В точки зрения TOGAF должно быть построено два иерархических реестра (дерева): слой приложений (application layer), слой системных технологий и ИТ-платформ (technology layer).
Первый слой (реестр) необходимо детализировать до модулей и функций (см. Рис. 1.1). В зависимости от размера организации данный реестр может иметь 58 и более уровней детализации (иерархии).
Перечислим минимальный набор ИТ-систем (приложений), которые работают практически в каждой организации.
CRM и Front-office (маркетинг, продажи, работа с клиентами)
Электронный документооборот (ЭДО)
Кадровые и зарплатные системы
Бухгалтерские системы
Офисные системы (работа с документами и таблицами)
BPMS (управление процессами и задачами)
Юридические системы (договора, законодательство)
Системы информационной безопасности (Firewall, Antivirus)
Второй слой (реестр) включает в себя: операционные системы, системы виртуализации, системы управления базами данных, платформы для ИТ-разработки и другие системные компоненты, на базе которых работают приложения.
Далее на основе реестров (каталогов) ИТ-систем и ИТ-платформ выполняется разработка иерархических графических моделей ИТ-архитектуры на разных уровнях. Они позволяют визуализировать большие объёмы информации. Их удобно использовать на совещаниях, презентациях, при проведении аналитических работ. Иногда эти модели печатают на листах формата А3, склеивают скотчем и размещают на стене, чтобы постоянно иметь перед глазами всю ИТ-архитектуру организации. На них делается много корректировок и заметок маркерами или карандашами в режиме реального времени, чтобы заново всё не печатать.
3. Заполнение детальных параметров (карточек, спецификаций) всех ИТ-систем и модулей
Карточка ИТ-системы (см. Рис. 1.1) должна давать наиболее полную, структурированную и актуальную информацию, которая включает следующее.
Контуры функционирования: test (development), pre-production, production
Площадки и расположение: «облачное, cloud based» (за пределами организации), собственные ресурсы
Типы лицензий: временные (подписка), постоянные
Оборудование и ИТ-платформы, на которых работают ИТ-системы (приложения)
Владелец ИТ-системы в организации (ответственный)
Сроки (периодичность) обновления, сроки оплаченной внешней техподдержки
Версия и тип (категория) ИТ-системы
Финансовая информация: первоначальные вложения (CAPEX), стоимость сопровождения (OPEX)
Операционные риски и риски информационной безопасности
Влияние на критичную архитектуру организации
Требования к отказоустойчивости, дублированию компонентов и резервному копированию
Срок восстановления системы в случае сбоев
Максимальное количество пользователей
Зависимость от иностранного программного обеспечения
Комментарии и техническая информация
На основе данных параметров очень удобно автоматически формировать отчёты (точные аналитические срезы) по ИТ-архитектуре. Например, выборка ИТ-систем, которые работают на «облачном формате», имеют самые высокие расходы (OPEX), влияют на критичную архитектуру, имеют высокие риски. Далее на основе данной выборки можно принять решения о модификации ИТ-архитектуры.
4. Разработка архитектурных моделей ИТ-систем
Архитектурная модель ИТ-системы (см. Рис. 1.2) показывает основные её технические и логические компоненты, а также их взаимодействия (потоки данных). Например, серверная часть (приложение), сервер баз данных, внешние и вспомогательные сервера, клиентская часть (приложение), другие виды устройств и компонентов.
5. Разработка графических моделей по интеграции (связям) ИТ-систем
Необходимо отобразить ключевые потоки данных между ИТ-системами организации (ИС1 <=> ИС2), между ИТ-системами и базами данных (ИС1 <=> БД1), между ИТ-системами организации и внешними субъектами, другие виды связей (в зависимости от специфики организации). Дополнительно может быть указана информация о протоколах, шлюзах, сервисах, требованиях и т.п.
6. Разработка иерархического реестра (каталога) всех баз данных (структур данных) и их параметров
На тему управления базами данных есть большое количество книг и открытой информации, поэтому оставим этот этап без детализации.
7. Разработка технической архитектуры и дополнительных моделей (в зависимости от задач)
В техническую архитектуру (физический уровень) включаются: сетевая архитектура, архитектура оборудования (инфраструктура), модели центров обработки данных (ЦОД) и производственных площадок (локаций). Обязательно указание (отображение) требований по отказоустойчивости, дублированию (резервированию).
Для объектов архитектуры оборудования могут задаваться следующие параметры
Владелец оборудования в организации (ответственный)
Зависимость от иностранных производителей
Сроки периодического технического обслуживания и ремонта
Финансовая информация: первоначальные вложения (CAPEX), стоимость сопровождения (OPEX)
Влияние на критичную архитектуру организации
Расположение оборудования (локация)
Операционные риски и риски информационной безопасности по оборудованию
Требования к отказоустойчивости, дублированию, резервированию
Комментарии и другая информация
По технической архитектуре необходимо иметь полный набор актуальных отчётов (таблиц), которые формируются на основе соответствующих графических моделей и реестров (справочников).
В дополнение к технической архитектуре могут разрабатываться другие модели под разные задачи, например в форматах (нотациях): BPMN, ArchiMate, UML. Большое количество примеров содержатся в источниках [1], [2] и [6].
8. Установление связей объектов и моделей ИТ-архитектуры с объектами и моделями бизнес-архитектуры
Очень важно, чтобы построение и развитие ИТ-архитектуры и бизнес-архитектуры выполнялось внутри одной базы данных и платформы, например Business Studio [5]. Только в таком случае мы сможем быстро и эффективно установить большое количество связей (со стратегией, бизнес-процессами, показателями KPI, организационной структурой), проследить взаимные влияния, оценить функционирование и полноту (целостность) всей корпоративной архитектуры.
9. Проработка операционных рисков (ИТ-рисков) и системы информационной безопасности
Параллельно с этапами 18 выполняется идентификация, оценка и проработка рисков. Разрабатываются предупреждающие действия (мероприятия) для минимизации и предотвращения рисков. Подробная информация по этой теме содержится в источнике [3]. Следует отменить, что сейчас и на многие годы вперёд для российских организаций главная задача это уменьшение зависимости от иностранных производителей программного обеспечения и защита критичной архитектуры от внешних угроз.
В рамках системы информационной безопасности разрабатываются модели (матрицы) ролей пользователей и прав доступа к ИТ-системам и базам данных, механизмы защиты информации и другие компоненты в соответствии с международными и российскими стандартами.
10. Разработка нормативных документов и форм документов
Все рассмотренные выше этапы (работы) и их результаты должны быть детально документированы, см. [1]. Разрабатываются и актуализируются нормативные документы, например:
Положение об ИТ-архитектуре
Положение об интеграции ИТ-систем
Порядок ввода (передачи) программного обеспечения в эксплуатацию и вывода из эксплуатации