ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ СТАВРОПОЛЬСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ Утверждаю Заведующий кафедрой ИС к.т.н Д.В. Шлаев «___» 201_ года ЛЕКЦИЯ №4 Стандарты управления ИТ-инфраструктурой предприятия ITIL, Cobit, MOF по учебной дисциплине: «ИТ-инфраструктура предприятия» Для студентов специальности: 38.03.05 Бизнес-информатика Рассмотрено УМК " " ___________ 201_ года протокол N ______________ Ставрополь – 201_ г. Цель лекции Дать систематизированные основы научных знаний по указанной теме занятия. Организовать целенаправленную познавательную деятельность студентов по овладению программным материалом по данной теме. Познакомить с основными понятиями по теме лекции. Сформировать познавательный интерес к содержанию учебного материала, помочь выработать у студентов стремление к самостоятельной работе и всестороннему овладению специальностью, развивать интерес к учебной дисциплине, содействовать активизации мышления студентов. Учебные вопросы: 1. Библиотека инфраструктуры ITIL 2. Стандарт Cobit 3. Стандарт MOF Время – 2часа 2 Вводная часть В большинстве случаев успешность телекоммуникационного бизнеса зависит от использования информационных технологий для поддержки ключевых бизнес-процессов компании. Сейчас ИТ – подразделение телекоммуникационной компании становится партнером бизнеса и вместе с производственными подразделениями организации формирует добавочное качество, тогда как раньше ИТ - подразделение только предоставляло в пользование элементы ИТ – инфраструктуры. Однако необходимо четко обосновывать перед производственными подразделениями направления развития информационных технологий в компании и преимущества выбранных ИТ–решений. От используемых информационных технологий и качества их сопровождения зависит оказание услуг внешним пользователям, что напрямую влияет на конкурентоспособность компании, и все это повышает требования к эффективности ИТ – подразделения. Задача повышения эффективности информационных технологий уже решалась не раз и наиболее эффективные результаты сведены в стандартах и библиотеках в области информационных технологий. Использование данных стандартов позволяет «не придумывать велосипед», а взять наиболее совершенное решение и привести его в соответствие со своей ситуацией. 1. Библиотека инфраструктуры ITIL ITIL (Information Technology Infrastructure Library) В настоящее время стандартом «де-факто» в области организации и управления информационными технологиями, обобщившим в себе лучший международный опыт, является Information Technology Infrastructure Library (ITIL). Издателем Библиотеки ITIL является OGC (The Office of Government Commerce) - британская правительственная организация, отвечающая за повышение эффективности работы государственных структур Великобритании, а также за развитие кооперации с компаниями частного сектора. Развитие и популяризация Библиотеки поддерживаются не только её издателем (OGC), но и независимым профессиональным сообществом itSMF (IT Service Management Forum). Эта некоммерческая организация объединяет как частных лиц, профессионалов в области управления ИТ, так и организации, в том числе компании-вендоры. В числе крупнейших корпоративных членов Форума (Global members) компании Microsoft, SUN, HP и IBM. 3 Библиотека ITIL первоначально была результатом работы Центрального агентства по вычислительной технике и телекоммуникациям (Central Computer and Telecommunications Agency – CCTA) при правительстве Великобритании. В апреле 2001 г. ССТА было объединено с Государственной торговой палатой (Office of Government Commerce – OGC), являющейся в настоящее время новым владельцем библиотеки ITIL. Целью OGC является помощь заказчикам из государственного сектора экономики Великобритании в модернизации их деятельности по закупкам и улучшении обслуживания путем максимального использования ИТ и других инструментариев. «Задачей OGC является модернизация закупок правительственными службами и работа по улучшению использования финансовых средств». OGC способствует использованию «передового опыта» в различных сферах деятельности (например, Управление Проектами, Управление Закупками и ИТ Сервисменеджмент). OGC выпускает несколько книжных серий (библиотек), написанных экспертами из Великобритании и других стран мира, представляющими ряд компаний и организаций. Принадлежащая OGC библиотека ITIL состоит из ряда доступных и детальных «Собраний практических руководств» для предоставления эффективных и рациональных ИТ-услуг (сервисов). Книги библиотеки ITIL Каждая из книг библиотеки ITIL рассматривает вопросы отдельной части структурированной процессной основы. В них дается описание того, что необходимо для организации ИТ Сервис-менеджмента. Библиотека ITIL определяет цели и виды деятельности, входные и выходные параметры каждого из процессов в ИТ-организации. Однако библиотека ITIL не дает конкретного описания способов осуществления этой деятельности, так как они могут различаться в каждой организации. Акцент делается на проверенном практикой подходе, который может быть реализован различными способами в зависимости от обстоятельств. Библиотека ITIL не является методом; наоборот, она предлагает структурированную основу для планирования наиболее часто используемых процессов, ролей и видов деятельности, определяя связи между ними и необходимые виды коммуникации. Создание библиотеки ITIL вызвано необходимостью предоставления высококачественных услуг, уделяя при этом особое внимание отношениям с заказчиком. ИТ-организация должна выполнять соглашения с заказчиком, что означает поддержание хороших отношений с заказчиками и партнерами, такими, как поставщики. Частично философия библиотеки ITIL имеет в своей основе системы качества, такие как стандарты серии ISO-9000, и общие схемы обеспечения качества (Total Quality frameworks), как предлагаемые Европейской организацией Управления Качеством (European Foundation of Quality Management – EFQM). Библиотека ITIL поддерживает эти системы путем 4 предоставления четкого описания процессов и передового опыта ИТ Сервисменеджмента. Это может значительно сократить время, необходимое для прохождения сертификации ISO. Первоначально библиотека ITIL состояла из нескольких комплектов книг, в каждом из которых описывалась конкретная область сопровождения и эксплуатации ИТ-инфраструктуры. Ядром ITIL считались десять книг, в которых описывались такие области, как поддержка услуг и предоставление услуг. Библиотека включала также около 40 других книг по вспомогательным предметам, имевшим отношение к ИТ Сервисменеджменту, от монтажа кабелей до Управления Отношениями с Заказчиком. Для управления книгами используется book manager. Однако, в первоначальных сериях книг вопросы ИТ Сервис-менеджмента рассматривали главным образом с точки зрения ИТ. Для заполнения разрыва между бизнес-практикой и ИТ-организацией в библиотеку была включена серия книг, рассматривающая бизнес-аспекты ИТ Сервис-менеджмента. Более того, в определенных частях библиотеки ITIL в то время использовался несколько устаревший подход. Позже была сделана переработка центральных книг по ITIL и они были переизданы в виде двух книг: одна – по поддержке услуг и другая – по их предоставлению. Это позволило исключить повторы и встречавшуюся местами несогласованность ранних серий, что улучшило структурное единство издания, которое теперь дает более четкое представление об ИТ Сервис-менеджменте. Долгое время ITIL состояло из восьми томов. Третья редакция ITIL (ITIL v.3) была выпущена в мае 2007. В ней полностью переработаны и по-новому организованы разделы, чтобы поддержать новый подход «формата жизненного цикла услуг». ITIL v.3 содержит уже только пять книг и состоит из: Стратегия услуг (англ. Service Strategy) Проектирование услуг (англ. Service Design) Преобразование услуг (англ. Service Transition) Эксплуатация услуг (англ. Service Operation) Постоянное улучшение услуг (англ. Continual Service Improvement) 2. Стандарт COBIT (Control Objectives for Information and related Technology) – стандарт управления и аудита в области информационных технологий. Первая версия стандарта была выпущена в 1996 году Организацией аудита и контроля информационных систем (Information Systems Audit and Control Foundation, ISACF) с целью обеспечения методов оценки и контроля, которые пригодились бы и IТ-персоналу, и аудиторам, и 5 клиентам. Она включала концептуальное ядро, определяющее набор основополагающих принципов и понятий в области управления IT, описание задач управления и руководство по аудиту. Вторая, переработанная версия CobiT была опубликована в 1998 году. Основой стандарта COBIT являются 34 высокоуровневые цели контроля, по одной на каждый ИТ- процесс, которые сгруппированы в 4 домена: Планирование и Организация, Проектирование и Внедрение, Эксплуатация и Сопровождение, Мониторинг. Особенностью стандарта COBIT по отношению к другим стандартам в области ИТ является присутствие в нем модели зрелости разработанной в конце 80-х годов Институтом проектирования и разработки программного обеспечения (Software Engineering Institute's). Maturity Models (MM) – не технология, не стандарт, для нее нет формальных описаний, в ней нет жестких требований, и она не привязана к конкретным информационным технологиям. Однако данная модель зрелости вводит понятие нескольких уровней зрелости процессов (Слайд__): o Не существует. Полное отсутствие каких-либо процессов управления ИТ. Организация не признает существования проблем в ИТ, которые нужно решать; o Начало. Организация признает существование проблем управления ИТ и необходимость их решения. При этом не существует никаких стандартизованных решений; o Повторение. Существует всеобщее осознание проблем управления ИТ. Показатели деятельности и ИТ-процессов находятся в развитии, охватывая процессы планирования, функционирования и мониторинга ИТ; o Описание. Необходимость действовать в соответствии с принципами управления ИТ понимается и принимается. Процедуры стандартизованы и документированы; o Управление. Существует полное понимание проблем управления ИТ на всех уровнях организации, постоянно происходит обучение сотрудников. Четко распределена ответственность, установлен уровень владения процессами; o Оптимизация. В организации существует углубленное понимание управления ИТ, проблем и решений ИТ, а также перспектив. В результате непрерывного улучшения процессы соответствуют моделям зрелости, построенным на основании «лучшей практики». 6 Слайд__ Модель зрелости процессов Использование механизма оценки уровней зрелости и целей контроля, делает данный стандарт более высокоуровневым, хотя в нем содержится множество полезной информации для организации процессов ИТ. Данай стандарт наиболее эффективно использовать для определения целей в области ИТ, построения системы сбалансированных показателей (BSC) для ИТ- подразделения и проведения внутренних и внешних аудитов в области информационных технологий, помимо этого, на основании результатов аттестации процессов по уровням зрелости возможно сформировать мероприятия по совершенствованию процессов. По сравнению с предыдущими версиями COBIT 5 претерпел существенные изменения. Был сформулирован ряд новых принципов, в соответствии с которыми COBIT развивается; заметно обновлена процессная модель; полностью переработана модель зрелости процессов; устранен ряд недочетов и противоречий, свойственных предыдущим версиям. COBIT стал больше, структурнее, а главное — новая версия полностью ориентирована на интересы бизнеса и заказчиков. Она позволяет построить сбалансированную систему руководства и управления ИТ, отвечающую потребностям предприятий и в то же время помогающую эффективно организовать ресурсы и деятельность ИТ-службы. Преимущества использования руководства и управления ИТ: COBIT в качестве методологии ориентация на потребности основного бизнеса понятное для бизнес-руководителей видение ИТ-деятельности ясное распределение ответственности, основанное на процессном подходе обеспечение соответствия регулирующим требованиям 7 законодательным и другим совместимость с подходами и стандартами в сфере управления ИТ 3. Стандарт MOF Если сравнивать объем библиотеки ITIL c моделью процессов MOF (Microsoft Operations Framework), то модель MOF является некоторым расширением процессов, описанных в книгах «Предоставление ИТ-услуг» и «Поддержка ИТ-услуг» библиотеки ITIL. Фактически модель MOF Process Model представляет процессы управления обслуживанием информационных систем, которые представлены в виде функций управления услугами (Service Management Functions, SMF). Вся модель MOF содержит в себе 20 сервисных функций, разбитых на четыре квадранта: o Изменение (Changing) - Внедрение изменений процессов, новых решений и технологий; o Обслуживание (Operating) – Обеспечение выполнения каждодневных рутинных операций; o Поддержка (Supporting) – Обеспечение скорейшего решения инцидентов, проблем, запросов; o Оптимизация (Optimizing) - Оптимизация стоимости, производительности, доступности ИТ- услуг. В рамках данных четырех квадрантов распределяются все 20 сервисных функций (Слайд__) Слайд__. Распределение сервисных функций по квадрантам. В квадранте «Изменение» собраны три следующих сервисных функции: o Управление изменениями (Change Management). Планирование и регистрация всех требуемых изменений в информационной системе, 8 оценка влияния, оказываемого этими изменениями, на другие компоненты информационной системы; o Управление релизами (Release Management). Контроль над релизами и процессом их развертывания должен гарантировать, что все релизы хорошо спланированы и протестированы; o Управление конфигурациями (Configuration Management). Регистрация и контроль сведений о конфигурационных элементах ИТинфраструктуры включает в себя процесс сбора информации обо всех конфигурационных элементах системы в единую базу данных и процессы аудита соответствия информации текущей ситуации. В квадранте «Поддержка» собраны три следующих сервисных функции: o ServiceDesk. Организация первой линии поддержки, регистрация обращений пользователей, запросов на информацию и запросов на изменения; o Управление инцидентами (Incident Management). Управление процессом разрешения инцидентов и обеспечение скорейшего восстановления нормальной работы услуги; o Управление проблемами (Problem Management). Обеспечение бесперебойной работы всех служб информационной системы путем анализа корневых причин появления инцидентов. В квадранте «Оптимизация» собраны шесть следующих сервисных функций: o Управление уровнем обслуживания (Service Level Management). Управление качеством ИТ- услуг путем определения и контроля параметров соглашения об уровне услуг (Service Level Agreement, SLA) между поставщиком и заказчиками; o Управление финансами (Financial Management). Определение, оптимизация и контроль стоимости ИТ- услуг, что включает планирование и составление бюджетов, анализ стоимости услуг, а также мероприятия по оптимизации затрат на ИТ и оценке необходимости инвестиций; o Управление непрерывностью услуг (Service Continuity Management). Восстановление ИТинфраструктуры в случае непредвиденных ситуаций. Включает разработку плана быстрого восстановления критически важных для бизнеса систем; o Управление мощностями (Capacity Management). Контроль и обеспечение необходимой производительности ИТ- ресурсов в соответствии с определенным уровнем обслуживания в SLA; o Управление доступностью (Availability Management). Управление доступностью информации и услуг с точки зрения использования имеющихся мощностей; o Управление персоналом (Workforce Management). Выработка рекомендаций по набору, сохранению и мотивированию ИТ- персонала. В квадранте «Обслуживание» собраны 8 следующих функций: 9 o Планирование работ (Job Scheduling). Организация процесса выполнения работ наиболее эффективным образом для выполнения требований соглашения об уровне услуг; o Системное администрирование (System Administration). Выполнение ежедневных операций по администрированию информационной системы; o Сетевое администрирование (Network Administration). Обеспечение бесперебойной работы сетевой инфраструктуры; o Администрирование системы безопасности (Security Administration). Обеспечение безопасности информационной системы, определение и контроль параметров защиты корпоративной информации и ИТ- услуг; o Администрирование служб каталога (Directory Services Administration). Обслуживание и поддержка корпоративной службы каталога; o Управление хранением данных (Storage Management). Разработка плана архивации/восстановления данных, контроль над системами хранения; o Мониторинг услуг (Service Monitoring and Control). Получение обслуживающим персоналом актуальной информации о состоянии ИТуслуг. Наиболее типичными объектами мониторинга являются: состояние процессов, статусы запланированных заданий, параметры очередей, загрузка серверов, время отклика приложений; o Управление результатами (Print and Output Management). Контроль над процессом печати данных и данными, предоставляемыми в отчетах. Если сравнивать объем стандарта MOF с процессами ITIL по предоставлению и поддержке услуг, то видно, что MOF несколько шире, однако расширение связано с некоторой детализацией квадранта «Обслуживание», что с одной стороны дает определенную информацию, но с другой стороны данная деятельность присутствует в большинстве ИТслужб и расширение модели в данном направлении не вносит большой новизны. Добавление сервисной функции Управление персоналом не несет специфических знаний для организации ИТ в компании и является вспомогательным процессом, который присутствует в любой компании и логика выполнения которого предельно понятна. В остальном, процессы ITIL и MOF полностью идентичны, включая одинаковые наименования и описания. Однако стандарт MOF помимо процессной модели содержит ролевую структуру для распределения полномочий и ответственности между сотрудниками ИТ - модель команды (MOF Team Model). Причем модель команды не предназначена для описания трудовых обязанностей и 10 не является организационной схемой. В модели команды MOF описаны шесть ролей, сгруппированных по жизненному циклу ИТ- услуги (Слайд__). Фактически данные роли являются некоторыми направлениями деятельности: o Релиз (Release) - Планирование и выполнение изменений; o Поддержка (Supporting) - Поддержка пользователей; o Безопасность (Security) - Контроль над корпоративной политикой безопасности; o Инфраструктура (Infrastructure) - Управление средствами работы с инфраструктурой; o Обслуживание (Operations) Выполнение ежедневных операций по обслуживанию ИС; o Партнерство (Partner) - Установление взаимоотношений с бизнесом. Слайд__. Ролевая концепция. Модель команды содержит слишком общее определение ролей, которое будет невозможно использовать при инжиниринге детальных процессов и поэтому, одним из вариантов использования модели команды может быть распределение в соответствии с приведенными ролями ответственности за сервис- функции, т.е. фактически назначение владельцев процессов. Помимо модели команды стандарт MOF содержит в себе модель управления рисками (MOF Risk Model), которая определяет основные этапы управления рисками: 11 o Идентификация рисков (Identify). Определение причин риска, условий его возникновения, последствий; o Анализ рисков (Analyze). Оценка вероятности возникновения риска и ущерба для информационной системы и бизнеса; o Планирование мероприятий (Plan). Определение мероприятий, позволяющих полностью избежать риска или уменьшить его влияние. Также тут разрабатывается план действий в случае возникновения риска; o Отслеживание риска (Track). Сбор информации об изменениях с течением времени различных элементов риска. В случае, если риск считается с некоторого времени незначимым, его необходимо исключить из списка рисков. Если влияние риска изменилось, следует перейти к этапу анализа для переоценки этого влияния; o Контроль (Control). Выполнение запланированных действий в качестве реакции на возникновение рискового события. Фактически данные этапы управления рисками связываются в жизненный цикл управления рисками от идентификации до непрерывного контроля. Слайд__. Управление рисками. Однако если рассмотреть модель управления рисками в отрыве от стандарта ITIL и MOF, то можно увидеть неглубокое представление модели управления рисками. Например, такая методика как CRAMM, содержит более подробные указания по механизмам оценки рисков, а BASEL II – подробнее описывает вопросы организации системы управления рисками в компании. Поэтому для развертывания системы управления рисками более эффективно использовать другие методики, содержащие более полную информацию. По причине схожести методологии ITIL и MOF преимущества от использования данных моделей фактически идентичны. 12 Вывод В результате сравнения ITIL и MOF мы увидели, что MOF обладает рядом существенных особенностей по сравнению со стандартом ITIL, однако если рассмотреть данные особенности, то они не носят ключевого характера: o Процессы, не включенные в ITIL, являются интуитивно понятными и принятыми в оперативной деятельности; o Модель процессов дополнена моделями команды и управления рисками, но применение данных моделей осложнено из-за слабой их детализации; o В противовес документам чисто описательного характера, свойственным ITIL, в MOF предоставлены прикладные материалы, такие как документы серий Windows Operations Guide, Exchange Operations Guide и т.д. Однако данные документы имеют привязку к определенной операционной системе и в принципе не относятся к организации процессов. Если делать вывод о применимости рассмотренных стандартов в области ИТ для оптимизации деятельности, то можно с уверенностью сказать что все они содержат «зерно истины», поэтому применение их в совокупности наиболее предпочтительно, поскольку в определенных областях они имеют новшества относительно друг друга. Контрольные вопросы для проверки знаний 1. Создание и назначение библиотеки ITIL. 2. Книги библиотеки ITIL. 3. Стандарт COBIT: назначение, версии. 4. Уровни модели зрелости процессов. 5. Распределение сервисных функций по квадрантам в стандарте MOF. 6. Модель команды (MOF Team Model). 7. Модель управления рисками (MOF Risk Model). Лекцию разработал: Доцент систем кафедры информационных кандидат технических наук И.В. Федоренко «_____»______________________201_ г. 13