|
ИТ-инфраструктура_КонспектЛекций. Учебнометодический комплекс Управление итинфраструктурой предприятия
информационными технологиями
1. Необходимость эффективной системы управления и контроля над ИТ В условиях стремительно возрастающей роли ИТ-составляющей профессиональный подход к управлению и систематическое обследование информационных технологий по международным стандартам позволяют компенсировать на первый взгляд невидимые, но существенные недостатки в организации производственных процессов. Построение грамотной структуры управления, создание эффективной вертикали принятия решения и системы контроля напрямую зависят от состояния информационных технологий, от их эффективности, производительности, безопасности, надежности и других не менее важных показателей.
Эффективная система управления и контроля над ИТ решает не только внутренние проблемы, но и позволяет повысить инвестиционную привлекательность организации, позиционируя ее для инвестора как "открытую" финансовую систему. С другой стороны достаточно трудно подобрать комплексное решение для таких задач. Одно из решений — внедрение стандарта CobiT, который формализует не только конкретные проекты в сфере ИТ, но и создает то ядро управления и контроля ИТ, вокруг которого выстраиваются производственные процессы организации с максимально возможным уровнем эффективности.
Управление и аудит ИТ — это нечто большее, чем традиционный термин — управление и аудит информационной безопасности, в том числе на соответствие требованиям ФАПСИ, BS7799 (ISO 17799) или другим разработанным критериям.
В той или иной форме вопросы, связанные с внутренним контролем бизнес-процессов организации, ее финансово-хозяйственной деятельности и информационными технологиями возникают постоянно. В поиске ответов на эти вопросы руководители организаций создают собственные службы внутреннего аудита, приглашаются аудиторские компании, обращаются к консультантам.
Для решения задачи, связанной с созданием собственной службы внутреннего аудита, организация на определенном этапе оценивает экономическую эффективность подобной службы, которая призвана стать дополнительным источником информации для руководителя, принимающего решения. Если служба внутреннего аудита признается экономически эффективной для организации, то она создается, если не эффективной — то приглашаются внешние консультанты или аудиторы для проведения работ.
Независимо от результатов выбора из перечисленных выше возможностей перед руководителем неоспоримо возникает еще одна проблема: необходимость выбора методологического средства, на основе которого будет построена система управления и контроля и которое будет рабочим инструментом службы внутреннего ИТ-аудита. На сегодняшний день ощутимого недостатка в стандартах нет. Такие стандарты, как ISO, ITIL и другие, уже применяются и в российской практике, более того, интерес к ним неизменно растет. Все они практически в равной степени наделены определенными преимуществами и недостатками, прежде всего из-за функциональной направленности и специфической области применения. Любому же пользователю интересен, прежде всего, комплексный подход к решению, тем более в таком объемном и многогранном вопросе, как управление и контроль ИТ. Рассмотрим более подробно одно из существующих решений — стандарт CobiT.
Вначале, несколько слов об ассоциации ISACA, которая развивает и продвигает этот стандарт.
Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов в контроле ИТ. Ассоциация Аудита и Контроля Информационных Систем является ведущей мировой профессиональной организацией с представительствами в более чем 100 странах мира и охватывает все уровни ИТ:
Организации;
Управления;
Практического применения.
Ассоциация занимает уникальную позицию мирового лидера в области разработки и распространения стандартов по аудиту ИТ, ее стратегический альянс с другими ассоциациями и консалтинговыми компаниями в областях финансово-хозяйственной деятельности, бухгалтерского учета и аудита ИТ обеспечивает не имеющий равных уровень интеграции и соответствия требованиям владельцев бизнес-процессов.
2. Стандарт CobiT: управление и аудит ИТ Аббревиатура CobiT расшифровывается как Контрольные ОБъекты для Информационных и смежных Технологий. За этой аббревиатурой скрывается набор документов, в которых изложены принципы управления и аудита информационных технологий. CobiT позиционируется как открытый стандарт "де-факто", в настоящее время переживающий свое третье издание.
В состав стандарта входят шесть книг, ориентированных на разные аудитории (рисунок 6.1):
Резюме для руководителя. Описание стандарта CobiT, ориентированное на топ-менеджеров организации для принятия ими решения о применимости стандарта в конкретной организации. С переводом этой книги на русский язык Вы можете ознакомиться: http://www.isaca.ru
Описание структуры. Книга содержит развернутое описание структуры стандарта, высокоуровневых целей контроля и пояснения к ним, необходимые для эффективной навигации и результативной работы со стандартом.
Объекты контроля. В книгу включены детальные описания объектов контроля, содержащие расшифровку каждого из объектов.
Принципы управления. Книга отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ-служб.
Принципы аудита. Правила проведения ИТ-аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать? Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ.
Набор инструментов внедрения стандарта — практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ.
Рисунок 6.1. Состав книг CobiT Модель процессов, выстраиваемая на базе CobiT, предпочтительней других подходов, в основе которых не лежат бизнес-процессы организации (методики и стандарты аудита производителей программно-аппаратных средств), по нескольким причинам:
По определению: процесс — это действие, направленное на достижение результата, при оптимальном использовании ресурсов, и которое может корректироваться при его выполнении. При выполнении процесса все задействованные ресурсы структурируются и выстраиваются таким образом, чтобы максимально эффективно выполнять этот процесс.
Во-вторых, процессы в подавляющем большинстве организаций, а особенно их цели не так часто изменяются, по сравнению с организационными объектами (организационно-штатная структура: сотрудники, отделы, департаменты и т.д.).
В-третьих, развертывание информационной системы или внедрение информационных технологий не может быть ограничено спецификой одного отдела или департамента, а затрагивает руководителей, пользователей из других подразделений и ИТ-специалистов. Таким образом, прикладные системы (прикладное программное обеспечение то, что видит пользователь) — это неотъемлемая часть структуры CobiT и могут быть стандартно оценены, как и прочие объекты контроля CobiT, в рамках единой структуры и с применением единых метрик.
CobiT — это сохранение единого подхода к сбору, анализу информации, подготовке выводов и заключений на всех этапах управления, контроля и аудита ИТ, возможность сравнения существующих ИТ-процессов с "лучшими" практиками, в том числе отраслевыми.
Цикл, заложенный в CobiT, отражает непрерывность соответствия ИТ требованиям бизнеса (рисунок 6.2).
Рисунок 6.2. Цикл CobiT, отражающий непрерывность соответствия
ИТ требованиям бизнеса В основу стандарта CobiT положено следующее утверждение: для предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно сгруппированных процессов.
Для этого CobiT выделяет 34 высокоуровневые цели контроля, по одной на каждый ИТ- процесс, которые сгруппированы в 4 домена: Планирование и Организация; Проектирование и Внедрение; Эксплуатация и Сопровождение; Мониторинг (рисунок 6.3). Предлагаемая структура объединяет все аспекты информации и технологий, поддерживающих ее. Применяя 34 высокоуровневые цели контроля, руководитель может быть уверен, что ему будет предоставлена адекватная система контроля над ИТ-средой, которая учитывает задействованные ресурсы ИТ, дающая возможность оценить ИТ по предлагаемым CobiT семи критериям оценки информации.
Рисунок 6.3. Четыре домена CobiT, объединяющие 34 ИТ-процесса,
критерии информации и ресурсы ИТ Ресурсы ИТ в CobiT описаны пятью составляющими:
Данные — объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а также графика, звук и т.д.
Приложения — совокупность автоматизированных и выполняемых вручную процедур.
Технология — аппаратное обеспечение, программное обеспечение, операционные системы, системы управления базами данных, сетью и мультимедиа.
Оборудование — все ресурсы, создающие и поддерживающие информационные технологии.
Люди — персонал, его навыки: умение планировать и организовывать, комплектовать, обслуживать и контролировать информационные системы и услуги.
При этом денежные средства или капитал не рассматриваются в качестве ИТ-ресурса. Они могут рассматриваться в качестве инвестиций в любой из вышеуказанных ресурсов.
Критерии оценки информации:
Эффективность — актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации.
Продуктивность — обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов.
Конфиденциальность — обеспечение защиты информации от неавторизованного ознакомления.
Целостность — точность, полнота и достоверность информации в соответствии с требованиями бизнеса.
Пригодность — предоставление информации по требованию бизнес-процессов.
Согласованность — соответствие законам, правилам и договорным обязательствам.
Надежность — доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия.
Схема CobiT, объединяющая 34 ИТ-процесса и учитывающая критерии информации и ресурсы ИТ на всем протяжении жизненного цикла, представлена на рисунке 6.4.
Рисунок 6.4. Вопросы CobiT, на всем жизненном цикле ИТ Для достижения целей организации в сфере ИТ, CobiT включает в себя две основные книги, которые отражают Принципы управления и Принципы аудита (рисунок 6.5).
Как следует из названия — это две части одного целого (оказание воздействия и контроль результатов). Управляем — воздействуем на ИТ для достижения поставленных целей. Аудит — контролируем достижение цели.
Рисунок 6.5. Связь Управления и Аудита Необходимо отметить, что в основе стандарта лежат Объекты Контроля CobiT, именно они являются базой стандарта и объединяют все его книги, предлагая пользователю единую основу управления и аудита ИТ.
3. Стандарт CobiT: принципы управления ИТ Принципы управления, книга стандарта CobiT, описывающая управление ИТ — одна из последних разработок Института Управления ИТ, пополнившая перечень книг CobiT в 3-ем издании стандарта.
Управление ИТ — составная часть успеха в управлении предприятием, которая гарантирует рациональное и эффективное совершенствование всех взаимосвязанных процессов предприятия. Управление ИТ предоставляет основу, которая связывает ИТ-процессы, ИТ-ресурсы и информацию со стратегией и целями организации, что позволяет максимально эффективно использовать информацию, повышая капитализацию и получая конкурентоспособные преимущества.
Принципы управления созданы для того, чтобы помочь руководителю ИТ ответить на три стратегических вопроса:
Существуют ли в настоящее время в организации Информационные Технологии, при управлении которыми "удовлетворяются" все информационные потребности организации?
Как организация обеспечивает инфраструктуру и управляет рисками, насколько организация зависит от этого?
С какими проблемами организация сталкивается при управлении ИТ?
Чтобы получить ответы на эти стратегические вопросы необходимо непрерывно отвечать на "тактические" вопросы:
Что является результатом ИТ-процессов?
Что является решением проблем в ИТ?
Из чего состоят эти решения?
Будут ли работать эти решения?
Как их реализовать?
Для получения ответов на "тактические" вопросы в книге Принципы управления CobiT, включены Модели Зрелости, Критические Факторы Успеха (КФУ), Ключевые Индикаторы Цели (КИЦ) и Ключевые Показатели Результата (КПР), это дополнение позволило получить качественно улучшенный подход к вопросам управления ИТ, который отвечает потребностям руководителей в части управления и контроля. Предоставляя руководителю организации инструмент управления и измерения ИТ на соответствие тридцати четырем ИТ-процессам, определенным в CobiT.
Для информационной поддержки принятия решений, в книге Принципы управления описаны следующие виды представления информации:
Инструментальная панель;
Карты оценки;
Эталонное тестирование.
Первой целью Принципов управления CobiT явилось создание индикаторов для инструментальной панели, единиц измерения для карт оценки, шкал сравнения для эталонного тестирования.
Необходимость "измерения" процессов организации обусловлена важностью непрерывного совершенствования ИТ, что создает потребность в комплекте инструментов для контроля. При этом трудно определить необходимый уровень совершенствования и остановиться на нем. Перед руководителями в коммерческих и некоммерческих организациях часто возникают задачи оценить объемы инвестиций в ИТ и инфраструктуру, при этом далеко не все могут обосновать инвестиции, отвечая на вопрос: "Как далеко необходимо зайти, и будут ли оправданы затраты выгодой?". Принципы управления CobiT призваны ответить на этот вопрос и помочь в обосновании инвестиций в ИТ.
В настоящее время информационные услуги преобладают над прочими поддерживающими бизнес услугами. Таким образом, ИТ становятся одним из первостепенных показателей бизнеса. Как следствие — отношения между бизнес-целями с их единицами измерения и ИТ с его целями и единицами измерения являются очень важными и могут быть изображены следующим образом (рисунок 6.6).
Рисунок 6. 6. Схема отношения бизнес целей и ИТ Создание такой взаимной связи поможет руководителям в контроле над информационными технологиями организации, отвечая на следующие вопросы:
О чем беспокоится руководство организации? Необходимо удостовериться, что выполняются все потребности организации.
Где измеряется удовлетворение потребностей? Результат бизнес-процесса представлен на сбалансированной карте оценок бизнеса как Ключевой Индикатор Цели.
Затрагивают ли проблемы, возникающие в ходе реализации бизнес-процессов, информационные технологии организации? ИТ-процессы своевременно предоставляют организации правильную информацию, позволяя ее бизнес-процессам эффективно и бесперебойно функционировать. Это является Критическим Фактором Успеха для организации.
Где это измеряется? Ключевой Индикатор Цели, основанный на сбалансированной карте оценки, представляет ИТ-информацию, сопоставимую с критериями информации (Эффективность, Продуктивность, Конфиденциальность, Целостность, Пригодность, Согласованность, Надежность).
Что еще должно быть измерено? Если ответы на первые вопросы — положительные, должно быть учтено влияние множества Критических Факторов Успеха, которые должны быть измерены как Ключевые Индикаторы Результата для ИТ-процессов.
|
|
|