Качество программного обеспечения, работающего в коммерческих и государственных информационных системах, является критически важным фактором. Дело в том, что сегодня деятельность многих организаций и предприятий напрямую зависит от правильной обработки информации соответствующими компьютерными системами. Низкое качество используемого программного обеспечения может привести к серьезным потерям. Даже если и удается избежать чрезвычайных происшествий, использование некачественных программ наносит ущерб эффективности работы, что особенно негативно сказывается на коммерческих предприятиях, поскольку снижает их конкурентоспособность. Предприятия наиболее уязвимы в период внедрения на них новых информационных систем. Именно в это время ущерб от некачественного программного обеспечения наиболее вероятен. По данным Департамента по Торговле и Промышленности Великобритании (DTI) при внедрении проектов информационных технологий на предприятиях потери из-за низкого качества программного обеспечения составляют в среднем около 20% от общего объема потерь. По разным оценкам аналогичный показатель для России достигает величины от 30 до 50%.

Организация производства качественного продукта (в том числе программного обеспечения) является ключевой задачей менеджмента, которой в индустриально развитых странах стали активно заниматься примерно со середины 50-х годов. К числу бесспорных достижений теории менеджмента качества относятся современное понятие качества, а также известные модели систем качества серии ISO 900x (т.е. ISO 9001, ISO 9002 и ISO 9003).

Согласно нынешнему определению, качество программного обеспечения, как и любого другого продукта, ? это его соответствие потребностям заказчика. При разработке программного обеспечения заказчик, как правило, требует соответствия следующим условиям:

• технические требования (функциональность, надежность и т.д.),
• стоимость,
• сроки.

Следует отметить, что из-за отсутствия адекватных систем управления качеством во многих проектах (особенно крупных) второй и третий показатели значительно превышаются. При этом, однако, не гарантируется выполнение и технических требований. Ряд проектов, как в Европе, так и в Америке по существу провалились, будучи не в состоянии достичь требуемых технических параметров, хотя отпущенные время и средства были значительно превышены.

ISO 9000 ? правда о качестве

Существует заблуждение, что качество можно обеспечить за счет тщательного выходного контроля. Это не так. Тестирование программного обеспечения, рассматриваемое в отрыве от остальных процессов, может лишь предупредить попадание к заказчику некондиционного продукта. Реально работающая система обеспечения качества охватывает все процессы, связанные с созданием программного обеспечения: с момента первого контакта с заказчиком и определения его потребностей вплоть до изъятия программного обеспечения из эксплуатации.

Аналогично, система качества касается всех уровней предприятия ? поставщика программного обеспечения. Во многих софтверных фирмах сейчас имеется должность менеджера по качеству. Роль менеджера по качеству сводится к ряду организационных функций, причем одной из важнейших функций является обеспечение высшего руководства предприятия информацией по внедрению, работе и развитию системы качества. При этом не следует забывать, что обеспечение качества ? это обязанность всех и каждого на предприятии, включая высшее руководство, а не одного лишь менеджера по качеству.

Изложенное выше ? это не отвлеченная теория. Напротив, данные положения являются выводами, полученными в результате обобщения опыта работы огромного количества предприятий и организаций во многих странах мира. Эти идеи, а также ряд других так называемых элементов управления, были положены в основу популярнейших нынче международных стандартов ISO 900x. Стандарты ISO 900x представляют собой модели системы обеспечения качества и содержат формализованное и сжатое описание требований к системам управления качеством. В ISO 9001 выделено двадцать таких ключевых положений ? элементов управления.

К настоящему времени более 90 стран мира, включая Россию, адаптировали стандарты ISO 900x на национальном уровне. Соответствующие системы были внедрены тысячами организаций и предприятий по всему миру, занимающихся как производством, так и обслуживанием. ISO 900x являются добровольными стандартами, т.е. государства, адаптировавшие стандарт, не требуют его обязательного выполнения соответствующими субъектами внутри страны. Однако ISO 900x часто используются в контрактных отношениях. Во многих случаях партнерам и клиентам предприятия необходимо знать, каким образом на предприятии обеспечивается качество продукта или услуги. В этом случае соответствие стандарту может и часто является одним из условий контракта. Формальное подтверждение соответствия стандарту дает аккредитованная сертификация.

Для того, чтобы получить сертификат, система менеджмента информационной безопасности предприятия оценивается аудитором систем управления качеством. Аудитор не может одновременно являться консультантом. На этот счет существуют очень строгие правила. Аудит состоит из анализа документации по системе менеджмента качества, а также выборочного контроля в организации, который позволяет убедиться, что реальная практика соответствует описанию системы.

Аккредитованную сертификацию могут предоставить лишь сертификационные общества (такие, как DNVQA, BSI Assessment Services Ltd, Lloyd's Register QA Ltd. и т.д.), получившие соответствующие полномочия от органов аккредитации. Сертификат, выданный такой организацией, безоговорочно признается на международном уровне.

Что такое TickIT?

TickIT ? это схема сертификации систем качества для программного обеспечения, предложенная группой ведущих фирм и некоммерческих организаций Великобритании, работающих в области информатики. Контроль и спонсирование схемы осуществляется DTI. TickIT базируется на стандарте ISO 9001:1994. Таким образом, предметом TickIT является менеджмент предприятий, разрабатывающих программное обеспечение.

Помимо своей основы ? стандарта ISO 9001, TickIT содержит следующие компоненты:

• Руководство по TickIT, базирующееся на указаниях ISO 9000-3 (руководство по системам качества для программного обеспечения);
• Схема регистрации аудиторов через специальный Комитет по TickIT IRCA (Международный Регистр Сертифицированных Аудиторов);
• Система проверок аудиторов Британскими Компьютерным Обществом (BCS) и Институтом по Обеспечению Качества (IQA);
• Система аккредитации сертификационных обществ (UKAS ? Великобритания, SWEDAC ? Швеция);
• Программы, направленные на расширение признания схемы;
• Трехлетний цикл пересмотра схемы;
• Система специальных премий за достижения.

Гибкая инфраструктура TickIT позволяет схеме следовать изменениям в этой весьма динамичной отрасли, обеспечивая тем самым ее постоянное совершенствование.

В последней редакции руководства по TickIT активно используется идеология жизненного цикла программного обеспечения. Основные определения процессов жизненного цикла программного обеспечения даны в другом стандарте ? ISO/IEC 12207, который может служить основой при выборе конкретной модели процессов жизненного цикла на предприятии. Таким образом, схема TickIT использует рациональное начало, заложенное в методах совершенствования процессов, таких как CMM (Carnegie Mellon University), Trillium (Bell Canada), BOOTSTRAP и т.д.

Почему TickIT?

Возникает вопрос, почему потребовалось создание специальной схемы для программного обеспечения? Ведь существует общий порядок подготовки систем качества и проведения сертификации согласно ISO 900x? Причина кроется в истории происхождения стандарта и специфике разработки программного обеспечения как рода производственной деятельности. Дело в том, что изначально стандарты серии ISO 900x разрабатывались для машиностроения. Несмотря на то, что впоследствии положения стандартов были обобщены и формализованы, их применение в софтверных предприятиях представляло определенную проблему. Основные сложности были связаны с особым характером процесса производства, а также контрактных отношений, принятых в отрасли. Постепенно, сертификационные общества и их клиенты пришли к выводу, что для повышения авторитета и эффективности деятельность по системам качества программного обеспечения должна контролироваться отдельной схемой. Великобритания традиционно занимает лидирующее положение в области стандартизации, поэтому неудивительно, что инициатива TickIT изначально принадлежит Великобритании.

Несмотря на британское происхождение, TickIT широко применяется и в других странах. В списке предприятий, сертифицированных по схеме TickIT, в настоящее время присутствуют названия более 40 государств. Марка и лого TickIT пользуются заслуженным международным авторитетом. Получение сертификата TickIT является важным шагом любой европейской софтверной фирмы на пути к завоеванию признания на рынке. По данным на май 1997 года в Великобритании было выдано 956 сертификатов TickIT, в других странах ? 338. Рост количества сертификатов, выданных за пределами Великобритании, происходит опережающими темпами. Предполагается, что дальнейшее расширение использования схемы TickIT приведет к созданию международной европейской схемы с аккредитацией согласно EN45012/3.

Что и как может быть сертифицировано согласно TickIT?

Согласно схеме TickIT могут быть сертифицированы системы качества предприятий, занимающихся следующими видами деятельности:

• разработка программного продукта или услуги как для внешнего заказчика, так для внутреннего использования, включая встроенное (embedded) программное обеспечение;
• копирование, архивирование, хранение данных и программное обеспечение;
• системная интеграция, поддержка, администрирование;

и др.

Приведенный выше список является примерным, применимость схемы в том или ином случае оценивается отдельно. Виды деятельности, в которых разработка программного обеспечения отсутствует (например, розничная или оптовая продажа коробок программного обеспечения), не могут быть сертифицированы согласно TickIT.

Для того, чтобы получить сертификат TickIT и использовать лого TickIT, в организации или предприятии прежде всего должна быть подготовлена и внедрена система управления качеством в соответствии с требованиями и рекомендациями схемы. Это потребует усилий как со стороны руководства предприятием, так и со стороны рядовых сотрудников. Система качества должна функционировать на предприятии в течение некоторого времени прежде, чем можно будет обратиться в сертификационное общество с целью проведения аудита и выдачи сертификата. Такой период адаптации необходим для того, чтобы система качества полностью интегрировалась в систему менеджмента предприятия, и это можно было бы продемонстрировать в процессе аудита. Сертификационный аудит проводится в несколько этапов в соответствии со стандартной процедурой.