Введение в COBIT. Стандарты ITIL, MOF, ITSM, COBIT

Взаимосвязи трех основных методологий, предлагаемых ISACA, показаны на рис. 15.1 . Это методологии COBIT, Val IT и Risk IT.

Рис. 15.1.

Центральной в этой картине является методология COBIT, последний релиз которой, COBIT 4.1 (CobiT, 2007) , мы сейчас кратко рассмотрим.

COBIT 4.1

Аббревиатура "COBIT" с трудом поддается адекватному переводу на русский язык из-за многозначности английского слова control , широко используемого в терминологии COBIT. Опубликованный русский перевод названия методологии Control Objectives for Information and Related Technology (COBIT) - "Цели контроля для информационных и смежных технологий" (COBIT 4.1 рус, 2008), на мой взгляд, содержательно неточен. Я предпочитаю менее компактный, но более понятный и передающий смысл документа перевод: "Цели управления информационными и связанными с ними технологиями", хотя возможны и другие варианты. Вообще, я буду использовать разные варианты перевода слова control в зависимости от контекста. Чаще других будут употребляться термины "средство управления" или просто "управление".

Существует целый ряд публикаций по COBIT, подготовленных ISACA. Значительная часть их доступна только членам ISACA, и только несколько документов - всем желающим. К сожалению, у меня нет доступа к полному комплекту документов ISACA, поэтому все дальнейшее изложение базируется только на открытых источниках, в первую очередь (COBIT, 2007). Я использовал также русский перевод этого документа (CobiT 4.1 рус, 2008).

В связи с этим нужно сделать важную оговорку. Все неточности, недоговоренности и неясности, встречающиеся в (CobiT, 2007), возможно, разъясняются в других документах по COBIT, поэтому не всегда следует относить их на счет несовершенства и недоработанности самой методологии.

Концепция и основные понятия COBIT

По утверждению авторов, COBIT представляет собой совокупность признанных практик (good practices ) методов управления ИТ, изложенных с использованием процессного подхода . Акцент в COBIT делается не на детальном описании процессов, а на методах их организации, оценки, измерения и т. п. С точки зрения COBIT, для того, чтобы ИТ удовлетворяли требованиям бизнеса, менеджмент должен позаботиться о том, чтобы разработать и внедрить специальную систему управления ИТ. Методология COBIT является кандидатом на роль такой системы, поскольку она:

• устанавливает связь между ИТ и бизнесом;
• использует общепризнанный процессный подход для описания ИТ-активностей;
• выявляет основные ИТ-ресурсы, которые следует использовать;
• определяет цели управления для рассмотрения их менеджментом.

Для решения первой из перечисленных задач в COBIT вводится понятие ИТ-цели, обусловленной целями бизнеса. Это принципиально важное понятие, которое не встречалось ни в одной из рассмотренных ранее методик. Обратимся, например, к ITIL .

На рис. 15.2 показаны взаимосвязи между бизнес-услугой, ИТ-услугой, целями бизнеса и место , которое должны были бы занимать цели ИТ в парадигме ITIL v.3. Видно, что достижение целей бизнеса в ITIL обеспечивается опосредованно за счет того, что ИТ-услуги создаются и развиваются как инструмент, обеспечивающий реализацию бизнес-услуг и в точном соответствии с требованиями последних. Бизнес-услуги через бизнес-процессы связаны с целями бизнеса. Таким образом, никакая ИТ-услуга не может появиться вне связи с целью бизнеса, т. е. в модели ITIL v.3 "цель ИТ" просто лишняя.

Это означает, что в COBIT принята другая, нежели в ITIL , модель взаимодействия бизнеса и ИТ. Однажды определив долгосрочные цели ИТ, связанные с целями бизнеса, ИТ-организация далее развивается как бы автономно до момента, когда эти цели будут скорректированы. Это приводит к появлению в модели процессов COBIT такого процесса, как стратегическое планирование ИТ (см. ниже). В ITIL v.3 подобного процесса нет, а есть только Портфель услуг, наполнение которого в каждый момент времени и определяет все планы развития ИТ. Я сравниваю COBIT именно с ITIL v.3, потому что COBIT тоже придерживается взгляда на взаимодействие ИТ-организации и бизнеса как на предоставление и потребление услуг, использует понятия Портфеля и Каталога услуг, хотя и на гораздо менее конкретном уровне, чем ITIL v.3.

Методы построения целей ИТ остаются за рамками COBIT. В приложениях к (COBIT, 2007) приведены лишь примеры условных целей бизнеса и соответствующих им столь же условных целей ИТ. Между тем попытки применить этот подход на практике показывают, что построение целей ИТ не является тривиальной задачей. Во-первых, цели бизнеса не являются постоянными, застывшими, и далеко не везде и не всегда их изменение происходит дискретно в запланированные сроки. Непонятно, как в этом случае организовать непрерывную коррекцию соответствующих целей ИТ. Во-вторых, цели бизнеса и ИТ формулируются на совершенно разных языках, и это порождает проблемы. Такие понятия как, например, "рентабельность", "прозрачность", "прибыльность", обычные для бизнес-языка, объективно оказываются очень сложными и многозначными при попытке перевода их на язык ИТ. Для выполнения работы по переводу целей бизнеса в цели ИТ нужен переводчик, одинаково хорошо владеющий языком бизнеса и техническим языком ИТ и пользующийся полным доверием бизнеса и ИТ-специалистов. Даже если переводчиком служит квалифицированный и профессиональный независимый консультант, обеспечить доверие к переводу, особенно со стороны бизнеса, удается далеко не всегда. Таким образом, попытка построить управление, отталкиваясь от целей ИТ, порождает целый ряд сложностей и во всяком случае не является единственно возможным подходом к стратегическому планированию ИТ.

Для описания деятельности по развитию корпоративных ИТ в соответствии со сформулированными целями ИТ в COBIT выстроена довольно сложная и не всегда строго определенная собственная система понятий, не встречающихся в других методологиях и стандартах.

В основе системы - совокупность средств и механизмов управления, называемых в оригинале controls . Сюда включаются "политики, процедуры, практики и организационные структуры, сконструированные так, чтобы обеспечить то, что цели бизнеса достигаются, а нежелательные события исключаются или распознаются и корректируются". Точных определений, эталонного перечня средств управления или хотя бы набора примеров книга (COBIT, 2007) не дает.

Различаются средства управления бизнесом и средства управления ИТ: первые обеспечивают достижение целей бизнеса, вторые - целей ИТ. Они находятся в довольно сложных и не до конца определенных отношениях. В частности, утверждается, что на уровне предприятия средства управления бизнесом, представляющие собой политики и сформулированные цели бизнеса, влияют на все средства управления ИТ. Об обратном же влиянии ничего не говорится, хотя в некоторых видах бизнеса (например, в Интернет-бизнесе) это влияние довольно велико.

На уровне бизнес-процессов, согласно COBIT, существует две разновидности средств управления процессом: ручные (например, распределение ролей в процессе) и автоматические (разработанные приложения, выполняющие отдельные задачи). Последние в оригинале называются "средствами управления, реализованными в виде приложений" ( application controls); я буду для краткости называть их просто "автоматическими". Бизнес отвечает за определение и использование как ручных, так и автоматических средств управления. Роль ИТ-организации - только поддерживать автоматические средства управления. В COBIT приводятся следующие примеры автоматических средств управления:

• средства обеспечения законченности транзакции;
• средства обеспечения точности информации;
• средства обеспечения достоверности вводимых данных;
• средства управления правами доступа;
• средства распределения ролей по выполнению транзакций.

Еще одна категория средств управления возникает в связи с взглядом, согласно которому ИТ-организация отвечает за предоставление ИТ-услуг, общих для нескольких бизнес-процессов или даже для всего предприятия. Средства управления деятельностью по предоставлению ИТ-услуг называются общими ( general ). Примерами общих средств управления ИТ служат, согласно COBIT:

• средства управления разработкой систем;
• средства управления изменениями;
• средства обеспечения информационной безопасности;
• средства обеспечения функционирования компьютеров.

Сами по себе средства управления в COBIT не изучаются, и структура их для COBIT не представляет интереса. Они важны только как объект целеполагания, т. е. как то, чему можно сопоставить цель. Эти цели называются целями управления (control objectives ); они играют фундаментальную роль в концепции COBIT.

Таким образом, возникают цели управления ИТ организации в целом, цели автоматических средств управления (приложений) в бизнес-процессах, цели общих средств управления ИТ.

Для того чтобы как-то структурировать этот набор разнородных целей, в COBIT используется собственная модель процессов управления ИТ, называемых ИТ-процессами; каждый процесс в модели состоит из активностей. С помощью модели процессов строится иерархия целей управления. На самом верхнем уровне расположены цели управления ИТ (или цели ИТ), затем - цели управления процессами, и на нижнем уровне - цели управления активностями. Цели общих средств управления выражаются целями процессов и активностей. Из этой стройной картины выпадают цели приложений, да и вообще, понятие "цели" применительно к автоматическому средству управления выглядит довольно странно. В COBIT рекомендованные цели приложений для всех приложений одинаковы и сформулированы следующим образом ( нумерация COBIT сохранена).

Обеспечить то, чтобы исходные документы готовились уполномоченным и квалифицированным персоналом, следующим установленным процедурам, с учетом разделения ответственностей по созданию и утверждению документа. Минимизировать ошибки и пропуски за счет надлежащего построения форм ввода. Регистрировать ошибки и ошибочные ситуации для подготовки отчетов и исправления.

АС2. Сбор и ввод исходных данных

Обеспечить, чтобы ввод данных выполнялся своевременно и с участием квалифицированного и уполномоченного персонала. Корректировка и повторный ввод данных в случае ошибки при вводе должны выполняться с авторизацией на тех же уровнях. По возможности сохранять первоначальные исходные документы в течение надлежащего периода времени.

АС3. Проверка на точность, завершенность и аутентичность

Обеспечить точность, завершенность и достоверность транзакции. Проверять введенные данные, редактировать или возвращать для исправления как можно ближе к точке ввода.

АС4. Работа с целостностью и достоверностью

Поддерживать целостность и достоверность данных на протяжении всего цикла обработки. Обнаружение ошибочных транзакций не отражается на обработке правильных транзакций.

АС5. Выходные проверки

Разработать процедуры и связанные с ними обязанности, обеспечивающие, что выходные данные обрабатываются в соответствии с правилами авторизации, направляются надлежащему получателю и защищаются при передаче, а также то, что точность выходных данных верифицируется, распознается и корректируется и что информация, содержащаяся в них, используется.

АС6. Аутентификация и целостность транзакции

До передачи данных транзакции между внутренними приложениями и бизнес/операционными подразделениями (внутри организации или вовне ее) проверить правильность их адресной информации, подлинность происхождения и целостность. Поддерживать подлинность и целостность при передаче или пересылке".

Не обсуждая осмысленности и логической завершенности этого перечня, следует отметить, что сформулированные цели скорее относятся не к приложениям, а к единой технологии их разработки. В COBIT говорится, что "ИТ-процессы COBIT затрагивают только те аспекты управления приложениями, которые связаны с их разработкой". Тем самым подразумевается, что достижение целей управления ИТ-процессами должно обеспечивать достижение вышеприведенных целей приложений. О том, как это достигается, COBIT умалчивает.

Значительное место в COBIT занимает описание методов оценки эффективности и результативности ИТ-процессов. Для этого используется комбинированный подход, включающий:

• сравнительный анализ 1в оригинале - benchmarking эффективности и развитости процессов управления ИТ с помощью модели зрелости, близкой к модели CMM ;
• использование иерархии целей и метрик для ИТ в целом, ИТ-процессов и составляющих их активностей.

Более подробно об оценке эффективности процессов будет говориться в разделе, посвященном ИТ-процессам.

Прежде чем переходить к более подробному анализу структуры и содержания модели ИТ-процессов COBIT, стоит сделать два замечания. Во-первых, несмотря на постоянно акцентируемую поддержку взаимосвязи методов управления ИТ и бизнеса, COBIT не предлагает ничего нового в этой сфере. Задача обеспечения взаимосвязи декларируется (как и в множестве других методик, например SPICE ), но конструктивных способов ее решения не даётся. Во-вторых, иерархия целей управления, о которой столько говорится, играет на самом деле чисто декоративную роль: никаких специфических задач, связанных с этой иерархией, не ставится и специальных методических приемов не используется (сразу оговорюсь, что эта иерархия , возможно, используется при аудите, о методике проведения которого в (COBIT, 2007) ничего не говорится). Пожалуй, единственное, для чего эта иерархия может оказаться полезной, - это разработка общего языка для руководителей бизнеса, ИТ-руководителей и специалистов. С этой точки зрения, однако, система понятий, выстроенная COBIT, не оправдывает своего назначения: объем усилий, потраченных на то, чтобы разобраться в невнятном обосновании COBIT, в конечном итоге не вознаграждается, поскольку не приводит к простому и компактному набору убедительных положений, которые могли бы лечь в основу такого языка. Безусловными недостатками (COBIT, 2007) являются многословие, избыток плохо определенных терминов, ненужные "формальные" рассуждения, использующиеся для объяснения очевидных вещей, и поверхностность изложения. Еще хуже обстоит дело с русским переводом (COBIT 4.1 рус, 2008), авторы которого вынуждены были буквально следовать невнятному и косноязычному английскому оригиналу и не могли изложить материал своими словами.

COBIT - подход к управлению информационными технологиями , созданный Ассоциацией контроля и аудита систем (Information Systems Audit and Control Association - ISACA) и Институтом руководства ИТ (IT Governance Institute - ITGI) в 1992 году. Он предоставляет менеджерам, аудиторам и ИТ пользователям набор утверждённых метрик, процессов и лучших практик с целью помочь им в извлечении максимальной выгоды от использования информационных технологий и для разработки соответствующего руководства и контроля ИТ в компании.

Первая редакция COBIT увидела свет в 1996 году. Версия COBIT 4.1 вышла в мае 2007 года. В основе COBIT 4.1 лежит процессный подход, система сбалансированных показателей BSC, модель зрелости SEI CMM/CMMI, PMBoK (методология проектного управления), а также подходы стандартов PRINCE2, TickIT, ITIL® и другие.

Ключевые области управления ИТ:

• Соответствие стратегии делает акцент на связи между планами бизнеса и ИТ; выявлении, поддержке и контроле за ценностным предложением ИТ; а также на соответствии ИТ и бизнес операций.
• Полезность представляет собой реализацию ценностного предложения, контроль за тем, чтобы ИТ обеспечивали определенные стратегией преимущества, сосредоточение на оптимизации затрат и подтверждение подлинной ценности ИТ.
• Управление ресурсами посвящено вопросам, связанным с управлением критичными ИТ ресурсами, а именно, оптимизацией инвестиций и должному руководству приложениями, информацией, инфраструктурой и персоналом. Ключевые вопросы касаются оптимизации знаний и инфраструктуры.
• Управление рисками требует осведомленности высшего руководства в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включения функции или системы управления рисками в практику организации.
• Оценка эффективности представляет собой контроль за реализацией стратегии, результатами проектов, использованием ресурсов, эффективностью процессов и сервисным обслуживанием. Для этого применяются, в частности, системы сбалансированных показателей, которые преобразуют стратегию в последовательность действий, результаты которых измеряются иными, по сравнению с бухгалтерским учетом, методами.

Концепция стандарта предполагает построение механизмов управления ИТ исходя из того, какая информация необходима для достижения бизнес-целей. При этом информация рассматривается какрезультат использования ИТ ресурсов, управление которыми осуществляется в рамках ИТ процессов . ИТ ресурсы включают в себя приложения, информацию (данные в любой форме), инфраструктуру, персонал.

Для достижения целей бизнеса информация должна удовлетворять определённым критериям, которые в стандарте COBIT называют бизнес-требованиями к информации. Выделяют следующие бизнес-требования к информации или информационные критерии: эффективность, рациональность, конфиденциальность, целостность, доступность, соответствие нормам и надёжность информации. Механизмы управления включают в себя политики, организационные структуры, процедуры и регламенты. Задачей управления ИТ является формулировка желаемого результата или цели, которые должны быть достигнуты путём реализации механизмов управления в рамках конкретного ИТ процесса.

Концептуальное ядро стандарта COBIT 4.1 сформировано из 34 высокоуровневых процессов (которые покрывают порядка 200 целей контроля), сгруппированных в 4 домена (сферы деятельности):

Планирование и организация: включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Регламентируемые процессы:

• PO1 Разработка стратегического плана
• PO2 Определение ИТ архитектуры
• PO3 Определение направлений развития технологий
• PO4 Формализация ИТ процессов, организации и взаимоотношений с бизнесом
• PO5 Управление инвестициями в ИТ
• PO6 Согласованное управление целями и задачами
• PO7 Управление ИТ персоналом
• PO8 Управление качеством
• PO9 Оценка и управление рисками ИТ
• PO10 Управление проектами

Приобретение и внедрение: для реализации ИТ стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы. Регламентируемые процессы:

• AI1 Идентификация и выбор решений по автоматизации
• AI2 Проектирование и разработка приложений
• AI3 Проектирование и поддержка технической инфраструктуры
• AI4 Обеспечение работы и использования ИС
• AI5 Закупка ИТ ресурсов
• AI6 Управление изменениями
• AI7 Установка и утверждение решений и изменений

Предоставление и поддержка: включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Регламентируемые процессы:

• DS1 Определение и управление уровнями сервиса
• DS2 Управление сервисами подрядчиков
• DS3 Управление производительностью и мощностью
• DS4 Обеспечение непрерывности сервисов
• DS5 Обеспечение безопасности систем
• DS6 Определение и распределение ИТ затрат
• DS7 Обучение пользователей
• DS8 Управление службой поддержки и инцидентами
• DS9 Управление конфигурацией
• DS10 Управление проблемами
• DS11 Управление данными
• DS12 Управление физическим оборудованием
• DS13 Управление эксплуатацией

Мониторинг и оценка: качество и соответствие ИТ процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов. Регламентируемые процессы:

• ME1 Отслеживать и оценивать производительность ИТ
• ME2 Отслеживать и оценивать внутренние контроли
• ME3 Гарантировать соответствие регулирующим требованиям
• ME4 Обеспечивать руководство ИТ

Домены соотносятся с традиционными сферами ответственности ИТ: планирование, внедрение, эксплуатация и мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 высокоуровневых процессов позволяет гарантировать владельцу бизнес-процесса, что система управления ИТ является адекватной задачам бизнеса.

В стандарте COBIT детально описаны цели и принципы управления, объекты управления, чётко определены все ИТ процессы (для каждого процесса определены входы и выходы, исполнители и ответственные, а также объекты контроля и метрики) и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании ИТ процессов также приведены практические рекомендации по управлению ИТ безопасностью. COBIT применяется для контроля и аудита существующей системы управления информационными технологиями, организации оперативного и стратегического управления ИТ, анализа расходов на ИТ проекты и поддержку соответствующей инфраструктуры, соответствия требованиям стандартам и регулирующим организациям, таких как SOX и COSO.

Посредством использования стандарта COBIT руководители ИТ подразделений преобразуют задачи бизнеса в чёткие и понятные планы развития ИТ. Основным преимуществом стандарта COBIT является его полнота и отчётливые практические рекомендации и инструменты, с помощью которых можно построить систему управления информационными технологиями корпорации и, в том числе, эффективную систему управления рисками в ИТ. Таким образом, при использовании методологии COBIT информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Другими словами, стандарт COBIT описывает бизнес-ориентированный подход к созданию информационной среды: ИТ рассматриваются в виде инструмента бизнеса, а стандарт определяет принципы построения и организации работы ИТ департамента.

Стандарт CobiT. Описание четырех доменов. Модель зрелости. Сервисный подход в организации ИТ-службы.

Стандарт CobiT. История CobiT. ИТ-процессы CobiT. Модели зрелости ИТ процессов CobiT. Источники совершенствования: ITIL и CobiT. Сервисный подход в организации ИТ-службы. Организация ИТ-поддержки. Преимущества сервисного подхода для ИТ-поддержки. Преимущества сервисного подхода для бизнеса.

Интернациональным компаниям приходится вести свою деятельность, следуя положениям нормативных актов соответствующих стран. Бизнес сталкивается со все более ужесточающимися требованиями со стороны надзорных органов и общественности, которые предписывают компаниям должным образом использовать и защищать как корпоративную, так и персональную информацию. Эти нормативные документы касаются всех сфер, от безопасности до финансовой отчетности.

Как правило, подход к управлению рисками ИТ-безопасности распределен по подразделениям компании. Вследствие этого часто функциональные обязанности и технические средства, необходимые для их выполнения, дублируются. Системы управления же частично перекрываются и противоречат друг другу. В результате администраторы не знают, насколько успешно они управляют сетевыми рисками.

Современный бизнес работает в бурном ритме, многие компании и организации не имеют временного ресурса для выработки собственных требований и стандартов. Поэтому активно используется чужой опыт и лучшие мировые практики, к которым относятся и стандарты. Стандарты управления и ИТ-безопасности были созданы на основе анализа методов, опробованных как большими группами профессионалов, так и множеством различных компаний и организаций. Как правило, стандарты подаются как рекомендации.

Кроме признанных международных стандартов управления и ИТ-безопасности, существует много национальных. Например, Control Objectives for Information and Related Technology (CobiT) наиболее часто используется для управления информационными системами в США и ряде других стран, а в Великобритании, Нидерландах и Австралии чаще используется IT Infrastructure Library (ITIL), о которой уже говорили в предыдущей лекции.

Успешное предоставление ИТ-услуг в соответствии с требованиями основного бизнеса предполагает наличие системы и методологии внутреннего контроля. Разработанная IT Governance Institute методология CobiT отвечает таким потребностям. Этот подход изначально ориентирован на бизнес и помогает организовать и контролировать управление ИТ в бизнес-контексте. Методология CobiT описывает управление ИТ как систему из 34 процессов, сгруппированных в четыре домена.

CobiT - это сокращение от Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий»).

Рисунок 1 – Модель CobiT

CobiT представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления ИТ, аудита и ИТ-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта - все то, что так или иначе имело отношение к целям управления.

Задача CobiT заключается в ликвидации разрыва между руководством компании с их видением бизнес-целей и ИТ-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей.

Нередко руководство компании в силу объективных причин не понимает ИТ-специалистов. Те, в свою очередь, не понимают бизнес-терминов, на основании которых строятся распоряжения руководства. Это все приводит к росту издержек, выполнению лишней работы, что, конечно же, сказывается на эффективности деятельности компании.

CobiT, благодаря единой терминологии, служит своеобразной платформой-буфером для конструктивного диалога между всеми участниками бизнеса:

· топ-менеджерами;

· руководителями среднего звена (ИТ-директором, начальниками отделов);

· непосредственными исполнителями (инженерами, программистами и т. д.);

· аудиторами.

Таблица 1 - Целевая аудитория CobiT

Как вы работаете: по наитию или по науке? Наверное, никто не даст однозначного ответа: работа в ИТ-сфере предполагает сочетание опыта и технологий, точных указаний, норм и красивых, даже талантливых, инженерных находок. В любом случае, опыт решает. А как насчёт чужого опыта? В мире создано множество сводов и правил, предназначенных для работы ИТ-служб, которые объединяет понятие с маркетинговым оттенком - «лучшие практики». Это опыт, сформированный множеством компаний и позволяющий довольно просто решать стандартные проблемы.

В посте мы расскажем, что такое ITIL, ITSM, CobiT, DevOps, как они связаны и почему даже системные администраторы небольших компаний должны что-то знать об этих аббревиатурах.

Зоопарк методологий: очень краткий обзор

ITIL и ITSM

На самом деле, эта библиотека породила целую парадигму управления ИТ-инфраструктурой компании, основанную на SLA (соответствие обещаний поставщика услуги ожиданиям клиента) и ITSM (IT Service Management, управление ИТ-услугами). ITSM - это концепция организации работы ИТ-подразделения и его взаимодействия с внешним или внутренним заказчиком, а также внешними контрагентами.

Теперь о рисках. Понятно, что стандарты ITSM и библиотека ITIL описывают лучшие практики и при ознакомлении с ними кажется, что всё логично и именно так работать и должно.

• Если принимать все положения как есть, без привязки к текущему положению дел в бизнесе в целом и в ИТ-службе в частности, можно прийти к излишней формализации и значительному нарушению работы. Процесс внедрения принципов ITIL должен быть избирательным и адаптивным.
• Опять же, перед изменением подхода к управлению следует провести глубокий анализ процессов, происходящих внутри ИТ-инфраструктуры - если всё работает и очевидных путей и потребностей улучшения нет, лучше подойти к ITSM избирательно и внедрять самые ценные и нужные принципы: управление лицензиями (SAM), управление конфигурациями или просто наладить мониторинг.
• Если нет внятной цели использования принципов ITIL, то лучше отказаться от затеи. Внятные цели - это, например, изменение политики управления лицензиями или решение проблемы использования сотрудниками пиратского софта. Невнятная цель - внедрить и применить то, что навязали сверху, потому что услышали на конференции.

CobiT

Рассмотрим две распространённые ситуации.

Ситуация первая. У руководства компании может отсутствовать понимание того, что происходит в ИТ-пространстве, но при этом быть полное понимание целей и миссии бизнеса, процессов, продукта и услуг. И наоборот, ИТ-директор может фанатично строить идеальную ИТ-инфраструктуру, практически не интересуясь тем, как она вписывается в стратегию развития компании. И случается такое нередко именно в самом уязвимом слое - среднем бизнесе, который ещё не достиг нового уровня управления (как гигант), но уже пережил разрастание служб и разрыв простых и внятных внутрифирменных коммуникаций, присущих малому бизнесу. А между тем, такое положение вещей не снимает с руководителя ответственность абсолютно за все процессы в компании, в том числе происходящие в ИТ.

Ситуация вторая , свойственная компаниям любого уровня: от микробизнеса до транснациональных корпораций, - неадекватная оценка рисков. Почти каждый из нас хоть раз встречался с рисками завышенного масштаба: например, страх перед DDoS в небольшой компании или всем известная и так и не ставшая реальностью «проблема 2000». Это риски, которым придают огромное значение и которые не несут объективной угрозы. С другой стороны, существуют недооценённые риски, на которые никто не обращает внимание, но именно они способны положить весь рабочий процесс или принести коммерческий ущерб: неограниченный срок действия учётных записей и паролей пользователей от рабочих ПК и корпоративных информационных систем, клиент-банков; передача коммерчески значимых данных по незащищённым каналам; отсутствие антивирусов и проч. Чтобы классифицировать риски и грамотно их оценить, необходимо проводить внутренний и/или внешний ИТ-аудит. Он, в свою очередь, должен быть не проверкой соответствия правилам и не толчком к соблюдению правил, а именно соблюдением правил. Поэтому аудит должен быть регулярным и сопряжённым с мониторингом системным процессом получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих внутри неё.

В свете этих ситуаций вернёмся к CobiT. В нём описаны цели, задачи и принципы управления, объекты управления, ИТ-процессы, инструменты работы с ИТ-инфраструктурой, а также вопросы ИТ-безопасности. Актуальную версию CobiT и статьи по нему можно почитать на сайте ISACA (есть платные и бесплатные материалы). CobiT можно определить как методологию корпоративного управления ИТ, которая:

• ориентирована на реальные бизнес-требования;
• поддерживает процессный подход к управлению ИТ-инфраструктурой и контролирует процессы;
• оценивает эффективность ИТ в компании.

1. Данные - информация внутри компании в любом виде, медиафайлы, внешняя информация.
2. Приложения - множество автоматизированных и ручных процедур.
3. Технология - программное обеспечение, аппаратное обеспечение, СУБД, СУ сетями, ОС.
4. Оборудование - ресурсы, поддерживающие технологию.
5. Люди - персонал с навыками и умениями, в том числе контроля и мониторинга.

• продуктивность - обеспечение доступности информации с помощью максимально экономичного и продуктивного использования ресурсов
• эффективность - актуальность и своевременность информации
• конфиденциальность - обеспечение защиты информации от несанкционированного доступа
• целостность - достоверность, полнота и точность информации
• согласованность - соответствие законодательству, подзаконным нормативно-правовым актам и локальным нормам (указам, договорам, уставу и т.д.)
• пригодность и простота доступа - возможность получения и использования информации для управления бизнес-процессами
• надёжность - свойство информации отражать реальное положение дел, необходимое для принятия управленческих (в т.ч. финансовых) решений.

DevOps

Как методология DevOps даёт множество преимуществ, среди которых:

• стандартизация и автоматизация окружения
• высокая скорость разработки, разворачивания и тестирования
• возможность часто выпускать обновления
• минимизация проблем при внедрениях у заказчика и т.д.

Предупреждение о Visible Ops

Вы можете услышать термин Visible Ops. Он не имеет прямого отношения к DevOps, однако имеет отношение к ITIL, а именно - это книга (с развитием технологий превратившаяся в серию книг) Visible Ops Handbook, которая является отличным пошаговым руководством по использованию ITIL в компании. В книгах есть интересные практические примеры крупных корпораций. Первая, ставшая классикой книга, простым английским языком раскрывает проблемы ИТ в компании и цели изменений. В любом случае, хотя бы пролистать PDF-ку стоит.

Ок, моя компания не входит в топ-100 мира, что мне делать с этой информацией?

• Распределение ответственности в команде и понимание взаимосвязей всех подразделений. Так, например, отдел продаж не может жить отдельно от ИТ-службы, поскольку является пользователем услуг и информации, которая обеспечивается ИТ. Особенно это заметно в тех компаниях, где данные собираются в централизованной базе, а затем распределяются по запросу (например, компании, имеющие биллинг, информацию из которого выгружают с помощью специальных отчётов согласно правам доступа). Плюс ко всему, внутри самой команды ИТ-службы также стоит чётко распределять обязанности - это обеспечит скоординированность действий.
• Рост внимательности и ответственности. В случае, если персоналу известно о непрерывном мониторинге и периодическом ИТ-аудите, многих инцидентов удаётся избежать, поскольку пользователю становится очевидно, что любые ухищрения будут выявлены.
• Рост скорости реакции на проблемы. Если в компании существует система тикетов и заявок, то эффективность обслуживания внутренних заказчиков значительно повышается, а скорость решения проблемы контролируется самим инициатором заявки.
• Простота и прозрачность выявления проблем. Система работы с инцидентами в сочетании с программным обеспечением, позволяющим осуществлять мониторинг сети, помогает быстро устанавливать причину возникновения проблемы и объекты, задействованные в проблеме. А, значит, получать достоверные сведения для поиска решения.
• Упрощение утилизации ресурсов. Системные администраторы и инженеры с помощью специальных программ могут удалённо устанавливать физически и морально устаревшее программное и аппаратное обеспечение и либо обновлять его, либо заменять новым. При этом возможно осуществлять планирование замены элементов ИТ-инфраструктуры, а это - гарантия стабильной работы сотрудников без внезапных простоев.

• Управление лицензиями ПО, проверка наличия свободных лицензий - одна из ощутимых статей экономии на ИТ-инфраструктуре. Установление профиля использования лицензий помогает скорректировать объём закупаемых или арендуемых продуктов, перераспределить ПО по реальным потребностям. Классический пример: отдел продаж из 7 человек, трое из которых постоянно «в полях», а ещё один - выгружает данные раз в месяц для анализа. В отделе семь лицензий CRM, а можно было бы обойтись пятью. Такая же история повторяется и в отделах логистики и дизайна, где установлено и нередко простаивает дорогостоящее ПО.
• Регламентированный порядок работы внутри ИТ-службы уменьшает количество сорванных сроков и нереализованных проектов.
• Понимание текущего среза аппаратного и программного обеспечения в компании позволяет обоснованно составлять бюджет на приобретение ИТ-активов, быстро и точно оценивать потребности компании в модернизации ИТ-инфраструктуры.
• Точное понимание особенностей организации ИТ-инфраструктуры помогает оптимизировать соотношение капитальных и операционных расходов. Например, делая выбор в пользу аренды ПО по модели SaaS или использования виртуальных вычислительных мощностей в облаке.

Стандарт CobiT. Описание четырех доменов. Модель зрелости. Сервисный подход в организации ИТ-службы.

Стандарт CobiT. История CobiT. ИТ-процессы CobiT. Модели зрелости ИТ процессов CobiT. Источники совершенствования: ITIL и CobiT. Сервисный подход в организации ИТ-службы. Организация ИТ-поддержки. Преимущества сервисного подхода для ИТ-поддержки. Преимущества сервисного подхода для бизнеса.

Интернациональным компаниям приходится вести свою деятельность, следуя положениям нормативных актов соответствующих стран. Бизнес сталкивается со всœе более ужесточающимися требованиями со стороны надзорных органов и общественности, которые предписывают компаниям должным образом использовать и защищать как корпоративную, так и персональную информацию. Эти нормативные документы касаются всœех сфер, от безопасности до финансовой отчетности.

Как правило, подход к управлению рисками ИТ-безопасности распределœен по подразделœениям компании. Вследствие этого часто функциональные обязанности и технические средства, необходимые для их выполнения, дублируются. Системы управления же частично перекрываются и противоречат друг другу. В результате администраторы не знают, насколько успешно они управляют сетевыми рисками.

Современный бизнес работает в бурном ритме, многие компании и организации не имеют временного ресурса для выработки собственных требований и стандартов. По этой причине активно используется чужой опыт и лучшие мировые практики, к которым относятся и стандарты. Стандарты управления и ИТ-безопасности были созданы на базе анализа методов, опробованных как большими группами профессионалов, так и множеством различных компаний и организаций. Как правило, стандарты подаются как рекомендации.

Кроме признанных международных стандартов управления и ИТ-безопасности, существует много национальных. К примеру, Control Objectives for Information and Related Technology (CobiT) наиболее часто используется для управления информационными системами в США и ряде других стран, а в Великобритании, Нидерландах и Австралии чаще используется IT Infrastructure Library (ITIL), о которой уже говорили в предыдущей лекции.

Успешное предоставление ИТ-услуг в соответствии с требованиями основного бизнеса предполагает наличие системы и методологии внутреннего контроля. Разработанная IT Governance Institute методология CobiT отвечает таким потребностям. Этот подход изначально ориентирован на бизнес и помогает организовать и контролировать управление ИТ в бизнес-контексте. Методология CobiT описывает управление ИТ как систему из 34 процессов, сгруппированных в четыре домена.

CobiT - это сокращение от Control Objectives for Information and Related Technology (ʼʼЗадачи информационных и смежных технологийʼʼ).

Рисунок 1 – Модель CobiT

CobiT представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления ИТ, аудита и ИТ-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта - всœе то, что так или иначе имело отношение к целям управления.

Задача CobiT состоит в ликвидации разрыва между руководством компании с их видением бизнес-целœей и ИТ-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целœей.

Нередко руководство компании в силу объективных причин не понимает ИТ-специалистов. Те, в свою очередь, не понимают бизнес-терминов, на основании которых строятся распоряжения руководства. Это всœе приводит к росту издержек, выполнению лишней работы, что, конечно же, сказывается на эффективности деятельности компании.

CobiT, благодаря единой терминологии, служит своеобразной платформой-буфером для конструктивного диалога между всœеми участниками бизнеса:

· топ-менеджерами;

· руководителями среднего звена (ИТ-директором, начальниками отделов);

· непосредственными исполнителями (инженерами, программистами и т. д.);

· аудиторами.

Таблица 1 - Целœевая аудитория CobiT

В CobiT детально описаны цели и принципы управления, объекты управления, четко определœены всœе ИТ-процессы (задачи), протекающие в компании, и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании ИТ-процессов также приведены практические рекомендации по управлению ИТ-безопасностью.

Вместе с тем, CobiT вводит целый ряд показателœей (метрик) для оценки эффективности реализации системы управления ИТ, которые часто используются аудиторами ИТ-систем. В их число входят показатели качества и стоимости обработки информации, характеристики ее доставки получателю, показатели, относящиеся к субъективным аспектам обработки информации (к примеру стиль, удобство интерфейсов). Оцениваются показатели, описывающие соответствие компьютерной ИТ-системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность, общепринятые показатели информационной безопасности - конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Также в CobiT описывается модель оценки возможностей каждого процесса, позволяющая определить его уровень зрелости, обосновать крайне важно сть и возможность улучшения процессов, основываясь на целях бизнеса и целях ИТ. Τᴀᴋᴎᴍ ᴏϬᴩᴀᴈᴏᴍ, модель зрелости, предлагаемая CobiT, может использоваться для оценки и планирования системы управления ИТ. В случае если обобщить, то управление ИТ по CobiT можно представить в следующем ступенчатом виде (по порядку реализации):

· Стратегии (выстраивание ИТ-процесса по бизнес-целям, постановка задачи, цели и создание концепции ИТ-процесса; ответственные: руководство бизнес-подразделœений).

· Политики (методы достижения целœей в рамках стратегий, к примеру: ʼʼдлина пароля регламентируетсяʼʼ; ответственные: руководство ИТ-подразделœений).

· Стандарты (метрики для политик-методов, к примеру: ʼʼдлина пароля должна составлять не менее 8 символовʼʼ; ответственные: руководство ИТ-подразделœений).

· Процедуры (регламенты работ для применения политик-методов с использованием стандартов-метрик, рабочие инструкции для исполнителœей; ответственные: руководство ИТ-подразделœений).

Стандарт отвечает всœем потребностям практики, сохраняя независимость от конкретных производителœей, технологий и платформ. При разработке стандарта была заложена возможность использования его как для проведения аудита ИТ-системы компании, так и для проектирования ИТ-системы. В первом случае CobiT позволяет определить степень соответствия исследуемой системы лучшим образцам, а во втором - спроектировать систему, почти идеальную по своим характеристикам.

CobiT делает акцент на том, что крайне важно для обеспечения адекватного уровня контроля в области управления ИТ. CobiT соотносится с другими стандартами в сфере ИТ, а также сводами знаний и практик. Методология CobiT часто воспринимается как средство интеграции различных материалов для достижения наиболее понятной и системной картины управления ИТ.

CobiT является инструментарием, который позволяет руководителям предприятий устранить недостатки системы управления с учётом требований контроля и бизнес-рисков, а также продемонстрировать уровень контроля заинтересованным сторонам. CobiT даёт возможность разрабатывать чёткие политики и применять лучшие практики по контролю ИТ в различных организациях. Методология постоянно совершенствуется, текущая версия - CobiT 4.1. При этом охват CobiT расширяется: если ранние версии CobiT были ориентированы в первую очередь на аудит, затем основным акцентом CobiT стал контроль, то текущая версия CobiT 4.1 - это методология стратегического управления ИТ, или IT Governance. Соответственно, расширяется и аудитория CobiT.

Преимущества использования CobiT в качестве методологии руководства и управления ИТ:

· ориентация на потребности основного бизнеса

· понятное для бизнес-руководителœей видение ИТ-деятельности

· ясное распределœение ответственности, основанное на процессном подходе

· обеспечение соответствия законодательным и другим регулирующим требованиям

· совместимость с подходами и стандартами в сфере управления ИТ.

Стандарт CobiT - понятие и виды. Классификация и особенности категории "Стандарт CobiT" 2017, 2018.