Сергей Авдошин - Информатизация бизнеса. Управление рисками

Поскольку по своему замыслу монография ориентирована на студентов магистратуры и начинающих руководителей ИТ-проектов, ее изложение построено как учебник. Но учебник не совсем обычный. Дело в том, что охватываются накопленные знания и опыт из области системной и программной инженерии, то есть того научно-практического направления, которое продолжает находиться в стадии формирования. В отличие от классиков (в России в первую очередь имеются в виду работы профессора Липаева В. В., см. также технический отчет «Руководство в области программной инженерии совокупности знаний – SWEBOK», включающий материалы исследований ученых, опубликованных в англоязычной технической литературе на протяжении последних 30 лет), учебник растолковывает азы и лишь обозначает вершины, к которым должны стремиться профессионалы.

Чтобы понять своевременность появления учебника, необходимо осознать суть основных системных изменений нашего времени. А суть эта по-крупному заключается в:

• проникновении системной и программной инженерии в различные сферы человеческой жизнедеятельности;

• развитии и широком применении «процессного подхода» на уровне международных стандартов;

• достижении системных эффектов, определяемых возможностями применяемых ИТ и возникновением новых рисков, связанных с уязвимостями самих ИТ;

• объективных потребностях адекватного прогнозирования качества и рисков на всех стадиях жизненного цикла систем для различных условий и возможных угроз.

Сегодня эффективные решения и, как следствие, высокий уровень качества (в том числе безопасности) систем [1] Под системой понимается комбинация взаимодействующих элементов, упорядоченная для достижения одной или нескольких поставленных целей (ISO/IEC 15288). во многом связаны с рациональным применением стандартов. Действующие на практике стандарты лишь отражают суть научно-технических достижений, фиксируя де-юре те требования и рекомендации, выполнение которых может способствовать относительному совершенству. Конец прошлого века можно признать плодотворным для развития системной [2] Системная инженерия – это избирательное приложение научно-технических усилий по: • преобразованию функциональных потребностей в описание системной конфигурации, которая наилучшим образом удовлетворяет этим потребностям по показателям эффективности; • объединению связанных технических параметров и обеспечению совместимости всех физических, функциональных и программно-технических интерфейсов способом, оптимизирующим в целом определение и проектирование всей системы; • объединению возможностей всех инженерных дисциплин и специальностей в единое системотехническое достижение (SEI). и программной инженерии [3] Программная инженерия – применение систематического упорядоченного количественного подхода к разработке, эксплуатации и сопровождению программного обеспечения (IEEE 610.12). . В целях адекватной реакции на новшества и развитие ИТ подкомитет SC7 «Программная инженерия» объединенного комитета JTC1 «Информационные технологии» преобразован в подкомитет «Системная и программная инженерия» (SС7 JTC1 ISO/IEC), что отражает стремление к целостному решению проблем стандартизации в направлении всеобъемлющего качества именно систем в их жизненном цикле, а не составных компонентов или процессов. К настоящему времени в мире уже не один год действуют стандарты для систем любой области приложения – это набравший популярность ISO 9001 «Системы менеджмента качества. Требования», ISO/IEC 15288 «ИТ. Системная инженерия – процессы жизненного цикла систем», существенно повлиявший на последующее развитие стандартизации – см. рис. 1, 2, а также стандарты серий ISO 14000 (менеджмент экологической безопасности), OHSAS 18000 (менеджмент охраны труда), ISO/IEC 20000 (сервис-менеджмент), ISO/IEC 27000 (менеджмент информационной безопасности), 31000 (менеджмент риска), развиваются стандарты серии ISO/IEC 33000 (оценка процессов) и др. Таким образом, столь естественное наличие типовых процессов и их идентичное развертывание во времени характеризуют логическую похожесть различного рода систем. Именно анализу системных процессов, регламентируемых этими стандартами, в монографии уделено особое внимание.

Чтобы понять важность рассматриваемой тематики, вспомним некоторые факты.

Рис. 1. Процессы предприятия с ориентацией на потребителя по ГОСТ РИСО 9001

Рис. 2. Процессы жизненного цикла систем по ГОСТ РИСО/МЭК 15288

Обратимся к абсолютно приземленным казусам современного интеллектуального рынка. Вспомним 1997 год, когда разразился мировой финансовый кризис. Все началось с обвала акций высокотехнологичных компаний. Ослабление валют стран Юго-Восточной Азии привело к реализованной на программном уровне реакции биржевых роботов (программных систем автоматической биржевой торговли, анализирующих ситуацию на рынках, сравнивающих ее с хранимыми в памяти ситуациями и автоматически принимающих решения). Последние в автоматическом режиме выставили на продажу громадные объемы валют, с учетом чего национальные валюты в этих странах упали в 30–100 раз! А затем дефолт 1998 года в России… Через 10 лет в августе 2007 года те же биржевые роботы среагировали столь же «адекватно», как и были запрограммированы на подобное развитие биржевой ситуации, – в результате выполнения автоматических приказов одновременно был сгенерирован вал заявок на продажу американских ипотечных облигаций. Физика процессов достаточно проста: брокер-человек справляется лишь с 3–4 портфелями одновременно и в день способен заключить до 10–15 сделок, в то время как биржевые роботы управляют 100 портфелями и могут заключать до 500 сделок в день. В погоне за прибылью не было сделано системных ограничений на вал автоматических заявок. В итоге $260 млрд. убытка – это лишь частный побочный эффект от подобной оптимизации на бирже. Подчеркнем, ущерб сопоставим с совокупным годовым бюджетом нескольких государств Восточной Европы! И если в 1997 году в инициировании кризиса объявили нескольких английских брокеров, спекулировавших в Сингапуре, то в 2007 году обвинять некого – не вредоносные, а сугубо мирные компьютерные программы инициировали глобальный финансовый кризис!

Другими словами, если 50 лет назад последствия от применения ядерного оружия оценивались как возможность многократного уничтожения жизни на земле, то сегодня проявления «мирных» угроз со стороны компьютеризированных систем оказываются соизмеримыми с применением того же самого ядерного оружия. То есть в ХХI веке военные угрозы дополнились еще более разрушительными «мирными» угрозами, связанными с широким внедрением ИТ!

Читать дальше