Проблемы при выполнении проектов в сфере ПО. Сбитые сроки. Недостаточность прозрачности.
При разработке программного обеспечения часто срываются графики работ и наблюдается превышение установленного бюджета. Как правило поставляемый программный продукт не вполне отвечает требованиям потребителя и возникают сложности с его настройкой и оптимизацией его работы. По своей природе данное является концептуальным. В отличие от моста, здания или любого другого физического объекта, сложно посмотреть на программный продукт и оценить степень его завершенности. Без жесткого руководства проектом разработка ПО будет завершена не полностью. Политика Управления Конфигурациями, Управления Изменениями и определение модели менеджмента конфигурации ПО, при разработке продукта, все элементы конфигурации, компоненты и подкомпоненты мгновенно становятся видимыми для версий, релизов и семейств продуктов.
Отсутствие связи между отдельными процессами проекта может привести к его провалу. Необходимо обеспечить трассировку среди версий, релизов и семейств продуктов. Ценность подобной трассировки огромна в ситуациях, когда в одном из выпусков или семействе продукта возникает проблема, которая оказывает влияние на другие клиентские релизы и продукты. Выполнение одного изменения и его распространение на всю базу ПО экономит много времени, средств и улучшает взаимоотношения с клиентами. Отсутствие связи между событиями проекта может привести к его провалу, когда решение одной проблемы увеличивают проблему в другой области или приводит к неудаче в попытке решить аналогичную проблему где-то в другом месте. А отслеживание календарного графика выполнения работ позволяет, не затягивая проект, завершать разработку ПО в установленные сроки. Без трассировки сложно осуществить мониторинг программных проектов. Руководство не может принять компетентные решения, поэтому графики продолжают срываться, а затраты продолжают превышать установленный бюджет. Невозможно выполнить мониторинг проекта, если у менеджера проекта нет инструментальных средств, чтобы следить за фактической разработкой продукта в пределах проекта.
Проблемы при выполнении проектов в сфере ПО. Недостаток контроля
Поскольку программное обеспечение является нематериальным в физическом смысле, его более сложно контролировать. Без точной оценки процесса разработки срываются графики выполнения работ и превышаются установленные бюджеты. Очень сложно оценить объем выполненной и оставшейся работы. Процесс Управления Конфигурациями и Управления Изменениями предоставляет механизм правления процессом через определение фактически затраченных и плановых ресурсов и оценивание будущих затрат, исходя из объема выполненной работы. Если в программе обнаружены ошибки, то изменения необходимо сделать во всех версиях. Как только в продукте появляются новые свойства, они должны быть доступны для всех пользователей независимо от времени выпуска версии продукта. Ни один разработчик не позволяет себе, однажды написав программу, полностью о ней забыть. Разрабатываемое ПО изменяется не только при изменении технических требований и календарных планов, но и в ответ на изменения в других элементах. ПО не является догмой. В этом и заключается его ценность. Программный продукт можно изменять, поэтому его и изменяют.
Проблемы при выполнении проектов в сфере ЗИ. Смена рабочего персонала Изменение штата
Во всех организациях сотрудники продвигаются по служебной лестнице, переходят на другую работу или увольняются. Если это происходит в разгар работы по разработке ПО, то с уходом специалиста теряются не только технологические знания. Теряются также практические знания по разработке продуктов, на овладение которыми ушло много времени. Новые сотрудники, даже зная технологию, не смогут заниматься разработкой продукта без задокументированного процесса. Как правило, этому не уделяют достаточного внимания и документирование выполняется в последнюю очередь. Без подробного документирования новый сотрудник может узнать, как идет процесс разработки в организации и что нового в проекте на конкретную дату, а, так же, тратят огромное количество времени разбираясь в чужих проектах зачастую просто выполняют часть работы заново.
ПРИЛОЖЕНИЕ Примеры исходных посылок и нежелательных явлений в среде защиты информации на предприятии.
ПО ДСД 2013
Тема – комплексная защита информации на предприятии КСЗИ должна обеспечить конфиденциальность, целостность, доступность информации. КЗСИ включает техническую защиту, организационную защиту, программную защиту и методику, как замысел КЗСИ, его идейную составляющую. Техническая защита – это доступ в помещения, технические каналы утечек, охранная и пожарная сигнализация и т. д. организационная защита включает структуру, документацию (Политику информационной безопасности) и т. п. программная защита включает защиту от НСД, разграничение доступа и т. п.
ИП. По статистике источников нарушений безопасности (данные национального института стандартов и технологий США NIST) 14% - это атаки извне (вирусы 4%), а остальное – это обиженные сотрудники(6%), ошибки пользователей(пользователей (55%), нечестные сотрудники (10%), проблемы%), проблемы физической безопасности 15%.
ИП. Ведущие компании IT-индустрии и финансового сектора расходуют на информационную безопасность не менее 20–25 % от общего IT-бюджета
ИП. Для решения проблемы, как правило, нам не хватает знаний, метода, правил, процедур, уверенности, взаимного доверия, желания сотрудничать и т. д.
ИП. Участие в результатах отдельных исполнителей не удается вычленить.
ИП. Предприятие не перестроилось на работу по рыночным законам.
ИП. Глобальные проблемы следует решать на государственном уровне.
ИП. Зарубежные предприятия быстрее, дешевле и надежнее решают проблемы защиты информации.
ИП. Внешний рынок не проявляет интереса к продуктам средств ЗИ НСО.
ИП и НЖЯ. На вопрос, какое явление (и исходная посылка) связано с утечкой информации из-за недостаточности организационных и технических мер, можно ответить так: НЖЯ – существует беспрецедентное давление на фирмы, вынуждающее их к действиям, направленным на ИБ. ИП: фирмы не выполняют поставленных задач ИБ.
«НЖЯ ЗИ-1». Объем того, что нужно знать сбивает с толку. Специалисты вынуждены изучать «новое» с беспрецедентной скоростью. Например:
- законодательные и нормативные правовые акты о государственной (служебной, коммерческой) тайне; нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации; перспективы развития, специализацию и направления деятельности предприятия и его подразделений; характер взаимодействия подразделений в процессе хозяйственной деятельности предприятия и порядок прохождения служебной информации; систему организации комплексной защиты информации, действующую на предприятии; перспективы и направления развития технических и программно-математических средств защиты информации; методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки; методы планирования и организации проведения научных исследований, разработок, выполнения работ по защите информации; порядок заключения договоров на проведение специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации; отечественный и зарубежный опыт в области технической разведки и защиты информации; основы экономики, организации производства, труда и управления; правила и нормы охраны труда.
НЖЯ ЗИ-2
Ресурсы дляреализации технической политики ЗИ, определенных в ней перспектив развития технических средств контроля, разработки и внедрения новых технических и программно-математических средств защиты, исключающих или существенно затрудняющих несанкционированный доступ к служебной информации, составляющей служебную, государственную или коммерческую тайну не всегда доступны.
НЖЯ ЗИ-3
Специалисты по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации, перегружены
НЖЯ ЗИ -4
Сбор и анализ материалов о возможных каналах утечки информации должен выполняться с беспрецедентной скоростью.
НЖЯ ЗИ -5
Координация проводимых организационно-технических мероприятий по защите информации, оценке технико-экономической эффективности предлагаемых и реализуемых организационно-технических решений не проводится достаточно быстро и надежно.
Содействует распространению передового опыта и внедрению современных организационно-технических мер, средств и способов защиты информации с целью повышения их эффективности проводится не достаточно быстро.
НЖЯ. В информационной экономике появляется возможность работать на несколько предприятий сразу, что мешает формировать лояльность и верность одной компании.
НЖЯ. Отделы по ИБ не в состоянии разработать и внедрить защитные меры достаточно быстро и надежно.
НЖЯ. То, что конкурентная среда в России не сформирована и условия для ее формирования не созданы, ощущается гораздо жестче, чем когда-либо.
НЖЯ. Ситуация такова, что необходимость не отдельных инвестиционныхотдельных инвестиционных проектов, а целевых комплексных программ, которые позволят развивать системы доступа и компенсации рисков, назрела существенно.
НЖЯ. Российские предприятия не всегда могут конкурировать с зарубежными предприятиями.
НЖЯ. Продуктивная коллективная работа в условиях современной экономики не всегда может быть организавана.
ПРИЛОЖЕНИЕ ПРИМЕРЫ ДСД
Ниже приведены примеры ДСД
Пример 1 ДСД для среды недавно созданного в городе Новосибирске коммерческого предприятия, специализирующегося на установке программно-аппаратных средств защиты информации.
Пример 2. ДСД для среды внедрения аппаратного обеспечения в систему защиты клиента
Пример 3. ДСД для среды управления персоналом
Пример 4. ДСД для среды обслуживания клиентов
Пример 5. ДСД для среды коммерческого предприятия по защите информации на стадии создания, действующего на новосибирском рынке, обслуживающего коммерческие и государственные предприятия
ПРИЛОЖЕНИЕ ДСД
ПРИЛОЖЕНИЕ Б ПРИМЕР 1Ы ДСД
ПРИМЕР 2 ДСД – Внедрение аппаратного обеспечения в систему защиты клиента
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 |
