Диплом для IT

1298
Критерием в тендере на внедрение IT-решения может быть наличие сертификации

Стандартные условия для любого тендера по выбору системного интегратора — наличие внедрений в конкретной отрасли, цена, удачный опыт сотрудничества с заказчиком по другим внедрениям. К ним можно добавить как минимум еще один критерий — сертификацию.

Подобные документы помогут в объективном выборе будущего партнера. Особенно пригодится знание различных сертификационных направлений при автоматизации деятельности предприятия — внедрении бизнес-приложений, например ERP, SRM или CRM. Условно можно выделить три предмета сертификации: программный продукт, качество работы поставщика IT-услуг и конкретные специалисты-исполнители заказа.

«Проверено ФСБ»

Основная причина сертификации программных продуктов — гарантии в области информационной безопасности. Все, что касается этой сферы, обычно относится к компетенции профильных госучреждений. В России три такие структуры. Федеральная служба безопасности (ФСБ) сертифицирует криптозащищенность решения. Данные, которые используются программой и курсируют между ее пользователями, должны пересылаться в зашифрованном виде. ФСБ проверяет алгоритм шифрования на соответствие своим требованиям.

Минобороны оценивает средства защиты информации, которые могут использоваться при построении корпоративной информационной системы (КИС). Сертифицируемые военными аппаратные и программные средства не являются неотъемлемыми частями бизнес-приложений, а защищают единую среду. Сертификаты министерства необходимы для корпоративных информационных систем, внедряемых на военных и стратегически важных объектах, например предприятиях ВПК, транспорта и связи. А также для всех работ, выполняемых в рамках гособоронзаказа.

Наконец, Федеральная служба по техническому и экспортному контролю России (ФСТЭК) проверяет защищенность от несанкционированного доступа. Большое внимание уделяется выявлению недокументированных функций — возможностей ПО, которые не декларированы в сопроводительной документации, но предоставляются решением. Такие возможности присутствуют в любом сложном программном продукте. Зачастую они возникают случайно при компоновке решения из отдельных блоков.

Программные строки, дополняя друг друга, могут давать весьма интересные эффекты. Но дополнительные возможности порой намеренно вводят излишне веселые программисты. Например, при одновременном нажатии на определенные клавиши на мониторе появится неадекватная надпись или рисунок. Другое дело, что результатом работы дополнительной функции может быть пересылка важных данных на определенный адрес. Во время сертификации подобные возможности выявляются и исправляются.

На эти виды сертификатов следует обратить внимание коммерческим структурам, для которых утечка внутренней финансовой информации может повлечь колоссальные убытки и потерю репутации. Например, банкам, инвестиционным или телекоммуникационным компаниям. Тем не менее, по словам Алексея Маркова, начальника центра сертификации научно-производственного предприятия «Безопасные информационные технологии» (БИТ), при сертификации сложного программного продукта никто не может дать 100-процентной гарантии безопасности.

БИТ с 1998 года сертифицировал более 195 продуктов, в том числе версии программных средств защиты информации: Dr. Web, Check Point, Cisco, XSpider. В каждом обнаружились недекларированные возможности или уязвимости кода. «Сертификация программного обеспечения может быть необходима и разработчику, и пользователю, — говорит Алексей Марков. — В первом случае разработчик хочет дать продукту конкурентные преимущества. Во втором — покупатель желает получить юридические гарантии и требует, чтобы продукт соответствовал определенным стандартам».

Сертификаты госучреждений могут относиться не только к продуктам, но и к дея-тельности компании. Например, разрешать разработку, внедрение и обслуживание информационных систем, соответствующих требованиям информационной безопасности.

По условиям Федерального закона от 27 декабря 2002 года № 184 «О техническом регулировании» федеральные органы исполнительной власти не имеют права самостоя-тельно заниматься сертификацией. Они лишь разрабатывают требования. Поэтому у каждого из них есть несколько аккредитованных органов по сертификации. В государственных системах сертификации также действует ряд ограничений. Срок действия свидетельства — не более пяти лет. Кроме того, инициатором сертификации не может быть иностранная компания.

Желающие обходят эти ограничения, проверяясь в системах добровольной сертификации. Например, существует система сертификации средств информационных технологий по требованиям информационной безопасности «АйТиСертифика», созданная некоммерческой Евроазиатской ассоциацией производителей товаров и услуг в области безопасности (ЕВРААС). Сертифицировать можно конкретный экземпляр решения, партию продукции или производство. Срок действия свидетельства может быть неограниченным, а сама сертификация занимает меньше времени.

«Системы добровольной сертификации гораздо удобнее, — убеждает генеральный директор ЕВРААС Сергей Иванищак. — Например, можно не только проверить решение на соответствие существующим руководящим документам и ГОСТам, но и подтвердить соответствие международным стандартам, стандартам организаций, техническим заданиям, условиям договоров. Или сертифицировать иностранный программный продукт на отсутствие недекларированных возможностей на базе предприятия-разработчика. В этом случае гарантируется его право на интеллектуальную собственность».

Оценка из-за рубежа

Из международных стандартов наиболее известны требования ISO (International Organization for Standardization). Цель ее положений — подсказать, как должны быть организованы бизнес-процессы, чтобы предоставлять качественные услуги. Для IT-специалистов важен появившийся чуть более года назад стандарт ISO 20000-1:2005 «Информационные технологии — управление IT-сервисами. Часть 1. Спецификация».

Документ определяет универсальные критерии для эффективного оказания услуг любой организацией или службой, предоставляющей IT-сервисы. Он описывает процессы оказания услуг, взаимоотношения между поставщиком, клиентом и подрядчиком, пути решения проблем, контроля над различными изменениями, создания новых и корректировки существующих решений. Этот стандарт как бы «продолжает» стандарт для систем менеджмента качества ISO 9001:2000, но с IT-уклоном. Поэтому на практике интеграторы, сертифицированные на соответствие ISO 20000-1:2005, несколькими годами ранее прошли аналогичную процедуру в отношении ISO 9001:2000.

Еще один стандарт — ISO 27001:2005 — определяет требования к управлению информационной безопасностью. «Компания, внедрившая систему управления информационной безопасностью в соответствии с требованиями ISO 27001:2005, формально соответствует требованиям ISO 20000-1:2005 в части процессов управления информационной безопасностью, — говорит Евгений Шипилов, администратор продаж российского представительства BSI Management Systems. — Внедрение же системы менеджмента качества в соответствии с ISO 9001:2000 создает общую базу для развития и совершенствования всех процессов организации». ISO 20000:2005 и ISO 27001:2005 начали «марш» по России около полугода назад. Пока такими свидетельствами обладают считанные российские интеграторы.

Стандарты ISO учитывают рекомендации ITIL (Information Technology Infrastructure Library), которые объясняют правильные подходы к организации IT-инфраструктуры. Как и в случае с российскими организациями, выработкой критериев и непосредст-венно сертификацией занимаются разные учреждения. Естественно, большей ценностью обладает свидетельство в области ISO, выданное известной иностранной фирмой или ассоциацией. Среди таких можно назвать Lloyd’s Register, Британский институт стандартов (BSI), Немецкий институт стандартизации (DIN).

Подарок вендора

Сертификатами разработчиков программных решений (вендоров) интегратору может быть присвоен партнерский статус, или «компетенция». Партнерство бывает различным — компания получает право на внедрение, развитие, сервисное обслуживание, обучение клиента работе с продуктом. Или ей присваивается статус в зависимости от объема продаж, что также может быть показателем для заказчика. Статусы обычно соответствуют ценности драгметаллов и называются серебряными, золотыми, платиновыми (в порядке возрастания).

Разработчики сертифицируют и сотрудников-консультантов. В таком случае свидетельство аналогично диплому об окончании учебы. Статус специалиста соответствует его знаниям, доказанным при прохождении экзамена или теста. Практически у всех разработчиков есть свои сертификационные программы. Например, MCSE (Microsoft Certified System Engineer) и MCSD (Microsoft Certified Solution Developer) у компании Microsoft, CCNP (Cisco Certified Network Professional) и CCIE (Cisco Certified Internetwork Expert) у Cisco. Компании-заказчику, заключая договор на внедрение, неплохо поинтересоваться количеством таких специалистов, участвующих в ее проекте. Правда, «стоимость» этих служащих гораздо выше прочих, что обязательно скажется на сумме договора.

Подтверждением высокой квалификации руководителя проекта может стать бизнес-сертификат международного института. Хотя подобный документ имеет и опосредованное отношение к IT, в проекте внедрения без знаний управленческого характера просто не обойтись. Здесь можно упомянуть Project Management Institute (PMI, Институт проектного менеджмента), который занимается разработкой стандартов в области проектного менеджмента и повышением квалификации специалистов (сертификаты PMP — Project Management Professional). Еще одна организация — American Production and Inventory Control Society (APICS, Общество по управлению производством и запасами) занимается теорией бизнес-процессов (сертификаты CPIM — Certified in Production and Inventory Management).

Методические рекомендации по управлению финансами компании



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Школа

Школа

Проверь свои знания и приобрети новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...


Рассылка




© 2007–2016 ООО «Актион управление и финансы»

«Финансовый директор» — практический журнал по управлению финансами компании

Зарегистрировано Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации Эл №ФС77-43625 от 18.01.2011
Все права защищены. email: fd@fd.ru


  • Мы в соцсетях
×
Зарегистрируйтесь на сайте,
чтобы скачать образец документа

В подарок, на адрес электронной почты, которую Вы укажете при регистрации, мы отправим форму «Порядок управления дебиторской задолженностью компании»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Зарегистрируйтесь на сайте,
чтобы продолжить чтение статьи

Еще Вы сможете бесплатно:
Скачать надстройку для Excel. Узнайте риск налоговой проверки в вашей компании Прочитать книгу «Запасной финансовый выход» (раздел «Книги»)

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль