
Proiectare
|
1,05
|
1,13
|
1,2
|
|
Resurse umane
|
1,02
|
1,05
|
1,13
|
|
Testare
|
1,05
|
1,08
|
1,15
|
|
Instrumente
|
1,02
|
1,03
|
1,1
|
|
Influenţa maximă pronosticată
|
1,3
|
1,6
|
2,32
|
3) de determinat influenţa riscurilor asupra costului SI după formula (12):
Influenţa_riscului_asupra_costului=Costul_SI *
Influenţa_generală_a_riscurilor (12)
Costul total al SI se stabileşte în subcapitolul 6.7;
4) de reglat evaluarea riscului prin adăugarea factorului general al riscului la cost după formula (13):
, (13)unde
- Influenţă – influenţa riscurilor asupra costului SI;
- Probabilitatea cazului se stabileşte în mod experimental utilizînd abordarea statistică care ajută la modificarea evaluării apriorice ţinînd cont de datele noilor cercetări.
6.8.2. Influenţa securităţii informaţionale asupra funcţionării sistemului informaţional
Pentru minimalizarea influenţei riscurilor de funcţionare a SI este necesară respectarea şi controlul cerinţelor de asigurare a securităţii informaţionale a SI.
Cerinţele de asigurare a securităţii informaţionale a SI sînt:
1) planificarea asigurării securităţii informaţionale – planul de asigurare a securităţii şi regulile de conduită a angajaţilor;
2) reacţionarea la incidentele legate de încălcarea securităţii informaţionale;
3) activităţi de asigurare a securităţii informaţionale în situaţii imprevizibile – planul de acţiuni în situaţii imprevizibile, rezervarea serviciilor de telecomunicaţii, copierea de rezervă şi păstrarea informaţiei, restabilirea datelor;
4) cerinţe faţă de evaluarea riscurilor şi vulnerabilităţilor;
5) cerinţe faţă de protejarea suporturilor de informaţie – marcarea, păstrarea, transportarea, curăţarea, transmiterea şi distrugerea suporturilor de informaţie;
6) cerinţe faţă de asigurarea integrităţii informaţiei;
7) cerinţe faţă de protejarea fizică a SI;
8) cerinţe faţă de securitatea personalului de exploatare, precum şi faţă de informarea şi instruirea acestuia în probleme de securitate;
9) cerinţe de identificare şi autentificare;
10) cerinţe faţă de gestionarea accesului.
Asigurarea securităţii informaţionale include cheltuielile pentru mijloacele de protejare a hardware-ului şi software-ului, cheltuielile pentru remunerarea specialiştilor în securitate informaţională atît a organizaţiilor externe, cît şi a personalului propriu.
Rezultatele etapei:
1) lista detaliată a riscurilor SI:
2) determinarea cerinţelor de asigurare a securităţii informaţionale;
3) sînt reevaluate: mărimea, volumul, planul lucrărilor, costul proiectului, ţinînd cont de riscuri.
La etapa dată în costul SI vor fi incluse componentele cheltuielilor indicate în tabelul 22.
Tabelul 22. Costul sistemului informaţional la etapa
„Determinarea influenţei riscurilor”
„Determinarea influenţei riscurilor”
|
Nr.
d/o
|
Componentele cheltuielilor
|
Costul lucrărilor organizaţiilor externe
|
Costul lucrărilor personalului propriu
|
Costul cursurilor de instruire şi al certificării
|
|
1
|
Evaluarea influenţei riscurilor asupra costului |
|
|
|
|
2
|
Reglarea evaluării riscului
|
|
|
|
|
3
|
Reglarea cheltuielilor bazate pe evaluarea riscului |
|
|
|
|
4
|
Cheltuieli administrative legate de determinarea influenţei riscului asupra costului |
|
|
|
|
5
|
Asigurarea securităţii informaţionale |
|
|
|
|
Total:
|
|
|
|
|
|
Total pentru etapă:
|
|
|||
6.9. Confirmarea şi corectarea estimării costului riscurilor
Scopul etapei – de a confirma şi corecta estimarea costului riscurilor.
Lista iniţială a riscurilor (a se vedea punctul 5.4.1) se completează cu o listă suplimentară a riscurilor utilizînd:
1) evaluarea alternativă: atragerea unui individ sau a unui grup cu experienţă corespunzătoare pentru obţine o estimare a experţilor independenţi;
2) analoguri istorice: folosind experienţa precedentă, evaluarea se compară în conformitate cu următorii parametri:
- mărimea, volumul lucrărilor şi costul unui SI analogic;
- raportul dintre mărime şi scopul SI;
- raportul dintre mărime şi volumul lucrărilor şi cost (productivitatea elaborării);
- raportul dintre tehnologia utilizată la elaborare şi volumul de lucrări şi preţ.
Pentru realizarea sarcinii date este necesar a compara lista iniţială de riscuri (a se vedea punctul 5.4.1) cu riscurile suplimentare obţinute în punctul precedent, a stabili diferenţa şi a elabora o listă nouă a riscurilor pentru obţinerea indicatorilor mai exacţi.
În continuare este necesară gestionarea şi corectarea listei de riscuri obţinute.
Realizarea procesului de gestionare cuprinde:
1) evaluarea riscurilor pe parcursul ciclului de viaţă al SI;
2) determinarea şi clasificarea riscurilor;
3) determinarea cantitativă a influenţelor nefavorabile ale riscurilor;
4) determinarea măsurilor de prevenire a riscurilor;
5) determinarea strategiei de gestionare a fiecărui risc identificat;
6) întocmirea raporturilor cu privire la riscuri şi starea lor.
Rezultatele etapei:
1) confirmarea corectitudinii evaluării;
2) sînt confirmate şi corectate: volumul lucrărilor, termenele de realizare, cheltuielile de deviz obţinute cu o exactitate mai mare.
La etapa dată în costul SI vor fi incluse componentele cheltuielilor indicate în tabelul 23.
Tabelul 23. Costul sistemului informaţional la etapa
„Confirmarea şi corectarea estimării costului riscurilor”
„Confirmarea şi corectarea estimării costului riscurilor”
|
Nr.
d/o
|
Componentele cheltuielilor
|
Costul lucrărilor organizaţiilor externe
|
Costul lucrărilor personalului propriu
|
Costul cursurilor de instruire şi al certificării
|
|
1
|
Evaluarea riscurilor efectuată de către un grup independent de experţi |
|
|
|
|
2
|
Analiza datelor statistice din domeniul dat |
|
|
|
|
3
|
Compararea evaluărilor riscurilor
|
|
|
|
|
4
|
Reglarea evaluării riscurilor
|
|
|
|
|
5
|
Cheltuieli administrative legate de confirmarea şi corectarea estimării costului riscurilor |
|
|
|
|
Total:
|
|
|
|
|
|
Total pentru etapă:
|
|
|||
6.10. Implementarea sistemului informaţional
Scopul etapei este:
1) de a spori productivitatea muncii personalului;
2) de a reduce volumul de muncă necesar pentru realizarea proceselor concrete din contul spaţiului informaţional unic;
3) de a reduce erorile din contul creşterii posibilităţilor de analiză şi verificare a informaţiei în cadrul SI.
Etapa de implementare se începe cu următoarele:
1) obţinerea permisiunii pentru instalarea SI la locurile de funcţionare;
2) pregătirea infrastructurii utilizatorului şi echipamentului încăperii în care va funcţiona SI;
3) verificarea capacităţii de funcţionare a SI în condiţii reale de exploatare;
4) organizarea instruirii personalului lucrului cu SI sau componentele acestuia.
Sarcinile de implementare a SI sînt complexe, deoarece soluţionarea lor presupune realizarea unui şir de acţiuni care include:
1) concentrarea resurselor umane şi financiare pentru soluţionarea sarcinilor de implementare a SI;
2) elaborarea concepţiei de creare a unui SI unitar;
3) instruirea utilizatorilor;
4) instruirea administratorilor şi specialiştilor de profil îngust;
5) adaptarea SI la specificul proceselor din organizaţie;
6) realizarea proiectului-pilot al SI;
7) elaborarea bazei normative pentru activitatea în cadrul noilor tehnologii;
8) implementarea completă a SI în activitatea practică a organizaţiei.
Pentru realizarea sarcinilor de implementare a SI este necesar a elabora planul de implementare a SI.
Planul-standard de implementare a SI cuprinde următoarele etape:
1) planificarea implementării – desemnarea managerului de proiect, asigurarea informării angajaţilor, recrutarea angajaţilor în grupul de implementare a SI;
2) instalarea sistemului – instalarea, testarea şi verificarea corectitudinii setărilor SI;
3) lansarea proiectului-pilot – instruirea utilizatorilor, transferul utilizatorilor la noul SI, colectarea opiniilor utilizatorilor şi finisarea SI în caz de necesitate, desemnarea unui grup de persoane responsabile de suportul SI (managerul responsabil de procesul de implementare);
4) implementarea deplină a SI în activitatea organizaţiei.
Rezultatele etapei:
1) instruirea utilizatorilor;
2) elaborarea documentaţiei de implementare;
3) realizarea proiectului-pilot al SI şi ulterior implementarea deplină a SI.
La etapa dată în costul SI vor fi incluse componentele cheltuielilor indicate în tabelul 24.
Tabelul 24. Costul sistemului informaţional la etapa
„Implementarea sistemului informaţional”
„Implementarea sistemului informaţional”
|
Nr.
d/o
|
Componentele cheltuielilor
|
Costul lucrărilor organizaţiilor externe
|
Costul lucrărilor personalului propriu
|
|
1
|
Elaborarea planului de implementare
|
|
|
|
2
|
Instruirea utilizatorilor
|
|
|
|
3
|
Instalarea SI
|
|
|
|
4
|
Adaptarea SI la specificul proceselor organizaţiei |
|
|
|
5
|
Realizarea proiectului pilot al SI
|
|
|
|
6
|
Realizarea implementării depline a SI |
|
|
|
Total:
|
|
|
|
|
Total pentru etapă:
|
|
||
Calculul total al sistemului informaţional la toate etapele este indicat în tabelul 25.
Tabelul 25. Calculul total al sistemului informaţional
|
Nr.
d/o
|
Denumirea etapei
|
Costul
|
|
1
|
Colectarea şi analiza cerinţelor faţă de SI |
|
|
2
|
Determinarea unităţilor structurale şi a costului de livrare a software-ului şi hardware-ului |
|
|
3
|
Aprecierea mărimii segmentului de programare al SI |
|
|
4
|
Evaluarea volumului lucrărilor
|
|
|
5
|
Cheltuielile de lucru pentru codificare şi testare |
|
|
6
|
Determinarea caracteristicilor calităţii SI |
|
|
7
|
Calcularea costului SI
|
|
|
8
|
Determinarea influenţei riscurilor
|
|
|
9
|
Confirmarea şi corectarea estimării costului riscurilor |
|
|
10
|
Implementarea SI
|
|
|
Costul total al SI:
|
|
|
7. Metodologia de analiză a costului, bugetului şi termenelor de realizare a lucrărilor în cadrul proiectului de durată
7.1. Revizuirea costului, bugetului şi termenelor de realizare a lucrărilor proiectului de durată
Scopul – revizuirea costului aprobat, bugetului proiectului şi a termenelor de realizare a lucrărilor pentru determinarea diferenţelor.
Este necesar a efectua următoare lucrări:
1) stabilirea limitelor bugetului SI în expresie procentuală după formula (14):
(14)În mod similar calculăm şi limitele termenelor de realizare a lucrărilor;
2) compararea costului proiectului, termenelor de realizare a lucrărilor şi limitelor bugetare ale proiectului pentru a le coordona;
3) dacă evaluarea este mult mai înaltă de valoarea planificată, de stabilit şi eliminat diferenţele. Pentru aceasta trebuie:
- de detaliat maximal funcţionalitatea şi limitele necesare, analizînd şi stabilind priorităţile funcţiilor pentru a identifica funcţiile care pot fi excluse. Trebuie de ţinut cont de interconexiunea funcţiilor;
- de încetat livrările care nu sînt necesare;
- de verificat termenele de realizare a lucrărilor, costul de deviz şi riscurile care influenţează costul de bază. De micşorat riscul şi cheltuielile din contul reducerii funcţionalităţii şi volumului de livrări;
- de repetat acest proces pînă cînd funcţionalitatea şi livrările nu vor intra în limitele permise în baza bugetului şi termenelor de realizare a lucrărilor;
- de coordonat reducerea funcţionalităţii, a volumului de livrări şi cheltuielile revizuite corespunzător pentru a ajunge la un acord. De corectat Divizarea structurală a lucrărilor potrivit funcţionalităţii revizuite.
7.2. Documentarea şi evidenţa estimării efectuate a costului sistemului informaţiomal
Scopul - verificarea exactităţii estimării costului SI şi asigurarea unei analize similare a viitoarelor proiecte de programe.
În cadrul ciclului de viaţă al SI, fiecărui proces-business îi este atribuită documentaţia care este prezentată la intrare sau este primită la ieşirea din acest proces.
Trebuie de analizat evaluarea pentru a determina termenele şi motivele care ar putea cauza depăşirea limitelor de cheltuieli planificate pentru proiect, ca urmare este necesar:
1) de modificat documentaţia în procesul de stabilire a costului SI. Documentaţia este rezultatul înregistrării informaţiei primite pe durata acţiunilor sau proceselor ciclului de viaţă al sistemului de program;
2) pentru a îmbunătăţi indicii de evaluare şi planificare de corectat evaluarea la fiecare etapă.
Este necesar a documenta:
1) informaţia de bază despre proiect:
- denumirea proiectului;
- organizaţia-elaborator;
- platforma;
- limbajul de programare;
- metoda de evaluare;
- data de aprobare a costului proiectului;
2) mărimea estimată şi reală, volumul lucrărilor, costul software-ului şi hardware-ului;
3) datele planificate şi reale ale etapelor de bază;
4) identificarea riscurilor şi influenţa lor presupusă şi reală.
În procesul de proiectare, elaborare şi implementare a SI se elaborează următoarele documente în conformitate cu RT 38370656-002:2006:
1) plan de administrare a proiectului;
2) plan calendaristic de realizare a proiectului;
3) concepţia SI;
4) propunere-business;
5) sarcina tehnică;
6) proiect tehnic;
7) instrucţiune de exploatare a SI;
8) instrucţiunea administratorului;
9) plan de testare;
10) proces-verbal de testare;
11) act de transmitere în exploatarea experimentală;
12) act de finisare a elaborării;
13) plan calendaristic al procesului de trecere;
14) act de predare în exploatare;
15) act de punere în exploatare;
16) propunere de modificare;
17) mesaj despre problemă;
18) jurnal de înregistrare a adresărilor.
Documentaţia conţine date de referinţă despre proiectul SI şi despre contractele încheiate în procesul de proiectare, elaborare şi implementare.
Anexa nr. 1
Metode alternative de evaluare a segmentului de
programare a sistemului informaţional
În calitate de metode de evaluare a segmentului de programare a SI pot fi utilizate: programare a sistemului informaţional
Metoda Analogiei — se foloseşte la utilizarea repetată sau pentru funcţiile modificabile. Metoda analogiei se foloseşte pe larg ca model analog al obiectului, cercetat prin intermediul modelării. Se utilizează analogia deciziei experţilor sau analogia datelor istorice. Decizia experţilor se bazează pe experienţa cu o funcţie analogică, pe cînd analogia datelor istorice se bazează pe proiectele precedente, asemănarea şi diferenţele dintre cerinţele funcţionale.
Metoda statistică (PERT). Se utilizează pentru funcţiile analogice sau noi, unde experienţa şi datele istorice sînt limitate, sau pentru proiectele cu cerinţe incomplete sau ambigue. Evaluarea segmentului de programare a SI se efectuează în modul următor:
1) primul expert independent stabileşte mărimea minimă admisibilă a segmentului de programare a SI (Least);
2) al doilea expert independent stabileşte mărimea maximă admisibilă a segmentului de programare a SI (Most);
3) al treilea expert independent, folosind şi datele istorice, stabileşte mărimea maximal-posibilă a segmentului de programare a SI (Likely);
4) se calculează mărimea segmentului de programare a SI (Mean):
Mean = (Least + 4*Likely + Most)/6.
Această metodă este compensată de faptul că evaluarea tinde spre limita inferioară, şi nu spre cea superioară.În cazul în care mărimea evaluării este întemeiată pe bazele istorice de date, ce au utilizat rînduri fizice ale codului sau analogii în proiecte, trebuie de transformat rîndurile fizice ale evaluării de cod a mărimii în rînduri logice, folosind Tabelul 1.1.
Tabelul 1.1 Transformarea mărimii evaluării
|
Limbajul de programare
|
SLOC logice
|
|
Assembly şi Fortran
|
SLOC fizice = SLOC logice
|
|
Limbaje de programare de generaţia a treia (C, Cobol, Pascal, Ada 83)
|
Reducerea SLOC fizice cu 25%
|
|
Limbaje de programare de generaţia a patra (SQL, Perl, Oracle)
|
Reducerea SLOC fizice cu 40%
|
|
Limbaje de programare orientate-obiect
(Ada 95, C++, Java, Python)
|
Reducerea SLOC fizice cu 30%
|
Deoarece productivitatea elaborării codului autogenerat este mult mai înaltă decît productivitatea elaborării unui alt cod, acest fapt ar trebui luat în consideraţie la transformare. Este necesar de utilizat tabelul 1.2 pentru transformarea codului autogenerat în SLOC logice:
Tabelul 1.2.Tabelul de transformare a codului autogenerat în SLOC logice
|
Limbajul de programare
|
Transformarea codului auto-generat în SLOC logice după:
|
||
|
Least
|
Likely
|
Most
|
|
|
De generaţia a doua
|
-
|
1
|
-
|
|
De generaţia a treia
|
0,22
|
0,25
|
0,4
|
|
De generaţia a patra
|
0,04
|
0,06
|
0,13
|
|
Orientate-obiect
|
-
|
0,09
|
0,17
|