ИТ-архитектура. Практическое руководство от А до Я. Первое издание

•Формирование группы участников

•Информирование участников обсуждения

•Составление списков мотивирующих вопросов

Постановка задачи/проблемы, которую необходимо решить. Проблема должна быть сформулирована кратко и, по существу. Если проблема слишком большая, то организатор должен разбить ее на краткие составляющие. Если же вопрос не может быть сформулирован кратко и не может быть разбит на составляющие, то мозговой штурм не является приемлемым методом решения такой проблемы.

Составление списка участников мозгового штурма. Наиболее продуктивна группа из 10 или чуть меньше человек. Кто должен входить в состав панели участников:

•Участники, уже посвященные в проблему или задачу.

•Участники, которые знакомы с родственной проблемой

•Один «собиратель идей», который фиксирует все предложенные идеи.

Составление и рассылка информационного письма участникам. Письмо должно содержать:

•название сессии,

•решаемую проблему,

•время, дату и место проведения.

Проблема должна быть описана в форме вопроса и нескольких прилагаемых к нему примеров идей.

Составление списка мотивирующих вопросов. Во время проведения обсуждений креативность может снизиться. Тогда организатору следует стимулировать активность мотивирующими к дальнейшей генерации идей вопросами.

Этапы проведения (работа с идеями):

•Перечисление идей без оценки реальности их воплощения. На этом этапе организатор представляет проблему, ставит простые вопросы в русле решаемой проблемы, а также обеспечивает безопасную среду для высказывания идей.

•Оценка идей с точки зрения их важности и вклада в решение проблемы. Каждая идея должна быть понята участниками. Для этого участники тщательно объясняют суть своих идей и их ценность для решения поставленной задачи.

•Категоризация собранных идей. На этом этапе похожие идеи формулируются в одну идею, а абсолютно нереальные/не важные идеи удаляются. Оставшиеся идеи должны быть четко сформулированы, поняты каждым участником и внесены в финальный список идей.

Основные правила:

•Фокус на количество: это означает, что должно быть выработано как можно большее количество разнообразных идей с прицелом на то, что чем больше их будет, тем больше вероятность найти среди них наилучшее решение. «Количество порождает качество».

•Сдерживание критики: любая критика должна быть сведена к «нулю». Вместо этого, участники должны быть сфокусированы на добавлении новых идей, оставив критику для следующей оценочной стадии.

•Разрешение необычным идеям: необычные идеи также должны быть внесены в список идей. Они порождаются взглядами с новых/других сторон и часто на их основе рождаются самые лучшие решения.

•Объединение и улучшение идей: лучшие идеи могут быть объединены в другую, еще более лучшую, идею (по типу «1+1=3»). Такое правило стимулирует создавать идеи посредством ассоциаций.

Стандартная методология M_o_R (Management of Risks)

Для оценки рисков и управления ими применяется стандартная методология M_o_R (Management of Risks), которая состоит из следующего:

Принципы M_o_R – Базируются на принципах управления организацией и являются необходимыми для эффективного управления рисками;

подход M_o_R – подход организации к указанным выше принципам должен быть отображен в ряде документов, в частности, в Политике управления рисками.

Процессы M_o_R – Выделяют четыре процесса в рамках M_o_R:

•Определение – определение угроз для деятельности, которые могут повлиять на достижение ею намеченного результата;

•Оценка – оценка суммарного влияния всех определенных угроз;

•Планирование – определение набора управленческих действий, которые уменьшат риски;

•Реализация – осуществление запланированных управленческих действий, их контроль, определение эффективности и корректирование в случае необходимости.

Пересмотр и внедрение M_o_R – Внедрение процессов, политик и подхода M_o_R так, чтобы они непрерывно контролировались и оставались эффективными;

Взаимодействие M_o_R – Обеспечение взаимодействия всех действий в рамках M_o_R с целью поддержки актуальности информации об угрозах, возможностях и других аспектах Управления рисками.

Кроме этого могут быть использованы специализированные методики:

Методика CRAMM v5

К специфическим ИТ методам и стандартам можно отнести методику CRAMM v5. Цель метода является создание формализованных процедур, позволяющих:

•Анализ требований, предъявляемых к Информационной системе, полон и документирован

•Идентификация и классификация рисков

•Идентификация и оценка уязвимости ИТ ресурсов

•Идентификация и оценка угроз ИТ системам

•Формирование обоснований для мер противодействия

•Избежать излишних расходов на обеспечение Информационной Безопасности систем

•Сокращение сроков по внедрению и сопровождению информационной безопасности организации

•Оказать помощь по вопросам функционирования ИТ сервисов на всех этапах жизненного цикла

•Автоматизация процессов анализа и управления рисками

•Оценка эффективность контрмер

•Формирование отчетов

Методология CORAS

Сочетание различных техник, таких как Event-Tree-Analysis, цепи Маркова и FMECA. В данном методе используется UML (Unified Modeling Language, язык программирования для визуального отображения объектов моделирования). Метод состоит из следующих действий: