МЕЖДУНАРОДНЫЕ СТАНДАРТЫ В ОБЛАСТИ УПРАВЛЕНИЯ ИТ-ИНФРАСТРУКТУРОЙ И ИБ

Информационные технологии (ИТ) являются неотъемлемой частью деятельности любой организации, информация и поддерживающие ее технологии представляют собой зачастую самые ценные ее активы. Эффективное управление ИТ в организации является важнейшим фактором ее выживания и успеха, достижения ее бизнес-целей, которые все больше привязываются к ИТ. Отсутствие в организации процессов управления ИТ может привести к неэффективному достижению бизнес-целей организации, и даже к срыву в их достижении. В связи с этим многими организациями все больше уделяется внимание вопросу управления своими ИТ-процессами, вопросу стандартизации данного управления. Многие ИТ-процессы напрямую влияют также на безопасность информационных ресурсов, поэтому вопросы информационной безопасности организации должны быть неразрывно связаны с управлением ее ИТ-процессами.

Многие организации осознают потенциальные выгоды, которые могут дать им информационные технологии, однако, только успешные организации, оценивают и управляют рисками, связанными с внедрением новых технологий. Многочисленные изменения в сфере ИТ подчеркивают необходимость улучшения методов управления ИТ-рисками. Поддержка наиболее важных бизнес-процессов напрямую зависит от электронной информации и информационных систем. Кроме того, изменения в законодательстве, обусловленные все большим числом случаев сбоя систем и электронного мошенничества, ставших достоянием гласности, требуют более жесткого контроля за информацией. Управление ИТ-рисками становится в настоящее время ключевым звеном в системе корпоративного управления организацией.

В настоящее время наиболее известными стандартами и подходами в области управления ИТ-процессами и ИТ-инфраструктурой являются:

МЕЖДУНАРОДНЫЕ СТАНДАРТЫ В ОБЛАСТИ УПРАВЛЕНИЯ ИТ-ИНФРАСТРУКТУРОЙ И ИБ

1. CobiT – «Цели контроля для информации и связанных с ней технологий».

2. ISO 17799:2005 - «Информационная технология. Методы обеспечения безопасности. Руководство по управлению безопасности информации».

3. ISO 27001:2005 – «Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

4. Microsoft Operational Framework – «Подход к эксплуатации ИТ-сервисов Майкрософт».

5. ITSM – «Управление ИТ-сервисами».

6. ITIL – IT Infrastructure Library.

Рассмотрим основные подходы и модели, используемые в них для управления ИТ-процессами.

ITSM (УПРАВЛЕНИЕ ИТ-СЕРВИСАМИ)

Библиотека ITIL была создана в результате осознания того факта, что достижение организациями своих корпоративных целей все более зависит от ИТ. Эта усиливающаяся зависимость привела к росту потребности в ИТ-услугах, качество которых отвечало бы целям бизнеса, требованиям и ожиданиям заказчика. С течением времени акцент переместился с разработки ИТ-приложений на Управление ИТ-услугами. ИТ-приложения (иногда называемые информационными системами) лишь тогда способствуют достижению корпоративных целей, когда система доступна пользователям, и при возникновении ошибок и необходимости модификации поддержка может быть оказана службой сопровождения.

Описываются лучшие практики по управлению ИТ-сервисами, поддерживающими бизнес-процессы. Рассматриваются следующие ИТ-сервисы.

1. Управление инцидентами.

2. Управление проблемами.

3. Управление конфигурациями.

4. Управление изменениями.

5. Управление релизами.

6. Служба Service Desk.

7. Управление уровнем сервиса.

8. Управление финансами ИТ.

9. Управление мощностями.

10. Управление непрерывностью ИТ-сервисов.

11. Управление доступностью

12. Управление ИБ.

СЛУЖБА SERVICE DESK

Когда у пользователей возникает проблема, жалоба или вопрос, они хотят получить ответ немедленно. Но еще важнее для них получить результат - решение их проблемы. Нет ничего более раздражающего, чем постоянные звонки в организацию или соответствующий отдел, когда ваш запрос передают от одного сотрудника к другому до тех пор, пока вы не найдете нужного человека, при этом надеясь, что сейчас у него не обеденный перерыв, он не в отпуске или просто не ушел с работы раньше. Так же нет ничего хуже, когда сотрудники начинают решать свою проблему сами.

Для пользователей Служба Service Desk является единой точкой контактов с ИТ-организацией, гарантирующей своевременное решение их вопроса. Другими словами, при наличии Службы Service Desk пользователям не нужно тратить время на бесконечные поиски специалистов, которые смогут решить их проблемы. Часто Служба Service Desk занимается не только обработкой внешних обращений пользователей, но и тех обращений, которые были инициированы внутри самой ИТ-организации, например, решает инциденты, обнаруженные автоматически или вручную ИТ-персоналом, или принимает Запросы на Обслуживание от других подразделений ИТ-организации.

Являясь точкой контакта с пользователями, Служба Service Desk позволяет уменьшить нагрузку на другие ИТ-подразделения путем «перехвата» не относящихся к делу обращений и вопросов, на которые легко ответить. Служба Service Desk действует как фильтр, который пропускает звонки на вторую и третью линии поддержки, только когда это действительно необходимо. Как единая точка контактов, Service Desk всегда действует профессионально при общении с пользователями и оберегает их от бесконечных поисков решения.

Для обеспечения доступа в Службу Service Desk могут использоваться различные технические средства, хотя телефон и электронная почта являются самыми распространенными

СЛУЖБА SERVICE DESK

Прием пользовательских заявок осуществляется СПП одним из двух равнозначных способов:

· по телефону;

· с помощью ПО

Service Desk реализует следующие задачи:

- обеспечение единой точки контакта между пользователями и лицами, решающие заявки;

- организацию процесса приема, регистрации, а также решение «быстрых» заявок от пользователей;

- назначение заявок;

- отслеживание статуса заявки;

- контроль удовлетворенности пользователей решением заявок.

Программные комплексы автоматизации:

· CA Unicenter Service Desk.

· HP Open View.

· IBM Tivolli Service Desk.

УПРАВЛЕНИЕ ИНЦИДЕНТАМИ

Инцидент — это любое событие, не являющееся частью стандартных операций по предоставлению услуги, которое привело или может привести к нарушению или снижению качества этой услуги.

Целью Процесса Управления Инцидентами является скорейшее восстановление нормального Уровня Услуг, определенного в Соглашении об Уровне Услуг (Service Level Agreement — SLA), с минимальными возможными потерями для бизнес-деятельности организации и пользователей. Кроме того, Процесс Управления Инцидентами должен вести точную регистрацию инцидентов для оценки и совершенствования процесса и предоставления необходимой информации для других процессов.

Задача Процесса Управления Инцидентами является реактивной — уменьшение или исключение отрицательного воздействия (потенциальных) нарушений в предоставлении ИТ-услуг, таким образом, обеспечивая наиболее быстрое восстановление работы пользователей. Для выполнения этой задачи производится регистрация, классификация и назначение инцидентов соответствующим группам специалистов, мониторинг хода работ по разрешению инцидентов, решение инцидентов и их закрытие. Так как это требует тесного взаимодействия с пользователями, фокусной точкой Процесса Управления Инцидентами обычно является функция Service Desk, которая играет роль центра контактов пользователей с «внутренними» коллективами технических служб.

В контексте библиотеки ITIL инцидентами считаются не только ошибки аппаратного или программного обеспечения, но также и Запросы на Обслуживание.

Запрос на Обслуживание — это Запрос от Пользователя на поддержку, предоставление информации, консультации или документации, не являющийся сбоем ИТ-инфраструктуры.

Примеры Запросов на Обслуживание:

§ вопрос о функционировании ИТ-систем или запрос о предоставлении какой-либо информации;

 

УПРАВЛЕНИЕ ИНЦИДЕНТАМИ

§ запрос о состоянии (статусе) чего-либо в ИТ-инфраструктуре;

§ запрос о замене пароля;

§ запросы на выполнение пакетных заданий, восстановление или авторизацию пароля;

§ получение информации из базы данных.

Для того чтобы можно было отличить «настоящие инциденты» от «инцидентов-Запросов на Обслуживание», рекомендуется присваивать Запросам на Обслуживание специальную категорию. Важно также отметить, что Запрос на Обслуживание это не то же самое, что Запрос на Изменение;

Запрос на Изменение (RFC)это экранная или бумажная форма, используемая для записи детальной информации о предлагаемом Запросе на Изменение какой-либо Конфигурационной Единицы (CI) в ИТ-инфраструктуре или процедуры или какого-либо иного объекта ИТ-инфраструктуры.

Запрос на Изменение RFC считается завершенным после проведения изменения в инфраструктуре, например, замены зарегистрированных компонентов, инсталляции ПК и т. д. Это не инциденты, а изменения.