- •Информационные системы. Классификация. Предметная направленность. Корпоративные информационные системы. Стадия проектирования, разработки, внедрения, поддержки.
- •Типы документов для представления проектных решений.
- •Основные схемы декомпозиции действий и данных функциональной модели.
- •Понятие и иерархия моделей данных. Уровни представления моделей данных.Виды концептуальных моделей данных.
- •Нормализация концептуальной модели данных и целостность данных.
- •Bcnf - нормальная форма Бойса-Кодда вводит дополнительное ограничение в сравнении с 3нф.
- •Анализ информационной связности действий и систем.
- •Анализ функциональной связности данных и систем.
- •Анализ производительности ис
- •Психологические аспекты принятия решений в процессе проектирования.
- •Организационные формы управления проектами
- •Архитектура корпоративных информационных систем (кис)
- •Mrp/erp системы. Современная структура модели mrp/erp
- •Тестирование. Методы тестирования. Категории тестов и оценок системы. Планирование тестирования и оценки системы.
- •Тестирование программного обеспечения
- •Уровни тестирования
- •Верификация и валидация – цели и задачи. V – модель как основа организации процесса верификации.
- •Основные принципы
- •Достоинства
- •Ограничения
- •Аутсорсинг и определение поставщиков.
- •Язык uml (Unificed Moeling Language). Основные модели uml (схема). Виды диаграмм.
- •Диаграмма вариантов использования. Виды отношений между актерами и вариантами использования. Отношения ассоциации, расширения, включения, обобщения
- •Диаграмма классов
- •Диаграмма состояний
- •Диаграмма деятельности. Диаграммы взаимодействия
- •Диаграмма последовательности. Диаграмма кооперации
- •Диаграмма компонентов. Диаграмма развертывания
- •23) Языки и среды моделирования архитектуры предприятия. Языки моделирования предприятий. Idеf, dfd- технология, aris, bpml.
- •24) Структурный (функциональный) и процессный подходы к разработке информационных систем
- •25) Управление требованиями к информационной системе. ГосТы и методология rup.
- •Принципы
- •Жизненный цикл разработки
- •1. Начало (Inception)
- •2. Уточнение (Elaboration)
- •3. Построение (Construction)
- •4. Внедрение (Transition)
- •Автоматизированное создание документов серии гост 34 и 19 с помощью инструментальных средств фирмы ibm Rational
- •26) Моделирование потоков данных. Основные компоненты диаграмм
- •1. Внешние сущности
- •2. Системы и подсистемы
- •3. Процессы
- •4. Накопители данных
- •5. Потоки данных
- •6. Построение иерархии диаграмм потоков данных
- •27) Диаграмма «сущность–связь» (erd). Сущность (Entity). Связь (Relationship). Атрибут. Виды идентификации. Подтипы и супертипы
- •28) Стадии разработки информационных систем. Модели представления для описания проектных решений. Уровни детализации, регламентирующие методики проектирования. Этапы создания информационных систем
- •29) Модели жизненного цикла программного продукта. Виды и особенности. Процессы жизненного цикла систем по iso 15288:2002
- •V модель (разработка через тестирование)
- •Iso / iec 15288 - Инженерные системы стандартных охватывающих процессы и этапы жизненного цикла.
- •30) Понятие требования. Классификация требований. Свойства требований
Аутсорсинг и определение поставщиков.
В настоящее время многие компании задумываются над тем, чтобы обеспечить управление IT-ресурсами не внутренними силами, а посредством передачи этой функции сторонним организациям (вывести на аутсорсинг часть процессов IT). Одна из сложных задач на пути реализации такого подхода — обеспечение режима информационной безопасности для процессов, передаваемых на аутсорсинг, и в особенности защиты от несанкционированного доступа к частной информации компании со стороны партнера или конкурента.
В данной статье рассмотрены основные вопросы построения эффективной системы управления информационной безопасностью при аутсорсинге IT-процессов компании, а также этапы вывода IT-процессов на аутсорсинг и механизмы выбора поставщика IT-услуг. Кроме того, затронут вопрос управления рисками при аутсорсинге IT-процессов компании. Авторы статьи, не претендуя на полный охват данной темы, попытались сформулировать основные практические рекомендации по обеспечению информационной безопасности при аутсорсинге IT-процессов компании. принципы аутсорсинга в области IT
В настоящее время применяются две модели вывода IT-процессов на аутсорсинг: эволюционная и революционная. В рамках использования эволюционной модели процессы и услуги выделяются последовательно, одна за другой, сторонним подрядчикам, при этом сотрудники IT-подразделения остаются в штате компании и постепенно передают свои функции внешним подрядчикам, сосредотачиваясь на задачах выбора поставщиков и контроля за результатами. Этот вариант позволяет анализировать все процессы, выводимые за пределы организации, и проводить анализ режима информационной безопасности для каждого процесса, определяя те мероприятия, которые нужно выполнить для обеспечения необходимого уровня информационной безопасности.
При использовании революционной модели IT-подразделение вместе со своими процессами выделяется в отдельное юридическое лицо (как правило, дочернее) и получает возможность оказания услуг как внешним заказчикам, так и самому предприятию. В данном случае необходимо включать новое юридическое лицо в свою систему управления информационной безопасностью и жестко регламентировать вопросы обработки конфиденциальной информации вплоть до присутствия специалистов по информационной безопасности в дочерней IT-компании.
Одним из видов аутсорсинга является привлечение в штат внутреннего IT-подразделения специалистов сторонней IT-компании. Такую услугу называют «аутстаффинг», и фактически это вырожденный тип аутсорсинга, поскольку управлением внешних IT-специалистов занимается сам заказчик. Аутстаффинг применяется в тех случаях, когда заказчик только начинает работу с внешней IT-компанией, не доверяя ей, и поэтому на первых порах строит работу с внешними специалистами под своим руководством. Фактически при таком варианте взаимодействия говорить об использовании концепции аутсорсинга преждевременно, однако вопросы информационной безопасности важны и в данном случае. Для внешних IT-специалистов необходимо ввести набор ограничений по доступу и организовать систему мониторинга над их действиями, что позволит свести к минимуму утечку конфиденциальной информации.
Наиболее совершенным и эффективным направлением аутсорсинга считается аутсорсинг бизнес-процессов. Это услуга, предоставляя которую, поставщик берет на себя ответственность как за IT-решение, так и за управление и оптимизацию бизнес-процессов заказчика. В таком варианте на аутсорсинг могут быть отданы не только сопровождение IT-решения по расчету заработной платы, но и сам расчет заработной платы персонала. Однако такая концепция в настоящее время только находит своих сторонников в России, в том числе и по причине сложности организации режима информационной безопасности.
Итак, можно сказать, что главный мотив аутсорсинга — получить IT-услуги необходимого качества, заплатив за них меньше, чем в случае использования для этого внутренних ресурсов. Понятие аутсорсинга возникает в том случае, если подрядчик выполняет регулярные действия, направленные на получение результатов, необходимых заказчику.
При передаче процесса на аутсорсинг можно достигнуть следующих преимуществ:
получение более высокого уровня услуг;
сокращение затрат на IT-инфраструктуру;
передача и минимизация операционных рисков по процессу;
привлечение внешних инвестиций под определенные задачи;
концентрация на основных бизнеспроцессах.
Все это достижимо, если есть понимание того, что аутсорсером следует управлять на всех стадиях жизненного цикла процесса. Фактически при аутсорсинге вовне отдается процесс, неразрывно встроенный в основной бизнес. И чтобы этот процесс эффективно работал, необходимо создать, регламентировать и контролировать все интерфейсы между процессами, которые происходят в рамках компании, и процессами, переданными на аутсорсинг.
В числе вопросов, которые старательно обходятся аутсорсинговыми компаниями, — убытки в случае утечки конфиденциальной информации и стоимость мероприятий по организации эффективной системы информационной безопасности в компании, которая сможет обеспечить взаимодействие без рисков нарушения режима информационной безопасности. Очень часто анализ дополнительных затрат на информационную безопасность, возникающих при организации аутсорсинга, может показать невыгодность вывода на аутсорсинг процессов, связанных с обработкой конфиденциальной информации. Анализ стоимости изменения механизмов информационной безопасности в обязательном порядке должен предшествовать принятию решения об аутсорсинге.
Информационная безопасность при аутсорсинге IT-процессов
Как уже было отмечено выше, одним из важных вопросов вывода IT-процессов на аутсорсинг является информационная безопасность. Нужно понимать, что вся экономическая эффективность аутсорсинга может быть потеряна, если произойдет инцидент в части информационной безопасности, в результате которого компания может понести убытки, несравнимые с полученной от аутсорсинга экономией. Сохранение режима информационной безопасности потребует выполнения определенных требований, которым должны удовлетворять как процессы обеспечения информационной безопасности, так и другие процессы IT-подразделения. Одно из ключевых требований — налаженная система по управлению рисками информационной безопасности с целью минимизации их последствий или их полного предотвращения, а также сформированная технологическая инфраструктура, обеспечивающая минимизацию основных технологических рисков. Российский аутсорсинг, как правило, отличается повышенными требованиями заказчика к конфиденциальности. В условиях существующей системы налогообложения и «черной» бухгалтерии любая утечка информации потенциально опасна. Тем более если поставщик требует для оперативности обслуживания выделенный канал, чтобы извне решать проблемы заказчика (что создает опасность, что не только у аутсорсера есть прямой доступ к финансовой информации заказчика). Это одна из серьезнейших проблем на рынке, в силу которой организации боятся что-либо отдавать на аутсорсинг. И хотя любой сотрудник IT-компании, привлекаемый для работы по контракту аутсорсинга, подписывает соглашение о неразглашении, заказчики часто пытаются «перестраховаться», проверяя всю информацию о компаниях, с которыми придется работать.
Построение эффективной системы управления информационной безопасностью при аутсорсинге IT-процессов компании — это не разовый проект, а комплексный процесс, направленный на минимизацию внешних и внутренних угроз при учете ограничений на ресурсы и время. На рис. 1 представлен обобщенный процесс управления информационной безопасностью при выводе на аутсорсинг IT-процессов компании.