🪴 BLOG IT

Архитектурные принципы для технологического надзора

15 min read

Введение

В условиях стремительно меняющейся и динамичной среды компании все в большей степени полагаются на технологии для достижения стратегических целей, стимулирования инноваций и создания ценности для внутренних и внешних стейкхолдеров.

Архитектурные принципы служат базовыми ориентирами, соединяющими высокоуровневую стратегию с комплексными проектными решениями, формирующими ИТ-решения.

Установив четкие, прозрачно коммуницируемые принципы, встроенные в процессы управления технологиями и принятия решений, Компания сможет достичь согласованности и соответствия IT стратегическим целям, повысить управляемость технологического ландшафта, сохранив при этом гибкость, необходимую для инноваций.

Что такое архитектурные принципы?

Архитектурные принципы — это утверждения, определяющие, как должны проектироваться, внедряться и эксплуатироваться ИТ-активы и ИТ-возможности (capabilities). Обычно они утверждаются руководством на высшем уровне для обеспечения соответствия более широким бизнес-целям и стратегии. Эффективные принципы стабильны, но в то же время гибки — они не подвержены частым изменениям. Эти принципы направляют принятие решений, позволяя находить баланс между развивающимися технологическими тенденциями, требованиями безопасности, соблюдением нормативных требований и затратами.

Ключевые преимущества архитектурных принципов

  • Стратегическое соответствие: Принципы трансформируют стратегию Компании в конкретные ИТ-ориентиры, обеспечивая соответствие новых решений, проектов и процессов целям компании.

  • Управление сложностью: Сосредотачиваясь на базовых правилах, принципы помогают снизить сложность, вызванную технологическим разрастанием, дублирующими решениями и пересекающимися инициативами.

  • Рамка для принятия решений: Принципы служат стабильной точкой отсчёта для архитекторов, инженеров и ИТ-руководителей, помогая принимать обоснованные решения по платформам, решениям и архитектурам.

  • Инструмент коммуникации: Принципы создают общий язык, позволяющий разнонаправленным командам и заинтересованным сторонам лучше понимать логику архитектурных решений.

Роли архитектурных принципов

  • Регулирующая роль: Принципы устанавливают рамки для проектирования решений, определяя, что допустимо в технологическом ландшафте Компании, а что — нет.

  • Инструктивная роль: Принципы задают направление, как следует разрабатывать и сопровождать решения, превращая абстрактные цели (например, безопасность, производительность, экономия затрат) в конкретные практики.

  • Информативная роль: Принципы фиксируют и распространяют институциональные знания, обеспечивая широкое понимание логики, лежащей в основе ключевых ИТ-решений.

Структура и компоненты

Каждый архитектурный принцип должен включать три ключевых элемента:

  • Формулировка: Краткое и чёткое изложение сути принципа.

  • Обоснование: Краткое объяснение, зачем этот принцип существует и какую пользу он приносит организации.

  • Последствия: Практические выводы и требования, вытекающие из применения принципа.

Обеспечение эффективности

Чтобы архитектурные принципы приносили реальную пользу, они должны соответствовать следующим требованиям:

  • Ограниченное количество: Оптимально — не более 20 принципов.

  • Ориентация на будущее: Принципы должны задавать долгосрочное направление и сохранять гибкость.

  • Поддержка со стороны руководства: Принятие и соблюдение принципов обеспечивается за счёт участия топ-менеджмента.

  • Ясность и однозначность: Принципы должны быть понятны и не вызывать различий в трактовке.

  • Периодический пересмотр, но редкие изменения: Принципы остаются стабильными даже при смене технологий.

  • Написаны простым языком: Формулировки должны быть доступны как для технических специалистов, так и для бизнес-аудитории.

При эффективной реализации архитектурные принципы способствуют созданию согласованного технологического ландшафта, упрощают архитектуру и обеспечивают соответствие решений корпоративным целям. Вместо жёстких ограничений они служат ориентирами, обеспечивая стратегическую ясность и оперативную гибкость.

А что делать, если у нас ещё нет чётко сформулированной стратегии в области бизнеса и технологий?

Даже в этом случае можно разработать набор архитектурных принципов, основанных на универсальных темах, актуальных для большинства компаний: повышение эффективности, сокращение затрат, повышение уровня безопасности, снижение рисков, стандартизация, повышение удовлетворённости клиентов и предотвращение разрастания ИТ-ландшафта.

Примеры архитектурных принципов

Ниже приведён примерный набор архитектурных принципов, который может служить отправной точкой для разработки собственных принципов. Эти принципы универсальны и могут быть адаптированы с учётом конкретной миссии, регуляторных требований и приоритетов.

Эти принципы достаточно общие, но при этом являются хорошей основой для создания собственного каркаса.

**1. Вовлечение на раннем этапе

  • Формулировка: Тесное сотрудничество с бизнес-подразделениями для понимания их потребностей, проблем и планов, обеспечивая участие ИТ на самых ранних этапах выбора технологических решений.

  • Обоснование: Раннее вовлечение позволяет ИТ направлять команды к уже существующим решениям, соответствующим их задачам, или обеспечивать соответствие новых решений стандартам организации и требованиям безопасности. Запоздалое участие ИТ приводит к неэффективности, дублирующим решениям, повышенным рискам и слабой поддержке.

  • Последствия:

    • ИТ-руководители, продакт-оунеры и менеджеры по взаимодействию с бизнесом должны проактивно выстраивать доверительные отношения и поддерживать постоянную коммуникацию со стейкхолдерами.

    • Архитектурные ревью должны быть встроены в начальные фазы проектов (или проводиться ещё раньше), чтобы избежать несогласованности.

2. Использование существующих решений

  • Формулировка: Прежде чем внедрять новые технологии, необходимо в полной мере использовать возможности повторного использования уже существующих сервисов, систем и интеграций.

  • Обоснование: Повторное использование проверенных решений помогает снизить дублирование, сократить операционные затраты, уменьшить риски и ускорить поставку.

  • Последствия:

    • Важно поддерживать актуальный каталог ИТ-приложений, сервисов и ресурсов, доступных в организации.

    • Необходимо внедрить формализованный процесс предварительной оценки, обязывающий проекты рассматривать существующие решения перед разработкой новых.

    • Следует развивать культуру взаимодействия и обмена знаниями между подразделениями, чтобы избежать избыточных инвестиций.

3. Выбор максимально возможного уровня абстракции

  • Формулировка: При выборе или проектировании решений, а также при определении среды их размещения, следует отдавать предпочтение максимально возможному уровню абстракции. Например, предпочтительнее использовать модели Software as a Service (SaaS), чем разрабатывать собственное ПО, и выбирать размещение у поставщика, а не on-premises.

  • Рекомендуемая иерархия выбора:

    Выбор приложения:

    1. Существующая платформа (например, Bitrix)

    2. SaaS

    3. Коммерческое программное обеспечение

    4. Собственная разработка (наименее предпочтительный вариант)

    Модель хостинга:

    1. Хостинг у поставщика

    2. Platform as a Service (PaaS)

    3. Контейнеры

    4. Виртуальные машины

    5. Физические серверы (наименее предпочтительный вариант)

    Местоположение размещения:

    1. Облачная инфраструктура (IaaS)

    2. On-premises (наименее предпочтительный вариант)

  • Обоснование: Более высокий уровень абстракции позволяет переложить обязанности по обслуживанию, поддержке и управлению рисками на поставщика. Это снижает сложность для внутренних команд. Следуя иерархии с приоритетом моделей «как услуга» и внешнего хостинга, Компания может использовать опыт поставщиков, масштабировать ресурсы по мере необходимости и сократить долгосрочные операционные издержки.

  • Последствия:

    • Решения о выборе уровня абстракции должны приниматься с участием архитектурных и управляющих комитетов, а не только инженерных команд, чтобы соблюсти стандарты и стратегические цели организации.

    • Необходимо разработать чёткие критерии, чтобы выбранный уровень абстракции соответствовал как функциональным требованиям (бизнес-ценность), так и нефункциональным (безопасность, производительность, соответствие требованиям).

    • Все отклонения от предложенной иерархии должны быть документированы и обоснованы — особенно если требуется более жёсткий контроль или существуют уникальные технические условия, препятствующие применению высокоуровневых моделей.

**4. Превосходство программных решений

  • Формулировка: Везде, где это возможно, следует отдавать предпочтение программным решениям перед специализированным аппаратным обеспечением.

  • Обоснование: Программные решения обеспечивают большую гибкость, упрощённое обслуживание и масштабируемость, а также позволяют сократить потребности в физических мощностях дата-центров.

  • Последствия:

    • Любой запрос на использование выделенного аппаратного обеспечения должен сопровождаться обоснованием, почему виртуализированное или контейнеризованное решение не подходит.

    • Допустимыми исключениями могут быть случаи, требующие строго определённой производительности или изоляции, которые невозможно обеспечить исключительно программными средствами.

5. Веб-браузер — основной клиент

  • Формулировка: Везде, где это возможно, приложения должны предоставляться через веб-браузер, основанный на открытых стандартах, без необходимости установки дополнительных плагинов.

  • Обоснование: Подход с использованием браузера обеспечивает широкую совместимость, централизованное управление версиями и упрощённые процессы развертывания.

  • Последствия:

    • При выборе или оценке программного обеспечения необходимо удостовериться, что вся функциональность доступна через стандартный веб-браузер.

    • Исключения (например, специализированное ПО с особыми интеграциями или необходимостью плагинов) должны быть задокументированы и обоснованы.

6. Предоставление возможностей самообслуживания

  • Формулировка: Везде, где это возможно, платформы и процессы должны быть спроектированы таким образом, чтобы пользователи могли самостоятельно выполнять типовые запросы без участия ИТ-подразделений.

  • Обоснование: Решения в формате самообслуживания ускоряют предоставление услуг, снижают нагрузку на ИТ-команды и повышают удовлетворённость пользователей.

  • Последствия:

    • Необходимо внедрять интуитивно понятные порталы или дашборды для предоставления ресурсов, настройки и формирования отчётности.

    • Пользователям нужно предоставлять обучение и чёткую документацию по процессам и инструментам самообслуживания.

    • Следует использовать разграничение прав доступа на основе ролей, чтобы обеспечить безопасность и соответствие требованиям при сохранении автономии пользователей.

7. Покупать, а не разрабатывать

  • Формулировка: Везде, где это возможно, следует отдавать предпочтение готовым коммерческим решениям или моделям Software as a Service (SaaS) вместо разработки собственного программного обеспечения.

  • Обоснование: Коммерческие решения обеспечивают более быстрое получение ценности, сниженные затраты на сопровождение и поддержку со стороны поставщика, что в итоге уменьшает совокупную стоимость владения (TCO).

  • Последствия:

    • Перед началом собственной разработки необходимо тщательно оценить доступные на рынке решения.

    • В контрактах должны быть чётко прописаны требования к безопасности, соответствию нормам и ответственности поставщика.

    • Внутренние ресурсы разработки следует направлять на проекты, которые обеспечивают уникальные конкурентные или стратегические преимущества.

**8. Безопасность и конфиденциальность данных по умолчанию

  • Формулировка: Требования к безопасности и защите данных должны учитываться на всех этапах проектирования и реализации решений — от концепции до вывода из эксплуатации.

  • Обоснование: Раннее внедрение лучших практик в области безопасности снижает риски, защищает критически важные данные и помогает избежать дорогостоящих доработок в дальнейшем.

  • Последствия:

    • Регулярно проводить оценки безопасности, включая моделирование угроз и тестирование на проникновение.

    • Реализовывать разграничение прав доступа на основе ролей, шифрование данных (как в передаче, так и в хранении), а также полноценный аудит и логирование.

    • Привлекать команды по комплаенсу и юридическим вопросам для обеспечения соответствия требованиям законодательства в области защиты данных.

**9. Управление данными и обеспечение их качества

  • Формулировка: Данные должны рассматриваться как стратегический актив, для работы с которым необходимо внедрять стандартизированные процессы сбора, хранения, обмена и управления жизненным циклом. Каждый внедряемый IT продукт должен обеспечивать поставку своих данных и продуктовых метрик успешности в централизованный репозиторий данных

  • Обоснование: Качественные и грамотно управляемые данные являются основой для точной отчетности, обоснованного принятия решений и устойчивого функционирования организации.

  • Последствия:

    • Назначить ответственных за данные (data stewards), которые будут управлять качеством, правами собственности и политиками доступа.

    • Внедрить рамочную систему управления данными, охватывающую версионирование, сроки хранения и правила архивирования.

    • Использовать единые стандарты метаданных для обеспечения совместимости и предотвращения изолированного хранения информации (data silos).

**10. Взаимодействие и интеграции на основе стандартов

  • Формулировка: Использование отраслевых стандартов и API для обеспечения беспрепятственного обмена данными между различными платформами и приложениями.

  • Обоснование: Обеспечение совместной работы множество различных систем позволяет избежать изолированного хранения данных, оптимизировать процессы и повысить общую эффективность.

  • Последствия:

    • Применять современные интеграционные паттерны для соединения систем.

    • Разрабатывать модульные компоненты, которые легко интегрируются или заменяются.

    • Поддерживать полную и актуальную документацию форматов обмена данными и точек интеграции.

11. Использование стандартизированных технологических стеков и фреймворков

  • Формулировка: Использование унифицированных технологических стеков, платформ и фреймворков во всей ИТ-службе (а при возможности — и за её пределами), чтобы снизить сложность и повысить эффективность поддержки.

  • Обоснование: Стандартизация упрощает интеграцию, снижает потребность в разнообразии навыков и позволяет централизовать усилия по сопровождению.

  • Последствия:

    • Поддерживать актуальный перечень утверждённых технологических стеков и фреймворков.

    • Периодически пересматривать стандарты, чтобы они соответствовали текущим отраслевым тенденциям.

    • Избегать использования уникальных, неутверждённых решений без веских и задокументированных оснований.

12. Использование современных методов аутентификации и централизованного управления идентификацией

  • Формулировка: Все новые веб-приложения, включая решения в формате SaaS, должны быть интегрированы с системой управления идентификацией. Это обеспечивает единую точку входа (SSO), многофакторную аутентификацию (MFA) и применение политик условного доступа. Аутентификация через Active Directory (AD)/LDAP допустима только для legacy систем.

  • Обоснование: Централизуя процессы аутентификации на базе современной платформы управления идентификацией, организация получает унифицированный доступ пользователей, стабильное применение политик безопасности и автоматическое отключение доступа. Поддержка современных протоколов (например, SAML, OAuth, OpenID Connect) упрощает пользовательский опыт и значительно снижает риски безопасности за счёт сквозного применения MFA и политик условного доступа.

  • Последствия:

    • Технологические требования: Все новые веб-приложения должны поддерживать современные стандарты аутентификации и идентификации (SAML, OAuth или OpenID Connect).

    • Управление безопасностью: Команды безопасности и архитектуры предприятия должны проверять соответствие новых приложений требованиям SSO, MFA и условного доступа до их внедрения.

    • Унаследованные системы: Использование AD/LDAP допустимо только при невозможности интеграции с современными механизмами. Такие случаи должны быть задокументированы и одобрены.

    • Управление жизненным циклом пользователей: Централизованная система позволяет эффективно и последовательно управлять доступом.

    • Снижение рисков: Централизация управления идентификацией уменьшает поверхность атак, усиливает контроль доступа и способствует выполнению нормативных требований.

13. Планирование защиты данных и восстановления после сбоев с самого начала

  • Формулировка: Все новые решения должны включать полноценную стратегию по защите данных и восстановлению после сбоев (Disaster Recovery, DR), начиная с ранних этапов проектирования, бюджетирования и реализации.

  • Обоснование: Отсутствие планирования резервного копирования, защиты данных и DR-мероприятий подвергает Компанию существенным операционным и финансовым рискам, особенно по мере роста критичности системы. Грамотно реализованный план DR обеспечивает целостность и доступность данных, а также соответствие законодательным и нормативным требованиям. Учет этих требований на ранних стадиях позволяет избежать неожиданных затрат в будущем — например, потребности в резервировании хранилищ и больших объёмов данных могут удвоить стоимость решений, если не учтены заранее.

  • Последствия:

    • Проектирование и бюджетирование: Планирование резервного копирования и DR должно быть заложено в архитектуру и бюджеты проекта с самого начала. Это включает затраты на оборудование, ПО и операционные расходы для создания надёжной DR-инфраструктуры.

    • Управление и утверждение: Любой новый запрос на внедрение системы должен сопровождаться планом по резервному копированию и DR, прошедшим согласование архитектурного или управляющего совета. Решения без документированного плана не допускаются к вводу в эксплуатацию.

    • Тестирование и проверка: Регулярно проводить тесты процедур резервного копирования, восстановления и переключения в рамках DR, чтобы гарантировать достижение заданных параметров восстановления (RTO, RPO).

    • Соответствие и аудит: Документировать процессы резервного копирования и DR для прохождения проверок и демонстрации устойчивости организации.

    • Управление исключениями: Если система не считается критичной и не требует расширенных DR-мер, бизнес должен обосновать это, указав допустимые риски при отсутствии полноценного резервного копирования.

14. Масштабируемость и производительность

  • Формулировка: Необходимо учитывать сценарии высокой нагрузки и закладывать масштабируемость как в инфраструктуру, так и в приложения с этапа проектирования.

  • Обоснование: Системы могут сталкиваться с резкими всплесками нагрузки по различным причинам. Недооценка требуемой производительности может привести к ограничению роста бизнеса или сбоям в критически важных операциях.

  • Последствия:

    • Реализовать механизмы эластичного или по требованию масштабирования в облачной или гибридной среде.

    • Осуществлять мониторинг в реальном времени для выявления узких мест и своевременного планирования расширения ресурсов.

    • Найти баланс между затратами на выделенные ресурсы и возможностью использовать облачные ресурсы в пиковой нагрузке (например, для аналитики).

**15. Дизайн, ориентированный на бизнес

  • Формулировка: Технологические решения и инициативы должны постоянно соотноситься с ключевыми стратегическими целями Компании.

  • Обоснование: Инвестиции в технологии должны прямо или косвенно способствовать достижению целей бизнеса — будь то повышение удовлетворённости клиентов, оптимизация операционных процессов или ускорение научных исследований.

  • Последствия:

    • Встраивать обратную связь от пользователей и вовлекать стейкхолдеров в процесс проектирования решений.

    • Оценивать предлагаемые решения по их измеримому вкладу в бизнес (экономия затрат, снижение рисков, рост доходов и др.).

    • Поддерживать гибкие и итеративные подходы (agile), чтобы оперативно проверять и внедрять новые идеи.

**16. Поддержка непрерывного улучшения и ответственных инноваций

  • Формулировка: Поощрение постоянного обучения, экспериментирования и организация циклов обратной связи для развития технологий и практик.

  • Обоснование: Культура непрерывного улучшения в сочетании с управлением рисками позволит Компании оставаться адаптивной, конкурентоспособной и защищённой от неконтролируемых угроз. Эффективное использование новых технологий требует как готовности к экспериментам, так и наличия структурированного управления.

  • Последствия:

    • Выделять ресурсы (время и бюджет) на исследования, пилотные проекты и proof-of-concept инициативы для изучения новых технологий и подходов.

    • Разрабатывать и применять чёткие критерии оценки новых идей с учётом возврата инвестиций (ROI), стратегического соответствия, безопасности и нормативных требований.

    • Делиться как успехами, так и неудачами внутри организации для ускорения обучения и развития.

    • Вовлекать архитектурные, безопасностные и управляющие комитеты на ранних этапах, чтобы выявлять риски, планировать их минимизацию и сохранять стратегическое выравнивание.

    • Регулярно обновлять архитектурные принципы и стандарты, опираясь на полученные уроки из инновационных инициатив.

**17. Надлежащая проверка при капитальных технологических закупках

  • Формулировка: Закупка технологий, связанных со значительными капитальными или операционными затратами, должна проходить процесс надлежащей проверки (due diligence), чтобы убедиться, что выбранное решение соответствует функциональным и нефункциональным требованиям организации и предлагается по конкурентной цене.

  • Обоснование: В условиях ограниченных финансовых и операционных ресурсов важно гарантировать, что приобретаемое решение соответствует потребностям бизнеса и бюджетным ограничениям. Проведение due diligence помогает защитить ресурсы организации и снижает риск внедрения неэффективных или несовместимых решений.

  • Последствия:

    • Формирование требований: При необходимости следует чётко зафиксировать как функциональные (бизнес), так и нефункциональные (ИТ/архитектурные) требования. Эти требования должны разрабатываться совместно бизнесом и ИТ, чтобы охватить весь спектр потребностей и ограничений.

    • Проведение RFP: При значительном масштабе или стоимости закупки необходимо инициировать процесс запроса предложений (RFP) с участием нескольких поставщиков. RFP должен содержать чёткий набор требований и инструкции, по которым поставщики смогут представить, как их решение им соответствует, а также предоставить детальную коммерческую часть.

    • Оценка и документация: Необходимо задокументировать процесс оценки и выбора поставщика, включая таблицы оценки, критерии рецензирования и обоснование итогового решения.

    • Тестирование на приёмку: По возможности, провести приёмочные испытания (acceptance testing), чтобы проверить, соответствует ли решение заявленным требованиям до оформления заказа.

    • Исключения по принципу единственного поставщика: Использование подхода “единственный поставщик” должно быть строго обосновано и применяться только в случаях реального отсутствия альтернативных решений на рынке.

    • Утверждение органом управления: Все капитальные закупки технологий должны проходить рассмотрение и утверждение соответствующим комитетом или советом (например, Архитектурным советом или ИТ-стратегическим комитетом). Это обеспечивает соответствие архитектурным и безопасностным стандартам, способствует прозрачности и даёт возможность задать вопросы или оспорить предложения.

**18. Практичность важнее идеала

  • Формулировка: Архитектурные принципы — это ориентиры, а не абсолютные правила; допустимы обоснованные исключения при наличии чёткой и аргументированной позиции.

  • Обоснование: Реальные ограничения и стратегические приоритеты могут потребовать отклонения от «идеальных» архитектурных решений — особенно в условиях жёстких сроков или уникальных бизнес-задач.

  • Последствия:

    • Каждое исключение должно сопровождаться документированным обоснованием, демонстрирующим, что принятое решение оптимально в текущем контексте.

    • Отклонения должны быть рассмотрены и, при необходимости, одобрены архитектурным или управляющим советом.

    • Принцип гибкости не отменяет стремления к целевой архитектуре, но допускает реалистичные компромиссы ради достижения бизнес-результата.

Заключение

Придерживаясь чётко сформулированного набора архитектурных принципов, Компания может принимать последовательные, стратегически обоснованные и ориентированные на будущее технологические решения. Упор на раннее вовлечение заинтересованных сторон, повторное использование проверенных решений, выбор оптимального уровня абстракции, обеспечение безопасности и конфиденциальности, а также достижение совместимости между системами помогает снизить сложность и повысить гибкость ИТ-ландшафта.

Архитектурные принципы — это не жёсткие правила, а рамочная система успеха, позволяющая сформировать технологическую среду, где стратегическая ясность сочетается с операционной эффективностью. По мере появления новых вызовов и возможностей важно регулярно пересматривать и уточнять принципы, чтобы они сохраняли свою актуальность и оставались надёжной опорой для всех технологических решений.

План внедрения:

  • Создать архитектурный комитет, который будет регулярно собираться для оценки новых проектов, отслеживания исключений и проверки их соответствия архитектурным принципам.

  • Организовать централизованное хранилище, где будет размещаться актуальная версия всех архитектурных принципов, сопровождающих их рекомендаций и обновлений.

  • Обеспечить постоянную коммуникацию и обучение, чтобы гарантировать широкое понимание и принятие архитектурных принципов на всех уровнях организации.

Принятие этих мер, позволит встроить архитектурные принципы в повседневные операционные процессы Компании, что обеспечит выравнивание IT со стратегией, снижение рисков и устойчивый рост, основанный на инновациях.

Graph View

Backlinks