6. It Governance в Україні
Проникнення формалізованих і ефективних методик IT Governance до України (через Росію) поки невелике. Проте з більшою або меншою ефективністю функції IT Governance присутні у вітчизняних компаній завжди (втім, як і у компаній у всьому світі). Так часто трапляється в менеджменті: нове — це по-новому упаковане і трохи впорядковане старе.
Проте формальні методики IT Governance поки не отримали у нас значного поширення. Разом з тим є компанії, що упровадили або впроваджують у себе систему IT Governance (наприклад, компанія “Воля”). Є конференції, що зачіпають цю тему, наприклад щорічна конференція "управління підприємством".
Можна передбачити, що перспектива поширення IT Governance в нашій країні пов'язана з підвищенням загальної зрілості компаній. Як ми вже говорили, неможливо частину організації (управління ІТ) вивести на значно більш високий рівень зрілості, ніж організація в цілому. Загальний рівень зрілості вітчизняних компаній поступово підвищується. Це дозволяє чекати зростання числа компаній, активного управління ефектами і ризиками використання ІТ.
7. Висновки
Ми коротко розглянули основні питання, пов'язані з IT Governance — від історії, через поширені підходи і стандарти, до вигод від використання і сьогоднішньої ситуації в цій сфері.
IT Governance є важливим елементом системи управління компанією. При цьому ефект від IT Governance пов'язаний із значним підвищенням ефективності корпоративних ІТ і зниженням пов'язаних з ними ризиків.
IT Governance представляє собою достатньо зрілу область з великим накопиченим досвідом, з методиками, що глибоко пропрацьовані і широко визнані. Ця область регулюється різними національними, галузевими і міжнародними стандартами.
IT Governance є дуже привабливим інструментом для тих компаній, які хочуть підвищити ефект від інвестицій в ІТ або досягти конкурентних переваг за рахунок ІТ. Існуючі методики дозволяють цілеспрямовано й ефективно будувати систему IT Governance в компанії.
Ідеї, пов'язані з IT Governance, лише починають проникати в Україну, але в найближчі рік-два потрібно чекати дуже широкого інтересу до них і початку їхнього використання.
Тема 15. Огляд стандартів інформаційної індустрії
1. Види стандартів та їх класифікація
У широкому значенні слова стандарт (від англ. норма, зразок) - це зразок, еталон, модель, прийняті за вихідні для зіставлення з ними інших подібних об'єктів. Стандарт як нормативно-технічний документ установлює комплекс норм, правил, вимог до об'єкта стандартизації й затверджується компетентним органом. Стандарт може бути розроблений як на матеріальні предмети (продукцію, еталони, зразки речовин), так і на норми, правила, вимоги різного характеру.
В Україні діяльність, пов’язана зі стандартизацією здійснюється відповідно до закону України "Про стандартизацію" [30]. Розглянемо деякі визначення з галузі стандартизації, використовувані далі в тексті, що наведені у цьому законі.
Стандарт - документ, що встановлює для загального і багаторазового застосування правила, загальні принципи або характеристики, які стосуються діяльності чи її результатів, з метою досягнення оптимального ступеня впорядкованості у певній галузі, розроблений у встановленому порядку на основі консенсусу.
Стандартизація - діяльність, що полягає у встановленні положень для загального і багаторазового застосування щодо наявних чи можливих завдань з метою досягнення оптимального ступеня впорядкування у певній сфері, результатом якої є підвищення ступеня відповідності продукції, процесів та послуг їх функціональному призначенню, усуненню бар'єрів у торгівлі і сприянню науково-технічному співробітництву.
Нормативний документ - документ, який установлює правила, загальні принципи чи характеристики різних видів діяльності або їх результатів. Цей термін охоплює такі поняття як "стандарт", "кодекс усталеної практики" та "технічні умови".
Міжнародний та регіональний стандарти - стандарти, прийняті відповідно міжнародним та регіональним органом стандартизації.
Національні стандарти - державні стандарти України, прийняті центральним органом виконавчої влади у сфері стандартизації та доступні для широкого кола користувачів.
Кодекс усталеної практики (звід правил) - документ, що містить практичні правила чи процедури проектування, виготовлення, монтажу, технічного обслуговування, експлуатації обладнання, конструкцій чи виробів. Кодекс усталеної практики може бути стандартом, частиною стандарту або окремим документом.
Стандарти можна класифікувати за різними ознаками.
Наприклад, за предметом стандартизації розрізняють:
термінологічні стандарти;
функціональні стандарти (стандарти на організацію життєвого циклу продукції та послуг, створення та використання автоматизованих систем, інформаційних систем та програмного забезпечення, використання мов програмування, інтерфейсів, протоколів тощо);
професійні кваліфікаційні стандарти;
стандарти сертифікації та ін.
Залежно від рівня суб'єкта стандартизації, який приймає чи схвалює стандарти, розрізняють:
офіційні міжнародні стандарти, кодекси усталеної практики та класифікатори, прийняті чи схвалені міжнародними консорціумами та комітетами зі стандартизації ( ISO, OSF, OMG (раніше CODASYL);
офіційні національні або національні відомчі стандарти, кодекси усталеної практики та класифікатори, прийняті чи схвалені центральним органом виконавчої влади у сфері стандартизації, видані ним каталоги та реєстри загальнодержавного застосування (наприклад, національний стандарт США ANSI/PMI 99-001-2000);
корпоративні (фірмові) стандарти, кодекси усталеної практики та класифікатори, прийняті чи схвалені провідними компаніями галузі, наприклад, Oracle CDM (Custom Development Method), Oracle PJM (Project Development Method), Microsoft Solutions Framework (MSF) або Rational Unified Process (RUP) тощо;
стандарти, кодекси усталеної практики та технічні умови, прийняті чи схвалені іншими суб'єктами, що займаються стандартизацією;
стандарти "де-факто" (PMBoK, мова діаграм SADT Д. Росса).
За методичним джерелом:
методичні матеріали фірм-розробників ПЗ;
методичні матеріали фірм-консультантів;
методичні матеріали наукових центрів;
методичні матеріали консорціумів зі стандартизації (наприклад, UNIDO, Price Waterhouse SMM, SEI CMM).
Вони можуть мати різну назву: метод, методологія, підхід, модель.
Основною особливістю усіх цих груп та підгруп є те, що до них входять матеріали, які суттєво відрізняються за:
ступенем обов'язковості для організацій різних типів;
конкретністю та деталізацією вимог, які вони містять;
відкритістю та гнучкістю, можливістю адаптування до конкретних умов.
Отже, стандарти, методології, системи вимог, інструкції, керівні принципи тощо встановлюють вимоги до систем, елементів, процесів, процедур, методів і засобів, використовуваних при здійсненні проектів інформатизації.
Всеохоплюючих систем як міжнародних, так і національних стандартів у сфері ІТ немає й, очевидно, бути не може. Це пов'язано як із принциповою неможливістю комплексної стандартизації діяльності в соціальних системах, так і з недоцільністю розробки стандартів з великого кола питань сучасної ІТ-індустрії.
Більше того, стандарти завжди мають зворотний бік. З одного боку, вони нормують діяльність, тобто відповідають на запитання "як правильно робити?". А з іншого боку, межі стандартизації у ІТ-індустрії дуже залежать від властивостей і особливостей інформаційних технологій, що виступають предметом стандартизації, сфери їх використання.
Стандартизація в інформаційній галузі суттєво залежить від термінологічних розбіжностей, що мають місце в професійних колах. Тому як на міжнародному, так і на національних рівнях основна увага приділяється саме термінологічним стандартам. Прикладом тому є Україна, де розробка системи стандартів ІТ-індустрії розпочалася саме з розробки термінологічних стандартів і адаптації міжнародних стандартів до умов України та прийнятті їх як національних (див. п. 3).
Отже, керуючись зазначеними вище класифікаційними ознаками, з метою системного погляду на проблему стандартизації в сфері інформаційних технологій та використання міжнародних і національних стандартів в Україні будемо виділяти такі групи стандартів:
Термінологічні стандарти.
Стандарти якості.
Стандарти інженерії програмного забезпечення.
3.1. Стандарти життєвого циклу.
3.2. Стандарти якості ПЗ.
3.3. Стандарти розробки ПЗ.
3.4. Стандарти конфігурації ПЗ.
3.5. Стандарти документування ПЗ.
3.6. Стандарти тестування ПЗ.
3.7. Стандарти супроводження ПЗ.
Стандарти функцій інтерфейсу користувача та машинної графіки.
Стандарти інтернаціоналізації програмних продуктів.
Стандарти взаємодії відкритих систем.
Стандарти управління даними.
Стандарти структур даних і документів, форматів даних.
Стандарти базових функцій операційних систем.
Стандарти ергономіки комп'ютерних продуктів.
Стандарти управління проектами у сфері ІТ.
Стандарти інформаційної безпеки.
Хоча стандарти управління ІТ не прийнято виділяти в окрему групу, очевидно через те, що вони поки що є стандартами de facto. Стандарти управління ІТ були створені на основі аналізу й узагальнення кращих методів, випробуваних, як великими групами професіоналів, так і безліччю різних організацій. У більшості країн, стандарти – de facto розглядаються в якості рекомендаційних і найкращих способів дії замість обов'язкових стандартів de jure. Кращі стандарти управління ІТ, також, не є результатами наукових досліджень. Найкраще їх описує термін “народна творчість”.
Разом із тим загальна увага до ефективного управління інформаційними системами й технологіями привела до швидкого розвитку галузевих, національних і міжнародних стандартів управління ІС і ІТ.
Тому розглянемо, які із цих стандартів допомагають створювати за допомогою ІТ цінність для бізнесу, і як приймати рішення щодо вибору підходящого для конкретної ситуації стандарту управління й з якими проблемами можна зіштовхнутися в процесі їхнього застосування.
Слід зазначити, що проблема управління ІТ тісно пов’язана з проблемами управління якістю та інформаційної безпеки.
В останні роки в США темою номер один в галузі інформаційних технологій стала інформаційна безпека, визначена як “апаратні засоби, програмне забезпечення, процеси й процедури, об'єднані для захисту інформаційних систем організації від внутрішніх і зовнішніх загроз”.
Сучасний діловий світ характеризується високою динамікою бізнес-процесів. Тому активне використання кращих світових практик (досвіду) повинно переважати у будь-якій сфері, до яких належать і стандарти, оскільки просто немає часу для того, винаходити щось своє.
На початку 20-го століття, коли були винайдені й стали широко використовуватися різні електроприлади, для забезпечення безпеки й поліпшення умов міжнародної торгівлі, були розроблені й одержали загальне визнання міжнародні стандарти для електричних приладів. Це привело до заснування Міжнародної Електротехнічної Комісії (IEC). Набагато пізніше, з появою потреби в міжнародних стандартах в інших сферах, у тому числі й у сфері якості, була створена Міжнародна Організація по Стандартизації (ISO). Оскільки комп'ютер і телекомунікаційні системи вимагають уваги, як до електротехнічних питань, так і до питань якості, IEC й ISO об'єднали свої зусилля по розробці відповідних стандартів в Joint Technical Committee 1.
Крім визнаних міжнародних стандартів, існує багато національних стандартів управління й безпеки ІТ. Наприклад, Control Objectives for Information and related Technology (СовіТ) – найчастіше використаються для управління ІТ у США й ряді інших країн, IT Infrastructure Library (ITIL) - більш часто використовується у Великобританії, Нідерландах й Австралії.
Цінність використання стандартів полягає в економії значних ресурсів за рахунок відсутності необхідності повторно винаходити велосипед, але найбільша цінність - у можливості використання чужого досвіду й кращих практик для власної вигоди. Для окремої організації було б надзвичайно важко придумати кращу структуру управління ІТ ніж COBIT або ITIL. Крім того, більшість законодавчих актів (типу Акту Sarbanes-Oxley у США й Tabaksblat у Нідерландах) зобов'язують організації, яких ці акти стосуються, застосовувати кращі практики. У цьому випадку, цілком нормально, якщо організація вибирає стандарт de facto (тобто, ризики використання внутрішніх стандартів з можливими недоліками або помилками мінімізуються застосуванням стандартів de facto).
Інші вигоди від використання стандартів управління ІТ стають очевидними тоді, коли організація вирішує віддати частину своїх функцій на аутсорсинг. Застосування відкритих стандартів як основи при укладанні угод про рівень обслуговування між партнерами веде до зменшення розбіжностей і зниження супутніх витрат і ризиків.
Існують певні вигоди і для аудиторів при використанні стандартів de facto. Якщо в минулому аудитори створювали власні набори стандартів, програм аудиту й контрольних списків для використання їх як еталонів, то тепер, використання публічно доступних міжнародних стандартів (типу CobiТ, ISO 17799 й ISO 9001) веде до зниження витрат як для аудитора, так і для аудитованої організації й допомагає організаціям краще розуміти аудиторів. Організації, також, можуть використовувати відкриті стандарти й для внутрішнього аудиту, створюючи тим самим базу для інтегрованого аудиту. Навіть сам процес аудиту був стандартизований такими міжнародними стандартами як ISO 19011 й EA 7/03.
Підвищення уваги до якості корпоративного управління веде до зростання важливості незалежної сертифікації. Швидка оцінка доцільності ведення торгівлі з організацією без дорогого зовнішнього аудиту або процесу перевірки стає простішою, якщо ця організація може довести відповідність критеріям, пред'являючи свідоцтва від зовнішньої, незалежної сторони, що заздалегідь оцінила якість і безпеку цієї організації й надала сертифікат на відповідність de facto стандарту системи управління інформаційною безпекою, наприклад, BS 7799. Нині існують процедури сертифікації для таких стандартів як BS 15000, ISO 9001, Європейський Фонд Управління Якістю (EFQM) і TickIT.
В таблиці наведено основні міжнародні, національні та галузеві тактичні стандарти управління ІТ
Таблиця 1 - Тактичні стандарти управління ІТ
|
Міжнародні стандарти |
Національні стандарти |
Галузеві стандарти або керівництва |
Управління ІС |
|
BS 15000 |
COBIT MOF ITIL |
Управління проектами |
|
|
PMBOK PRINCE2 APMs |
Управління безпекою |
ISO 13335 ISO 13569 ISO 17799 |
BS 7799-2 NIST standards |
Baseline Protection Manual ACSI-33 COBIT Security Baseline ENV12924 ISF Standard of Good Practice |
Удосконалення процесів програмування/ придбання |
ISO 12207 ISO 15504 |
TickIT |
CMMI Bootstrap |
Управління якістю |
ISO 9001 |
EFQM BaldrigeNationalQuality Plan |
|
IT Governance |
|
COSO Internal Control— Integrated Framework Australian standard AS 8015 |
COBIT IT Governance Implementation Guide |
Управління ризиками |
|
Risk Management Standard AS/NZS 4360 COSO Enterprise Risk Management |
|
Планування безперервності бізнесу |
|
Publicly Available Specification 56 (PAS-56) Risk Management Standard AS/NZS 4360 Handbook 221, Business Continuity Management (HB 221-2004) |
|
Аудит |
ISO 19011 |
|
COBIT |
Для цілей аудиту ІС, тобто для управління ІТ, безпеки, планування безперервності бізнесу й самого процесу аудиту, найцікавішими є такі тактичні стандарти de facto:
Управління ІС - CobiТ, BS 15000, Microsoft Operations Framework і ITIL.
Управління проектами - PRINCE2 й the PMBOK.
Управління безпекою - ISO 13335, ISO 13569 (банківські й фінансові послуги), ISO 17799/BS 7799-2 (обоє локалізовані для багатьох країн), IT Baseline Protection Manual (Німеччина), ACSI-33 (Австралія), множина стандартів National Institute of Standards and Technology – NIST Handbook (SP800-12, USA), CobiT®Security Baseline™, ENV12924 (Медична інформатика) і the Information Security Forum Standard of Good Practice.
Управління якістю — ISO 9001, EFQM й Baldrige National Quality Plan.
Програмування -TickIT, Capability Maturity Model Integration (Software Engineering Institute).
IT Governance - COBIT, IT Governance Implementation Guide, COSO Internal Control - Integrated Framework й COSO Enterprise Risk Management - Integrated Framework, і недавно розроблений Австралійський стандарт AS 8015-2005 (корпоративне управління інформаційними й комунікаційними технологіями).
Управління ризиками - Австралійський стандарт AS/NZS 4360.
BCP (планування безперервності бізнесу) - British Standards Institution PAS-56 й Австралійський стандарт HB 221-2004.
Аудит ІС - COBIT й ISO 19011.
Нарівні зі значним числом тактичних стандартів (тобто, стандартів, що описують процеси й процедури), є ще більше число експлуатаційних, технічних стандартів. Міжнародна Організація по Стандартизації (ISO), Європейський Інститут Стандартів Телекомунікацій і Національний Інститут Стандартів і Технології (NIST) видали стандарти з таких питань, як шифрування (FIPS 197), критерії (технічні) оцінки безпеки ІТ (ISO 15408), планування безперервності бізнесу (FIPS 87) і використання паролів (FIPS 112).
Не випадково в таблиці 1 наведено два нових стандарти управління безперервністю бізнесу: Publicly Available Specification 56 від Британського Інституту Стандартів й Handbook 221, Business Continuity Management від Standards Australia. Обидва стандарти описують стратегічні й експлуатаційні підходи, покликані протистояти порушенням, перервам або втратам у процесі виробництва виробів і послуг. Процеси, описані в цих стандартах виходять за рамки планування дій у надзвичайних ситуаціях.
Застосування стандартів, що неадекватні ситуації, може стати причиною ініціації дорогих проектів, що не забезпечує досягнення поставлених цілей. Успішні стандарти завжди залишають простір для їхньої інтерпретації, але, час від часу, ця інтерпретація може призвести до проблем. Стандарт типу ISO 17799 описує ЩО таке безпека, але не ЯК її досягти. У процесі сертифікації, питання «ЯК» може й повинен стати предметом серйозних обговорень із зовнішнім аудитором для досягнення взаємоприйнятого варіанта.
Деякі з вищезгаданих стандартів є частиною сімейства стандартів. Наприклад, BS 15000, Британський Стандарт для Управління ІТ Послугами, складається із двох частин. Перша частина є специфікацією для управління послугами, а друга частина, Звід правил для Управління Послугами, є нижчим щаблем в ієрархії. Ще нижче в цій ієрархії знаходиться ITIL, що містить кращі практики для процесів, описаних в BS 15000, і, більше того, внутрішні процедури організації цих процесів.
Подібну ієрархію можна побачити в BS 7799-2 (специфікація управління безпекою), ISO 17799 (набір кращих практик); і ITIL Security Management (опис процесів безпеки ІС).
У грудні 2000, перша частина Британського Стандарту 7799 стала стандартом ISO 17799. Цей стандарт містить більше тисячі кращих практик управління безпекою, згрупованих в 127 параграфів. Безліч країн виразило невдоволення ISO 17799, що було сприйняте ISO і привело до негайного початку проекту перегляду стандарту. У результаті, того ж року побачила світ поліпшена модифікація цього стандарту.
Друга частина BS 7799 ніколи не випускалась як стандарт ISO. Вона описує ті ж самі 127 параграфів, але в нормативній формі (тобто, всі дієслова "рекомендовано" замінені дієсловом "зобов'язаний", перетворивши керівництво в специфікацію). Саме цей документ описує цикл “план-здійснення-перевірка-дія” (PDCA) - Цикл управління якістю Демінга, для управління інформаційною безпекою. Версія цього стандарту 2002 року тепер повністю відповідає стандартами якості ISO. Проект перетворення другої частини BS 7799 у міжнародний стандарт управління безпекою ISO уже початий.
В умовах існування такої множини гарних і різних стандартів, професіонали повинні мати у своєму арсеналі їхній вибір. Для правильного застосування стандартів виникає потреба нанесення їх на карту сфер застосування й зв'язків між ними. Це може зумовити появу метастандарту - стандарту стандартів. Метастандарт дозволить провести порівняння цих стандартів.
На жаль, такого метастандарту поки не існує. Будь-яке порівняння або картографування має тенденцію до порівняння непорівнянних речей. Існує багатий досвід порівняння CobiТ й ISO17799. Фахівці IT Governance Institute говорять: “зіставлення не може бути один-до-одного, оскільки цілі управління CobiТ працюють на більш високому рівні, ніж ISO/IEC 17799:2000, чий рівень деталізації набагато ближчий до рівня деталізації керуючих практик CobiТ”.
Більшість згаданих стандартів описують властивості процесів. Технічні стандарти, типу ISO 15408 і Критерії Оцінки Безпеки ІТ (раніше називані Загальними Критеріями), описують необхідні властивості систем більш докладно. Приклад стандарту властивостей процесів - ISO 9001, що описує “план-здійснення-перевірка-дія” (PDCA) - Цикл управління якістю Демінга.
Очевидно, що потреба у впровадженні стандартів корпоративного управління інформаційними технологіями зростає.
Треба розрізняти управління ІС і управління ІТ. Управління ІС має справу із внутрішніми й короткостроковими оперативними бізнес-проблемами, у той час, як корпоративне управління ІТ зосереджується на зовнішніх довгострокових бізнес-перспективах.
IT Governance Implementation Guide12, виданий ITGI, досить детально описує кроки по впровадженню корпоративного управління інформаційними технологіями. Ця книга явно вказує на необхідність використання BS 7799 й ITIL для управління ІТ й ІТ-безпекою. Вона, також, доводить (для проектів впровадження корпоративного управління ІТ) що “..., необхідно використовувати доступні кращі практики й стандарти для подальшої деталізації вимог до покращень”, підтверджуючи необхідність застосування PRINCE2 й PMBOK.
Проекція множини вищезгаданих стандартів на модель ІТ Governance наведена на рис. 3.
ITGI’s Board Briefing on IT Governance, 2nd Edition,[xix] пропонує структуру (Рисунок 3) на яку можуть бути нанесені вищезгадані стандарти (Рисунок 4) показуючи області фокуса управління інформаційними системами, для яких вони є основними.
