Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ЗИП_курс лекций.doc
Скачиваний:
3
Добавлен:
01.03.2025
Размер:
13.62 Mб
Скачать
  • Степень детализации предположения об услугах может оказать существенное влияние на результат анализа.

    Учет расходов

    Результат функции сервисно-ориентированного учета состоит в том, что достигаются намного большие подробности и понимание, касающиеся относительно предоставления и потребления услуги и появляются данные подаваемые непосредственно в процесс планирования.

    Функции и характеристики учета:

    • Регистрация услуги.

    • Типы затрат (аппаратные средства и ПО, оплата труда, управление).

    • Классификации расходов:

      • Капитальные/операционные.

      • Прямые/накладные.

      • Постоянные/переменные.

      • Единица затрат.

    Согласование

    • Согласование связано со способностью продемонстрировать, что используются надлежащие и непротиворечивые методы и/или практика учета затрат на ИТ-услуги.

    • Регулирующее согласование имеет тенденцию улучшать безопасность данных и качество процессов, создавая большую потребность в понимании стоимости согласования.

    • Услуги, предоставляемые в одну часть (область, сегмент) промышленности по определенной цене, могут быть предоставлены не обязательно по той же самой цене другой части (области, сегменту) промышленности.

    Динамика переменных издержек

    • Сосредотачивается на том, чтобы анализировать и понимать:

      • множество переменных (элементов), которые воздействуют на стоимость услуги;

      • насколько чувствительны эти элементы (переменные) к изменчивости, и связанным возрастающим изменениям ценности для результата;

      • возможных переменных компонентов стоимости услуги, которые могли быть включены в такой анализ:

    • Переменные компоненты стоимости услуги, которые могут быть включены в такой анализ:

      • Количество и тип пользователей.

      • Количество программных лицензий.

      • Зона охвата стоимости/действия центра обработки данных.

      • Механизмы предоставления.

      • Количество и тип ресурсов.

      • Стоимость добавления еще одного запоминающего устройства.

      • Стоимость добавления еще одной лицензии для конечного пользователя.

    Процесс управления спросом

    Основные понятия

    • Профиль бизнес-деятельности (Pattern of Business Activity - PBA ) – профиль полезной нагрузки одной или более деятельности бизнеса

    Профиль деятельности бизнеса используется для помощи Поставщику ИТ-услуг в понимании и планировании различных уровней бизнес-деятельности.

    • Полезная нагрузка (Workload) – ресурсы, необходимые для предоставления части ИТ-услуги.

    Полезные нагрузки могут быть классифицированы по Пользователям, группам Пользователей, или функциям в ИТ-услуге. Используется для облегчения анализа и управления Мощностями, Производительностью и Загруженностью – Конфигурационных единиц и ИТ-услуг. Термин «Полезная нагрузка» иногда используется как синоним «Пропускной способности».

    Профиль бизнес-деятельности (пример)

    Деятельности

    Уровни интенсивности деятельности

    Ввысокий

    3

    2

    1

    Ннизкий

    Ннет

    Взаимодействие с Заказчиками дистанционно (частота)

    Х

    Взаимодействие с Заказчиками локально (частота)

    Х

    Хранение или обработка информации о Заказчиках

    Х

    Обработка важной информации (персональных данных)

    Х

    Создание конфиденциальной информации

    Х

    Предоставление технической поддержки (частота)

    Х

    Поиск технической помощи

    Х

    Требования к полосе пропускания сети

    Х

    Требования к хранению данных (объем)

    Х

    Допустимое время задержки ответа на услугу

    Х

    Сезонные изменения в деятельности

    Х

    Печать документов и изображений

    Х

    Отправка документов по почте с использованием систем сторонних организаций

    Х

    Обработка информации с использованием беспроводных мобильных устройств

    Х

    Работа с электронной почтой с использованием беспроводных устройств

    Х

    Доступ к рабочим системам во время поездок по стране

    Х

    Доступ к рабочим системам во время поездок за границей

    Х

    Основные понятия

    Профиль пользователя (User Profile - UP) – шаблон потребления Пользователем ИТ-услуг.

    Каждый Профиль пользователя включает один или более Профилей бизнес-деятельностей.

    Управление Спросом (Demand Management) – действия по пониманию и влиянию на спрос Заказчика на Услуги и на обеспеченность Мощностями для удовлетворения этому спросу.

    На Стратегическом уровне Управление Спросом может использовать анализ Профилей бизнес-деятельностей и Профилей пользователей. На тактическом уровне оно может привлечь использование дифиренцированого возмещение расходов, чтобы поощрить Заказчиков использовать ИТ-услуги в менее загруженное время.

    Профили пользователей (пример)

    Профиль пользователя

    Применимые Профили бизнес-деятельностей (PBA)

    Коды

    PBA

    Высшее руководство

    Умеренные поездки по стране и за границей, наличие важной информации, нулевое время задержки на запросы на обслуживание, высокая потребность в технической помощи, должны быть всегда доступным для бизнеса

    45F

    45A

    35D

    Высоко мобильные руководители

    Обширные поездки по стране и за границей, наличие важной информации; низкое время задержки на запросы на обслуживание; умеренная потребность в технической помощи, частые контакты с Заказчиками, должны быть всегда доступными для Заказчиков

    45A

    35D

    22А

    Офисные сотрудники

    Работающие в офисе административные сотрудники; редкие поездки по стране; среднее время задержки на запросы на обслуживание; низкая потребность в технической помощи; достаточно характерные потребности в персональных компьютерах, умеренные контакты с Заказчиками; большой объем канцелярской работы; должны быть очень производительным в течение рабочего времени

    22А

    14В

    Сотрудники, работающие с платежной системой

    Бизнес-система; большой объем; основана на транзакциях; потребность высокой степени безопасности; малое время задержки на запросы на обслуживание; малые сезонные изменения деятельности; отправка документов по почте; автоматическое уведомление Заказчика; под соблюдением законов; потребность в низкой расходах на единицу; должны быть очень защищенными и прозрачными (аудит и контроль)

    12F

    Сотрудники, оказывающие помощь Заказчикам

    Бизнес-процесс; умеренный объем; основан на транзакциях; умеренные потребности безопасности; очень малое время задержки на запросы на обслуживание; средние сезонные изменения деятельности; отправка по почте сменных запасных частей; автоматическое уведомление Заказчика; должно быть очень чувствительными к Заказчикам

    24G

    10G

    Возможные трудности в управлении спросом на услуги:

    • Спрос, которым плохо управляют, - источник риска для поставщиков услуг из-за большой неопределенности.

    • Избыточные мощности ведут к расходам, не создающим добавочной стоимости.

    • Заказчики отказываются платить за простаивающие мощности, если они не представляют ценности для них.

    • Определенное количество неиспользуемой мощности необходимо для обеспечения соответствующего уровня услуги.

    • Недостаточная мощность оказывает влияние на качество и на границы роста услуги.

    • Производство услуги не может произойти без присутствия спроса, который удовлетворяется в результате.

    • Методики управления спросом, такие как формирование стоимости для непиковой нагрузки, скидки с объема и различные уровни услуги (обслуживания) могут влиять на обслуживание потока запросов в определенных пределах.

    • Потребление порождает спрос, и производство потребляет спрос в четко синхронизированных пределах.

    • В отличие от товаров, услуги не могут быть произведены заранее, учтены и отданы на хранение в ожидании спроса.

    • Спрос и мощность гораздо более сильно связаны в системах обслуживания даже по сравнению производством, организованным по принципу «точно в срок».

    Тесная взаимосвязь между спросом и мощностями

    Бизнес действия влияют на модели спроса на услуги

    Процессно-ориентированное управление спросом

    Сертификация инструментария

    1. Сертификация по PinkVerify

    (компания Pink Elephant)

    http://www.pinkelephant.com/home/?LangType=2057

    2. Сертификация по itil v3

    (сайт APM Group)

    http://www.itil-officialsite.com/SoftwareScheme/ITILSoftwareScheme.asp

    Внедрение

    Фазы внедрения:

    1. Принятие решения.

    2. Внедрение.

    3. Повседневное функционирование.

    Фаза «Принятие решения»

    Фаза «Внедрение»

    Фаза «Повседневное функционирование»

    Внедрение ISO 20000

    ISO/IEC 20000-5 – Part 5: Exemplar implementation plan for ISO/IEC 20000-1

    Общеизвестные корпоративные

    практики по управлению

    ИТ-услугами

    Общеизвестные корпоративные практики по управлению ИТ-услугами:

    • Компания Майкрософт - Microsoft Operations Framework (MOF) .

    • Компания Hewlett Packard - HP ITSM Reference Model .

    • Компания IBM - Information Technology Unified Process – (ITUP) .

    Жизненный цикл услуги, ключевые принципы и модели

    Стратегия услуг

    Предназначение стратегии услуг

    • Чтобы успешно работать и расти в долгосрочном периоде, у поставщиков услуг должна быть способность думать и действовать стратегическим способом.

    • Достижение стратегических целей требует использования стратегических активов.

    • Стратегическое управление ИТ показывает, как преобразовать управление услугами в стратегический актив.

    Стратегическое управление (Governence) – гарантирование, что политики и стратегии действительно внедрены, и что необходимые процессы точно выполняются. Руководство включает определение ролей и ответственностей, проведение измерений, формирование отчетности и реализации действий по разрешению выявленных проблемных вопросов.

    Схема стратегического управления предприятием

    Стратегическое управление ИТ:

    • Стратегическое управление ИТ – ответственность совета директоров и исполнительных директоров (менеджеров);

    • Стратегическое управление ИТ – интегральная часть стратегического управления предприятием и состоит из лидерства, организационной структуры и процессов, которые гарантируют, что ИТ организации поддерживают и расширяют стратегии и цели организации;

    • Стратегическое управление ИТ затрагивает все области, указанные на Схеме стратегического управления предприятием;

    • Какие хорошие практики по ITSM использовать в организации?

    • В результате такого стратегического руководства ИТ, само ИТ становится услугой для бизнеса организации.

    Вопросы, на которые отвечает стратегия услуг

    Стратегическое управление отвечает на вопросы следующего вида:

    • Какие услуги мы должны предложить и кому?

    • Как мы отделяем нас от конкурирующих альтернатив?

    • Как мы действительно создаем стоимость для наших Заказчиков?

    • Как мы фиксируем ценность для наших заинтересованных сторон?

    • Как мы можем создать случай для стратегических инвестиций?

    • Как Управление Финансами может обеспечить видимость и контроль над созданием ценности?

    • Как мы должны определять качество услуги?

    • Как мы делаем выбор между различными вариантами, чтобы улучшить качество услуги?

    • Как мы эффективно распределяем ресурсы через портфель услуг?

    • Как мы решаем противоречивые запросы на общедоступные ресурсы?

    Основные понятия

    Ресурс (Resource) – общий термин, который включает ИТ-инфраструктуру, людей, деньги или что-нибудь еще, что могло бы помочь предоставлять ИТ-услугу.

    Ресурсами, как полагают, являются Активы Организации.

    Способность (Capability) – возможность Организации, человека, Процесса, Приложения, Конфигурационной единицы или ИТ-услуги выполнить деятельность.

    Способности - нематериальные активы Организации.

    Актив (Asset) – любой Ресурс или Способность. Активы поставщика услуг включают в себя все, что задействовано в предоставлении услуги.

    Ресурсы и Способности = Активы

    Основные понятия

    Полезность (Utility) – функциональные возможности, предлагаемые продуктом или Услугой, чтобы удовлетворить специфическую потребность.

    Полезность часто получается в итоге как 'что она делает'

    Гарантия (Warranty) – обязательство или гарантия того, что продукт или Услуга будет удовлетворять согласованным требованиям.

    Полезность - это то, что получает Заказчик, и

    Гарантия – это то, как Заказчику это предоставляется.

    Логика создания добавочной стоимости через услугу

    Риск (Risk) – неопределенность результата, или позитивная возможность, или отрицательная угроза.

    Схема управления рисками

    Создание добавочной стоимости путем предоставления услуги

    Экономическая ценность услуги

    Рыночное мышление начинается с простых вопросов:

    • Каков наш бизнес?

    • Кто наш Заказчик?

    • Что представляет собой ценность Заказчика?

    • Кто зависит от наших услуг?

    • Как они используют наши услуги?

    • Почему они ценны для них?

    Автоматизация для улучшения полезности и гарантии услуги

    • Мощность автоматизированных ресурсов может быть более легко откорректирована в ответ на изменение объема спроса на эти ресурсы.

    • Автоматизированные ресурсы могут обеспечивать мощности с меньшим количеством ограничений на время доступа.

    • Автоматизированные системы представляют хорошую основу для измерения и улучшения процессов оказания услуг, при сохранении неизменности человеческих ресурсов. И наоборот, они могут использоваться, чтобы измерить дифференциальное влияние на качество и затраты на услуги от переменных уровней знания, навыков и опыта человеческих ресурсов.

    • Много проблем оптимизации, таких как планирование, маршрутизация и распределение ресурсов требуют вычислительной мощности, которая лежит вне человеческих способностей.

    • Автоматизация - средство для того, чтобы фиксировать знание, требуемое для процесса оказания. Задокументированное знание относительно просто распространить по всей организации непротиворечивым и безопасным способом. Это сокращает амортизацию знания, когда служащие перемещаются по организации или надолго уезжают.

    Рекомендации по автоматизации

    • Упростите процессы услуги прежде, чем автоматизировать их.

    • Сделайте понятными поток действий, распределение задач, потребности в информации, и взаимодействии.

    • В ситуациях самообслуживания, сократите объем контактов пользователей, имеющих дело основными системами и процессами.

    • Не спешите автоматизировать задачи и взаимодействия, которые не ни просты, ни стандартны в терминах входной информации, ресурсов и результатов.

    Проектирование услуг

    Предназначение стадии Проектирования Услуг - проектирование новых или измененных услуг для последующего их ввода в среду промышленной эксплуатации.

    Важно, что был принят целостный, системный подход ко всем аспектам проектирования, и чтобы при изменении или исправлении любого из индивидуальных элементов проектирования все другие аспекты проектирования были рассмотрены.

    Основные цели проектирования услуг:

    • Проектирование услуг для достижения целей бизнеса.

    • Проектирование услуг с целью уменьшения, минимизации или сдерживания долгосрочных расходов на предоставление услуг.

    • Проектирование эффективных и результативных процессов для управления услугами в течение их жизненного цикла.

    • Определение и управление рисками.

    • Проектирование безопасных и эластичных ИТ-инфраструктур, среды, приложений и ресурсов выполняющих текущие и будущие потребности бизнеса и Заказчиков

    • Проектирование методов измерения и метрик для оценки эффективности и результативности процессов проектирования и их результатов.

    • Разработка и поддержание в актуальном состоянии планов ИТ, процессов, политик, архитектуры, методологий и документов для проектирования качественных ИТ-решений.

    • Помощь в разработке политик и стандартов во всех областях проектирования и планировании ИТ-услуг и процессах.

    • Развитие навыков и возможностей в пределах ИТ.

    • Обеспечение совершенствования качества ИТ-услуг.

    Ценность для бизнеса от Проектирования услуг

    • Сокращение совокупной стоимости владения (TCO).

    • Улучшение качества услуг.

    • Улучшение целостности услуги.

    • Более простое внедрение новых или измененных услуг.

    • Улучшение соответствия услуг потребностям бизнеса.

    • Более эффективная производительность услуг.

    • Улучшение стратегического управления ИТ.

    • Более эффективное Управление услугами и процессами ИТ.

    • Улучшение управленческой информации и принятия решений.

    Персонал, Процессы, Продукты, Партнеры

    Пять аспектов Проектирования услуг

    1. Новые или измененные услуги.

    2. Системы и инструментальные средства управления услугами, особенно Портфель Услуг, включающий Каталог услуг.

    3. Архитектура технологии и системы управления.

    4. Необходимые процессы.

    5. Методы измерения и метрики.

    Портфель услуг – центральное хранилище

    Портфель услуг и его содержание

    Проектная документация услуги

    Проектная документация услуги (Service Design Package) – документ(ы), определяющий все стороны ИТ-услуги и требования к ней в течение каждой стадии ее жизненного цикла.

    Проектная документация услуги разрабатывается для каждых новой ИТ-услуги, крупного изменения или вывода из эксплуатации услуги.

    Содержание проектной документации услуги:

    Категория

    Подкатегория

    Требования

    Требования бизнеса

    Применимость услуги

    Контакты по услуге

    Проект услуги

    Требования к функциональным возможностям услуги

    Требования к уровню услуги (SLR)

    Требования к управлению услугой и к ее эксплуатации

    Проект услуги и топология

    Организационная

    Организационная

    Оценка готовности

    Оценка готовности

    План жизненного цикла услуги

    Программа услуги

    План преобразования (ввода в эксплуатацию) услуги

    План приемки услуги в эксплуатацию

    Критерии приемки услуги

    Преобразование услуг

    Предназначение Преобразования услуг:

    • Планирование и управление мощностью и ресурсами, необходимыми для формирования пакетов, сборки, тестирования и развертывания релиза в производство и установления услуги, определенной в требованиях Заказчика и заинтересованных сторон.

    • Предоставлять непротиворечивую и точную основу для оценки возможностей услуги и профили рисков прежде, чем новая или измененная услуга будет выпущена или развернута.

    • Установление и поддержание целостности всех идентифицированных активов услуги и конфигураций, поскольку они развиваются в течение стадии Преобразования Услуг.

    • Обеспечение высококачественных знаний и информации так, чтобы Управление изменениями, Управление релизами и их развертыванием могло ускорить эффективные решения о продвижении релиза через испытательные среды и в производство.

    • Обеспечение эффективных повторяемых сборок и инсталляционных механизмов, которые могут использоваться, чтобы развернуть релизы для тестирования и в промышленных средах и быть перестроенными если потребуется восстановить услугу.

    • Гарантирование того, что услугой можно управлять, она эксплуатируется и поддержана в соответствии с требованиями и ограничениями, определенными в рамках стадии Проектирования Услуг.

    Цели Преобразования услуг:

    • Установление ожиданий Заказчика о том, как производительность и предоставление новой или измененной услуги могут использоваться, чтобы сделать возможным изменение в бизнесе.

    • Предоставление возможности проекту изменения в бизнесе или Заказчику интегрировать релиз в их бизнес-процессы и услуги.

    • Уменьшение изменений в предсказанной и фактической производительности преобразуемых услуг.

    • Уменьшение известных ошибок и минимизация рисков от смены новых или измененных услуг, выпускаемых в производство.

    • Обеспечение использования услуги в соответствии с требованиями и ограничениями, установленными в требованиях к ней.

    Целевые задачи Преобразования услуг:

    • Планирование и управление ресурсами, для успешного установления новой или измененной услуги в производство в пределах предсказанных стоимости, качества и сроков.

    • Обеспечение того, что есть минимальное не предсказанное влияние на промышленные услуги, операции и организацию поддержки.

    • Увеличение удовлетворенности Заказчика, пользователя и сотрудников Управления услугами практикой Преобразования Услуг, включая развертывание новой или измененной услуги, связи, коммуникации, документацию, обучение и передачу знаний

    • Увеличение надлежащего использования услуг и основных приложений и технологических решений.

    • Предоставление точных и комплексных планов, которые обеспечивают возможность действиям Заказчиков и проектам изменений в бизнесе соответствовать планам Преобразования Услуг.

    Ценность для бизнеса от Преобразования услуг:

    Преобразование Услуг добавляет ценность бизнесу на основе улучшения:

    • Способности быстро адаптироваться к новым требованиям и развитию рынка ('конкурентного превосходства').

    • Управления преобразованиями, слияниями, разъединениями, приобретениями и передачей услуг.

    • Повышения доли успешных изменений и релизов для бизнеса.

    • Предсказаний уровней услуги и гарантий для новых и измененных услуг.

    • Уверенности в степени согласованности с бизнесом и требованиями стратегического управления во время изменения.

    • Фактических изменений в сравнении с предполагаемыми и утвержденными планами ресурсов и бюджетов.

    • Производительности сотрудников бизнес-подразделений и Заказчиков из-за лучшего планирования и использования новых и измененных услуг.

    • Своевременной отмены или изменений в эксплуатационных контрактах для аппаратных средствах и программном обеспечении, когда компоненты распределены или списаны.

    • Понимания уровня риска в течение и после изменения, например выход из строя услуги, отказ и переделка.

    Эксплуатация услуг

    Предназначение Эксплуатации услуг состоит в том, чтобы координировать и выполнять действия и процессы, необходимые для предоставления и управления услугами с согласованными уровнями услуг для бизнес пользователей и Заказчиков.

    Эксплуатация услуг также ответственно за повседневное управление технологией, которая используется, чтобы поставлять и поддержать услуги.

    Ценность для бизнеса от Эксплуатации услуг

    С точки зрения Заказчика Эксплуатация услуг – эта та стадия, где становится видна фактическая ценность услуги.

    Включает стратегическое управление для достижения эффективности и результативности в предоставлении и поддержке услуг, чтобы гарантировать ценность для Заказчика и поставщика услуг.

    Достижение стратегических целей.

    Стратегическое управление в обеспечении стабильности в ЭксплуатацииУслуг, учитывая изменения в проектировании, масштабах, области действия и уровнях услуг.

    Предоставление методов, процессов по превентивному и реактивного контролю

    Предоставление знаний в принятии решений в управлении управление доступностью услуг, управление спросом, оптимизация использования мощностей, планирование операций и фиксации проблем.

    Стратегическое управление в поддержке эксплуатации новых моделей и архитектур.

    Коммуникации на стадии Эксплуатации услуг:

    • Это не отдельный процесс, а перечень контрольных операций типа обмена информацией, которые требуются для эффективной Эксплуатации услуг.

    • Важный принцип - у всякой коммуникации должны быть определенная цель или результирующее воздействие.

    Типы коммуникаций

    • Стандартная оперативная коммуникация.

    • Коммуникация между сменами.

    • Отчетность о производительности.

    • Коммуникация в проектах.

    • Коммуникация, связанная с изменениями.

    • Коммуникация, связанная с исключениями.

    • Коммуникация, связанная с чрезвычайными ситуациями.

    • Обучение новым или настроенным процессам и спроектированным услугам.

    • Коммуникация стратегии и проектирования для команд Эксплуатации услуг.

    Способы коммуникации:

    • Встречи (собрания).

    • Рабочие совещания (планерки).

    • Совещания (собрания) департаментов, групп или команд.

    • Встречи с Заказчиками.

    Постоянное улучшение услуг

    Основное предназначение Постоянного улучшения услуг состоит в том, чтобы постоянно приводить в соответствие и перестраивать ИТ-услуги к изменяющимся потребностям бизнеса, определяя и осуществляя совершенствования в тех ИТ-услугах, которые поддерживают бизнес-процессы.

    Вы не можете управлять тем, что Вы не можете контролировать.

    Вы не можете контролировать то, что Вы не можете измерить.

    Вы не можете измерить то, что Вы не можете определить.

    Цели Постоянного улучшения услуг:

    • Обзор, анализ и разработка рекомендаций о возможностях совершенствования в каждой фазе жизненного цикла услуги ИТ: Стратегии Услуг, Проектировании Услуг, Преобразовании Услуг и Эксплуатации услуг.

    • Обзор и анализ результатов достижений уровней услуг.

    • Идентификация и осуществление индивидуальных действий, чтобы улучшить качество ИТ-услуги и улучшить эффективность и результативность процессов ITSM.

    • Улучшение эффективности издержек на предоставленные ИТ-услуги, не жертвуя удовлетворенностью Заказчика.

    • Обеспечение того, что используются соответствующие методы управления качеством, чтобы поддержать деятельность по постоянному улучшению.

    Цикл Деминга

    Основные понятия

    • Метрика (Metric) – характеристика (параметр), используемая для измерения и управления процессом, ИТ-услугой или деятельностью.

    • Ключевой показатель производительности (Key Perfomance Indicatior - KPI) – метрика, которая используется для управления процессом, ИТ-услугой или деятельностью. Множество метрик могут быть измерены, но только важнейшие определяются как KPI и используются для отчетности и управления процессом, ИТ-услугой или деятельностью.

    • Базовое состояние (Baseline) – зафиксированное состояние, используемое как ориентир (контрольная точка) для последующего сравнения.

    Базовые состояния:

    • Для определения улучшения должны быть установлены базовые состояния.

    • Базовые состояния – это маркеры или точки отсчета для дальнейшего сравнения

    • Базовые состояния должны быть установлены на каждом уровне:

        • стратегические предназначения и цели,

        • тактическая зрелость процесса,

        • оперативные метрики и KPIs.

    Типы метрик

    • Метрики технологии (технологические метрики) - Эти метрики часто связывают с метриками компонент ИТ-инфраструктуры и метриками приложений, такими как производительность, доступность и т.д.

    • Метрики процесса - Эти метрики зафиксированы в виде критических факторов успеха (CSFs), ключевых показателей эффективности (KPIs) и метрик действий и процессов управления услугами.

    • Метрики услуги - Эти метрики - результаты конечной услуги.

    Цикл Деминга для постоянного улучшения услуг

    Модель постоянного улучшения услуг

    Стандарт iso 20000

    ISO/IES 20000 состоит из пяти частей:

    • ISO/IEC 20000-1 – Part 1: Specification (Часть 1. Спецификация);

    • ISO/IEC 20000-2 – Part 2: Code of practice (Часть 2. Кодекс практической деятельности);

    • ISO/IEC 20000-3 – Part 3: Guidance for the scoping and applicability of ISO/IEC 20000-1 (Часть 3. Руководство по определению области действия и применимости первой части стандарта);

    • ISO/IEC 20000-4 – Part 4: Process Reference Model (Часть 4. Эталонная модель процессов);

    • ISO/IEC 20000-5 – Part 5: Exemplar implementation plan for ISO/IEC 20000-1 (Часть 5. Образец плана внедрения первой части стандарта).

    Резюме по стандарту ISO 20000

    Стандарт (часть 1 стандарта) устанавливает:

    • Требования к системе управления ИТ-услугами

    • Требования к совершенствованию этой системы и ИТ-услуг

    Определение системы управления

    Система - множество взаимосвязанных элементов, которые функционируют совместно для достижения общей цели.

    Например:

        • Компьютерная система, включая аппаратные средства, программное обеспечение и Приложения

        • Система управления, включая множественные Процессы, которые спланированы и управляются вместе. Например, Система Управления качеством

    Система управления - структура, состоящая из взаимосвязанных Политик, Процессов и Функций, которая гарантирует, что Организация может достигнуть своих Целей.

    Состав системы управления ИТ-услугами:

    • Взаимосвязанные и задокументированные процессы;

    • Персонал ИТ-подразделений и представитель Руководства;

    • Инструментарий (система и/или средства автоматизации).

    Доступность – способность компонента или услуги выполнять свои функции в определенный момент или в течение определенного промежутка времени.

    Конфигурационный элемент – компонент инфраструктуры или элемент, который находится или будет находиться под контролем процесса управления конфигурациями.

    Базис – описание состояния услуги или отдельных конфигурационных элементов в определенный момент времени.

    Запись об изменении – запись, содержащая сведения о том, на какие конфигурационные элементы и каким образом авторизованное изменение оказывает влияние.

    Модель процессов

    Модель совершенствования управления услугами и самих услуг

    Обзор mof

    Жизненный цикл ИТ-услуги

     Жизненный цикл ИТ-услуги состоит из последовательных этапов, начиная с планирования и оптимизации для приведения услуги в соответствие с бизнес-стратегией, включая разработку и внедрение ИТ-услуги, с последующей повседневной эксплуатацией и поддержкой. Основополагающими для всех вышеуказанных этапов являются процессы управления ИТ, управление рисками, обеспечение соответствия нормативным требованиям, управление ИТ персоналом и управление изменениями.

    Этапы жизненного цикла

    Жизненный цикл ИТ-услуги состоит из трех чередующихся этапов и одного основополагающего уровня, охватывающего все этапы:

    • Этап «Планирование».

    • Этап «Внедрение».

    • Этап «Эксплуатация».

    • Уровень «Управление».

    Рис. Жизненный цикл ИТ-услуги

    Скорее всего, ваше ИТ-подразделение одновременно управляет несколькими услугами, которые находятся на разных этапах своего жизненного цикла. Максимальные преимущества использования методологии MOF можно получить только при условии полного понимания, как протекают и взаимодействуют этапы жизненного цикла.

    • Этап «Планирование», как правило, считается подготовительным. Он предполагает планирование и оптимизацию стратегии предоставления ИТ-услуг для соответствия бизнес-целям и задачам.

    • Затем начинается этап «Внедрение». Цель его - удостовериться, что все ИТ-услуги рационально разработаны, успешно внедрены и готовы к эксплуатации.

    • Далее следует этап «Эксплуатация», направленный на оптимальное использование, обслуживание и поддержку ИТ-услуг в соответствии с потребностями и ожиданиями компании.

    • Уровень «Управление» — это основа жизненного цикла ИТ-услуги. Он описывает принципы и рекомендованные практики по предоставлению ИТ-услуг, обеспечивающие ожидаемые коммерческие преимущества от инвестиций в ИТ с приемлемым уровнем риска. Этот уровень оперирует такими понятиями, как управление ИТ, риски, соответствие нормативным требованиям, роли и обязанности, управление изменениями и конфигурациями. Процессы данного уровня выполняются на всех этапах жизненного цикла.

    Следование рекомендациям MOF помогает решить ряд задач:

    • Снизить вероятность возникновения рисков благодаря улучшенной координации работы команд.

    • Выявить последствия несоответствия нормативным требованиям при проверке политик.

    • Предусмотреть проблемы, связанные с надежностью, и «смягчить» их воздействие.

    • Выявить возможные проблемы с интеграцией решения до внедрения его в рабочей среде.

    • Предотвратить проблемы с производительностью благодаря установке ее предусмотренных пороговых значений.

    • Эффективно адаптироваться к новым бизнес-потребностям.

    Первоначальный релиз ИТ-услуги, как правило, есть результат новой инициативы со стороны бизнеса или ИТ. На всем протяжении жизненного цикла услуги, при внесении в нее изменений (как незначительных, так и кардинальных) необходимо придерживаться этапов жизненного цикла MOF.

    Используйте этапы жизненного цикла ИТ-услуги MOF независимо от масштабов изменения и его влияния. Степень формальности, с которой применяется подход к жизненному циклу, соразмерен риску, связанному с внесением изменения. На практике выполняйте только то, что необходимо в каждом конкретном случае: не больше и не меньше. Так, крупная инициатива (например, внедрение новой услуги, от которой зависит исполнение бизнес-функций предприятия) требует тщательного предварительного анализа и проверки на этапе «Планирование», составления полного проектного плана на этапе «Предоставление», а также подготовки к внедрению, поддержке и мониторингу этой услуги ИТ-подразделением на этапе «Эксплуатация».

    Незначительное и, следовательно, менее рискованное изменение проходит этапы своего жизненного цикла быстрее. Предположим, необходимо изменить структуру веб-узла компании. Поскольку это нестандартное изменение, нужно использовать жизненный цикл ИТ-услуги MOF. На этапе «Планирование» определяются потребности компании, проверяются политики и выбирается компромиссный, с точки зрения надежности, вариант. На этапе «Предоставление» изменения разрабатываются и тестируются. На этапе «Эксплуатация» изменение внедряется в рабочую среду, по результатам мониторинга услуги в нее вносятся необходимые корректировки, а пользователям помогают устранить возникшие при этом проблемы. Изменения с минимальным уровнем риска потребуют для этого минимум времени и процессов MOF.

    Функции управления ит-услугами в составе этапов

    Каждый этап жизненного цикла ИТ-услуги обладает функциями сервисного управления ИТ-услугами (SMF-функции), которые определяют процессы, персонал и действия, необходимые для приведения ИТ-услуги в соответствие с потребностями бизнеса. Для каждой SMF-функции разработано отдельное руководство с описанием самой функции, а также процессов и действий в ее составе.

    На рис. представлены этапы жизненного цикла ИТ-услуги и SMF-функции.

    Рис. Этапы жизненного цикла ИТ-услуги и их SMF-функции

    Каждую SMF-функцию можно представить в виде автономного набора процессов, однако важно понимать, как SMF-функции на всех этапах обеспечивают должное качество услуг при приемлемом уровне риска. При необходимости SMF-функции могут выполняться как последовательно (этап «Предоставление»), так и одновременно (этап «Эксплуатация»).

    Управленческий анализ

    На каждом этапе жизненного цикла управленческий анализ служит для оценки состояния ИТ-услуг и их готовности к переходу на следующий этап. Управленческий анализ — это внутренний контроль, обеспечивающий достижение целей и соблюдение коммерческих приоритетов на всем протяжении жизненного цикла ИТ-услуги. Управленческий анализ преследует четкие цели на любом этапе жизненного цикла:

    • Предоставляет управленческий контроль для руководства

    • Служит в качестве внутреннего контроля на этапах жизненного цикла ИТ-услуги.

    • Оценивает состояние текущей деятельности и предотвращает преждевременный переход на следующий этап.

    • Консолидирует накопленные внутриорганизационные знания.

    • Усовершенствует процессы.

    Управленческий анализ сравнивает критерии перехода на следующий этап жизненного цикла с фактически достигнутыми результатами. Это позволяет проверить, достигнуты ли поставленные бизнес-цели и будут ли преимущества использования ИТ-услуги соответствовать ожидаемым

    В следующей таблице представлены виды управленческого анализа, их распределение по этапам жизненного цикла ИТ-услуги, входные данные и результаты.

    Таблица 1. Виды управленческого анализа MOF

    Управленческий анализ

    Этап

    Входные данные

    Конечный результат

    Согласование услуги

    Планирование

    • Результаты обзора эксплуатационного состояния (Operations Health Review)

    • Соглашения об уровне обслуживания (SLA)

    • Информация, полученная от заказчика

     

    • Возможность инициации нового проекта или программы усовершенствования

    • Запрос на изменение SLA

    Портфолио

    Планирование

    • Планы проектов

     

    • Формирование рабочей группы

    • Исходный устав проекта

    Утверждение плана проекта

    Внедрение

    • Бизнес-требования

    • Формулировка концепции

     

    • Формирование проектной группы

    • Утвержденный план проекта

    Готовность релиза

    Внедрение

    • Документация, подтверждающая, что релиз отвечает требованиям

    • Документация, подтверждающая, что релиз стабилен

    • Документация, подтверждающая, что релиз готов к использованию

     

    • Решение о готовности/ неготовности релиза

    Эксплуатационное состояние

    Эксплуатация

    • Документы по соглашениям об уровне операционного обслуживания (OLA)

    • Отчеты о фактических значениях метрик OLA

    • Руководства по эксплуатации и специификации решения

     

    • Запрос на изменение OLA

    • Запрос на изменение ИТ-услуг

    • Изменение конфигурации ключевых компонентов технологии

    Политика и контроль

    Управление

    • Политики эксплуатации и безопасности

    • Нарушения политик, инциденты, связанные с несоблюдением соответствия нормативным требованиям

    • Запросы на изменение политик

    • Изменение норм, стандартов или отраслевых образцов

     

    • Запросы на изменение политик и мер контроля

    • Запросы на изменение управления политиками и мерами контроля

    На рис. 3 представлены этапы жизненного цикла ИТ-услуги и связанные с ними виды управленческого анализа.

    Рис. Этапы жизненного цикла ИТ-услуги с видами управленческого анализа

    Обзор cobit

    «Цели контроля для информации и ИТ»

    Стандарт COBIT включает в себя совокупность взаимосвязанных ИТ-процессов, которые определяет наилучшую практику управления ИТ, кроме этого он отвечает на вопросы «Что контролировать с точки зрения ИТ? Как контролировать? Как оценивать эффективность процессов управления ИТ в организации?»

    Стандарт COBIT включает в себя несколько книг, их структура:

    Краткое изложение для руководства

    Основы

    Методика внедрения

    Руководство по управлению

    Цели контроля

    Руководство по проведению аудита

    Обзор практического опыта

    Руководство по внедрению

    В стандарте COBIT выделены основных 34 процесса, которые разбиты на 4 основные группы, которые привязаны к жизненному циклу системы.

    1 группа: Планирование и Организация (ПО). Здесь определены процессы, которые охватывают вопросы стратегии, тактики и путей развития ИТ.

    2 группа: Приобретение и Внедрение (ПВ). Здесь рассматриваются ИТ-процессы, которые касаются приобретения, разработки новых решений, а также внесения изменений в существующие.

    3 группа: Эксплуатация и Сопровождение (ЭС). Это процессы, которые фактически предоставляют ИТ-услуги.

    4 группа: Контроль (К). Это процессы, связанные с мониторингом и аудитом.

    На этапе ПО выделяются 11 ИТ-процессов (ПО9 – оценка рисков, ПО10 – управление проектами, ПО2 – определение информационной архитектуры и т.п.). На этапе ПВ выделяют 6 процессов (ПВ6 – управление изменениями, ПВ2 – приобретение и поддержка приложений). На этапе ЭС выделяют 13 процессов (ЭС1- определение и управление уровнем услуг, ЭС11 – управление данными, ЭС4 –обеспечение непрерывности обслуживания). Контроль (проведение независимого аудита, и т.п.).

    Многие процессы совпадают с процессами ITIL.

    Внедрение COBIT в большей степени ориентировано не реализацию 7 требований к информации, полезность, эффективность, конфиденциальность, целостность, доступность, соответствие требованием, достоверность.

    Полезность информации – это ее актуальность, своевременной поставки, непротиворечивость и пригодность к использованию.

    Эффективность – предоставление информации на основе оптимального использования ресурсов.

    Соответствие требованиям законодательства и бизнес проекту.

    Достоверность – полезность информации для руководства, возможность принимать на ее основе обоснования решения.

    Каждый из 34 процессов, направлены на реализацию одного, либо нескольких свойств информации, причем выделены для каждого свойства основные и второстепенные процессы.

    COBIT также определяет те ресурсы, которые используются для достижения данных свойств. Эти ресурсы разбиты на 5 категорий: персонал, приложения, технологии, инфраструктура и данные. COBIT также определяет какие ИТ-процессы какие требования реализуют и информацию, какие при этом используются ресурсы.

    В книге «Руководство по управлению» определяется уровень развития процессов организации по шкале от 0 до 5 (0 – хаос, 5- все хорошо).

    Данная модель в дальнейшем используется при проведении аудита процессов, по результатам которого оценивается соответствие процесса установленным в COBIT требованиям. Для каждого из процессов определены ключевые показатели достижения цели, которые и определяют требования бизнеса к этому процессу. Кроме этого, определены ключевые показатели деятельности, оценивая которые можно сказать насколько хорошо процесс выполняет свои функции.

    В «Руководстве по проведению аудита» указываются каким образом оценивать соответствие процесса установлением требованием.

    В книге «Методики внедрения» указывается план мероприятий по внедрению COBIT в организацию.

    К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых, тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий (табл.2.1).

    Таблица. Сравнение некоторых стандартов и концепций аудита информационных технологий

    COBIT

    SAC

    COSO

    SAS 55/78

    Целевая аудитория

    TOP-менеджеры, пользователи, аудиторы информационных систем

    Внутренние аудиторы компании

    TOP-менеджеры

    Внешние аудиторы

    Под аудитом понимается

    Системный процесс проверки на соответствие декларируемым целям политики безопасности, Организацию обработки данных, норм эксплуатации

    Системный процесс проверки на соответствие декларируемым целям бизнес-процессов, политики безопасности и кадровой политики

    Системный процесс проверки на соответствие декларируемым целям бизнесс-процессов, а также политики безопасности компании.

    Системный процесс проверки на соответствие декларируемым целям бизнесс-процессов, а также политики безопасности компании.

    Цели аудита

    Развитие бизнеса, повышение его эффективности и рентабельности, следование нормативно-правой базы

    Развитие бизнеса, финансовый контроль, следование нормативно-правой базы

    Развитие бизнеса, финансовый контроль, следование нормативно-правой базы

    Развитие бизнеса, финансовый контроль, следование нормативно-правой базы

    Область применения

    Планирование и организация, постановка задач и выполнение, эксплуатация и сопровождение, мониторинг

    Управление производством, эксплуатация автоматизированных и автоматических систем управления

    Управление производством, риск-менеджмент, управление информационными системами, мониторинг корпоративных информационных систем

    Управление производством, управление рисками, мониторинг и управление корпоративными информационными системами

    Акцент

    Информационный менеджмент

    Информационный менеджмент

    Менеджмент

    Финансовый менеджмент

    Срок действия сертификата аудита

    интервал времени

    Время проверки

    интервал времени

    Интервал времени

    Заинтересованные лица

    TOP-менеджеры компании

    TOP-менеджеры компании

    TOP-менеджеры компании

    TOP-менеджеры компании

    Объем документов, регламентирующих проведение аудита

    4 документа общим объемом 187 страниц

    12 частей общим объемом 1193 страниц

    4 тома общим объемом 353 страниц

    2 документа общим объемом 63 страницы

    Ассоциация ISACA, в отличие от других, занимается открытым аудитом информационных систем. Она основана в 1969 году и в настоящее время объединяет более 23000 членов из более чем 100 стран, в том числе и России. Ассоциация ISACA координирует деятельность более чем 26000 аудиторов информационных систем (CICA - Certified Information System Auditor), имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции.

    Ассоциация ISACA под аудитом информационной безопасности в информационной системе понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели предприятии в части эффективности информационных технологий.

    По заявлениям руководящих органов ISACA основная цель ассоциации - исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем. В интересах профессиональных аудиторов, руководителей информационных систем, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по компании управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названием COBIT 3rd Edition (Control Objectives for Information and related Technology), который состоит из четырех частей.

    • Часть № 1: Краткое описание концепции (Executive Summary).

    • Часть № 2: Определения и основные понятия (Framework). Помимо требований и основных понятий в этой части сформулированы требования к ним.

    • Часть № 3: Спецификации управляющих процессов и возможный инструментарий (Control Objectives).

    • Часть № 4: Рекомендации по выполнению аудита компьютерных информационных систем (Audit Guidelines).

    Третья часть этого документа в некотором смысле аналогична международному стандарту ISO/IEC 17799:2000 (BS 7799-1:2000). Примерно также подробно приведены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT (Control Objectives for Information and related Technology - контрольные объекты информационной технологии) - пакет открытых документов, первое издание которого было опубликовано в 1996 году. COBIT описывает универсальную модель управления информационной технологией, представленную на рис. 2.2.

    Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. В модели COBIT присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес - процессе. Информационная технология должна удовлетворять требованиям бизнес - процесса. Эти требования cгруппированы следующим образом.

    • Во-первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например: стиль, удобство интерфейсов. Характеристики доставки информации получателю - показатели, в обобщенном виде входящие в показатели доступности и частично в показатели конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии.

    • Во-вторых, доверие к технологии - группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность.

    • В третьих, показатели информационной безопасности - конфиденциальность, целостность и доступность обрабатываемой в системе информации.

    Рис. Универсальная модель управления информационной технологией, в соответствии со стандартом COBIT.

    Рис. Задачи стандарта COBIT.

    В стандарте COBIT выделены следующие этапы проведения аудита.

    • Подписание договорной и исходно-разрешительной документации. На этом этапе определяются ответственные лица со стороны предприятия и аудиторской компании, устанавливаются рамки проведения аудита, указываются контролируемые элементы информационной системы, составляется и согласовывается необходимая документация. По результатам предварительного аудита всей информационной системы проводится углубленная проверка подозрительных с точки зрения проводимого аудита компонентов системы.

    • На этапе сбора информации с применением стандарта COBIT, который в данном случае регламентирует состав объектов контроля исследуемой системы. Степень детализации описания объектов контроля определяется на этапе разработки исходно-разрешительной документации. При этом стараются добиться оптимального соотношения между временными, стоимостными и прочими затратами на получение исходных данных и их важностью для целей исследования. Диапазон представления исходных данных изменяется от бинарных ответов типа ДА/НЕТ до развернутых отчетов. Ассоциация ISACA выдвинула ряд требований к представлению информации при проведении аудита, которые были реализованы в стандарте COBIT. Основное требование, предъявляемое к информации, - это ее полезность, то есть информация должна быть понятной, уместной (относящейся к делу) и достоверной (надежной). Причем информация должна быть понятной для грамотного пользователя, что не исключает рассмотрения сложной информации, если она действительно необходима. Информация уместна, если она влияет на решения пользователей и помогает им оценивать прошлые, настоящие или будущие события или подтверждать и исправлять прошлые оценки. На уместность информации влияет ее содержание, существенность и своевременность. Информация называется существенной, если ее отсутствие или неправильная оценка могут повлиять на решение пользователя. Иногда полагают, что аналогом уместности информации является требование полноты отражения операций за отчетный период. Информация является достоверной, если она не содержит существенных ошибок или пристрастных оценок и правдиво отражает хозяйственную деятельность. Чтобы быть достоверной, информация должна быть правдивой, нейтральной (не должна содержать однобоких оценок), осмотрительной (готовность к учету потенциальных убытков и, как следствие, создание резервов) и достаточной для принятия решений.

    • Анализ исходных данных проводится только с учетом достоверных исходных данных. Требования к проведению анализа определяются на этапе сбора исходных данных. Стандарт COBIT рекомендует применять описанные в стандарте методики анализа данных, но при необходимости допускается использование разрешенных ISACA разработок других членов ассоциации. На этапе анализа возможен возврат к этапу сбора информации для получения недостающих исходных данных.

    • Выработка рекомендаций. Полученные в результате проведенного анализа рекомендации после предварительного согласования с предприятием обязательно должны быть проверены на выполнимость и актуальность с учетом рисков внедрения. Стандарт COBIT рекомендует оформлять рекомендации отчетом о текущем состоянии информационных систем, техническом задании на внесение изменений, отчетом о проведенном аудите. Результаты проведения аудита можно разделить на три условные группы: организационные, технические и методологические. Каждая из названных групп направлена на улучшение организационного, технического или методологического обеспечения информационной системы. К организационной группе относятся оценки стратегического планирования, общего управления и инвестиций в информационную систему, рекомендации, способствующие повышению конкурентоспособности компании, снижению затрат на обслуживание информационной системы, результаты проверки соответствия информационной системы решаемым бизнес задачам, снижение стоимости эксплуатации информационной системы, управление рисками, проектами, выполняемыми в рамках информационных систем и некоторые другие. Техническая группа результатов позволяет лучше понять проблемы информационных систем и разработать пути их решения с минимальными затратами, оценить технологические решения, реализовать весь потенциал новых технологий, системно решить вопросы безопасности, осуществить профессиональный прогноз функционирования и необходимости модернизации информационных систем, повысить эффективность функционирования информационной системы, определить уровень обслуживания информационных систем. Методологические результаты позволяют предоставить апробированные подходы к стратегическому планированию и прогнозированию, оптимизации документооборота, повышению трудовой дисциплины, обучению администраторов и пользователей информационных систем, получению своевременной и объективной информации о текущем состоянии информационной системы компании.

    • Контроль за выполнением рекомендаций подразумевает постоянное отслеживание аудиторской компанией выполнения предприятием рекомендацией.

    • Подписание отчетных актов приемки работы с план - графиком проведения последующих проверок, разработкой такой дополнительной документации как долгосрочные и краткосрочные планы развития информационной системы, план восстановления информационной системы в чрезвычайных ситуациях, порядок действий при нарушении защиты, концепция политики безопасности. Постоянное проведение аудита гарантирует работоспособность системы, поэтому создание план - графика проведения последующих проверок является одним из условий проведения профессионального аудита. На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты которых могут вызвать сбои в работе в работе информационной системы.

    Любая работающая информационная технология в модели COBIT проходит следующие стадии жизненного цикла.

    • Планирование и организация работы. На этой стадии определяется стратегия и тактика развития информационных технологий в интересах достижения основных целей бизнеса, а затем решаются вопросы реализации: построение архитектуры системы, решение технологических и организационных задач, обеспечение финансирования и так далее. Всего на этой стадии выделяется 11 основных задач.

    • Приобретение и ввод в действие. Выбранные на этой стадии решения должны быть документально оформлены и спланированы. Выделяется 6 основных задач, решаемых на данной стадии.

    • Поставка и поддержка. Выделяется 13 основных задач данной стадии, предназначенных обеспечить эксплуатацию информационной технологии.

    • Мониторинг. За процессами информационной технологии необходимо наблюдать и контролировать соответствие их параметров выдвинутым требованиям. Выделяется 4 основные задачи, решаемые на данной стадии.

    Всего в стандарте COBIT выделяется 34 задачи верхнего уровня обработки информации

    Кроме традиционных свойств информации: конфиденциальности, целостности и доступности, в модели дополнительно используются еще 4 свойства - действенность, эффективность, соответствие формальным требованиям и достоверность. Эти свойства не являются независимыми, поскольку частично связаны с первыми тремя. Но их использование объясняется соображениями удобства интерпретации результатов.

    Отталкиваясь от решаемых компанией бизнес задач, стандарт COBIT, учитывая заданные критерии оценки и имеющиеся в распоряжении ресурсы, предлагает описание основных работ по планированию и компании разработки информационных систем, их комплектации и внедрению, мониторингу, управлению и обслуживанию. В стандарте четыре базовые группы (домена) разбиты на 34 подгруппы, состоящих из 318 объектов контроля, каждый из которых предоставляет аудитору достоверную актуальную информацию о текущем состоянии информационной системы.

    Системно скоординировав все лучшее в области аудита безопасности информационных систем, стандарт предоставляет аудиторам пакет руководящих документов. Документы стандарта на современном уровне описывают концептуальную последовательность действий аудитора по сбору данных об исследуемых информационных системах и выдачи рекомендаций по их совершенствованию. Стандарт COBIT базируется на стандартах ISA, ISACF и других международных стандартах и нормативных документов: технические стандарты, кодексы, критерии оценки информационных систем, профессиональные стандарты, требования к банковским услугам, системам электронной торговли, производству и так далее. Стандарт разработан и проанализирован сотрудниками ведущих консалтинговых компаний и используется в их работе наряду с другими положениями. Несмотря на сравнительно малый объем стандарта, он отвечает потребностям практики, сохраняя независимость от конкретных производителей, технологий и платформ. При разработке стандарта была заложена возможность его использования как для проведения аудита информационной системы компании, так и для проектирования информационной системы. В первом случае стандарт COBIT позволяет определить степень соответствия исследуемой системы лучшим образцам, а во втором - спроектировать систему, почти идеальную по своим характеристикам.

    Стандарт COBIT выгодно отличается от многочисленных аналогичных разработок. К достоинствам стандарта следует отнести его достаточность, сравнительно несложная адаптация к специфике решаемой задачи, возможность масштабирования и наращивания возможностей исследуемых информационных систем. Он применим к любым программно-аппаратным решениям без изменения собственной структуры и заложенных в нем принципов. Стандарт характеризуется широким диапазоном решаемых задач от стратегического планирования до анализа работы отдельных элементов информационной системы, перекрестным контролем критически важных объектов контроля.

    Ассоциация ISACA уделяет большое внимание регламентации различных аспектов деятельности аудитора. Разумная система регламентации наряду с высокой квалификацией аудиторов обеспечивает качество аудита информационной безопасности. Основным регламентирующим документом является мандат аудитора. Каждый сертифицированный аудитор CICA имеет мандат на проведение аудита, в котором указано следующее.

    • Ответственность (Responsibility) и обязанности аудитора: официальное разрешение на проведение работ с указанием их целей, рамки деятельности аудитора, объект, на котором проводится аудит, гарантии независимой проверки аудитором информационной системы, специальные требования к проведению аудита, критически важные факторы, обеспечивающие успех проводимых работ и отчетные материалы показатели работы аудитора.

    • Полномочия (Authority) аудитора: комплекс мероприятий по оценке оговоренных рисков, право доступа к необходимым для проведения аудита сотрудникам и информации, выбор подлежащих аудиту подсистем компьютерной информационной системы.

    • Подотчетность (Accountability) аудитора: порядок представления отчета руководству компании, перечень доводимых до персонала основных результатов аудита, процедуры независимой оценки результатов аудита, правила информирования проверяемых о действиях аудитора. Кроме того, процедура аудита должна соответствовать стандартам и предварительному плану, а сам аудитор отвечает за качество проведения проверки, соблюдение сроков, сметной стоимости и может быть подвергнут штрафу.

    Современные методы управления информационной безопасностью способны обеспечить решение любых корректно поставленных задач в области информационной безопасности. Уровень безопасности любой технологии может быть сколь угодно высок. Однако затраты на обеспечение высокого уровня безопасности могут оказаться чрезвычайно высокими. Выбор приемлемого уровня безопасности при допустимых затратах является обязательным условием постановки задачи обеспечения информационной безопасности. Постановка задачи нахождения компромисса между эффективностью подсистемы безопасности и ее стоимостью предполагает наличие системы показателей эффективности подсистемы безопасности, методики их измерения, должностных лиц, уполномоченных принимать решение о допустимости определенного уровня остаточного риска и системы мониторинга, позволяющей отслеживать текущие параметры подсистемы безопасности. Сложность в решении этой задачи заключается в нахождении подобного компромисса.

    Умение правильно оценить угрозы информационной безопасности в конкретной ситуации, найти систему контрмер, обладающих приемлемым соотношением стоимость/эффективность, является одним из необходимых качеств аудитора.

    Стандарт iso/iec 15408

    В 1990 году в Международной организацией стандартов (ISO) была начата работа по созданию международных критериев оценки безопасности компьютерных систем. Результатом явился стандарт "Общие критерии безопасности информационных технологий" (ОК), который на данный момент признается одним из наиболее функциональных стандартов в сфере информационной безопасности (ИБ). Его разработка велась совместными усилиями США, Канады, Франции, Германии, Нидерландов и Великобритании. В последствии к проекту присоединился ряд других стран. Версия 2.1 ОК в 1999 году была утверждена в качестве международного стандарта ISO/IEC 15408. В России в настоящее время внедряется адаптированная 3 версия стандарта ISO/IEC 15408.

    ОК разработаны таким образом, чтобы удовлетворить потребности трех групп специалистов: разработчиков, экспертов по сертификации и пользователей продуктов информационных технологий (ИТ-продуктов). Под ИТ-продуктом понимается программный (или аппаратно-программный) продукт или информационная система. В процессе оценки ИТ-продукт именуется объектом оценки (ОО). К таким объектам относятся, например, операционные системы, вычислительные сети, распределенные системы, прикладные программы.

    Стандарт ISO 15408 состоит из трех частей:

    • Часть 1. Введение и общая модель.

    • Часть 2. Функциональные требования безопасности.

    • Часть 3. Гарантийные требования безопасности (вариант перевода - "требования гарантированности").

    Как видно из приведенного перечня, "Общие критерии" предусматривают наличие двух типов требований безопасности - функциональных и гарантированности. Функциональные требования относятся к сервисам безопасности, таким как идентификация, аутентификация, управление доступом, аудит и т.д. Требования гарантированности относятся к технологии разработки, тестированию, анализу уязвимостей, поставке, сопровождению, эксплуатационной документации и т.д.

    Описание обоих типов требований выполнено в едином стиле: они организованы в иерархию "класс - семейство - компонент - элемент". Термин "класс" используется для наиболее общей группировки требований безопасности, а элемент - самый нижний, неделимый уровень требований безопасности.

    Между компонентами могут существовать зависимости. Они возникают, когда компонент недостаточен для выполнения цели безопасности и необходимо наличие другого компонента.

    Промежуточная комбинация компонентов названа пакетом. Пакет включает набор требований, которые обеспечивают выполнение многократно используемого поднабора целей безопасности.

    Основные структуры "Общих критериев" - это Профиль защиты и Проект защиты.

    По определению стандарта ISO/IEC 15408 Профиль Защиты есть независимое от реализации множество требований безопасности для некоторой категории объектов оценки, которые отвечают определенным нуждам потребителей. Профиль состоит из компонентов или пакетов функциональных требований и одного из уровней гарантированности. Структура профиля защиты представлена на рис.2.4.

    Рис. Структура профиля защиты.

    Рис. Структура Проекта защиты.

    Как отмечается в литературе, Профиль защиты "Общих критериев", по сути, является аналогом классов "Оранжевой книги" и классов защищенности РД ГТК РФ, но базируется на значительно более полной и систематизированной совокупности компонентов требований безопасности. Количество стандартизованных профилей общих критериев потенциально не ограничено.

    Профиль защиты служит основой для создания Проекта защиты, который является техническим проектом для разработки объекта оценки. Структура Проекта защиты представлена на рис.2.5. В отличие от Профиля, Проект защиты описывает также уровень функциональных возможностей средств и механизмов защиты, реализованных в объекте оценки, и приводит обоснование степени их адекватности.

    Для того, чтобы профиль безопасности мог быть эффективно разработан и применен, в процессе его разработки производится выявление всех угроз безопасности осуществимых в отношении ИТ-продуктов, для которых разрабатывается профиль. В процессе исследования строятся модели угроз.

    Модель угрозы - это формальное, полуформальное или неформальное описание:

    • жизненного цикла угрозы;

    • направленности угрозы;

    • источника угрозы;

    • системы ИТ, подверженной угрозе;

    • ИТ и не-ИТ среды изделия ИТ;

    • активов, требующих защиты;

    • методов, способов и алгоритмов реализации угрозы;

    • нежелательных событий;

    • анализа рисков и ряда других аспектов.

    У процесса описании модели угроз много общего с проведением анализа рисков. Так при описании модели угроз, источником которых является преднамеренная деятельность человека, оценивается тип источника по уровню практических навыков реализации угрозы (шкала - "низкий", "средний", "высокий", "неопределенный"), и шансы реализации угрозы (шкала - "маловероятно", "вероятно", "большая вероятность", "не определено"). Также оценивается вероятность компрометации активов в виде pc(y,z), где y - идентифицированный метод нападения, z - идентифицированный актив.

    В рассмотрение вводится понятие "потенциал нападения". Под этим термином понимается прогнозируемый потенциал для успешного, в случае реализации, нападения, выраженный в показателях компетентности, ресурсов и мотивации нарушителя. Существует три уровня потенциала нападения: низкий, умеренный и высокий.

    Стандарт определяет функцию безопасности, как часть или части ОО, на которые возлагается реализация тесно связанного подмножества правил из политики безопасности. Функции безопасности характеризуются стойкостью. Стойкость функции безопасности ОО - это ее характеристика, выражающая минимально необходимое воздействие на ее механизмы безопасности, в результате которого нарушается политика безопасности в части этой функции. Выделяется базовая, средняя и высокая стойкость.

    Базовая стойкость означает, что функция обеспечивает адекватную защиту от случайного нарушения безопасности ОО нарушителем с низким потенциалом нападения.

    Средняя стойкость - функция обеспечивает защиту от целенаправленного нарушения безопасности ОО нарушителем с умеренным потенциалом нападения.

    Высокая стойкость - такой уровень стойкости функции безопасности ОО, на котором она обеспечивает защиту от тщательно спланированного и организованного нарушения безопасности ОО нарушителем с высоким потенциалом нападения.

    В литературе описана следующая схема вычисления потенциала нападения, в которой учитываются следующие факторы.

    1. При идентификации уязвимости:

      • время, затрачиваемое на идентификацию уязвимости (x1) ("за минуты", "за часы", "за дни", "за месяцы");

      • уровень специальной подготовки (x2) ("эксперт", "специалист", "неспециалист");

      • знание проекта и функционирования ОО (x3) ("отсутствие информации об ОО", "общедоступная информация об ОО", "закрытая информация об ОО");

      • доступ к ОО (x4) (требуемое время на доступ к ОО, как в случае x1);

      • аппаратные средства, программное обеспечение или другое оборудование (x5) ("стандартное оборудование", "специализированное оборудование", "уникальное оборудование").

    2. При использовании:

      • время, затраченное на использование уязвимости (y1);

      • уровень специальной подготовки (y2);

      • знание проекта функционирования ОО (y3);

      • доступ к ОО (y4);

      • аппаратные средства, программное обеспечение или другое оборудование, необходимое для использования уязвимости (y5).

    Далее десяти факторам x1-x5 и y1-y5 назначаются веса и они суммируются. Сумма используется для оценки уязвимости.

    Описанный подход раскрывает еще одну "грань" задачи анализа рисков, на которой ранее мы не акцентировали внимание - в ходе анализа необходимо не только оценить возможные потери от реализации угрозы, но и описать модель нарушителя, дать оценку его возможностей по реализации угрозы, что в конечном итоге позволит оценить вероятность атаки на систему.