Учебные вопросы - Ставропольский государственный аграрный

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
СТАВРОПОЛЬСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ
Утверждаю
Заведующий кафедрой ИС
к.т.н Д.В. Шлаев
«___»
201_ года
ЛЕКЦИЯ №4
Стандарты управления ИТ-инфраструктурой предприятия
ITIL, Cobit, MOF
по учебной дисциплине:
«ИТ-инфраструктура предприятия»
Для студентов специальности:
38.03.05 Бизнес-информатика
Рассмотрено УМК
" " ___________ 201_ года
протокол N ______________
Ставрополь – 201_ г.
Цель лекции
Дать систематизированные основы научных знаний по указанной теме
занятия. Организовать целенаправленную познавательную деятельность
студентов по овладению программным материалом по данной теме.
Познакомить с основными понятиями по теме лекции.
Сформировать познавательный интерес к содержанию учебного
материала, помочь выработать у студентов стремление к самостоятельной
работе и всестороннему овладению специальностью, развивать интерес к
учебной дисциплине, содействовать активизации мышления студентов.
Учебные вопросы:
1. Библиотека инфраструктуры ITIL
2. Стандарт Cobit
3. Стандарт MOF
Время – 2часа
2
Вводная часть
В большинстве случаев успешность телекоммуникационного
бизнеса зависит от использования информационных технологий для
поддержки ключевых бизнес-процессов компании. Сейчас ИТ –
подразделение телекоммуникационной компании становится партнером
бизнеса и вместе с производственными подразделениями организации
формирует добавочное качество, тогда как раньше ИТ - подразделение
только предоставляло в пользование элементы ИТ – инфраструктуры.
Однако необходимо четко обосновывать перед производственными
подразделениями направления развития информационных технологий в
компании и преимущества выбранных ИТ–решений. От используемых
информационных технологий и качества их сопровождения зависит
оказание услуг внешним пользователям, что напрямую влияет на
конкурентоспособность компании, и все это повышает требования к
эффективности ИТ – подразделения.
Задача повышения эффективности информационных технологий уже
решалась не раз и наиболее эффективные результаты сведены в стандартах
и библиотеках в области информационных технологий. Использование
данных стандартов позволяет «не придумывать велосипед», а взять
наиболее совершенное решение и привести его в соответствие со своей
ситуацией.
1. Библиотека инфраструктуры ITIL
ITIL (Information Technology Infrastructure Library)
В настоящее время стандартом «де-факто» в области организации и
управления информационными технологиями, обобщившим в себе лучший
международный опыт, является Information Technology Infrastructure Library
(ITIL).
Издателем Библиотеки ITIL является OGC (The Office of Government
Commerce) - британская правительственная организация, отвечающая за
повышение
эффективности
работы
государственных
структур
Великобритании, а также за развитие кооперации с компаниями частного
сектора.
Развитие и популяризация Библиотеки поддерживаются не только её
издателем (OGC), но и независимым профессиональным сообществом itSMF
(IT Service Management Forum). Эта некоммерческая организация
объединяет как частных лиц, профессионалов в области управления ИТ, так и
организации, в том числе компании-вендоры. В числе крупнейших
корпоративных членов Форума (Global members) компании Microsoft, SUN,
HP и IBM.
3
Библиотека ITIL первоначально была результатом работы
Центрального
агентства
по
вычислительной
технике
и
телекоммуникациям (Central Computer and Telecommunications Agency –
CCTA) при правительстве Великобритании. В апреле 2001 г. ССТА было
объединено с Государственной торговой палатой (Office of Government
Commerce – OGC), являющейся в настоящее время новым владельцем
библиотеки ITIL. Целью OGC является помощь заказчикам из
государственного сектора экономики Великобритании в модернизации их
деятельности по закупкам и улучшении обслуживания путем максимального
использования ИТ и других инструментариев. «Задачей OGC является
модернизация закупок правительственными службами и работа по
улучшению использования финансовых средств». OGC способствует
использованию «передового опыта» в различных сферах деятельности
(например, Управление Проектами, Управление Закупками и ИТ Сервисменеджмент). OGC выпускает несколько книжных серий (библиотек),
написанных экспертами из Великобритании и других стран мира,
представляющими ряд компаний и организаций.
Принадлежащая OGC библиотека ITIL состоит из ряда доступных и
детальных «Собраний практических руководств» для предоставления
эффективных и рациональных ИТ-услуг (сервисов).
Книги библиотеки ITIL
Каждая из книг библиотеки ITIL рассматривает вопросы отдельной
части структурированной процессной основы. В них дается описание того,
что необходимо для организации ИТ Сервис-менеджмента.
Библиотека ITIL определяет цели и виды деятельности, входные и
выходные параметры каждого из процессов в ИТ-организации. Однако
библиотека ITIL не дает конкретного описания способов осуществления этой
деятельности, так как они могут различаться в каждой организации. Акцент
делается на проверенном практикой подходе, который может быть
реализован различными способами в зависимости от обстоятельств.
Библиотека ITIL не является методом; наоборот, она предлагает
структурированную основу для планирования наиболее часто используемых
процессов, ролей и видов деятельности, определяя связи между ними и
необходимые виды коммуникации.
Создание библиотеки ITIL вызвано необходимостью предоставления
высококачественных услуг, уделяя при этом особое внимание отношениям с
заказчиком. ИТ-организация должна выполнять соглашения с заказчиком,
что означает поддержание хороших отношений с заказчиками и партнерами,
такими, как поставщики.
Частично философия библиотеки ITIL имеет в своей основе системы
качества, такие как стандарты серии ISO-9000, и общие схемы обеспечения
качества (Total Quality frameworks), как предлагаемые Европейской
организацией Управления Качеством (European Foundation of Quality
Management – EFQM). Библиотека ITIL поддерживает эти системы путем
4
предоставления четкого описания процессов и передового опыта ИТ Сервисменеджмента. Это может значительно сократить время, необходимое для
прохождения сертификации ISO.
Первоначально библиотека ITIL состояла из нескольких комплектов
книг, в каждом из которых описывалась конкретная область сопровождения
и эксплуатации ИТ-инфраструктуры. Ядром ITIL считались десять книг, в
которых описывались такие области, как поддержка услуг и предоставление
услуг. Библиотека включала также около 40 других книг по
вспомогательным предметам, имевшим отношение к ИТ Сервисменеджменту, от монтажа кабелей до Управления Отношениями с
Заказчиком. Для управления книгами используется book manager. Однако, в
первоначальных сериях книг вопросы ИТ Сервис-менеджмента
рассматривали главным образом с точки зрения ИТ. Для заполнения разрыва
между бизнес-практикой и ИТ-организацией в библиотеку была включена
серия книг, рассматривающая бизнес-аспекты ИТ Сервис-менеджмента.
Более того, в определенных частях библиотеки ITIL в то время
использовался несколько устаревший подход.
Позже была сделана переработка центральных книг по ITIL и они были
переизданы в виде двух книг: одна – по поддержке услуг и другая – по их
предоставлению. Это позволило исключить повторы и встречавшуюся
местами несогласованность ранних серий, что улучшило структурное
единство издания, которое теперь дает более четкое представление об ИТ
Сервис-менеджменте.
Долгое время ITIL состояло из восьми томов.
Третья редакция ITIL (ITIL v.3) была выпущена в мае 2007. В ней
полностью переработаны и по-новому организованы разделы, чтобы
поддержать новый подход «формата жизненного цикла услуг». ITIL v.3
содержит уже только пять книг и состоит из:

Стратегия услуг (англ. Service Strategy)

Проектирование услуг (англ. Service Design)

Преобразование услуг (англ. Service Transition)

Эксплуатация услуг (англ. Service Operation)

Постоянное улучшение услуг (англ. Continual Service
Improvement)
2. Стандарт COBIT (Control Objectives for Information and related
Technology)
– стандарт управления и аудита в области информационных
технологий.
Первая версия стандарта была выпущена в 1996 году Организацией
аудита и контроля информационных систем (Information Systems Audit and
Control Foundation, ISACF) с целью обеспечения методов оценки и
контроля, которые пригодились бы и IТ-персоналу, и аудиторам, и
5
клиентам. Она включала концептуальное ядро, определяющее набор
основополагающих принципов и понятий в области управления IT,
описание задач управления и руководство по аудиту. Вторая,
переработанная версия CobiT была опубликована в 1998 году.
Основой стандарта COBIT являются 34 высокоуровневые цели
контроля, по одной на каждый ИТ- процесс, которые сгруппированы в 4
домена: Планирование и Организация, Проектирование и Внедрение,
Эксплуатация и Сопровождение, Мониторинг. Особенностью стандарта
COBIT по отношению к другим стандартам в области ИТ является
присутствие в нем модели зрелости разработанной в конце 80-х годов
Институтом проектирования и разработки программного обеспечения
(Software Engineering Institute's). Maturity Models (MM) – не технология, не
стандарт, для нее нет формальных описаний, в ней нет жестких
требований, и она не привязана к конкретным информационным
технологиям. Однако данная модель зрелости вводит понятие нескольких
уровней зрелости процессов (Слайд__):
o
Не существует. Полное отсутствие каких-либо процессов
управления ИТ. Организация не признает существования проблем в ИТ,
которые нужно решать;
o
Начало. Организация признает существование проблем
управления ИТ и необходимость их решения. При этом не существует
никаких стандартизованных решений;
o
Повторение. Существует всеобщее осознание проблем
управления ИТ. Показатели деятельности и ИТ-процессов находятся в
развитии, охватывая процессы планирования, функционирования и
мониторинга ИТ;
o
Описание. Необходимость действовать в соответствии с
принципами управления ИТ понимается и принимается. Процедуры
стандартизованы и документированы;
o
Управление. Существует полное понимание проблем
управления ИТ на всех уровнях организации, постоянно происходит
обучение сотрудников. Четко распределена ответственность, установлен
уровень владения процессами;
o
Оптимизация. В организации существует углубленное
понимание управления ИТ, проблем и решений ИТ, а также перспектив. В
результате непрерывного улучшения процессы соответствуют моделям
зрелости, построенным на основании «лучшей практики».
6
Слайд__ Модель зрелости процессов
Использование механизма оценки уровней зрелости и целей
контроля, делает данный стандарт более высокоуровневым, хотя в нем
содержится множество полезной информации для организации процессов
ИТ. Данай стандарт наиболее эффективно использовать для определения
целей в области ИТ, построения системы сбалансированных показателей
(BSC) для ИТ- подразделения и проведения внутренних и внешних
аудитов в области информационных технологий, помимо этого, на
основании результатов аттестации процессов по уровням зрелости
возможно сформировать мероприятия по совершенствованию процессов.
По сравнению с предыдущими версиями COBIT 5 претерпел
существенные изменения. Был сформулирован ряд новых принципов,
в соответствии с которыми COBIT развивается; заметно обновлена
процессная модель; полностью переработана модель зрелости процессов;
устранен ряд недочетов и противоречий, свойственных предыдущим
версиям. COBIT стал больше, структурнее, а главное — новая версия
полностью ориентирована на интересы бизнеса и заказчиков. Она позволяет
построить сбалансированную систему руководства и управления ИТ,
отвечающую потребностям предприятий и в то же время помогающую
эффективно организовать ресурсы и деятельность ИТ-службы.
Преимущества использования
руководства и управления ИТ:



COBIT
в качестве
методологии
ориентация на потребности основного бизнеса
понятное для бизнес-руководителей видение ИТ-деятельности
ясное распределение ответственности, основанное на процессном
подходе
обеспечение
соответствия
регулирующим требованиям

7
законодательным
и другим

совместимость с подходами и стандартами в сфере управления
ИТ
3. Стандарт MOF
Если сравнивать объем библиотеки ITIL c моделью процессов MOF
(Microsoft Operations Framework), то модель MOF является некоторым
расширением процессов, описанных в книгах «Предоставление ИТ-услуг»
и «Поддержка ИТ-услуг» библиотеки ITIL. Фактически модель MOF
Process Model представляет процессы управления обслуживанием
информационных систем, которые представлены в виде функций
управления услугами (Service Management Functions, SMF). Вся модель
MOF содержит в себе 20 сервисных функций, разбитых на четыре
квадранта:
o
Изменение (Changing) - Внедрение изменений процессов,
новых решений и технологий;
o
Обслуживание (Operating) – Обеспечение выполнения
каждодневных рутинных операций;
o
Поддержка (Supporting) – Обеспечение скорейшего решения
инцидентов, проблем, запросов;
o
Оптимизация (Optimizing) - Оптимизация стоимости,
производительности, доступности ИТ- услуг.
В рамках данных четырех квадрантов распределяются все 20
сервисных функций (Слайд__)
Слайд__. Распределение сервисных функций по квадрантам.
В квадранте «Изменение» собраны три следующих сервисных
функции:
o
Управление изменениями (Change Management). Планирование
и регистрация всех требуемых изменений в информационной системе,
8
оценка влияния, оказываемого этими изменениями, на другие компоненты
информационной системы;
o
Управление релизами (Release Management). Контроль над
релизами и процессом их развертывания должен гарантировать, что все
релизы хорошо спланированы и протестированы;
o
Управление конфигурациями (Configuration Management).
Регистрация и контроль сведений о конфигурационных элементах ИТинфраструктуры включает в себя процесс сбора информации обо всех
конфигурационных элементах системы в единую базу данных и процессы
аудита соответствия информации текущей ситуации.
В квадранте «Поддержка» собраны три следующих сервисных
функции:
o
ServiceDesk. Организация первой линии поддержки,
регистрация обращений пользователей, запросов на информацию и
запросов на изменения;
o
Управление инцидентами (Incident Management). Управление
процессом разрешения инцидентов и обеспечение скорейшего
восстановления нормальной работы услуги;
o
Управление проблемами (Problem Management). Обеспечение
бесперебойной работы всех служб информационной системы путем
анализа корневых причин появления инцидентов.
В квадранте «Оптимизация» собраны шесть следующих сервисных
функций:
o
Управление уровнем обслуживания (Service Level Management).
Управление качеством ИТ- услуг путем определения и контроля
параметров соглашения об уровне услуг (Service Level Agreement, SLA)
между поставщиком и заказчиками;
o
Управление финансами (Financial Management). Определение,
оптимизация и контроль стоимости ИТ- услуг, что включает планирование
и составление бюджетов, анализ стоимости услуг, а также мероприятия по
оптимизации затрат на ИТ и оценке необходимости инвестиций;
o
Управление непрерывностью услуг (Service Continuity
Management).
Восстановление
ИТинфраструктуры
в
случае
непредвиденных ситуаций. Включает разработку плана быстрого
восстановления критически важных для бизнеса систем;
o
Управление мощностями (Capacity Management). Контроль и
обеспечение необходимой производительности ИТ- ресурсов в
соответствии с определенным уровнем обслуживания в SLA;
o
Управление доступностью (Availability Management).
Управление доступностью информации и услуг с точки зрения
использования имеющихся мощностей;
o
Управление персоналом (Workforce Management). Выработка
рекомендаций по набору, сохранению и мотивированию ИТ- персонала.
В квадранте «Обслуживание» собраны 8 следующих функций:
9
o
Планирование работ (Job Scheduling). Организация процесса
выполнения работ наиболее эффективным образом для выполнения
требований соглашения об уровне услуг;
o
Системное администрирование (System Administration).
Выполнение
ежедневных
операций
по
администрированию
информационной системы;
o
Сетевое администрирование (Network Administration).
Обеспечение бесперебойной работы сетевой инфраструктуры;
o
Администрирование системы безопасности (Security
Administration). Обеспечение безопасности информационной системы,
определение и контроль параметров защиты корпоративной информации и
ИТ- услуг;
o
Администрирование служб каталога (Directory Services
Administration). Обслуживание и поддержка корпоративной службы
каталога;
o
Управление хранением данных (Storage Management).
Разработка плана архивации/восстановления данных, контроль над
системами хранения;
o
Мониторинг услуг (Service Monitoring and Control). Получение
обслуживающим персоналом актуальной информации о состоянии ИТуслуг. Наиболее типичными объектами мониторинга являются: состояние
процессов, статусы запланированных заданий, параметры очередей,
загрузка серверов, время отклика приложений;
o
Управление результатами (Print and Output Management).
Контроль над процессом печати данных и данными, предоставляемыми в
отчетах.
Если сравнивать объем стандарта MOF с процессами ITIL по
предоставлению и поддержке услуг, то видно, что MOF несколько шире,
однако расширение связано с некоторой детализацией квадранта
«Обслуживание», что с одной стороны дает определенную информацию,
но с другой стороны данная деятельность присутствует в большинстве ИТслужб и расширение модели в данном направлении не вносит большой
новизны.
Добавление сервисной функции Управление персоналом не несет
специфических знаний для организации ИТ в компании и является
вспомогательным процессом, который присутствует в любой компании и
логика выполнения которого предельно понятна. В остальном, процессы
ITIL и MOF полностью идентичны, включая одинаковые наименования и
описания.
Однако стандарт MOF помимо процессной модели содержит
ролевую структуру для распределения полномочий и ответственности
между сотрудниками ИТ - модель команды (MOF Team Model). Причем
модель команды не предназначена для описания трудовых обязанностей и
10
не является организационной схемой. В модели команды MOF описаны
шесть ролей, сгруппированных по жизненному циклу ИТ- услуги
(Слайд__). Фактически данные роли являются некоторыми направлениями
деятельности:
o
Релиз (Release) - Планирование и выполнение изменений;
o
Поддержка (Supporting) - Поддержка пользователей;
o
Безопасность (Security) - Контроль над корпоративной
политикой безопасности;
o
Инфраструктура (Infrastructure) - Управление средствами
работы с инфраструктурой;
o
Обслуживание (Operations) Выполнение ежедневных
операций по обслуживанию ИС;
o
Партнерство (Partner) - Установление взаимоотношений с
бизнесом.
Слайд__. Ролевая концепция.
Модель команды содержит слишком общее определение ролей,
которое будет невозможно использовать при инжиниринге детальных
процессов и поэтому, одним из вариантов использования модели команды
может быть распределение в соответствии с приведенными ролями
ответственности за сервис- функции, т.е. фактически назначение
владельцев процессов.
Помимо модели команды стандарт MOF содержит в себе модель
управления рисками (MOF Risk Model), которая определяет основные
этапы управления рисками:
11
o
Идентификация рисков (Identify). Определение причин риска,
условий его возникновения, последствий;
o
Анализ рисков (Analyze). Оценка вероятности возникновения
риска и ущерба для информационной системы и бизнеса;
o
Планирование мероприятий (Plan). Определение мероприятий,
позволяющих полностью избежать риска или уменьшить его влияние.
Также тут разрабатывается план действий в случае возникновения риска;
o
Отслеживание риска (Track). Сбор информации об изменениях
с течением времени различных элементов риска. В случае, если риск
считается с некоторого времени незначимым, его необходимо исключить
из списка рисков. Если влияние риска изменилось, следует перейти к этапу
анализа для переоценки этого влияния;
o
Контроль (Control). Выполнение запланированных действий в
качестве реакции на возникновение рискового события.
Фактически данные этапы управления рисками связываются в
жизненный цикл управления рисками от идентификации до непрерывного
контроля.
Слайд__. Управление рисками.
Однако если рассмотреть модель управления рисками в отрыве от
стандарта ITIL и MOF, то можно увидеть неглубокое представление
модели управления рисками. Например, такая методика как CRAMM,
содержит более подробные указания по механизмам оценки рисков, а
BASEL II – подробнее описывает вопросы организации системы
управления рисками в компании. Поэтому для развертывания системы
управления рисками более эффективно использовать другие методики,
содержащие более полную информацию.
По причине схожести методологии ITIL и MOF преимущества от
использования данных моделей фактически идентичны.
12
Вывод
В результате сравнения ITIL и MOF мы увидели, что MOF обладает
рядом существенных особенностей по сравнению со стандартом ITIL,
однако если рассмотреть данные особенности, то они не носят ключевого
характера:
o
Процессы, не включенные в ITIL, являются интуитивно
понятными и принятыми в оперативной деятельности;
o
Модель процессов дополнена моделями команды и управления
рисками, но применение данных моделей осложнено из-за слабой их
детализации;
o
В противовес документам чисто описательного характера,
свойственным ITIL, в MOF предоставлены прикладные материалы, такие
как документы серий Windows Operations Guide, Exchange Operations Guide
и т.д. Однако данные документы имеют привязку к определенной
операционной системе и в принципе не относятся к организации
процессов.
Если делать вывод о применимости рассмотренных стандартов в
области ИТ для оптимизации деятельности, то можно с уверенностью
сказать что все они содержат «зерно истины», поэтому применение их в
совокупности наиболее предпочтительно, поскольку в определенных
областях они имеют новшества относительно друг друга.
Контрольные вопросы для проверки знаний
1. Создание и назначение библиотеки ITIL.
2. Книги библиотеки ITIL.
3. Стандарт COBIT: назначение, версии.
4. Уровни модели зрелости процессов.
5. Распределение сервисных функций по квадрантам в стандарте MOF.
6. Модель команды (MOF Team Model).
7. Модель управления рисками (MOF Risk Model).
Лекцию разработал:
Доцент
систем
кафедры
информационных
кандидат технических наук
И.В. Федоренко
«_____»______________________201_ г.
13