ИТ-архитектура. Практическое руководство от А до Я. Первое издание - страница 105

•формализовать процесс выбора наиболее эффективного готового решения;

•определить процесс для эффективной интеграции и настройки готового решения;

•определить функциональные требования на приемлемом уровне;

•сформировать перечень управленческих и операционных требований;

•определить требования к продукту и поставщику;

•определить требования к интеграции услуги.

При покупке решения остается необходимость в:

•кастомизации (customization) – адаптация продукта под требования клиента, первоначальное конфигурирование, настройка интерфейса, изменение бизнес процессов и т п,

•локализация (localization) – язык интерфейса, перевод печатных форм и т п.

Основные преимущества – Покупка готовых пакетов программного обеспечения более экономична, часто более быстрое решение при выборе и внедрении. Может быть представленная клиенту как действующая «модель» или «прототип». Клиент уже на этапе выбора решения может иметь полную картинку возможностей и внешнего вида конечного продукта, имеющиеся ограничения и т п.

К недостаткам можно отнести – менее гибка, чем разработка собственных решений.

Данный раздел содержит основные принципы архитектуры и информационной безопасности которые должны быть приняты во внимание. Раздел основывается на международных стандартах и практиках в области информационной безопасности, таких как PCI DSS, NIST серии 800-хх, Information Security Forum (ISF).

Необходимо определить приоритеты по критериям (Confidentiality, Integrity and Availability CIA):

•Конфиденциальность (Confidentiality)

•Целостность (Integrity)

•Доступность (Availability)

Данные приоритеты требуется определить, как для организации в целом, так и для каждой ИТ системы.

Все ИТ систем являются частью единого информационного пространства (часть леса, дерева, домена, сети и т п).

Все критически важная информация должны хранится в дата центре компании. Критически важные ИТ системы и вычислительные ресурсы так же должны быть расположены в дата центре компании.

Все ИТ активы и информация должны быть классифицированы с точки зрения безопасности по уровню конфиденциальности.

Обязательные требования для обеспечения конфиденциальности:

•Классификация данных.

•Наличие политики определяющий уровни доступа.

•Наличие процедур по работе с данными каждого класса.

Классификации данных может быть построена на основе следующих условий:

•Требования устанавливаются регулирующими органами.

•Требования определяются внутри компании.

•Классификация данных установленных регулирующими органами не может быть понижена

•Доступ к данным предоставляется по принципу «минимальных привилегий»

Кроме этого классификацию данных необходимо проводить с представителями бизнеса и функциональных департаментов компании. Для определения информационных потоков и уровня интеграции данных необходимо провести классификацию данных информации по ряду атрибутов:

Зона покрытия — Данные локального значения и представляющие ценность для одной компании. Как пример; заказ столиков, обслуживание официантом в разрезе столиков/клиентов. Данная информация может быть интересна для одной компании (отеля) и не представляют ценность для других компаний компании, наиболее востребованные комнаты, меню и т п может быть интересна для портфеля и т п