Сертификация баз данных
Антопольский А.Б., Вигурский К.В.

Сертификация баз данных

______________________

Антопольский А.Б., Вигурский К.В.



Рассмотрены цели и принципы построения системы сертификации в области баз данных, приведена схема сертификации баз данных. В качестве перспективного направления развития рассмотрен переход от сертификации баз данных как законченного продукта к оценке технологии их формирования.

Развитие рыночных отношений в России, формирование рынка приводят к необходимости инициирования новых или развития существовавших видов деятельности, потребность в которых еще несколько лет назад либо отсутствовала, либо была крайне слабо выражена. К таким видам деятельности относится сертификация — деятельность, интенсивно развивающаяся в промышленно развитых странах в течение последних трех-четырех десятилетий, деятельность, вызванная потребностями субъектов рыночных отношений. Сертификация согласно определению, принятому в международной практике [1 ], призвана обеспечивать необходимую уверенность в том, что продукция или услуга отвечают определенным требованиям. В связи с этим основными целями сертификации являются [2]:

содействие развитию рынка;

содействие конкуренции;

содействие повышению качества продукции.

Из сказанного ясно значение сертификации для России. Подтверждением этого служит то, что в числе наиболее актуальных законов России, принятых за последние два года, оказались законы о защите прав потребителей (1992 г.) и о сертификации (1993 г.), которые создают прочную базу для организации работ в этом направлении.

Сказанное в полной мере относится к одному из секторов отечественного рынка — информационному. Однако потребности в сертификации информационной продукции и услуг, на наш взгляд, намного выше, чем для продукции и услуг многих других видов. Это обусловлено тремя причинами: во-первых, существенным отставанием в области информатики от многих промышленно-развитых стран и необходимостью сокращения этого отставания [3]; во-вторых, формирование рыночной экономики в целом просто немыслимо сегодня без привлечения значительных информационных ресурсов и без развитой информационной инфраструктуры; в-третьих, интеграция отечественной экономики в мировую систему практически невозможна без установления интенсивного информационного обмена на международном уровне и, следовательно, обеспечения соответствия международным требованиям как самой информации, так и средств ее распространения.

Разнообразие информационной продукции и услуг требует введения различных систем, порядков, правил и методов испытаний и сертификации в этой области. Одним из видов этой продукции являются базы данных.

В настоящее время в России насчитывается не менее 20 тыс. различных баз данных, не менее четверти которых активно распространяются или могут распространяться на коммерческой основе как государственными, так и частным» организациями и предприятиями.

Основную цель, стоящую перед сертификацией в области баз данных, с учетом приведенного определения и в соответствии с упомянутыми выше законами России, можно сформулировать следующим образом. Потребитель должен быть уверен ъ том, что приобретаемая им база данных сопровождается необходимой документацией, совместима с указанными в документации техническими и программными средствами, позволяет решать необходимый комплекс пользовательских задач, а также содержит объявленную информацию надлежащего качества.

Например, в самом простом случае потребитель должен иметь гарантии того, что, выбрав и купив базу данных, он сможет ее инсталлировать на своих программно-технических средствах, проводить допустимые информационные поиски и находить требуемую ему информацию. Он должен быть уверен в том, что ему не придется постоянно связываться с поставщиком для консультаций по поводу сбоев и появления нештатных ситуаций, что необходимая ему информация ищется, качественна и составляет лишь небольшую часть от всей приобретенной информации.

Что дает сертификация производителям баз данных? Она полностью или частично избавляет их приведения приемочных испытаний при поставках. Обеспечивает более выгодное положение по отношению к конкурентам, предлагающим на рынке аналогичные базы данных. Очевидно, что при прочих равных условиях потребитель (покупатель) будет выбирать базу данных, свойства которой подтверждены независимой официально аккредитованной организацией, т. е. базу данных, имеющую сертификат.

Сертификация позволяет поставщикам баз данных уверенно выходить на новые рынки, а также новым организациям, которые еще неизвестны потребителям и конкурентам, представлять свою продукцию на традиционные рынки.

Она обеспечивает получение дополнительных возможностей рекламы, используя знак соответствия, распространяя информацию о себе через издания Государственного реестра сертифицированной продукции.

Кроме того, сертификация предполагает объективную оценку своей продукции.

Что дает сертификация государству?

Помимо решения рассмотренных выше общегосударственных задач, в частности, содействие развитию рынка, сертификация позволяет проводить государственную научно-техническую политику в конкретной области, в нашем случае — в области машиночитаемого информационного ресурса. Это может осуществляться посредством установления определенных критериев оценки тех или иных параметров баз данных, введением налоговых или иных льгот для владельцев сертифицированных баз данных, распределением приоритетов по видам баз данных при введении сертификации и т. д.

Сертификация призвана оказать существенную помощь крупным государственным заказчикам баз данных, например министерствам. Для этих заказчиков открывается возможность получить объективную и независимую оценку конечного результата работ, финансируемых ими. Объективность и достоверность протоколов, актов и других документов, которыми завершаются разработки, далеко не всегда находятся на должном уровне. Ни для кого не является секретом, что часто при приемке баз данных и составлении указанных документов, исполнение формальностей преобладает над получением содержательных оценок. Заказчик, финансирующий разработку базы данных, информационной системы или работы по развитию баз данных, должен быть уверен в эффективности использования выделяемых средств, в конкурентоспособности полученной продукции.

Качество баз данных, как и любой другой продукции, удостоверяется сертификатом — документом, который официально выдается уполномоченной на это службой (органом по сертификации) поставщику для точно идентифицированной базы данных. В некотором смысле выдача сертификата является конечной процедурой в процессе сертификации. Однако сертификат может выполнять свое назначение только при условии, что он является отражением всего комплекса мероприятий, норм, методов и средств, который принято называть системой сертификации. Фактически, только вся совокупность действий, осуществляемых системой сертификации в строгом соответствии с установленными требованиями, от момента рассмотрения заявки до окончания срока действия сертификата является единственно реальной гарантией качества баз данных и достоверности выданного сертификата.

Этот комплекс (система сертификации) включает в себя:

1. Организационно-исполнительную структуру, состоящую из взаимосвязанных служб (органов по сертификации, испытательных лабораторий и др.), имеющих определенный статус и уполномоченных осуществлять данную деятельность.

2. Нормативную базу — совокупность документов, определяющих весь спектр требований к базам данных, методам и средствам их испытаний.

3. Технологическую базу — совокупность порядков, правил и методов проведения работ по испытаниям и сертификации.

4. Системы качества, определяющие для каждой службы системы все аспекты деятельности, связанные с обеспечением объективности, точности, воспроизводимости и независимости результатов испытаний и сертификации.

5. Инструментальные средства — совокупность аттестованных технических средств (ПЭВМ, печатающих устройств и др.), общего и прикладного программного обеспечения, позволяющих надлежащим образом проводить испытания баз данных.

6. Вспомогательные средства — совокупность программных и технических средств, непосредственно не используемых в испытаниях и сертификации и предназначенных для исполнения требований систем качества.

Укрупненная структура системы сертификации баз данных представлена на рис. 1, где ОС — орган по сертификации; ОС/ИЛ— орган по сертификации, имеющей в своем составе испытательную лабораторию; ИЛ — испытательная лаборатория. Основными структурными элементами системы являются испытательные лаборатории и органы по сертификации, осуществляющие основной объем практической деятельности. Испытательные лаборатории могут быть как самостоятельными службами, так и входить в состав органов по сертификации. В целях координации работ, проводимых указанными звеньями системы, один из органов по сертификации наделяется соответствующими функциями и объявляется центральным. В его задачи помимо координации работ входит методическое обеспечение участников системы, формирование научно-технической политики системы и контроль за ее исполнением, а также взаимодействие с другими системами.

Количество органов по сертификации, испытательных лабораторий, их задачи и порядок взаимодействия определяются соответствующими документами (положениями, технологиями и т. п.) и зависят от количества испытаний и заявок на сертификацию, а также количества типов испытываемых и сертифицируемых баз данных.

Для достижения поставленных перед сертификацией баз данных целей и эффективного решения практических задач система сертификации баз данных строится на следующих принципах:

добровольность — участникам системы сертификации баз данных может быть на добровольной основе любое физическое или юридическое лицо, признающее и исполняющее требования и правила, принятые в системе;

независимость — любые действия, осуществляемые органами и службами системы сертификации баз данных, связанные с сертификацией, испытаниями, инспекционным контролем за состоянием БД или их производства, или с иными процедурами оценки качества ВД, домены приводить к объективным результатам вне зависимости от интересов поставщиков и производителей БД, а также иных лиц;

соответствие требованиям Системы сертификации ГОСТ Р.

Схема самого процесса сертификации без учета деталей приведена на рис. 2.

Ключевыми процедурами в данной схеме являются испытания и экспертиза полученных результатов. Испытания производятся с целью получения оценок требованиям нормативно-технических документов, принятых в системе.

Перечень параметров баз данных и требования к ним определяют сферу деятельности системы сертификации (область аккредитации). Область аккредитации также определяется классом однородной продукции, баз данных в нашем случае, на проведение испытаний и сертификации которой аккредитуются службы системы сертификации. Вне установленной области аккредитации действия системы сертификации считаются недопустимыми, а сертификат — не имеющим силы. Поэтому крайне важным является точная идентификация базы данных, поступившей на сертификацию. Идентификация должна гарантировать, во-первых, принадлежность базы данных к установленному классу продукции и, во-вторых, после выдачи сертификата, его соответствие конкретной базе данных. Основой для идентификации служит паспорт или иной эквивалентный ему документ, однозначно описывающий базу данных.

Базы данных, как и многие другие изделия, являются динамическими объектами, параметры которых изменяются во времени. Практика показывает, что эти изменения могут быть двух видов. Первые затрагивают структуру баз данных (изменяется логическая структура, меняется состав полей, корректируются форматы записей и др.), ее функциональные возможности (изменяется состав пользовательских задач, область их действия, представление результатов и др.), средства и т.п. Эти изменения достаточно распространены, особенно часто с ними можно сталкиваться на предприятиях, являющихся создателями баз данных. Внесению таких изменений в значительной степени способствует бытующий стиль организации работ: к моменту сдачи базы данных в эксплуатацию существует большое число недоделок, приемосдаточные испытания, если и проводятся, носят в большинстве случаев формальный характер, документация на базы данных почти всегда оставляет желать много лучшего и т. д. Этот стиль порождает перманентные доработки, устранение выявляющихся или известных огрех. С другой стороны изменения рассматриваемого вида могут быть связаны и с закономерным процессом совершенствования баз данных, приспособлениям их к меняющимся условиям и носят безусловно позитивный характер. В любом случае эти изменения, как правило, явно влияют на соответствие базы данных исходному состоянию, т. е. фактически появляется новый продукт, новая версия или модификация и,следовательно, необходима новая идентификация базы данных. Если новая идентификация не соответствует исходной, то очевидно сертификат утрачивает силу.

Второй вид изменений носит принципиально иной характер и связан с постоянным пополнением или обновлением информации, содержащейся в базе данных. Информация, содержащаяся в базе данных, может заметно отличаться от той, которая была на момент проведения испытаний и сертификации. При этом также возможны два варианта: база данных изменила свою тематическую направленность или тематика осталась неизменной, но изменилось количество записей, удалены старые, появились новые. В первом варианте опять возникает новый продукт и утрачивает силу сертификат; во втором — сертификат сохраняет свою силу, если вновь появившиеся в базе данных записи соответствуют требованиям и критериям, по которым осуществлялась сертификация. Встает вопрос об установлении факта этого соответствия. Решение этого вопроса связано с проведением периодического инспекционного контроля за состоянием базы данных, для которой выдан сертификат. Инспекционный контроль не является действием, присущим только сертификации баз данных, он предусмотрен требованиями как Системы сертификации ГОСТ Р, так и ИСО для всех видов продукции. Инспекционный контроль осуществляется периодически в течение всего срока действия сертификата органом по сертификации однородной продукции данного класса. Объем, порядок и частота проведения инспекционного контроля определятся соответствующими инструкциями, действующими в системе сертификации, в нашем случае — в системе сертификации баз данных. Принятие решения по результатам инспекционного контроля регламентируется Порядком сертификации баз данных.

Однако инспекционный контроль в полной мере не решает задачи, связанной с изменением во времени баз данных. Здесь можно провести аналогию: периодический технический осмотр в автоинспекции не исключает возможости аварии автомобилей по техническим причинам в период их текущей эксплуатации.

Следующим шагом, имеющим принципиальное значение на пути решения этой задачи, является сертификация качества, точнее, сертификация систем качества. В отличие от рассматриваемой сертификации соответствия однородной продукции (баз данных), сертификация (оценка соответствия) систем качества устанавливает способность производителя продукции (или даже шире — поставщика продукции) обеспечить ее качество в соответствии с требованиями стандартов на системы качества (ИСО 9001, 9002 и др.) и другой дополнительной документации [4,5]. В нашем случае — это фактически означает оценку технологического процесса формирования и ведения базы данных с точки зрения качества конечного информационного продукта; при этом предполагается, что существуют средства, методы и исполнители, влияющие на технологический процесс с целью управления качеством формируемой базы данных.

В настоящее время предприятиями Роскоминформа проводится комплекс работ по созданию системы сертификации в области информатизации, в том числе и по базам данных. В 1993 г. прошли аккредитацию в Госстандарте России две испытательные лаборатории по базам данных: при НТЦ "Информрегистр" (г. Москва) и ГНИИ "Тест" (г. С.-Петербург), проходят аккредитацию еще одна испытательная лаборатория и орган по сертификации. Область аккредитации указанных служб распространяется на базы данных, реализованные на IBM-совместимых ПЭВМ. При создании названных лабораторий и органа по сертификации была проделана большая подготовительная работа, в результате которой были разработаны схемы и технологии сертификации, правила и методы испытаний, подготовлены комплекты инструктивно-методической и нормативной документации и т. п. Эти результаты предполагается использовать при дальнейшем развитии системы как с целью распространения ее действия на другие классы баз данных, так и для создания новых служб. В ближайшей перспективе представляется целесообразным создание нескольких (4—5) органов по сертификации баз данных, имеющих в своем составе испытательные лаборатории, в центрах крупных промышленных регионов России, обладающих значительным информационным потенциалом.

ЛИТЕРАТУРА

1. Руководство ИСО/МЭК 2 Общие термины и определения в области стандартизации и смежных видов деятельности.

2. Certification. Principles and Practice, UNCTAD-GATT, 1980.

3. Л а п ш и н Ю. П., Л и п а е в В. В., О й х м а н Б. Г. Состояние и тенденции развития экономики информатизации России. Проблемы информатизации, М., 1991, вып. 1.

4. Руководство ИСО/МЭК 48 Руководящие положения по оценке и регистрации системы качества поставщика третьей стороной.

5. Сертификация продукции и услуг. Сб., M., 1992.


Статья поступила в редакцию в мае 1994 г.

НТЦ "Информрегистр"

    _________________________________________

    А. Б. Антокольский - д-р техн. наук;

    К. В. Вигурский


    &copy Информационное общество, 1994, вып. 3, с. 58-64.