9. Проработка операционных рисков (ИТ-рисков) и системы информационной безопасности
Параллельно с этапами 1–8 выполняется идентификация, оценка и проработка рисков. Разрабатываются предупреждающие действия (мероприятия) для минимизации и предотвращения рисков. Подробная информация по этой теме содержится в источнике [3]. Следует отменить, что сейчас и на многие годы вперёд для российских организаций главная задача – это уменьшение зависимости от иностранных производителей программного обеспечения и защита критичной архитектуры от внешних угроз.
В рамках системы информационной безопасности разрабатываются модели (матрицы) ролей пользователей и прав доступа к ИТ-системам и базам данных, механизмы защиты информации и другие компоненты в соответствии с международными и российскими стандартами.
10. Разработка нормативных документов и форм документов
Все рассмотренные выше этапы (работы) и их результаты должны быть детально документированы, см. [1]. Разрабатываются и актуализируются нормативные документы, например:
• Положение об ИТ-архитектуре
• Положение об интеграции ИТ-систем
• Порядок ввода (передачи) программного обеспечения в эксплуатацию и вывода из эксплуатации
• Порядок установки, модификации и обслуживания объектов ИТ-инфраструктуры
• Регламент доработки, тестирования и внесения изменений в ИТ-системы
• Положение о распределении прав доступа к ИТ-системам
• Положение об информационной безопасности
• и многое другое
Под формами документов подразумеваются различные образцы и шаблоны: технические задания, заявки, планы, отчёты, приказы, договора, SLA-соглашения и др.
11. Проведение аудита (оценки) ИТ-архитектуры по чек-листу и аналитических работ
Необходимо разработать и заполнить чек-лист с детальными требованиями (более 100). Фрагмент приведён на Рис. 1.3. Способы оценки требований: наблюдение за работой ИТ-систем и оборудования, наблюдение за работой ИТ-персонала, интервью и опросы сотрудников, изучение документов и отчётов (включая историю значений показателей, историю операционных рисков и др.). На основе проведённого аудита составляется план задач для проработки выявленных недостатков и включается в план развития (оптимизации) ИТ-архитектуры на следующий период (этап 1).
12. Сбор новых требований и задач к автоматизации и цифровизации от подразделений
Требования и задачи к автоматизации формируются непрерывно (практически ежедневно). Они должны быть сгруппированы и ранжированы по приоритетам (важности и срочности). Срочные задачи могут оперативно выполняться в рамках методологий гибкого управления Agile (Scrum, Kanban). Крупные глобальные задачи включаются в план развития ИТ (этап 1).
Рис. 1.1. ИТ-архитектура (на примере банка, фрагмент) и карточка (набор параметров) ИТ-системы
Рис. 1.2. Архитектурная модель программного продукта (на примере Business Studio)
Рис. 1.3. Фрагмент чек-листа «Диагностика и аудит ИТ-архитектуры организации»
Рис. 1.4. План-график проекта по построению ИТ-архитектуры (диаграмма Ганта)
2. ИТ-архитектура организации и система регламентации ИТ-департамента
Цифровая трансформация, роботизация и внедрение самых современных информационных технологий является несомненным трендом на долгие годы вперёд. Всё это нуждается в качественной регламентации и моделировании. Т.е. важно не просто внедрять новые технологии, а сопровождать и обеспечивать все проекты и разработки детальной системой регламентации и моделей. В этой главе рассмотрим структуру (Рис. 2.1) данной системы и приведём примеры отдельных её компонентов. Структура показывает, какой полный набор моделей и документов в идеале должен иметь современный ИТ-департамент средней и крупной организации (многих отраслей, особенно самых высокотехнологичных).