Евгений Чернов
Качество программного обеспечения, работающего в коммерческих и государственных информационных системах, - критически важный фактор. Дело в том, что сегодня деятельность многих организаций и предприятий напрямую зависит от правильной обработки информации соответствующими компьютерными системами. Низкое качество используемого ПО наносит серьезный удар по эффективности работы, что особенно негативно сказывается на коммерческих фирмах, поскольку снижает их конкурентоспособность. Наиболее уязвимы предприятия в период внедрения на них новых информационных систем. Именно в это время ущерб от применения некачественного программного обеспечения наиболее вероятен.
По данным Департамента по торговле и промышленности Великобритании (DTI), при внедрении проектов информационных технологий на предприятиях потери из-за низкого качества программного обеспечения составляют в среднем около 20% от общего объема потерь. Аналогичный показатель для России достигает, по разным оценкам, 30 - 50%.
Организация производства качественного продукта (в том числе ПО) является ключевой задачей менеджмента, которой в индустриально развитых странах стали активно заниматься примерно с середины 50-х годов. К числу бесспорных достижений теории менеджмента качества относятся определение современного понятия качества, а также разработка известных моделей систем качества серии ISO 900x (ISO 9001, ISO 9002 и ISO 9003).
Согласно этому определению, качество программного обеспечения, как и любого другого продукта, - это его соответствие потребностям заказчика, которого прежде всего интересуют три вещи: технические характеристики ПО (функциональность, надежность, удобство в работе и т. д.), а также стоимость и сроки разработки.
Следует отметить, что из-за отсутствия адекватных систем управления качеством во многих проектах (особенно крупных) два последних показателя значительно превышаются. При этом, однако, не гарантируется выполнение и технических требований. Ряд проектов, как в Европе, так и в Америке, по существу, провалились, поскольку разработчикам так и не удалось достичь требуемых технических параметров, несмотря на то, что время и средства, отпущенные на создание ПО, были значительно превышены.
ISO 9000 - правда о качестве
Существует заблуждение, что качество можно обеспечить за счет тщательного выходного контроля. Это не так. Тестирование программного обеспечения, рассматриваемое в отрыве от остальных процессов, может лишь предупредить попадание к заказчику некондиционного продукта. Реально работающая система обеспечения качества охватывает все процессы, связанные с созданием ПО: от момента первого контакта с заказчиком и определения его потребностей и вплоть до изъятия программного продукта из эксплуатации.
Система качества касается и всех уровней предприятия - поставщика программного обеспечения. Во многих софтверных фирмах сейчас имеется должность менеджера по качеству. Его роль сводится к ряду организационных функций, причем одной из важнейших среди них является представление руководству предприятия информации о внедрении, работе и развитии системы качества. При этом не следует забывать, что обеспечение качества - это обязанность всех и каждого на предприятии, включая высшее руководство, а не одного лишь менеджера по качеству.
Изложенное выше - это не отвлеченная теория. Напротив, данные положения являются выводами, полученными в результате обобщения опыта работы огромного количества предприятий и организаций во многих странах мира. Эти идеи, а также ряд других так называемых элементов управления были положены в основу популярнейших международных стандартов ISO 900x. Стандарты ISO 900x представляют собой модели систем обеспечения качества и содержат формализованное и сжатое описание требований к этим системам. В ISO 9001 выделено двадцать таких ключевых положений - элементов управления.
К настоящему времени более 90 стран мира, включая Россию, адаптировали стандарты ISO 900x на национальном уровне. Системы качества были внедрены тысячами организаций и предприятий по всему миру, занимающихся как производством, так и обслуживанием. ISO 900x являются добровольными стандартами, т. е. государства, адаптировавшие стандарт, не требуют его обязательного выполнения соответствующими субъектами внутри страны. Однако ISO 900x часто используются в контрактных отношениях. Во многих случаях партнерам и клиентам предприятия необходимо знать, каким образом на предприятии обеспечивается качество продукта или услуги. В этом случае соответствие стандарту может и часто является одним из условий контракта. Формальное подтверждение соответствия стандарту дает аккредитованная сертификация.
Для того чтобы получить сертификат, система менеджмента информационной безопасности предприятия оценивается аудитором систем управления качеством. Аудитор не может одновременно быть консультантом. На этот счет существуют очень строгие правила. Аудит состоит из анализа документации по системе менеджмента качества, а также выборочного контроля на предприятии, который позволяет убедиться, что работа действительно организована в соответствии с порядком, приведенным в описании системы.
Аккредитованную сертификацию могут предоставить лишь сертификационные общества (такие, как DNVQA, BSI Assessment Services Ltd, Lloyd’s Register QA Ltd. и т. д.), получившие соответствующие полномочия от органов аккредитации. Сертификат, выданный такой организацией, безоговорочно признается на международном уровне.
Что такое TickIT?
TickIT - это схема сертификации систем качества для программного обеспечения, предложенная группой ведущих фирм и некоммерческих организаций Великобритании, работающих в области информатики. Контроль и спонсирование схемы осуществляются DTI. TickIT базируется на стандарте ISO 9001:1994. Таким образом, предметом TickIT является менеджмент предприятий, разрабатывающих программное обеспечение.
Помимо своей основы - стандарта ISO 9001 - TickIT содержит следующие компоненты:
- руководство по TickIT, базирующееся на указаниях ISO 9000-3 (руководство по системам качества для программного обеспечения);
- схема регистрации аудиторов через специальный комитет по TickIT - IRCA (Международный регистр сертифицированных аудиторов);
- система проверок аудиторов Британским компьютерным обществом (BCS) и Институтом по обеспечению качества (IQA);
- система аккредитации сертификационных обществ (UKAS - Великобритания, SWEDAC - Швеция);
- программы, направленные на расширение признания схемы;
- трехлетний цикл пересмотра схемы;
- система специальных премий за достижения.
Гибкая инфраструктура TickIT позволяет схеме следовать изменениям в этой весьма динамичной отрасли, обеспечивая тем самым ее постоянное совершенствование.
В последней редакции руководства по TickIT активно используется идеология “жизненного цикла” ПО. Основные определения процессов этого цикла даны в другом стандарте - ISO/IEC 12207, который может служить основой при выборе конкретной модели процессов на предприятии. Таким образом, схема TickIT использует рациональное начало, заложенное в методах совершенствования процессов, подобных CMM (Carnegie Mellon University), Trillium (Bell Canada), BOOTSTRAP и др.
Почему TickIT?
Возникает вопрос: почему потребовалось создание специальной схемы для программного обеспечения? Ведь существует общий порядок подготовки систем качества и проведения сертификации согласно ISO 900x. Причина кроется в истории происхождения стандарта и специфике разработки программного обеспечения как рода производственной деятельности. Дело в том, что изначально стандарты серии ISO 900x разрабатывались для машиностроения. Несмотря на то что впоследствии положения стандартов были обобщены и формализованы, их применение на софтверных предприятиях представляло определенную проблему. Основные сложности были связаны с особым характером процесса производства, а также контрактных отношений, принятых в отрасли. Постепенно сертификационные общества и их клиенты пришли к выводу, что в целях повышения авторитета этих обществ и эффективности сертификации деятельность по системам качества ПО должна контролироваться отдельной схемой. Великобритания традиционно занимает лидирующее положение в области стандартизации, поэтому неудивительно, что инициатива TickIT изначально принадлежит именно этой стране.
Несмотря на британское происхождение, TickIT широко применяется и в других странах. В списке сертифицированных по схеме TickIT перечислены в настоящее время предприятия более 40 государств. Марка и логотип TickIT пользуются заслуженным международным авторитетом. Получение сертификата TickIT является важным шагом любой европейской софтверной фирмы на пути к завоеванию признания на рынке. По данным на май 1997 г., в Великобритании было выдано 956 сертификатов TickIT, в других странах - 338. Рост количества сертификатов, выданных за пределами Великобритании, происходит опережающими темпами. Предполагается, что дальнейшее расширение использования схемы TickIT приведет к созданию международной европейской схемы с аккредитацией согласно EN45012/3.
Что и как может быть сертифицировано согласно TickIT?
Согласно схеме TickIT могут быть сертифицированы системы качества предприятий, занимающихся такими видами деятельности, как:
- разработка программного продукта или услуги как для внешнего заказчика, так для внутреннего использования, включая встроенное (embedded) программное обеспечение;
- копирование, архивирование, хранение данных и программного обеспечения;
- системная интеграция, поддержка, администрирование.
Приведенный выше список является примерным, применимость схемы в том или ином случае оценивается отдельно. Виды деятельности, в которых разработка программного обеспечения отсутствует (например, розничная или оптовая продажа “коробок” ПО), не могут быть сертифицированы согласно TickIT.
Для того чтобы получить сертификат и использовать логотип TickIT, в организации или на предприятии прежде всего должна быть подготовлена и внедрена система управления качеством в соответствии с требованиями и рекомендациями схемы. Это потребует усилий как от руководства предприятия, так и от рядовых сотрудников. Система качества должна функционировать на предприятии в течение некоторого времени, прежде чем можно будет обратиться в сертификационное общество с целью проведения аудита и получения сертификата. Такой период адаптации необходим для того, чтобы система качества полностью была внедрена в систему менеджмента предприятия и это можно было бы продемонстрировать в процессе аудита. Сертификационный аудит проводится в несколько этапов в соответствии со стандартной процедурой.
Ситуация с обеспечением качества при разработке ПО в России достаточно острая. С увеличением количества и размеров софтверных проектов необходимость в систематическом подходе к менеджменту качества будет постоянно возрастать. В этой связи схема TickIT представляется исключительно полезным механизмом, обеспечивающим для отечественных разработок интеграцию на международном уровне и признание в отношении качества и технологии.
Чернов Евгений Иванович - консультант Det Norske Veritas, канд. физ.-мат. наук, с ним можно связаться по адресу: vgueni.Tchernov@dnv.ru.
