стандартизация и сертификация програмного обеспечения

СОДЕРЖАНИЕ
ВВЕДЕНИЕ
1СЕРТИФИКАЦИЯ ПРОГРАММНЫХ ПРОДУКТОВ
2СТАНДАРТЫ ДЛЯ IT-ИНДУСТРИИ
2.1СТАНДАРТЫ ISO СЕРИИ 9000
2.2СТАНДАРТ TICKIT
2.3СТАНДАРТЫ SEI SW-CMM
3СТАНДАРТЫ ПО PROJECT MANAGEMENT
3.1ПРИНЦИПЫ АДМИНИСТРАТИВНОГО УПРАВЛЕНИЯ КАЧЕСТВОМ
3.2СТАНДАРТЫ УРОВНЯ ЗРЕЛОСТИ КОМПАНИИ
4ДОКУМЕНТИРОВАНИЕ ПРОЦЕССОВ И РЕЗУЛЬТАТОВ СЕРТИФИКАЦИИ ПРОГРАММНЫХ ПРОДУКТОВ
ЗАКЛЮЧЕНИЕ
СПИСОК ЛИТЕРАТУРЫ

стандартизация и сертификация програмного обеспечения

ISO 10011-1-90 Системы качества. Руководящие положения по проверкам. Часть 1. Проверки.
ISO 10011-2-91 Системы качества. Руководящие положения по проверкам. Часть 2. Критерии квалификации экспертов-аудиторов систем качества.
ISO 10011-3-91 Системы качества. Руководящие положения по проверкам. Часть 3. Административное управление программами проверок.
ISO 10012-1-92 Обеспечение качества измерительного оборудования. Требования. Часть 1. Системы метрологического обеспечения измерительного оборудования.
ISO 10013 Руководства по качеству. Положения по разработке. (На стадии издания).
ISO 8402-94 Управление качеством и обеспечение качества. Словарь.
Стандарт TickIT
Достаточно широкую известность получил британский стандарт TickIT. Этот отраслевой стандарт регламентирует требования к системе качества для организаций разработчиков программного обеспечения и базируется на модели ISO 9001:94. В отличие от модели ISO 9001, которая регламентирует "что необходимо сделать", разработчики данного стандарта попытались ответить на вопрос "как" можно выполнить требования, определенные в ISO 9001. TickIT объединяет в себе модель ISO 9001 с набором рекомендательных стандартов ISO 12207 и ISO 9000-3.
Стандарты SEI SW-CMM
Очень интересный подход к улучшению внутренних процессов разработки программного обеспечения определен в модели SEI SW-CMM. В основу данной модели (также как и в основу стандартов ISO серии 9000) положена теория TQM. Теория TQM основывается на постепенном улучшении внутренних производственных процессов за счет множества небольших внедряемых в компании улучшений. Однако модели ISO и CMM несколько различаются в своих подходах к построению самосовершенствующихся систем управления качеством и улучшению производственных процессов.
В отличие от модели ISO, где для того, чтобы соответствовать требованиям, необходимо продемонстрировать 100%-ное соответствие модели (и только оно позволяет компании самосовершенствоваться), в модели SEI SW-CMM предусмотрен поэтапный подход к построению системы совершенствования процессов. Для достижения этой цели разработчики стандарта СММ определили пять уровней, которые должна пройти организация для того, чтобы достичь основной цели - повышения эффективности функционирования процессов компании и, как следствие, улучшения качества результатов производственных процессов и разрабатываемого программного обеспечения.
Стандарты по Project Management
Долгое время считалось, что «золотым ключиком» в мир большого бизнеса являются стандарты качества серии ISO 9000. Однако в сфере IT-продуктов и услуг (и в первую очередь разработки программного обеспечения) более высоко ценятся специализированные стандарты группы СММ (capability maturity model)-«Оценка и аттестация зрелости процессов создания и сопровождения программных средств и информационных систем» (ISO/ITC TR 15504). Стандарт СММ 15504 предоставляет основу для аттестации процессов жизненного цикла программных средств (ПС), которая может быть использована организациями, занимающимися планированием, управлением, наблюдением, контролем и совершенствованием приобретения, поставки, разработки, эксплуатации, развития и поддержки ПС.
Стандарт СММ 15504 преследует ту же цель, что и серия стандартов ISO 9000, – обеспечение уверенности потребителя в системе управления качеством продукции поставщика. Одновременно он предоставляет пользователям основу для оценки того, обладают ли потенциальные поставщики производственными возможностями, отвечающими их потребностям. Аттестация процессов на соответствие стандарту СММ 15504 позволяет пользователю ПС определить уровень их зрелости по непрерывной шкале таким образом, что полученные показатели можно сравнивать и при необходимости повторять их оценку. Например, аудиты качества, основанные на ISO 9001:1994 и аттестующие процессы жизненного цикла ПС по принципу «зачет/незачет», такой возможности не предоставляют. Кроме того, модель, описываемая стандартом СММ 15504, позволяет подобрать объем аттестации так, чтобы он охватывал не все процессы, используемые организационной единицей, а лишь те, которые вызывают интерес.
Части «Процессный подход» и «Системный подход к административному управлению» стандарта СММ 15504 отвечают концепции ISO 2004 года в области системы качества. Эталонная модель описания, оценки и аттестации зрелости процессов жизненного цикла продукции, проекта или системы в CMM 15504-2 согласована с ISO 12207:1999 «Информационная технология. Процессы жизненного цикла программных средств». Представленные в стандарте CMM 15504 рабочие продукты, процессы и их характеристики можно также использовать в качестве основы в целях разработки модели оценки уровня зрелости и усовершенствования процессов любого другого вида деятельности. Более того, CMM 15504 предоставляет механизм включения в изначально установленный перечень дополнительных рабочих продуктов и процессов, необходимых для осуществления конкретного вида деятельности и, следовательно, для оценки уровня зрелости «нововведений» и этой области в целом.
Одним из важных моментов, который необходимо иметь в виду при внедрении каких-либо стандартов (ISO 9000, SEI SW-CMM, TickIT, Spice ISO 15504 и т.п.), связан с тем, что структура производства компаний, разрабатывающих программное обеспечение, связана со спецификой продукта. Каждый продукт, разрабатываемый IT-компанией, уникален. И для его разработки, как правило, используется проектный тип организации производства, который тесно связан с матричной структурой управления проектами.
Управление проектами - это приложение знаний, опыта, методов и средств к работам проекта для удовлетворения требований, предъявляемых к проекту, и ожиданий участников проекта. Чтобы удовлетворить эти требования и ожидания, необходимо найти оптимальное сочетание между целями, сроками, затратами, качеством и другими характеристиками проекта.
176 комитет ISO разработал рекомендательный стандарт ISO 10006 "Менеджмент качества. Руководство качеством при управлении проектами", который определяет основные подходы к управлению проектами и определяет его место в модели обеспечения качеством. Авторы стандартов ISO серии 9000 определяют процесс управления проектами как часть системы менеджмента качества. С другой стороны, возможен и противоположный взгляд (которого придерживаются оппоненты стандартов ISO серии 9000), согласно которому менеджмент качества является одной из составной частей системы управления проектами.
Управление проектами является скелетом производства в организациях разработчиков программного обеспечения. Поэтому неудивительно, что для приведения в соответствие системы управления качеством производства к требованиям модели ISO 9001 и к требованиям модели улучшения процессов производства SEI SW-CMM использование стандартов и признанных в мире технологий по управлению проектами является краеугольным камнем развития внутренних технологий в IT-компаниях.4
Принципы административного управления качеством
Концептуальные основы системы административного управления качеством определены в восьми принципах, на которых базируется все семейство стандартов ISO 9000. В ISO 9000:2000 они прописаны как «всеобъемлющее и фундаментальное правило или убеждение, применяемое при руководстве и управлении организацией, направленное на непрерывное и долгосрочное улучшение ее производительности путем ориентации на потребителей одновременно с удовлетворением потребностей остальных участвующих сторон». Вот эти восемь принципов:
Ориентация организации на потребителя (customer-focused organization). Производители должны понимать текущие и будущие потребности своих покупателей и не только удовлетворять желания потребителей, но и стремиться превзойти их ожидания.
Лидерство (leadership). Руководство организации обеспечивает создание и поддержание внутренней окружающей среды, которая позволяет сотрудникам в полной мере участвовать в достижении стратегических целей компании.
Вовлечение персонала (involvement of people). Полная вовлеченность в деятельность компании сотрудников всех уровней способствует использованию их способностей на благо организации.
Процессный подход (process approach). Желаемый результат достигается более быстро, когда связанные ресурсы и деятельность управляются как процесс.Системный подход к административному управлению (system approach to management). Административное управление системой
взаимосвязанных процессов в рамках достижения заданной стратегической цели повышает эффективность и результативность работы организации в целом.
Непрерывное усовершенствование (continual improvement). Одной из обязательных стратегических задач компании должно быть непрерывное совершенствование.
Подход к принятию решений, основанный на фактах (factual approach to decision making). Эффективные решения базируются на анализе данных.
Взаимовыгодные отношения с поставщиками (mutually beneficial supplier relationship). Организация и ее поставщики зависимы друг от друга, и взаимовыгодные отношения повышают их способность производить ценности. Следование этим принципам способствует развитию управленческой культуры, проникновению системы административного управления качеством во все виды деятельности организации (TQM – total quality management) и, значит, обеспечению конкурентоспособности продукции, проектов, систем и услуг компании.5
Стандарты уровня зрелости компании
Стадия развития, или, по-другому, уровень зрелости компании характеризуется определенным набором атрибутов, которые в совокупности позволяют реализовать тот или иной бизнес-процесс более эффективно. Поэтому переход предприятия на более высокий уровень зрелости представляет собой рациональный путь прогрессивного улучшения любого процесса. Согласно стандарту СММ 15504, все организации в зависимости от стадии их развития можно отнести к одному из шести установленных уровней зрелости:
Уровень 0. Неполный (incomplete). Процесс не соответствует своему назначению. Рабочие продукты и результаты процесса отсутствуют или их невозможно выявить. Успех проекта, как правило, зависит от энергичности, таланта и опыта нескольких руководителей и исполнителей. Процессы на нулевом уровне характеризуются своей непредсказуемостью по срокам в связи с тем, что их состав, назначение и последовательность выполнения могут меняться случайным образом в зависимости от текущей ситуации.
Уровень 1. Выполняемый (performed). В целом процесс соответствует своему назначению, однако невозможно строго запланировать и отследить его выполнение. Между сотрудниками организации действует договоренность о том, как и когда этот проект должен быть реализован. Также существуют выявляемые рабочие продукты процесса, что, в свою очередь, свидетельствует о достижении поставленных целей.
Уровень 2. Управляемый (managed). Основное отличие от первого уровня состоит в том, что теперь результатом процесса являются рабочие продукты, которые соответствуют требованиям к качеству при заданных ограничениях по времени и ресурсам. Кроме того, сам процесс уже можно спланировать и отследить.
Уровень 3. Устоявшийся (established). Процессы жизненного цикла ПС на этом уровне стандартизированы, они представляют собой единую технологическую систему, обязательную для всех подразделений. На основе единой технологии поддержки и обеспечения качества жизненного цикла ПС для каждого проекта могут разрабатываться дополнительные процессы последовательной оценки качества продуктов с учетом их особенностей. Руководство к каждому процессу должно содержать условия, рекомендации и процедуры его выполнения, входные и выходные данные, описание механизмов проверки качества результатов, условия и документы завершения процессов, а также сведения о роли, ответственности и квалификации специалистов.
Уровень 4. Предсказуемый (predictable). Этот уровень свидетельствует о способности поставщика реализовывать крупномасштабные сложные проекты в жестко ограниченные сроки и с гарантированно высоким качеством. Разработаны меры для того, чтобы выявлять и предотвращать дефекты и ошибки на всех этапах жизненного цикла ПС. Управление обеспечивает выполнение процессов в соответствии с текущими требованиями к характеристикам качества компонентов и ПС в целом. На этом уровне применяется система детальной поэтапной оценки, как технологических процессов жизненного цикла, так и самого создаваемого программного продукта и его компонентов. Разрабатываются и применяются универсальные методики количественной оценки реализации процессов и их качества. Одновременно с повышением сложности ПС и требований к ним совершенствуется управление проектами, за счет того, что при выполнении процессов сокращаются текущие корректировки и устраняются дефекты. Результаты процессов становятся предсказуемыми по срокам и качеству в связи с тем, что они измеряются в ходе выполнения и реализуются в рамках заданных ресурсных ограничений.
Уровень 5. Оптимизируемый (optimizing). Это высший уровень зрелости. Приоритетным становится сокращение потерь от случайных дефектов и ошибок путем выявления сильных и слабых сторон используемых процессов, а также анализ рисков и отклонений от заданных требований заказчика. Эти данные используются для снижения себестоимости жизненного цикла сложных ПС. Устанавливаются количественные ориентиры по эффективности выполнения процесса в соответствии с бизнес-целями организации. Оптимизация включает апробирование инновационных идей и технологий и изменение неэффективных процессов для приведения в соответствие с заданными целями и ориентирами.
Исходя из приведенной классификации, большинство российских компаний по уровню зрелости процессов относятся к уровням 2 и 3. Среди фирм, обслуживающих госсектор, увы, встречаются представители и уровня 1, и даже уровня 0. Организации, имеющие за плечами успешные международные проекты, могут претендовать на уровень 3, а реальные лидеры рынка проходят (или уже прошли) сертификацию на соответствие четвертому и пятому уровням. Однако следует учитывать, что данная эталонная модель сама по себе не может быть использована для проведения надежных и воспроизводимых аттестаций зрелости процессов из-за ее недостаточной детализации. Она должны быть дополнена всеобъемлющим набором соответствующих показателей.
Сейчас все больше участников рынка разработки программного обеспечения осознают необходимость соответствия международным стандартам качества, и в первую очередь стандарту CMMI (CMM Integrated) последнему слову в эволюции стандартов серии СММ. Первой из российских организаций сертификацию по стандарту CMMI прошла компания Digital Design, это произошло еще в январе 2003 года. А отечественная компания LUXOFT стала единственной в мире IT-корпорацией, система управления качеством которой прошла сертификацию на соответствие требованиям моделей SEI SW-CMM и SEI CMMI SW/SE пятого уровня одновременно. Если еще в 2006 году количество российских компаний, сертифицированных по CMMI, не превышало и двух десятков, то сейчас практически еженедельно появляются сообщения о сертификации все новых и новых организаций. И эти усилия оправданны на открытом конкурентном рынке побеждает тот, кто лучше организован, оснащен и обучен.
CMM 15504 дополнительно поддерживается группой стандартов, детализирующих отдельные этапы и процессы жизненного цикла, которые целесообразно применять для обеспечения функциональной безопасности и высокого качества сложных программных средств:
ISO 12182-2002 «ИТ. Классификация программных средств»;
ISO 9126-93 «ИТ. Оценка программного продукта. Характеристики качества и руководство по их применению»;
ISO 14598-1-6-2000 «Оценка программного продукта»;
ISO 14756:1999 «ИТ. Измерение и оценка производительности программных средств компьютерных вычислительных систем»;
ISO 12119- 2000 «ИТ. Требования к качеству и тестирование»;
ISO 15846:1998 «ТО. Процессы жизненного цикла программных средств. Конфигурационное управление программными средствами»;
ISO 14764-2002 «ИТ. Сопровождение программных средств»;
ISO 15910-2002 «ИТ. Пользовательская документация программных средств»;
ISO 6592:2000 «ОИ. Руководство по документации для вычислительных систем»;
ISO 9294-1993 «TO. ИТ. Руководство по управлению документированием программного обеспечения». 6
Документирование процессов и результатов сертификации программных продуктов
Состав и содержание документации для сертификации системы качества предприятия зависят от характеристик проектирования, разработки и модификации программных средств, а также от требований к их качеству и особенностей технологической среды. Поэтому необходимый комплект документов для каждого предприятия или проекта следует выбирать и адаптировать применительно к этим характеристикам. Оцениваемыми при сертификации показателями системы качества являются наличие соответствующих документов и практическое выполнение требований определенного уровня модели зрелости CMMI или адаптированного профиля стандартов на базе ISO 9000:2000, а также, созданных на их основе, должностных инструкций специалистами предприятия-разработчика. Заявитель должен подготовить и предъявить испытательной лаборатории согласованный между заказчиком и разработчиком и утвержденный комплект документов для проверки их достоверности, достаточности состава и качества изготовления в соответствии с нормативными документами.
Ориентировочный комплект основных документов при сертификации состоит из трех групп:
базовые нормативные документы систем качества в соответствии с номенклатурой и содержанием профиля стандартов на базе ISO 9000:2000 или модели зрелости CMMI, а также подготовленные разработчиками на их основе программа, руководство и инструкции, предъявляемые испытателям (экспертам) системы качества или продукции проверяемого предприятия;
исходные документы, характеризующие конкретное предприятие или проект, а также жизненный цикл программного средства, подготавливаемые руководством проекта для сертификации его качества;
отчетные документы испытателей, отражающие результаты проверки (сертификации) системы качества предприятия и/или программного продукта, представляемые органу сертификации, заявителю и руководству проверяемого предприятия.
Предъявляемые на сертификацию программный продукт или система качества предприятия должны представляться в комплекте с соответствующей документацией. Перечень и приблизительное содержание групп этих документов ориентированы на общий случай проверки систем качества предприятий, обеспечивающих жизненный цикл крупных программных продуктов. Комплект документов может сокращаться и адаптироваться по согласованию между заявителем, сертификатором и руководством проверяемого предприятия в соответствии с характеристиками проектов программных средств. Некоторые документы могут объединяться в интегрированные отчеты с четкой ответственностью определенных специалистов за их выполнение.
Базовые документы системы качества предприятия и жизненного цикла программного средства. Концепция, терминология, требования и руководство по улучшению деятельности системы менеджмента, качества ISO 9000:2000 или версия модели зрелости CMMI. Адаптированные версии или перечень разделов и рекомендаций стандартов ISO 12207, ISO 15504, их изменений и руководств по применению, выделенных при адаптации и обязательных для использования в системе качества конкретного предприятия или проекта программного продукта.
Адаптированная версия или перечень разделов и рекомендаций стандарта ISO 900003, выделенных при адаптации и обязательных для применения в системе качества предприятия, выпускающего программный продукт.
Базовые характеристики и атрибуты качества проекта ПС, выделенные, адаптированные и конкретизированные на основе стандартов ISO 12182, ISO 9126, ISO 14598, ISO 25000.
Адаптированная версия и утвержденная редакция руководства по сопровождению и конфигурационному управлению основе рекомендаций стандартов ISO 14764, ISO 10007, ISO 15846.
Комплект должностных инструкций, определяющих ответственность, полномочия и порядок взаимодействия всего руководящего, выполняющего и проверяющего работу персонала, участвующего в процедурах системы качества предприятия для конкретного проекта ПС.