Управление качеством программного обеспечения

• сделать большинство информационных активов наиболее понятными для менеджмента компании
• выявить основные угрозы безопасности для существующих бизнес-процессов
• рассчитать риски и принимать решения на основе бизнес-целей компании
• Обеспечивает эффективное управление системой в критических ситуациях
• Проводит процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
• Четко определяет личную ответственность
• Добивается снижения и оптимизации стоимости поддержки системы безопасности
• Делает более доступной интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2008
• Делает акцент на прозрачность и юридическую чистоту бизнеса благодаря соответствию стандарту.

2. Стандарт SAS 70

В настоящее время операционный аудит в соответствии со стандартом SAS 70 широко используется депозитарными, клиринговыми и процессинговыми организациями во всем мире для повышения доверия клиентов к внутренним системам и процессам. Например, из наиболее известных контрагентов отечественной учетной системы за рубежом заключение аудита по SAS 70 уже имеют S.W.I.F.T., Euroclear, Europay, VeriSign и др.

Стандарты операционного аудита SAS 70 (Statementon Auditing Standards (SAS) No. 70, Service Organizations), разработанные около 15 лет назад Американским Институтом Сертифицированных Бухгалтеров (the American Institute of Certified Public Accountants, AICPA), получили широкое признание международного инвестиционного сообщества. Аудит организаций, работающих в сфере услуг, по стандартам SAS 70 фокусируется на вопросах внутреннего контроля, главным образом, на применении информационных технологий и связанных с ними операционных процессов.

3. SSAE 16 и ISAE 3402

Стандарт SSAE 16 (Statementon Standards for Attestation Engagements No. 16), заменивший SAS 70, и ISAE 3402 (International Standards for Attestation Engagement No. 3402) – стандарты аудита, разработанные соответственно Американским институтом дипломированных присяжных бухгалтеров (AICPA) и Комитетом по международным стандартам аудита и подтверждения достоверности информации (IAASB) Международной федерации бухгалтеров и предназначенные в первую очередь для обслуживающих организаций. Обслуживающие организации обычно представляют собой организации, оказывающие аутсорсинговые услуги, которые влияют на среду управления клиентов. Примерами подобных организаций могут служить обработчики заявлений о выплате страхового возмещения, размещенные центры обработки данных, поставщики услуг по предоставлению приложений в аренду (ASP) и поставщики управляемых услуг по обеспечению безопасности. SSAE 16 и ISAE 3402 являются независимыми подтверждениями соответствия мер безопасности нормам и их эффективности.

В заключении аудиторской проверки по стандарту SSAE 16 или ISAE 3402 («аудит SSAE 16») аудитор выносит мнение по следующим пунктам:

1)    достоверность описания систем контроля в обслуживающей организации;

2)    эффективность реализации систем контроля в обслуживающей организации;

3)    ввод систем контроля в обслуживающей организации в действие на указанную дату;

4)    эффективность работы систем контроля в обслуживающей организации в течение указанного периода времени (только при аудите по стандарту SSAE 16 (SOC 1) типа II).

Аудит по стандарту SSAE 16 или ISAE 3402 в корпорации Майкрософт проводится ежегодно независимым третьим лицом.

4. Соглашение SafeHarbor между ЕС и США

Директива ЕС о защите данных обуславливает более строгие правила в отношении конфиденциальности данных по сравнению с правилами, действующими в США и большинстве других стран. С целью обеспечения соблюдения этих правил в ЕС обычно запрещена передача персональных данных в другие страны за исключением случаев, когда передача таких данных осуществляется на правомочном основании, например в соответствии с программой Safe Harbor, принципы которой описаны ниже.

Чтобы обеспечить непрерывный обмен информацией в рамках международных деловых коммуникаций, Европейская комиссия достигла соглашения с Министерством торговли США, в соответствии с которым организации, находящиеся в США, могут проводить самостоятельную сертификацию на соответствие принципам Safe Harbor, в общих чертах совпадающим с требованиями Директивы. [8]

Чтобы получить право передавать данные из ЕС в США на законных основаниях, организация, находящаяся в США, должна заверить общественность в том, что она обязуется придерживаться принципов соглашения Safe Harbor, соответствующих правилам ЕС в отношении конфиденциальности данных. В службах Office 365 и Dynamics CRM Online может осуществляться передача данных из стран ЕС в США для последующей обработки, так как корпорация Майкрософт сертифицирована на соответствие принципам Safe Harbor.

Клиентам рекомендуется ознакомиться с принципами сертификации, а также сертификатом корпорации Майкрософт на веб-сайте Министерства торговли США по следующим ссылкам: Принципы соглашения Safe Harbor и Сертификат.

Корпорация Майкрософт впервые прошла сертификацию по программе Safe Harbor в 2001 году, а также недавно прошла повторную сертификацию на соответствие принципам Safe Harbor, проводимую каждые двенадцать месяцев.

Наряду со странами-членами ЕС, члены Европейского экономического союза (Исландия, Лихтенштейн и Норвегия) также признают организации, сертифицированные по программе Safe Harbor, как обеспечивающие достаточный уровень конфиденциальности для передачи данных из своих стран в США. Швейцария заключила почти аналогичное соглашение (соглашение Safe Harbor между Швейцарией и США) с Министерством торговли США для передачи данных из Швейцарии в США на законном основании, в рамках которого корпорация Майкрософт также прошла сертификацию.

Кроме того, разрешена свободная передача данных из ЕС в ряд других стран, например Канаду и Аргентину, принявших всесторонние законы о конфиденциальности данных.

Вывод: По приведенным стандартам, можно заметить, что продукция корпорации Microsoftотвечает всем современным требованиям безопасности, данные стандарты, введенные в эксплуатацию, а так же постоянные аудиты со стороны, дают большое конкурентное преимущество корпорации.

 

 

2.3 Оценка качества  разрабатываемого программного  обеспечения

 

Для правильной оценки качества программного обеспечения необходимо обратиться к стандарту ГОСТ Р ИСО МЭК 9126.(рисунок 4) [12]

 

Рисунок 4 – Характеристики и атрибуты качества программного

обеспечения по ИСО 9126

 

Корпорация Microsoft производила опрос потребителей, удовлетворенностью качества программного обеспечения, и составила сводную таблицу, в соответствии со стандартом ISO 9126.

При использовании данной схемы, и отзывов покупателей, можно составить лепестковую диаграмму удовлетворенности потребителей, на примере программных продуктов корпорации Microsoft и корпорации Apple.

Для составления данной таблицы мы используем среднестатистические данные по приобретенным программным продуктам корпораций,  максимальный балл составляет 5.

 

Таблица 2 - Удовлетворенность потребителей качеством программных продуктов корпорации MicrosoftиApple

Показатели качества	Microsoft	Apple
Надежность	3	5
Удобство использования	4	5
Производительность	3	4
Функциональность	4	4
Удобство Сопровождения	2	5
Переносимость	4	4

 

По данным таблицы построим лепестковую диаграмму, (Рисунок 4) и определим отличия применения стандартов информационной безопасности от модели Зрелости процессов (CMM).

 

Рисунок 4 – Сравнительная лепестковая диаграмма качества программного обеспечения

 

Из данной таблицы можно сделать вывод о том, что качество программных продуктов корпорации Microsoft, достаточно сильно отличается от качества конкурента Apple.

Стандартная модель жизненного цикла программного продукта(программного обеспечения) называется каскадная. На рисунке 5 мы можем рассмотреть стандартный жизненный цикл программного обеспечения. [10. c 3]

Рисунок 5 - Каскадная («водопадная») модель жизненного цикла программного обеспечения

 

Она предусматривает последовательное выполнение этапов проекта в строго фиксированном порядке. Переход на следующий этап означает полное завершение работ на предыдущем этапе. Например, требования, определенные на стадии анализа, строго документируются и фиксируются на все время работы над проектом. Каждая стадия завершается выпуском полного комплекта документации, достаточной для того, чтобы разработка могла быть продолжена другой командой разработчиков.

Однако, несмотря на такие преимущества, как:

• простота (такую модель легко объяснить неспециалисту, например заказчику),
• удобство в организации и контроле (поэтапный процесс, для реализации каждого этапа можно набрать узкоспециализированный персонал (что снижает требования к исполнителям), независимые стадии позволяют передавать их для выполнения разным командам),
• возможность точного планирования сроков и затрат, использование этой модели на практике привело к ряду проблем.

Оказалось, что модель является крайне дорогостоящей в условиях часто изменяющихся требований, а также в случае ошибок, допущенных на каком-либо из этапов. В результате на практике стали требоваться возвраты на одну или две фазы назад, что в свою очередь обусловило как запаздывание с получением результатов, так и финансовые потери. В результате корпорацией Microsoft была сформулирована поэтапная модель с постоянным контролем.

На рисунке 6 представлена поэтапная модель жизненного цикла продукта с поэтапным и постоянным контролем качества.

Отличительной особенностью этой модели является специальное внимание уделяемое рискам. На каждой итерации оцениваются риск превышения сроков и стоимости проекта, необходимость выполнения еще одной итерации, степень полноты и точности понимания требований к системе. А также оценивается целесообразность продолжения проекта. В результате в данной модели большее время уделяется проектированию и анализу, что позволяет поэтапно уточнять требования и привлекать заказчика к анализу характеристик прототипов программы (вплоть до внедрения «пилотных» версий). Постепенная достройка ПО по частям и управление рисками снижает риск полного провала проекта.

 

 

Рисунок 6– Поэтапная модель жизненного цикла программного обеспечения с постоянным контролем

 

В корпорации Apple, для поддержания работоспособного программного обеспечения используют модель зрелости процессов (CMM), которая основывается на межотраслевых стандартах качества. (Рисунок 7)[11]

Данная модель позволяет вовремя реагировать на изменения предпочтений потребителей, гарантировать постоянное улучшение системы качества.

Рисунок 7 - Общность процессов и требований стандартов и моделей

зрелости процессов

 

На сегодняшний день данная система преобразовалась в систему CMMI:2010 (полное название CMMI for development v1.3-2010).

По всему выше изложенному можно сделать вывод о том, что корпорация Microsoft значительно отстает в качестве программного обеспечения от своего главного конкурента Apple, но соответствует межотраслевым стандартам качества.

 

 

 

3 Рекомендации по улучшению качества программного обеспечения в ООО «Microsoft»

 

Для достижения высокого уровня качества продукции, корпорации Microsoft, необходимо поэтапно внедрить систему CMMI v 1.3. Так она является законченной моделью зрелости процессов.

После внедрения данной модели, возможно увеличение качества продукции, реагирование на изменение предпочтений потребителей. Степень внедрения данной системы – полная, данная модель будет совершенствовать продукцию корпорации, ужесточит требования стандартов, и выведет корпорацию на новую нишу рынка.

Улучшить качество готовой продукции, для формирования устойчивой позиции на рынке, и производства качественного программного обеспечения. В соответствии со стандартом ГОСТ Р ISO 9126, ГОСТ Р ISO/МЭК 90003:2004, необходимо постоянное улучшение качества программного обеспечения, на всех этапах жизненного цикла продукта.

Для обеспечения более высокого уровня качества, защиты потребителей и корпоративных пользователей продукции Майкрософт, необходимо внедрить такие стандарты качества как:

ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности.

ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.