Аналитическая записка о защите персональных данных в системе «Первая Форма»
[1] Говоря упрощенно ФСТЭК занимается всеми вопросами информационной безопасности, кроме криптографической защиты и реагирования на инциденты. Подробнее о полномочиях службы можно прочитать на официальном сайте регулятора: https://fstec.ru/obshchaya-informatsiya/polnomochiya;
[2] ФСБ отвечает за вопросы криптографической защиты информации (в т.ч. шифрование персональных данных при их передаче по сети интернет) и реагирование на инциденты информационной безопасности (в рамках законодательства о критической информационной инфраструктуре, не относящегося напрямую к вопросам безопасности ПДн.). Подробности о деятельности службы можно уточнить на официальном сайте: http://www.fsb.ru/fsb/supplement.htm
[3] П. 1 ст. 3 упомянутого закона.
[4] П. 10 ст. 3 там же.
[5] Важно понимать, что исходя из формулировок ФЗ 152 – любое юрлицо или индивидуальный предприниматель автоматически становятся оператором ПД в момент своего создания, т.
к. как минимум ведут обработку ПД своих учредителей и работников. Ответ на закономерно возникающий вопрос о несоответствии числа зарегистрированных операторов ПД (чуть более 400 тыс.) числу существующих юрлиц и индивидуальных предпринимателей (более 3 млн.) остается за рамками настоящего документа – читатель может самостоятельно сделать выводы о соблюдении требований законодательства в области ПД на территории Российской Федерации.
[6] Источник алгоритма — семинар К. Шудровой «Персональные данные 2019: практические вопросы», представленный на конференции Payment Security. Рекомендуется для изучения ответственным за ПД: https://www.youtube.com/watch?v=qGqUkSXi1xI&t=4229s , https://paymentsecurity.ru/paymentsecurity-2019/
[7] Обоснование отнесения организации-пользователя Приложения к числу операторов ПД было дано выше.
[8] Если ранее читатель не знакомился с оригиналом ФЗ 152, рекомендуется прочитать данный закон полностью, в последней актуальной на момент чтения редакции.
Для нужд документа (описание соответствия Приложения требованиям к безопасности ПД) из рассмотрения записки исключен ряд статей, которые тем не менее могут быть важны и полезны для оператора ПД, в т.ч. сбор согласий на обработку ПД с субъектов (ст. 9), локализация сбора ПД в России (ч. 5 ст. 18), уведомление об обработке (ст. 22) Роскомнадзора и другие моменты. Важно помнить, что любая обработка ПД – должна быть обоснована и согласована с субъектом ПД в установленном порядке.
[9] Теоретически такую проверку может инициировать прокуратура или правительство, привлекая к подобной проверке экспертов ФСТЭК и ФСБ, но на практике такие случаи являются редчайшим исключением из правил и статистика по ним у автора отсутствует. Важно понимать, что данную статью не уполномочен проверять главный регулятор – Роскомнадзор, и что он не имеет права, даже при желании, привлекать к проверкам ФСТЭК и ФСБ. Полномочия Роскомнадзора установлены в Постановлении Правительства РФ от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»
[10] С подробностями процесса можно ознакомиться в документации регулятора о порядке уведомления об обработке ПД, которая опубликована по адресу: https://pd.
rkn.gov.ru/library/p193/p199/ .
[11] Источник изображения: семинар К. Шудровой «Персональные данные 2019: практические вопросы», представленный на конференции Payment Security.
[12] Например, в рамках ГОСТ 15408 и концепции оценочных уровней доверия.
[13] См. п. 2 и 3 указанного документа.
[14] Подробное содержание понятия «государственная информационная система» приводится в ст. 14 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», там же приведены критерии отнесения ИСПД к категории «государственной», что делает необходимым соблюдение требований 17 Пр ФСТЭК.
[15] Помимо информационного письма ФСТЭК от 15 июля 2013 г. N 240/22/2637 с разъяснениями по этому вопросу (см. https://fstec.ru/component/content/article/64-deyatelnost/tekushchaya/informatsionnye-i-analiticheskie-materialy/716-informatsionnoe-soobshchenie-fstek-rossii-1) в последней редакции 17 Пр ФСТЭК в п. 27 Приложения явно указано соотношение между нормами 17 Пр ФСТЭК и требованиями к безопасности ПД.
[16] П. 2 Приложения к указанному документу.
[17] П. 3 Приложения к указанному документу.
[18] П. 4 там же.
[19] Есть важный нюанс, согласно п. 12 Приложения к 21 Пр ФСТЭК: «Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются сертифицированные средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.», т.е. использовать несертифицированные средства защиты можно лишь при условии соответствующего моделирования угроз (см. р. III настоящего документа).
[20] Данная позиция аргументируется отечественным методологом информационной безопасности А. Лукацким. С развернутым обоснованием этой позиции и альтернативным мнением можно ознакомиться здесь: https://lukatsky.blogspot.com/2018/09/blog-post_27./bronepoezda-vsyur.jpg)
html , но важно понимать, что де-юре позиция верна. Кроме того, по аналогии права, можно ссылаться на п. 28 Приложения к Приказу ФСТЭК от 25 декабря 2017 г. N 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации» (в ред. приказа ФСТЭК России от 26 марта 2019 г. № 60), где прямо прописана возможность проведения оценки соответствия юрлицом самостоятельно, в форме приемки и испытаний.
[21] Подробный разбор проблемы и предлагаемого решения приводится в вебинаре автора «Как пережить комплаенс», ссылка: https://www.youtube.com/watch?v=gVhvqJx1CxI
[22] Источник: А. Лукацкий: https://lukatsky.blogspot.com/
[23] См. р. II.1 настоящего документа.
[24] Здесь и далее: образцы сопутствующих документов легко находятся в сети интернет (например, акт классификации ИСПД: http://www.ispdn.info/articles/akt-klassifikatsii-ispdn/), многие документы опубликованы в открытом доступе самими операторами ПД (например, «Модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных центрального аппарата ФНС России»: http://base.
garant.ru/70112476/3e22e51c74db8e0b182fad67b502e640/).
[25] См. Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве. 14 декабря 2012 года и Разъяснения Роскомнадзора по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки. 02 сентября 2013 года, опубликованные на портале https://pd.rkn.gov.ru/.
[26] Есть любопытная особенность – угрозы лучше прописаны в документации ФСТЭК, а типы нарушителей – в документации ФСБ.
[27] Доступно для скачивания на сайте ФСТЭК: https://fstec.ru/normotvorcheskaya/poisk-po-dokumentam/114-tekhnicheskaya-zashchita-informatsii/dokumenty/spetsialnye-normativnye-dokumenty/380-metodika-opredeleniya-aktualnykh-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-fstek-rossii-2008-god
[28] Доступно для скачивания на сайте ФСБ: http://www.
fsb.ru/files/PDF/Metodicheskie_recomendacii.pdf
[29] Важный совет: при создании чек-листа требований лучше полностью копировать текст требования в один файл. Например, сначала копируем 2 и 4 главу 152 ФЗ, затем добавляем в файл нужные требования из 1119 ПП, затем спускаемся к 21 Пр ФСТЭК и т.д.
[30] Подробные сведения об этом можно почерпнуть из выступлений регулятора и экспертов, см.: https://www.youtube.com/watch?v=qzBpD5nr8gM, https://www.youtube.com/watch?v=95_U_LzWAAE, https://www.youtube.com/watch?v=OpZ6ZRwdkJ8
[31] Оно обязательно лишь для государственных (муниципальных) информационных систем, но может служить справочным пособием для коммерческий организаций.
[32] На основании 17 Пр ФСТЭК.
[33] См. Раздел II.1 настоящего документа.
[34] Подробнее см. в Постановлении Правительства Российской Федерации от 3 февраля 2012 г. N 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
[35] Роскомнадзор в любом случае уполномочен проверять корректность локализации баз данных ПД на территории Российской Федерации, а также изучать фактические процессы обработки персональных данных, вплоть до написания запросов к базам данных для сбора мета-информации об их функционировании и размещении.
[36] Подробнее см. информационное сообщение ФСТЭК от 29 марта 2019 г. N 240/24/1525 «О требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», оригинал: https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1812-informatsionnoe-soobshchenie-fstek-rossii-ot-29-marta-2019-g-n-240-24-1525
[37] П. 5 ч. 1 ст. 18.1 ФЗ 152, п. 1 и 2 ч. 2 ст. 19 там же.
[38] См. п. 16.6 17 Пр ФСТЭК, для 21 Пр ФСТЭК подобная детализация вообще отсутствует, ровно, как и любые упоминания «сертификации по требованиям ФСТЭК».
[39] Подробности полномочий регулятора описаны в ранее упомянутом Постановлении Правительства РФ от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».
[40] Теоретически возможны их подключения к проверки прокуратурой, либо распоряжение правительства о проведении подобной проверки, но на практике такие экзотические ситуации не распространены.
[41] Здесь нужно отметить, что сертификация приложения на отсутствие НДВ не является 100% гарантией их отсутствия, кроме того чисто формально такая сертификация теряет актуальность после любого значительного обновления приложения (как классифицировать значительность обновлений – отдельный вопрос).
[42] Она легко ищется по ИНН Роскомнадзора: 7705846236
«Первая платформа программной инженерии»
Сегодня, 25 августа, в Доме «Сәләт» на базе IT-лаборатории Академии «Фәнсар» First Software Engineering Platform состоялось открытие ООО «Первая платформа программной инженерии». Что такое программная инженерия? Трудно ли достичь успеха в этом направлении? Кто занимается программированием в «Первой платформе программной инженерии»? На все эти вопросы нам ответил руководитель лаборатории и один из авторов проекта Марсель Сидиков.
— Марсель, расскажи, пожалуйста, подробнее об этом проекте.
— Основной тезис нашей компании – совмещение в обучении как практических, так и теоретических занятий, включая разработки реальных проектов.
Зачастую основной политикой наших университетов является преподавание фундаментальной дисциплины, а не практическая деятельность. Именно поэтому при трудоустройстве в компанию у начинающих специалистов возникают проблемы с практическим навыком, им требуется около года только для того, чтобы влиться в коллектив, изучить необходимые технологии. Мы хотим, чтобы обучающиеся у нас студенты, имели те навыки, которые необходимы в первые годы работы в крупной компании. Вот такая вот схема!
— Студенты каких учебных направлений у вас задействованы?
— У нас работают студенты Института вычислительной математики и информационных технологий (ВМиИТ-ВМК КФУ) и Высшей школы информационных технологий и информационных систем КФУ.
— Всем известно, что этим летом в рамках IT-лаборатории Академии «Фәнсар» 2 месяца проходило обучение.
— Да, так и есть. Первые успехи таковы: мы собрали полный комплект по всем программным разработкам.
Это и системное программирование, и мобильная разработка, веб-разработка, разработка корпоративных приложений. Сейчас у нас в коллективе 20 человек, и все они заняты проектами. Конечно же, не все дошли до этого «финала», так как достаточно тяжело, и не каждый сможет противостоять такой степени нагрузкам. Подводя же итоги, можно сказать, что обучение прошло успешно.
— Марсель, а где ты сам учился? Почему решил стать программистом?
— В 1 классе мне купили компьютер. Он был очень слабый, и поэтому я в нем не играл, а просто изучал инструкции, читал книжки про компьютеры. В 7 классе написал свою, более толковую программу, на языке С++. После школы мы переехали в Казань. У меня был выбор между двумя факультетами: ВМК и ИТИС. Я выбрал ВМК. Уже на 2 курсе у меня возникла идея обучения студентов программированию. И вот тогда на базе Олимпиадного центра организовал кружок для начинающих программистов. Там было всего 10-15 человек. Потом меня назначили Председателем студенческого научного общества ВМиИТ-ВМК, и тогда я уже его переструктурировал в научно-практическую платформу.
— А как ты вступил в сообщество «Сәләт»?
— На одном из семинаров я познакомился Наилем Раисовичем Бухараевым. Оказалось, что мы оба хотим помочь начинающим программистам. Он меня познакомил с Анваром Туйкиным, он, в свою очередь, с Элиной Степановой. (Анвар Туйкин, Элина Степанова – ветераны «Сәләт»). Мы вчетвером решили запустить большой летний проект.
— Совсем скоро начнется новый учебный год. Вы будете принимать студентов на практику?
— С начала учебного года мы бы хотели активно сотрудничать с Университетом, то есть, включать в учебный план Университета и наши занятия. Это, во-первых. А во-вторых, практическая деятельность нам всегда интересна. Конечно же, будем!
История социальных сетей
Знаете ли вы, что более 2,6 миллиарда человек во всем мире пользуются сайтами социальных сетей? Если вы посмотрите на человека, сидящего рядом с вами, велика вероятность, что он зарегистрирован хотя бы в одной социальной сети.
Социальные сети теперь являются неотъемлемой частью нашей жизни, с помощью которых мы общаемся с друзьями и развлекаемся. Но как мы достигли такого уровня насыщения социальными сетями, учитывая, что так было не всегда?
Краткая история социальных сетей
Различные формы СМИ могли существовать до 1960-х и 70-х годов. Но социальные сети в том виде, в каком мы их знаем — онлайн-общение с пользовательским контентом, доступным для всех, — появились только в 1970-х годах.
Проникновение в Интернет
В 1970-х многочисленные частные организации пытались заставить компьютеры взаимодействовать друг с другом. Хотя они предприняли некоторые шаги, эти организации не добились существенного развития до 1980-х годов, когда персональные компьютеры стали более распространенными.
За этим последовала эра блогов и бюллетеней в 1990-х годах, которые послужили отправной точкой для сайтов социальных сетей. С этого момента стало очевидно, что люди могут заходить на платформы, чтобы читать то, что было написано кем-то другим.
Первой платформой, которая воплотила это в жизнь, стала SixDegrees.
Затем наступил 21 век
Технологии изменили восприятие социальных сетей в начале 21 века. Стало появляться больше сайтов в социальных сетях, которые набирали популярность. Некоторые из них включают MySpace, LinkedIn и Photobucket.
К 2005 году YouTube стал горячей тенденцией, установив новый темп того, как люди создают контент, распространяют его и общаются со своими подписчиками. Платформа ориентирована на видеоконтент, который эффективно формирует потребление контента.
В следующем году были запущены Facebook и Twitter, что позволило пользователям охватить более широкую аудиторию посредством своих сообщений.
Затем начали появляться другие нишевые платформы социальных сетей, такие как Pinterest и Tumblr.
Сегодня существует множество приложений для социальных сетей, которые служат различным целям и охватывают разные ниши. Это делает очень удобным для пользователей доступ к информации и беспрепятственный обмен ею.
Это также делает социальные продажи реальностью, поскольку предприятия теперь могут легче подключаться к своим целевым рынкам.
С этого момента кажется очевидным, что люди будут продолжать разрабатывать различные формы социальных сетей для обмена и создания контента. В будущем у нас определенно будет больше терминов для социальных сетей.
Что было первой платформой социальных сетей
Чтобы контекстуализировать этот разговор, важно дать определение социальным сетям. Если вы просмотрите Google, вы столкнетесь с многочисленными определениями. Кембриджский словарь английского языка определяет социальные сети как «веб-сайты и компьютерные программы, которые позволяют людям общаться и обмениваться информацией в Интернете с помощью компьютера или телефона». Вуаля, теперь у нас есть облачные телефонные системы и многое другое.
Это определение помогает вести разговор о том, что на самом деле представляют собой социальные сети. В нем участвуют:
- Онлайн-общение через мобильные телефоны или компьютеры
- И все, а не отдельные лица, могут регистрироваться и общаться со своими друзьями.
Основываясь на этом анализе, статус первой платформы социальных сетей присваивается Six Degrees.
Six Degrees
Six Degrees считается первой настоящей попыткой создать платформу, позволяющую пользователям создавать профили и общаться с другими. Люди регистрировались с адресами электронной почты и могли создавать личные сети после регистрации.
Сайт социальной сети был основан на «шести степенях разделения», согласно которому все связаны не более чем с шестью степенями разделения. Платформа, запущенная в 1997 году и выкупленная примерно в 2001 году, привлекла около 3,5 миллионов пользователей. Это была важная веха, учитывая эпоху, в которой существовала социальная сеть.
Когда платформа была выкуплена, она была продана за 125 миллионов долларов.
Другие известные ранние сайты социальных сетей
После недолговечного успеха Six Degrees появились некоторые другие платформы социальных сетей для обслуживания различных демографических групп.
Friendster
Примерно через два года после Six Degrees был запущен Friendster с аналогичными ценностными предложениями. Платформа позволяла пользователям регистрироваться со своими адресами электронной почты, находить друзей и создавать личные сети. Люди также могли делиться различными формами контента, включая фотографии и видео. Кроме того, они могли оставлять комментарии к сообщениям друг друга.
В течение нескольких месяцев платформа набрала более 3 миллионов пользователей. Позже эта пользовательская база вырастет до более чем 100 миллионов пользователей.
Linkedin появился в 2002 году и был основан Алленом Блу, Рейдом Хоффманом, Константином Герике, Жаном-Люком Валлианом и Эриком Ли. Это была, пожалуй, первая платформа социальных сетей, ориентированная на профессиональную нишу. Сайт предоставляет профессионалам возможность общаться и развивать значимые связи в своих областях.
Платформа по-прежнему сохраняет свою ценность и увеличила базу пользователей до более чем 575 миллионов человек.
LinkedIn также занимает 285-е место среди самых посещаемых сайтов Alexa.
MySpace
MySpace был чрезвычайно влиятельной социальной сетью в эпоху, когда он был запущен. Основанная в 2003 году, она привлекла миллионы пользователей, обеспечив бесперебойную связь с людьми по всему миру. Платформа поддерживала потребности как в хранении файлов, так и в социальных сетях, что значительно способствовало ее быстрому росту.
MySpace был продан за 580 миллионов долларов, что указывает на огромную ценность платформы. Вскоре после продажи он стал самым посещаемым веб-сайтом, опередив Google.
Ключевые выводы
Социальные сети продолжают развиваться с момента их создания. Хотя Six Degrees считается первой онлайн-платформой социальных сетей, появилось множество социальных сайтов, которые превзошли ее.
Тем не менее, Six Degrees остается первой платформой, которая позволяет пользователям создавать личные сети и взаимодействовать с общим контентом в Интернете.
- Социальные сети появились, когда платформы позволили пользователям общаться онлайн, делиться контентом и взаимодействовать соответствующим образом.
- Six Degrees позволил пользователям собраться вместе в онлайн-пространстве, где они могли подружиться. До выкупа у платформы было около 3,5 миллионов пользователей.
- Six Degrees послужил шаблоном для большинства других платформ, появившихся после него. Сегодня существует множество социальных сетей, и этот взрыв не прекратится в ближайшее время.
Избегайте этих пяти антишаблонов при переходе на платформу.
Платформа на первом месте стала настолько распространенной фразой в бизнес-технологиях, что HBR (Harvard Business Review) ввел термин для этого явления; «Платформания»… захват земли, когда компании чувствуют, что они должны быть первыми, кто закрепит за собой новую территорию, воспользуется сетевыми эффектами и повысит входные барьеры».
Но волнение неспроста. Семь из 10 крупнейших мировых компаний опираются на одни из самых передовых технологических платформ, которые мы когда-либо видели.
На самом деле, правительство Индии идет по этому пути с помощью троицы JAM (учетные записи Jan Dhan), системы идентификации Aadhaar и мобильных технологий. Цифровая магистраль Индии, еще одно название этой троицы, подпитывает стремительную цифровую трансформацию по всей стране и способствует развитию конкурентной инновационной программы, в которой могут участвовать как государственный, так и частный сектор.
Мы собрали пять антишаблонов, которым должны избегайте, когда они спускаются по неизбежному путешествию по платформе.
Антипаттерн 1: изобретение колеса предотвращает масштабирование, т. е. локальную оптимизацию
Мы твердо выступаем за автономные команды, где каждая межфункциональная команда имеет свободу и гибкость для создания программного обеспечения, соответствующего их конкретным потребностям.
Это способствует как глубокому пониманию бизнес-проблем, так и высокому уровню ответственности за их решение.
Однако одним побочным эффектом является то, что каждая команда имеет тенденцию создавать свои собственные конвейеры сборки и развертывания наряду с инфраструктурой мониторинга. Кроме того, несколько команд в конечном итоге решают схожие проблемы разными способами, используя несколько инструментов.
Мы рекомендуем разработать технологическую платформу, обеспечивающую возможности сборки, развертывания и мониторинга для групп разработчиков функций. Это требует стандартизации стека технологий, но освобождает несколько команд от создания одних и тех же конвейеров развертывания и стека мониторинга.
Создание платформы самообслуживания также снижает трения между командой разработчиков функций и командой разработчиков платформы. Этот подход требует выхода за рамки проекта как основного механизма финансирования, кадрового обеспечения и предоставления технологий.
Кроме того, инфраструктура самообслуживания снижает затраты, устраняет разрозненность и повышает производительность. Это позволяет эффективно использовать инвестиции в технологии, сокращает циклы выпуска и повышает удовлетворенность сотрудников.
Антипаттерн 2: возможности близорукой платформы не готовы к будущему
Серьезным препятствием при создании платформ является традиционное мышление предприятия, которое оценивает платформу по ее текущим требованиям, а не по тому, как она будет развиваться для удовлетворения потребностей бизнеса в ближайшем и отдаленном будущем.
Мы советуем разрабатывать корпоративные платформы и управлять ими, создавая их одновременно модульными и эволюционными. Это позволяет постоянно вносить изменения как в бизнес-возможности, так и в технологии, на которых они основаны.
Кроме того, служебные компоненты, которые не являются стратегическими для бизнеса, не обязательно изготавливать на заказ, их можно купить.
Для таких компонентов стратегия «купи и интегрируй» является надежной стратегией сохранения контроля над будущей эволюцией. Это помогает соответствовать долгосрочной технологической дорожной карте и при необходимости развивать возможности, идеальные для будущего.
Антипаттерн 3: монолитные архитектуры данных не соответствуют требованиям к инновациям и масштабированию
В статье Жамака Дхегани, главного консультанта по технологиям Thoughtworks, лучше всего об этом говорят следующие слова: «Платформы данных, основанные на архитектуре озера данных, имеют общие режимы сбоев, которые приводят к невыполнению обещаний в масштабе. Чтобы устранить эти режимы отказа, нам необходимо отказаться от парадигмы централизованного озера данных или предшествующего ему хранилища данных. Нам необходимо перейти к парадигме, основанной на современной распределенной архитектуре: рассматривать домены как первостепенную задачу, применять платформенное мышление для создания инфраструктуры данных с самообслуживанием и рассматривать данные как продукт».
Наше руководство заключается в том, чтобы «быть открытыми для возможности перехода от монолитных и централизованных озер данных к преднамеренно распределенной архитектуре сетки данных; Примите реальность вездесущей, вездесущей и распределенной природы данных». Сдвиг «требует нового набора руководящих принципов, сопровождаемых новым языком:
- Подача вместо приема внутрь
- Обнаружение и использование чрезмерного извлечения и загрузки
- Публикация событий в виде потоков данных, передаваемых по централизованным конвейерам
- Экосистема продуктов данных на базе централизованной платформы данных
Антипаттерн 4: Нечеткие границы сервисов усиливают связанность и смещают команды
Организация не может построить распределенную платформу, вооружившись мышлением о построении монолитов. При правильном проектировании распределенная система дает преимущества постепенного выпуска и масштабирования независимых частей.
Мы были свидетелями того, как предприятия не применяли принципы Domain-Driven Design (DDD), что приводило к отсутствию четко определенных ограниченных контекстов и границ служб. Это приводит к тому, что любое изменение распространяется на несколько сервисов, что повышает координацию и согласованность усилий между несколькими командами.
Идентификация ограниченных контекстов приводит к связным сервисам, разработанным с учетом границ бизнеса. Команды, ориентированные на ограниченные контексты, говорят на универсальном языке, обеспечивая полное соответствие между бизнес- и техническими командами. Понимание бизнес-контекста помогает эффективно управлять долгосрочной дорожной картой для домена.
Антипаттерн 5: закрытость для экосистемы снижает скорость и качество инноваций
Традиционный подход, которого придерживаются предприятия, заключается в том, чтобы владеть (создавать или покупать) любыми возможностями, предлагаемыми их клиентам.