Критический анализ современных методов, стандартов и информационных систем для модернизации бизнес-процессов производственного предприятия

В условиях стремительной цифровой трансформации и усиливающихся трендов импортозамещения в России, проблема модернизации и автоматизации ключевых бизнес-процессов на производственных и инжиниринговых предприятиях приобретает особую актуальность. Становится очевидной недостаточность и порой полная непригодность устаревших методологических подходов и информационных систем, не способных обеспечить требуемый уровень гибкости, прозрачности и эффективности. Целью настоящего исследования является критический анализ и обновление методологического аппарата для проектирования и внедрения современных ИТ-решений, а также оценка их влияния на бизнес-процессы предприятий.

Данная работа ставит перед собой задачу не просто описать современные инструменты, но и провести их глубокий сравнительный анализ с устаревшими аналогами, используя актуальные данные 2024-2025 годов. В процессе исследования будет выявлена научная новизна, заключающаяся в систематизации и критическом осмыслении роли стандартов BPMN 2.0 и DMN в контексте исполняемости процессов, в детализированном обзоре российского рынка Low-code/No-code платформ и ERP-систем с указанием конкретных лидеров и статистических данных, а также в проработке новейших изменений в законодательстве об информационной безопасности (ФЗ-152, ФЗ-187, Приказ ФСТЭК № 117, ГОСТ Р для ИИ в КИИ), которые являются критически важными для любого современного ИТ-проекта. Структура работы последовательно раскрывает теоретические основы, анализирует ИТ-инфраструктуру и системы, а затем переходит к вопросам оценки эффективности и безопасности, предлагая всесторонний и актуальный взгляд на проблему модернизации.

Теоретико-методологические основы управления бизнес-процессами

В современном мире, где изменения происходят с беспрецедентной скоростью, способность организации адаптироваться и оптимизировать свою деятельность становится ключевым фактором выживания и успеха. Этот раздел посвящен глубинному пониманию того, как концепция управления бизнес-процессами (BPM) вписывается в общую картину цифровой трансформации, какие современные стандарты позволяют эффективно моделировать и автоматизировать эти процессы, и почему некоторые ранее популярные методы теряют свою актуальность.

Сущность и место BPM в контексте Цифровой Трансформации

В последние годы термины «цифровая трансформация» и «BPM» стали неотъемлемой частью стратегического лексикона любого современного предприятия. Однако их истинный смысл зачастую остается за пределами общего понимания.

BPM (Business Process Management, управление бизнес-процессами) — это не просто набор инструментов или проектная методология, это целостная концепция процессного управления организацией. Она сочетает в себе философию непрерывного улучшения, системный подход и специализированное программное обеспечение (BPMS) для управления, анализа, моделирования, мониторинга и оптимизации рабочих потоков. Конечная цель BPM — сделать работу организации максимально прозрачной, управляемой и эффективной, позволяя ей быстро реагировать на внешние и внутренние изменения. Иначе говоря, BPM позволяет взглянуть на компанию не как на набор изолированных отделов, а как на единую, взаимосвязанную систему процессов, ориентированных на создание ценности для клиента. Это приводит к значительной оптимизации затрат и повышению конкурентоспособности, поскольку ресурсы распределяются более рационально, а скорость реакции на рыночные вызовы возрастает.

Цифровизация (Цифровая трансформация), в свою очередь, представляет собой гораздо более широкий и фундаментальный процесс. Это не просто внедрение цифровых технологий, а глубокая перестройка бизнес-моделей, корпоративной культуры и операционных процессов, сопровождаемая оптимизацией системы управления на всех уровнях и направлениях деятельности. BPM является одним из краеугольных камней цифровой трансформации, поскольку именно процессы являются основным объектом цифровизации. Без четко описанных, проанализированных и оптимизированных процессов внедрение даже самых передовых цифровых инструментов может оказаться неэффективным, а иногда и вредным, автоматизируя хаос. Переход к процессному управлению, таким образом, является необходимым предварительным условием для успешной цифровой трансформации. Он позволяет не только выявить «узкие места» и неэффективности, но и создать основу для последующей автоматизации, интеграции систем и формирования единого цифрового ландшафта предприятия, что в конечном итоге обеспечивает устойчивый рост и инновационное развитие.

Современные стандарты моделирования и принятия решений

Эффективное управление бизнес-процессами невозможно без адекватных инструментов их описания и моделирования. Сегодняшний день диктует необходимость использования стандартов, которые не только визуализируют процессы, но и способны стать основой для их автоматизированного исполнения.

BPMN 2.0 (Business Process Model and Notation) — это не просто диаграмма, это официальный стандарт, разработанный Object Management Group (OMG), и наиболее распространенная нотация для моделирования бизнес-процессов во всем мире. Его универсальность и гибкость позволяют описывать процессы различной сложности и детализации, от высокоуровневых до микрооперационных. Ключевое преимущество BPMN 2.0 заключается в его способности быть не просто инструментом для аналитиков, но и языком для разработчиков BPMS-систем. Это означает, что аналитические диаграммы, созданные в BPMN 2.0, могут быть напрямую преобразованы в исполняемые модели процессов (Executability). Таким образом, BPMN 2.0 стирает грань между бизнес-анализом и ИТ-разработкой, значительно сокращая время и риски при автоматизации. Нотация включает в себя широкий набор элементов: события, действия (задачи), шлюзы, пулы и дорожки, позволяющие точно и недвусмысленно описать логику процесса, его участников и потоки информации. Применение BPMN 2.0 позволяет значительно повысить точность и скорость внедрения автоматизированных решений, минимизируя рассогласования между бизнесом и ИТ.

В дополнение к BPMN, для решения задач, связанных с принятием решений, существует стандарт DMN (Decision Model and Notation). Это еще один стандарт OMG, специально разработанный для формализации сложных бизнес-правил и моделей принятия решений. DMN позволяет описывать логику решений (например, расчет скидки, кредитный скоринг, определение категории клиента) в виде легко читаемых таблиц решений (decision tables), деревьев решений или графов зависимостей. Его ценность заключается в упрощении разработки систем принятия решений, делая их прозрачными, управляемыми и легко модифицируемыми. Интеграция DMN с BPMN позволяет создавать комплексные модели, где процессы вызывают правила DMN для принятия решений, что значительно повышает гибкость и адаптивность автоматизированных систем. Например, в процессе обработки заказа DMN может быть использован для определения размера скидки на основе параметров заказа и лояльности клиента, а затем результат этого решения будет влиять на дальнейший ход бизнес-процесса в BPMN. Это обеспечивает не только автоматизацию, но и интеллектуализацию процессов, делая их более адаптивными к изменяющимся условиям.

Критический анализ устаревших нотаций

История развития системного анализа богата различными методологиями, и многие из них сыграли свою роль на определенных этапах. Однако не все они выдержали проверку временем и требованиями современной автоматизации.

Рассмотрим нотации IDEF0 (Integrated Definition for Function Modeling) и IDEF3 (Process Description Capture Method). Нотация IDEF0, разработанная для функционального моделирования, хорошо подходит для высокоуровневого описания структуры системы и ее функций. Она позволяет декомпозировать систему на более мелкие функциональные блоки, показывая входы, выходы, механизмы и управляющие воздействия. IDEF3, в свою очередь, фокусируется на описании последовательности действий и объектов, которые влияют на эти действия. В свое время эти нотации, часто используемые в таких CASE-средствах, как BPWIN и ERWIN, были популярны для системного анализа.

Однако, по сравнению с повсеместно применяемой BPMN 2.0, нотации IDEF0 и IDEF3 имеют существенные ограничения, которые делают их устаревшими и редко используемыми в контексте современной автоматизации и BPM. Главное отличие заключается в их неприспособленности для прямой автоматизации (исполнения) в BPMS. IDEF0 описывает что делает система, но не как она это делает в динамике и не позволяет детально описать алгоритм выполнения процесса, его ветвления, параллельные действия, обработку ошибок и взаимодействие с пользователями. IDEF3 ближе к описанию потока работ, но также уступает BPMN в выразительности и стандартизации элементов для исполняемых процессов. Диаграммы IDEF являются статическими, ориентированными на структурный, а не на поведенческий аспект, что делает их малопригодными для систем, где требуется динамическое управление процессами. BPMN же изначально был разработан как язык, способный не только визуально отображать процесс, но и служить основой для его программного исполнения, что является критически важным для реализации концепции BPMS. Таким образом, попытка модернизировать бизнес-процессы с использованием IDEF-нотаций в текущих реалиях приведет к созданию громоздких и малопригодных для автоматизации моделей, требующих значительных усилий по их интерпретации и переработке для внедрения в BPMS, что неизбежно увеличивает стоимость и сроки проекта.

Фреймворки Enterprise Architecture и зрелости процессов

Успешное внедрение информационных систем и оптимизация процессов требуют не только понимания отдельных методологий, но и комплексного подхода к управлению всей архитектурой предприятия. В этом контексте неоценимую роль играют фреймворки, позволяющие структурировать и оценивать сложность корпоративной среды.

Одним из наиболее полных и комплексных фреймворков для разработки архитектуры предприятия является TOGAF (The Open Group Architecture Framework). TOGAF — это не просто набор рекомендаций, а системный подход, который помогает организациям эффективно проектировать, планировать, внедрять и управлять корпоративной архитектурой. Он охватывает все аспекты архитектуры: бизнес-архитектуру, архитектуру данных, архитектуру приложений и технологическую архитектуру. Центральным элементом TOGAF является Метод разработки архитектуры (ADM), представляющий собой законченный набор инструкций и шагов для реализации и выполнения архитектуры предприятия в организации. ADM обеспечивает итеративный цикл, включающий фазы предварительной подготовки, видения архитектуры, бизнес-архитектуры, архитектуры информационных систем (данные, приложения), технологической архитектуры, возможностей и решений, планирования миграции, управления реализацией и управления изменениями архитектуры. Применение TOGAF позволяет создать согласованную, гибкую и масштабируемую архитектуру, которая поддерживает стратегические цели бизнеса, что является критически важным для долгосрочного планирования и устойчивого развития компании.

Второй важный фреймворк – Zachman Framework (Фреймворк Захмана) – это справочная модель для описания архитектуры предприятия, которая использует матричный подход для структурирования артефактов архитектуры. Он помогает организации взглянуть на свою архитектуру с разных перспектив, отвечая на шесть базовых вопросов: «Что» (данные), «Как» (функции), «Где» (сеть), «Кто» (люди), «Когда» (время), «Зачем» (мотивация). Эти вопросы рассматриваются с позиций разных заинтересованных сторон: планировщика, владельца, проектировщика, строителя, субподрядчика и пользователя. Фреймворк Захмана не является пошаговой методологией, как TOGAF, а скорее таксономией, предоставляющей структуру для классификации и организации информации об архитектуре предприятия. Он помогает обеспечить полноту описания и согласованность между различными представлениями архитектуры, что снижает риски упущений и несоответствий при проектировании сложных систем.

Помимо архитектурных фреймворков, для оценки и повышения зрелости процессов используется CMMI (Capability Maturity Model Integration). Это модель совершенствования процессов, разработанная Институтом программной инженерии (SEI) Университета Карнеги-Меллона, которая предоставляет дорожную карту для постоянного улучшения процессов, снижения рисков и повышения качества в таких областях, как разработка продуктов, предоставление услуг и управление закупками. Модель CMMI определяет пять уровней зрелости процессов (Maturity Levels):

1. Начальный (Initial): Процессы непредсказуемы, слабо контролируются и реактивны. Результаты зависят от индивидуальных усилий.
2. Управляемый (Managed): Часть основных процессов описана и контролируется на проектном уровне. Существуют базовые практики планирования и отслеживания.
3. Определенный (Defined): Все процессы определены, задокументированы и стандартизированы на уровне всей организации. Они интегрированы и согласованы.
4. Количественно управляемый (Quantitatively Managed): Для контроля качества процессов используются метрики, статистические методы и количественный анализ.
5. Оптимизированный (Optimizing): Организация ориентирована на постоянное улучшение процессов, внедрение новых подходов и инноваций. Процессы активно управляются для достижения оптимальной производительности.

Применение CMMI позволяет организациям объективно оценить текущий уровень зрелости своих бизнес-процессов и сформировать план по их улучшению, что критически важно для устойчивого развития и повышения конкурентоспособности. Достижение более высоких уровней зрелости означает не только повышение эффективности, но и снижение операционных рисков, что подтверждается практикой ведущих мировых компаний.

Анализ актуальных классов информационных систем и ИТ-инфраструктуры

Современное производственное или инжиниринговое предприятие не может существовать без развитой ИТ-инфраструктуры и комплексных информационных систем. Этот раздел посвящен анализу текущих трендов в развитии ИТ-архитектуры, обзору ключевых классов корпоративных ИС и их роли в модернизации бизнес-процессов, а также специфике российского рынка.

Эволюция ИТ-инфраструктуры: Облачные и Микросервисные решения

Последние годы ознаменовались кардинальными изменениями в подходах к построению ИТ-инфраструктуры. От монолитных систем, развернутых на собственном оборудовании, предприятия активно переходят к более гибким и масштабируемым решениям.

Одним из ключевых трендов 2024-2025 годов в развитии ИТ-инфраструктуры является широкое распространение облачных и гибридных решений. Облачные технологии обеспечивают беспрецедентную масштабируемость, позволяя быстро наращивать или сокращать вычислительные ресурсы в зависимости от текущих потребностей. Это приводит к значительному снижению капитальных затрат на собственную ИТ-инфраструктуру, поскольку нет необходимости приобретать и обслуживать дорогостоящее оборудование. Для инжиниринговых компаний, часто работающих с проектными задачами, требующими пиковых нагрузок, облачные решения гарантируют доступность высокопроизводительных вычислений по требованию. Драйвером перехода ERP-систем в облако, особенно в России, является необходимость быстрого замещения ушедших западных вендоров, что стимулирует развитие отечественных облачных провайдеров. Общий российский рынок облачных сервисов (включая IaaS, PaaS, SaaS) вырос на 26% в 2024 году, демонстрируя устойчивый тренд к миграции корпоративных систем. Гибридные решения, сочетающие преимущества облачных и локальных инфраструктур, позволяют предприятиям хранить критически важные данные внутри собственного периметра, одновременно используя облачные ресурсы для менее чувствительных задач или для обеспечения высокой доступности и катастрофоустойчивости. Это обеспечивает оптимальный баланс между безопасностью, производительностью и экономичностью.

Параллельно с развитием облачных технологий, в архитектуре сложных автоматизированных систем все более важное место занимает микросервисная архитектура. Этот подход подразумевает построение приложения как набора слабосвязанных, независимо развертываемых сервисов, каждый из которых выполняет определенную бизнес-функцию. Для таких систем, как Автоматизированные Системы Управления Технологическими Процессами (АСУТП) в инжиниринге или производстве (например, в авиационной отрасли), микросервисная архитектура является стратегически важным решением для повышения надежности и отказоустойчивости. Если один микросервис выходит из строя, это не приводит к падению всей системы, что критически важно в сложных и динамичных производственных процессах. Кроме того, микросервисы упрощают процесс обновления и развертывания новых модулей, сокращая время восстановления после сбоев и позволяя командам работать над отдельными компонентами независимо, что ускоряет разработку и внедрение инноваций. В итоге это приводит к повышению гибкости разработки и снижению рисков при модернизации крупных информационных систем.

Обзор корпоративных информационных систем (ERP, MES, PDM/PLM)

Для комплексной автоматизации деятельности производственного или инжинирингового предприятия используется широкий спектр информационных систем, которые часто интегрируются между собой для создания единой экосистемы управления.

Центральное место среди них занимают системы класса ERP (Enterprise Resource Planning). Современный стандарт ERP II на российском рынке часто интерпретируется как расширенная совокупность подсистем: ERP + (CRM + SRM + PLM + SCM) + ESB. Эта комплексная система позволяет автоматизировать практически все процессы предприятия, начиная от финансового учета и управления персоналом до планирования производства, управления цепями поставок (SCM, Supply Chain Management), взаимоотношениями с клиентами (CRM, Customer Relationship Management) и поставщиками (SRM, Supplier Relationship Management), а также управления жизненным циклом продукта (PLM, Product Lifecycle Management). PLM-системы (Product Lifecycle Management) становятся особенно критически важными для инжиниринговых компаний. Они обеспечивают управление всей информацией и процессами на протяжении жизненного цикла продукта, от идеи и проектирования (с использованием PDM — Product Data Management для управления данными о продукте) до производства, обслуживания и утилизации. Это позволяет эффективно управлять конструкторской, технологической и сопроводительной документацией, обеспечивать коллективную работу над проектами и сокращать время вывода новых продуктов на рынок, что в конечном итоге повышает качество и инновационность продукции.

Еще один важный класс систем для производственного сектора – MES (Manufacturing Execution Systems). MES-системы осуществляют оперативное управление производственными процессами непосредственно в цеху. Они собирают данные с оборудования, отслеживают ход выполнения производственных операций, управляют качеством, производственными заданиями, персоналом, материалами и инструментами. Интеграция MES с ERP позволяет формировать единую картину производства, обеспечивая обмен данными между уровнем планирования (ERP) и уровнем цеха (MES), что повышает точность планирования, сокращает простои и улучшает качество продукции. В инжиниринговых компаниях, где могут выполняться собственные производственные или опытные работы, MES становится неотъемлемой частью ИТ-ландшафта. Ее внедрение приводит к значительному сокращению операционных затрат и повышению прозрачности производственных операций.

Специализированные Low-Code/No-Code платформы как инструмент модернизации

В условиях постоянно меняющихся бизнес-требований и необходимости быстрой адаптации к новым реалиям, традиционные методы разработки программного обеспечения зачастую оказываются слишком медленными и дорогостоящими. Здесь на помощь приходят Low-Code/No-Code платформы.

Low-code (Low-code/No-code платформы) — это среды разработки бизнес-приложений, которые позволяют создавать решения с минимальным использованием или полным отсутствием традиционного программирования. Это достигается за счет использования визуальных интерфейсов, готовых компонентов, drag-and-drop функциональности и преднастроенных шаблонов. Low-code платформы позволяют значительно ускорить процесс создания и модификации приложений, быстро реагировать на изменения в бизнес-процессах. Они часто включают в себя функциональность BPM-систем, что позволяет не только моделировать, но и автоматизировать процессы, а также создавать приложения для автоматизации конкретных задач, таких как формирование смет и спецификаций, управление проектами или расчет стоимости инжиниринговых услуг. No-code платформы идут еще дальше, позволяя создавать полноценные приложения даже не-программистам, используя исключительно визуальные инструменты. Это приводит к демократизации разработки и вовлечению бизнес-пользователей в создание цифровых решений, что гарантирует более точное соответствие программного обеспечения реальным потребностям бизнеса.

На российском рынке Low-code/No-code платформ наблюдается активный рост и развитие, что обусловлено трендом на импортозамещение и потребностью в быстрых, гибких решениях. В 2025 году в число признанных лидеров рынка входят такие отечественные платформы, как BPMSoft, ELMA365, GreenData и Directum (согласно данным исследований «Сколково» и TAdviser). Эти платформы предлагают широкий спектр возможностей для автоматизации различных бизнес-процессов, интеграции с существующими ИС и создания уникальных приложений, адаптированных под специфические нужды производственных и инжиниринговых предприятий. Их применение позволяет значительно сократить время и стоимость разработки, а также вовлечь бизнес-пользователей в процесс создания решений, что повышает их применимость и эффективность. Таким образом, отечественные Low-code платформы становятся стратегическим выбором для предприятий, стремящихся к цифровой независимости и оперативному внедрению инноваций.

Актуальные тренды и структура рынка ERP-систем в России

Российский рынок ERP-систем переживает период активной трансформации, обусловленной как глобальными технологическими изменениями, так и специфическими геополитическими факторами.

Производственный сектор исторически является лидером по адаптации ERP-систем в России, обеспечивая более трети всех внедрений. Это подчеркивает критическую важность таких систем для эффективного управления ресурсами, планирования производства и оптимизации цепочек поставок в условиях высокой конкуренции. Актуальные статистические данные свидетельствуют о значительном росте и изменении структуры рынка. Объем российского рынка ERP-систем в 2024 году достиг 90 млрд рублей, с оптимистичным прогнозом роста до 120 млрд рублей к 2030 году. Этот рост во многом обусловлен необходимостью замещения ушедших иностранных вендоров и поддержкой отечественных разработчиков.

Доля отечественного программного обеспечения на рынке корпоративных систем планирования ресурсов в 2024 году составила 60%, а в промышленных предприятиях России уровень использования отечественного ПО достигает 50-60% (по данным на середину 2025 года). Это делает производственный сектор одним из лидеров по импортозамещению и внедрению отечественных ERP-решений. Это не только вопрос безопасности и технологического суверенитета, но и возможность для российских разработчиков предложить решения, максимально адаптированные к специфике местного рынка и законодательства, что создает дополнительные конкурентные преимущества.

Уровень проникновения ERP-систем в России, однако, различается по сегментам бизнеса:

• В крупнейших компаниях этот показатель достигает 90%.
• В крупном бизнесе — 57%.
• В среднем бизнесе — 29,9% (по данным Росстата).

Эти данные указывают на значительный потенциал роста в сегменте среднего бизнеса, где еще многие предприятия работают на устаревших или фрагментированных системах, что создает потребность в доступных и эффективных ERP-решениях. Переход на облачные и гибридные модели развертывания, о которых говорилось ранее, становится одним из ключевых драйверов роста, поскольку они делают ERP-системы более доступными для компаний различных размеров. Таким образом, средний бизнес представляет собой перспективный сегмент для дальнейшего развития рынка ERP-систем в России.

Методы оценки эффективности и обеспечение информационной безопасности IT-проектов

Внедрение информационных систем – это значительные инвестиции, требующие тщательного обоснования и оценки. Более того, в условиях нарастающих киберугроз и ужесточения законодательства, вопросы информационной безопасности становятся не менее, а порой и более критичными, чем экономическая эффективность. Этот раздел посвящен комплексному подходу к оценке ИТ-проектов и анализу новейших требований в сфере ИБ.

Комплексная оценка экономической эффективности IT-проектов

Оценка эффективности ИТ-проектов является многогранной задачей, требующей учета как прямых финансовых выгод, так и косвенных, качественных изменений. Для этого традиционно используют финансовые (количественные), качественные и вероятностные методы анализа.

Финансовые методы фокусируются на денежных потоках и их изменении во времени. Они включают расчет динамических показателей с учетом временной компоненты денежных потоков, что достигается путем дисконтирования. Дисконтирование позволяет привести будущие доходы и расходы к текущей стоимости, тем самым обеспечивая возможность сравнения стоимости изменений и выгод от внедрения за определенный период.

Ключевые финансовые показатели:

• Чистый Приведенный Доход (NPV, Net Present Value) является одним из основных критериев эффективности проекта. Он показывает величину сверхнормативного дохода, который инвестор может получить от проекта. Проект считается прибыльным и экономически целесообразным, если его NPV > 0.
  
  Формула расчета NPV имеет вид:
  NPV = ΣTt=1 (CFt / (1 + r)t) - I0
  где:
  • CFt — поток денежных средств (cash flow) в году t;
  • r — ставка дисконтирования (отражает стоимость капитала и риск);
  • t — период дисконтирования;
  • I0 — первоначальные инвестиции.
• Возврат Инвестиций (ROI, Return on Investment) — это коэффициент, который позволяет определить время, при котором прибыль от внедрения программы покроет инвестиционные затраты. Он выражается в процентах и рассчитывается как отношение чистой прибыли от инвестиций к их стоимости.
• Совокупная Стоимость Владения (TCO, Total Cost of Ownership) — это метод оценки, который учитывает общую величину целевых затрат инвестора с момента начала проекта. TCO включает не только прямые проектные расходы (приобретение оборудования, разработка, интеграция, лицензии), но и все операционные расходы на протяжении всего жизненного цикла системы (обслуживание, поддержка, модернизация, обучение персонала, консультации, электроэнергия, аренда). TCO позволяет получить более реалистичную картину истинной стоимости владения ИС, раскрывая все скрытые издержки, которые часто упускаются при первоначальной оценке.

Наряду с финансовыми, важнейшую роль играют системные (качественные) методы оценки. Они учитывают не только измеримые финансовые показатели, но и нефинансовые аспекты, которые влияют на стратегию компании и ее конкурентоспособность. Одним из таких методов является Balanced Score Card (BSC, Сбалансированная система показателей). BSC предлагает четыре перспективы оценки:

1. Финансы: Традиционные финансовые показатели.
2. Клиенты: Удовлетворенность клиентов, лояльность, доля рынка.
3. Внутренние бизнес-процессы: Эффективность, качество, скорость процессов.
4. Обучение и развитие персонала: Компетенции, инновации, корпоративная культура.

BSC необходима для более полной иллюстрации конечного эффекта от внедрения ИТ-систем, поскольку позволяет связать ИТ-инвестиции со стратегическими целями бизнеса, учитывая как краткосрочные, так и долгосрочные результаты, и показывая, как ИТ влияет на всю организацию, а не только на ее финансовые потоки. Это обеспечивает комплексный взгляд на ценность инвестиций и помогает принимать более обоснованные стратегические решения.

Актуализированные требования законодательства в сфере ИБ (ФЗ-152 и КИИ)

Вопросы информационной безопасности (ИБ) приобретают все большую значимость, особенно в России, где законодательство в этой сфере активно развивается и ужесточается. В 2024–2025 гг. вступили в силу и ожидаются значимые изменения в законодательстве об ИТ и ИБ, обусловленные ужесточением контроля за доступом к информации и требованиями технологической независимости.

Ключевые изменения касаются Федерального закона ФЗ-152 «О персональных данных». С 1 сентября 2025 года вступает в силу новое требование, обязывающее оформлять согласие на обработку персональных данных (ПДн) отдельным документом. Это прямо запрещает его включение в состав иных документов (например, договоров или пользовательских соглашений), что значительно повышает прозрачность и контроль за обработкой ПДн. Предприятиям необходимо пересмотреть существующие практики и адаптировать свои процедуры для обеспечения полного соответствия новым требованиям.

Также планируются изменения в ФЗ-187 «О безопасности критической информационной инфраструктуры (КИИ) РФ», которые должны вступить в силу с 1 марта 2025 года. В сфере КИИ регуляторы, в частности ФСТЭК России, активно работают над проектами отраслевых особенностей категорирования объектов КИИ и изменениями в Требованиях по обеспечению безопасности значимых объектов КИИ. Наиболее существенное изменение – это новый документ, пришедший на смену Приказу ФСТЭК России № 17. Официально опубликован Приказ ФСТЭК России № 117 «Об утверждении Требований о защите информации…», который был зарегистрирован в июне 2025 года и вступит в силу с 1 марта 2026 года. Этот приказ значительно расширяет область действия требований по защите информации, охватывая все информационные системы государственных органов, учреждений и унитарных предприятий, и устанавливает новые стандарты для обеспечения их безопасности. Для компаний это означает необходимость проведения комплексного аудита и модернизации систем защиты информации, чтобы соответствовать новым, более строгим требованиям.

Помимо этого, для обеспечения безопасности критически важной инфраструктуры вводится новый ГОСТ Р «Искусственный интеллект в критической информационной инфраструктуре. Общие положения». Этот разрабатываемый документ призван устранить правовой вакуум в этой сфере, формируя единый регламент для разработчиков, интеграторов и эксплуатирующих организаций КИИ. Он задает требования к управлению рисками ИИ-систем, включая обязательную идентификацию угроз, связанных с качеством данных, целенаправленными атаками на алгоритмы и другие специфические риски, присущие системам искусственного интеллекта. Это крайне важно, учитывая стремительное внедрение ИИ-технологий в КИИ.

Анализ угроз и защита ERP-систем

С каждым годом угрозы информационной безопасности становятся все более изощренными, а объектом атак все чаще становятся критически важные корпоративные системы. ERP-системы, будучи центральным звеном в управлении ресурсами предприятия, содержат наиболее ценные и конфиденциальные данные, что делает их крайне привлекательной целью для злоумышленников.

Статистика подтверждает нарастающую тревогу: количество кибератак на ERP-системы российских компаний выросло на 43% в первом полугодии 2025 года по сравнению с аналогичным периодом 2024 года. Этот значительный рост обусловлен несколькими факторами: центральной ролью ERP в управлении критически важными данными (финансы, клиентские данные, производственные секреты), а также массовой цифровизацией и быстрым внедрением онлайн-сервисов, которые зачастую осуществляются без должного уровня защиты. Специалисты компании «Информзащита» подтверждают этот тренд, указывая на уязвимости, возникающие при быстрой миграции в облако и недостаточной проработке вопросов безопасности. Это подчеркивает острую необходимость в превентивных мерах и постоянном совершенствовании систем защиты.

Обоснование необходимости усиления защиты АИС (автоматизированных информационных систем) не вызывает сомнений. Меры защиты должны быть комплексными и включать:

• Многоуровневую систему безопасности: от защиты периметра сети и систем обнаружения вторжений до контроля доступа на уровне приложений и данных.
• Регулярное обновление ПО и систем безопасности: своевременное применение патчей и обновлений критически важно для устранения известных уязвимостей.
• Использование средств криптографической защиты информации: для обеспечения конфиденциальности и целостности данных, как при хранении, так и при передаче.
• Внедрение систем мониторинга и анализа событий безопасности (SIEM): для оперативного выявления аномалий и реагирования на инциденты.
• Обучение персонала: человеческий фактор остается одним из наиболее слабых звеньев в цепи безопасности, поэтому регулярное обучение сотрудников правилам ИБ крайне важно.
• Резервное копирование и планы аварийного восстановления: для минимизации потерь в случае успешной атаки или отказа системы.
• Соответствие законодательным требованиям: постоянный аудит и адаптация систем безопасности к меняющимся требованиям ФЗ-152, ФЗ-187, Приказа ФСТЭК № 117 и нового ГОСТ Р по ИИ в КИИ.

Недооценка рисков и экономия на информационной безопасности ERP-систем может привести к катастрофическим последствиям, включая финансовые потери, утечку конфиденциальных данных, репутационный ущерб и нарушения в операционной деятельности предприятия. Инвестиции в ИБ следует рассматривать не как издержки, а как стратегическую необходимость, обеспечивающую устойчивость и непрерывность бизнеса.

Выводы и Рекомендации

Настоящее исследование, проведенное в контексте критического анализа и актуализации методологического аппарата для модернизации бизнес-процессов производственных предприятий, позволяет сформулировать ряд ключевых выводов и практических рекомендаций.

Ключевые выводы:

1. Необходимость перехода к исполняемым стандартам: Устаревшие нотации, такие как IDEF0/IDEF3, доказали свою неэффективность для задач автоматизации ввиду их структурной ориентированности и невозможности прямого исполнения в BPMS. Современные предприятия д��лжны ориентироваться на BPMN 2.0 для моделирования бизнес-процессов и DMN для формализации бизнес-правил и принятия решений. Эти стандарты обеспечивают не только наглядность, но и возможность автоматизированного исполнения, что является краеугольным камнем для гибкой и адаптивной архитектуры.
2. Комплексная ИТ-экосистема: Модернизация требует формирования интегрированной ИТ-инфраструктуры, включающей в себя облачные/гибридные решения для обеспечения масштабируемости и доступности, а также микросервисную архитектуру для повышения отказоустойчивости критически важных систем, таких как АСУТП.
3. Доминирование отечественных решений: Российский рынок ERP-систем демонстрирует стабильный рост, при этом доля отечественного ПО составляет более 60%, а в производственном секторе достигает 50-60%. Это подтверждает важность и зрелость отечественных разработок, которые должны стать приоритетом при выборе корпоративных ИС. Активное развитие Low-code/No-code платформ, представленных такими лидерами, как BPMSoft, ELMA365, GreenData, Directum, предлагает предприятиям мощный инструмент для быстрой и гибкой автоматизации специфических бизнес-процессов, в том числе расчета стоимости инжиниринговых услуг.
4. Важность комплексной оценки эффективности: Оценка ИТ-проектов не должна ограничиваться только финансовыми показателями. Необходимо использовать комплексный подход, сочетающий финансовые методы (NPV, ROI, TCO) с системными (качественными) подходами, такими как Balanced Score Card, для всестороннего понимания стратегического эффекта.
5. Критичность информационной безопасности и соответствия законодательству: Усиливающийся ландшафт киберугроз, выразившийся в росте кибератак на ERP-системы на 43% в 2025 году, а также постоянно ужесточающееся российское законодательство (Приказ ФСТЭК № 117, новые требования ФЗ-152 и ФЗ-187, ГОСТ Р для ИИ в КИИ) требуют от предприятий постоянного мониторинга, аудита и адаптации своих систем защиты информации.

Общие рекомендации по выбору архитектуры ИС и методологии для модернизации процессов расчета инжиниринговых услуг:

1. Стратегический выбор методологии: Предприятиям следует полностью отказаться от использования устаревших нотаций IDEF0/3. В качестве основной методологии для моделирования бизнес-процессов и создания исполняемых моделей необходимо принять BPMN 2.0. Для формализации логики расчета стоимости инжиниринговых услуг, определения скидок, условий контрактов и других сложных бизнес-правил рекомендуется активно использовать стандарт DMN.
2. Гибридная ИТ-архитектура: Для достижения оптимальной гибкости, масштабируемости и безопасности рекомендуется строить гибридную ИТ-архитектуру, сочетающую облачные решения для общедоступных и масштабируемых сервисов с локальной инфраструктурой для хранения критически важных данных и высокопроизводительных вычислений. При проектировании АСУТП и других критических систем следует применять микросервисную архитектуру для повышения отказоустойчивости.
3. Интеграция ERP и Low-code/BPM-систем: Для автоматизации процесса расчета стоимости инжиниринговых услуг наиболее эффективным подходом является интеграция центральной ERP-системы (желательно отечественной, учитывая тренды импортозамещения) со специализированными Low-code/No-code или BPM-платформами. ERP будет обеспечивать централизованное хранение данных о ресурсах, проектах и клиентах, в то время как Low-code/BPM-платформы позволят быстро создавать и адаптировать приложения для специфических задач, таких как:
   • Сбор и консолидация исходных данных для расчета (трудозатраты, материалы, оборудование).
   • Автоматизация этапов согласования и утверждения смет.
   • Генерация коммерческих предложений и спецификаций на основе DMN-правил.
   • Интеграция с PDM/PLM для использования актуальной конструкторской и технологической информации.
4. Использование фреймворков для управления архитектурой: Для обеспечения системности и управляемости развития ИТ-инфраструктуры и процессов рекомендуется использовать фреймворки TOGAF (для разработки архитектуры предприятия) и CMMI (для оценки и повышения зрелости процессов). Это поможет создать дорожную карту для постоянного улучшения и контроля качества.
5. Приоритет ИБ и законодательного соответствия: На каждом этапе планирования, внедрения и эксплуатации информационных систем необходимо уделять первостепенное внимание информационной безопасности. Все ИТ-проекты должны проходить экспертизу на соответствие актуальным требованиям российского законодательства (ФЗ-152, ФЗ-187, Приказ ФСТЭК № 117, ГОСТ Р для ИИ в КИИ). Рекомендуется инвестировать в многоуровневые системы защиты, регулярные аудиты и обучение персонала.

Перспективы дальнейших исследований:

Дальнейшие исследования могут быть направлены на разработку детализированной методики оценки экономического эффекта от внедрения Low-code платформ на производственных предприятиях, учитывающей как снижение стоимости разработки, так и ускорение вывода продуктов/услуг на рынок. Также актуальным будет глубокий анализ практических кейсов по интеграции отечественных ERP и BPM/Low-code систем в контексте конкретных производственных задач.

Список использованной литературы

1. Бобровский С.С. Delphi 7. Учебный курс. М.: Спутник+, 2008. 736 с.
2. Братищенко В.В. Проектирование информационных систем. Иркутск: Изд-во БГУЭП, 2004. 84 с.
3. Вендров А.М. CASE-технологии. Современные методы и средства проектирования информационных систем. М.: Финансы и статистика, 2004. 202 с.
4. Горелик О.М., Парамонова Л.А., Низамова Э.Ш. Управленческий учет и анализ: учеб. пособие для вузов по специальности «Прикладная информатика (по обл.)» и др. экон. специальностям. М.: КноРус, 2007. 252 с.
5. Граничин О.Н., Кияев В.И. Информационные технологии в управлении: учеб. пособие для студентов вузов, обучающихся по специальностям «Прикладная информатика (по областям) и «Менеджмент организации (по специализации «Информационный менеджмент»)». М.: Интернет-Ун-т Информ. Технологий, 2010. 335 с.
6. Гринберг А.С., Горбачев Н.Н., Бондаренко А.С. Информационные технологии управления: Учеб. пособие для вузов по специальностям 351400 «Прикладная информатика (по обл.)», 061100 «Менеджмент орг.», 061000 «Гос. и муницип. упр.». М.: ЮНИТИ, 2010. 479 с.
7. Диго С.М. Базы данных: проектирование и использование: Учеб. для вузов по специальности «Прикладная информатика (по обл.)». М.: Финансы и статистика, 2010. 591 с.
8. Емельянова Н.З., Партыка Т.Л., Попов И.И. Защита информации в персональном компьютере. М.: Форум, 2009. 368 с.
9. Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. М.: Логос; ПБОЮЛ Н.А.Егоров, 2011. 264 с.
10. Ивасенко А.Г., Гридасов А.Ю., Павленко В.А. Информационные технологии в экономике и управлении: учеб. пособие для вузов по специальностям «Прикладная информатика (по обл.)», «Менеджмент орг.», «Гос. и муницип. упр.». М.: КноРус, 2011. 153 с.
11. Информатика: учеб. для вузов по специальности «Прикладная информатика (по обл.)» и др. экон. специальностям / А.Н. Гуда [и др.]; под общ. ред. В.И. Колесникова. М.: Дашков и К°, 2010. 399 с.
12. Информатика: учебник для студентов вузов, обучающихся по специальности 080801 «Прикладная информатика» и другим экономическим специальностям / [В.В. Трофимов и др.]; под ред. проф. В.В. Трофимова. М.: Юрайт, 2010. 910 с.
13. Информационные системы и технологии в экономике и управлении: учеб. для вузов по специальности «Прикладная информатика (по обл.)» и др. экон. специальностям / [В.В. Трофимов и др.]; под ред. В.В. Трофимова. М.: Высш. образование, 2010. 480 с.
14. Информационные технологии: учеб. для студентов вузов, обучающихся по специальности 080801 «Прикладная информатика» и др. экон. специальностям / [В.В. Трофимов и др.]; под ред. проф. В.В. Трофимова. М.: Юрайт, 2009. 624 с.
15. Комплексная система защиты информации на предприятии. Часть 1. М.: Московская Финансово-Юридическая Академия, 2008. 124 с.
16. Коноплева И.А., Хохлова О.А., Денисов А.В. Информационные технологии: учеб. пособие: [для вузов по специальности «Прикладная информатика (по областям)]. М.: Проспект, 2010. 294 с.
17. Корпусов А.А., Коновалов И.И. Управленческий учет в торговых предприятиях // Бухучет. 2006. №7. С. 46-48.
18. Кудинов Ю.И., Пащенко Ф.Ф. Основы современной информатики: учеб. пособие для студентов вузов, обучающихся по специальности «Прикладная информатика». СПб.: Лань, 2009. 255 с.
19. Луенбергер Д.Д. Информатика: учеб.-метод. пособие для студентов вузов, обучающихся по специальности 080801 «Прикладная информатика» и др. междисциплинарным специальностям; пер. с англ. Ю.Л. Цвирко под ред. д.т.н. К.К. Колина. М.: Техносфера, 2008. 447 с.
20. Маклаков С.В. Bpwin и Erwin. Case-средства разработки информационных систем. М.: ДИАЛОГ-МЭФИ, 2009.
21. Максимов Н.В., Партыка Т.Л., Попов И.И. Технические средства информатизации: учебник по специальностям «Информатика и вычисл. техника», «Прикладная информатика (по областям)». М.: Форум, 2008. 591 с.
22. Асаул А.Н., Капаров Б.М. Управление высшим учебным заведением в условиях инновационной экономики. СПб.: Гуманистика, 2007. 280 с.
23. Малыхина М.П. Базы данных: основы, проектирование, использование. СПб: БХВ Петербург, 2009.
24. Марков А.С., Лисовский К.Ю. Базы данных: Введ. в теорию и методологию: Учеб. по специальности «Прикладная математика и информатика». М.: Финансы и статистика, 2004. 511 с.
25. Мишенин А.И. Теория экономических информационных систем. М.: Финансы и статистика, 2010. 240 с.
26. Проектирование экономических систем: Учебник / Г.Н. Смирнова, А.А. Сорокин, Ю.Ф. Тельнов. М.: Финансы и статистика, 2010.
27. Романов А.Г. Автоматизация служб предприятия. Курск: КПО, 2010.
28. Симонович С.В. Общая информатика. СПб: Питер, 2008. 431 с.
29. Степанов А.Н. Информатика: учебное пособие. СПб: Питер Пресс, 2012. 764 с.
30. Кондраков Н.П. Бухгалтерский учет. М.: ИНФРА-М, 2012. 589 с.
31. Фаронов В.А. Delphi. Программирование на языке высокого уровня. М., 2010.
32. ООО «Веза». О компании. URL: http://www.veza.ru/ru/about.html (дата обращения: 05.10.2025).
33. AllFusion ErWin Data Modeller. URL: http://www.mssoft.ru/Makers/Computer_Associates/AllFusion_ERwin_Data_Modeler_4_1_4/ (дата обращения: 05.10.2025).
34. «Оценка экономической эффективности IT проектов» // skedraw.ru. URL: https://skedraw.ru/ (дата обращения: 05.10.2025).
35. «Low-Code или BPM: ключевые особенности» // casestudio.ru. URL: https://casestudio.ru/ (дата обращения: 05.10.2025).
36. «Методы определения экономического эффекта от ИТ-проекта» // iteam.ru. URL: https://iteam.ru/ (дата обращения: 05.10.2025).
37. «Цифровая трансформация: улучшение бизнеса с помощью BPM и Low-Code решений» // realcatalog.ru. URL: https://realcatalog.ru/ (дата обращения: 05.10.2025).
38. «ПРОГРАММНО-АППАРАТНАЯ ЗАЩИТА ИНФОРМАЦИИ» // hse.ru. URL: https://www.hse.ru/ (дата обращения: 05.10.2025).
39. «Оценка ИТ проектов» // helpit.me. URL: https://helpit.me/ (дата обращения: 05.10.2025).
40. «МИКРОСЕРВИСНАЯ АРХИТЕКТУРА ДЛЯ ПОВЫШЕНИЯ ОТКАЗОУСТОЙЧИВОСТИ АСУТП Н» // zenodo.org. URL: https://zenodo.org/ (дата обращения: 05.10.2025).
41. «Классификация low-code платформ по типам создаваемых решений» // cio-navigator.ru. URL: https://cio-navigator.ru/ (дата обращения: 05.10.2025).
42. «Методы оценки экономической эффективности проекта» // kpfu.ru. URL: https://kpfu.ru/ (дата обращения: 05.10.2025).
43. «BPM и low-code. Цифровая трансформация» // 2lead.ru. URL: https://2lead.ru/ (дата обращения: 05.10.2025).
44. «Один пример и три нотации: сравниваем BPMN, EPC и DMN» // systems.education. URL: https://systems.education/ (дата обращения: 05.10.2025).
45. «Профессиональное моделирование в BPMN, DMN и CMMN для бизнес-аналитика» // babok-school.ru. URL: https://babok-school.ru/ (дата обращения: 05.10.2025).
46. «Защита информации, персональные данные и функционирование ИС: изменения в ИТ-законах в РФ в 2025 году» // habr.com. URL: https://habr.com/ (дата обращения: 05.10.2025).
47. «ERP2, MES и BI системы российского производства» // habr.com. URL: https://habr.com/ (дата обращения: 05.10.2025).
48. «Классификация информационных систем предприятий» // fossdoc.com. URL: https://fossdoc.com/ (дата обращения: 05.10.2025).
49. «Обзор изменений в законодательстве ИТ и ИБ за июнь 2025» // habr.com. URL: https://habr.com/ (дата обращения: 05.10.2025).
50. «Российский рынок ERP продемонстрирует рост» // all-erp.ru. URL: https://all-erp.ru/ (дата обращения: 05.10.2025).
51. «Integrated Architecture Framework для описания архитектуры предприятия» // habr.com. URL: https://habr.com/ (дата обращения: 05.10.2025).
52. «Системы управления предприятием (ERP-рынок России)» // tadviser.ru. URL: https://www.tadviser.ru/ (дата обращения: 05.10.2025).
53. «Новый ГОСТ изменит работу с ИИ в критической информационной инфраструктуре» // itsec.ru. URL: https://itsec.ru/ (дата обращения: 05.10.2025).
54. «Облачная инфраструктура: как устроена, из чего состоит облако» // itglobal.com. URL: https://itglobal.com/ (дата обращения: 05.10.2025).
55. «Главные тенденции рынка ERP-систем (Россия)» // tadviser.ru. URL: https://www.tadviser.ru/ (дата обращения: 05.10.2025).
56. «5 «Почему» для понимания архитектурных концептов при создании информационных продуктов» // habr.com. URL: https://habr.com/ (дата обращения: 05.10.2025).
57. «Применение методов архитектурного подхода в развитии информационной системы крупного вуза» // cyberleninka.ru. URL: https://cyberleninka.ru/ (дата обращения: 05.10.2025).
58. «CMMI (Capability Maturity Model Integrated): определение, уровни CMMI» // simpleone.ru. URL: https://simpleone.ru/ (дата обращения: 05.10.2025).
59. «Нотации моделирования бизнес-процессов: основные виды — IDEF, EPC, BPMN и советы по их выбору» // yandex.ru. URL: https://yandex.ru/ (дата обращения: 05.10.2025).
60. «Что такое нотации бизнес-процессов. Их типы IDEF0, EPC, BPMN.» // comindware.ru. URL: https://comindware.ru/ (дата обращения: 05.10.2025).
61. «CMMI (Capability Maturity Model Integrated)» // wikipedia.org. URL: https://ru.wikipedia.org/ (дата обращения: 05.10.2025).
62. «IT-инфраструктура онлайн-проекта: каких типов бывает и как ее эффективно администрировать?» // hoster.by. URL: https://hoster.by/ (дата обращения: 05.10.2025).