1 задание. Вадим Алджанов итархитектура от а до Я Теоретические основы. Первое
Скачать 8 Mb.
|
Управление Запросами (Request Management RQM) Процесс Управления Запросами является частью этапа «Сопровождения». Данный процесс отвечает на такие вопросы как: Формирование процесса управления Запросами. Процесс является наиболее сложным с точки зрения внедрения, так как выходит за рамки департамента, и требует вовлечения других подразделений организации. Деятельность по процессу: Утверждение процесса управления Запросами Интеграция процесса управления запросами в Систему Управления ИТ сервисами в организации Формирование процесса управления Запросами Классификация Запросов по типам Формирование шаблонов запросов по типам Формирование списка заранее одобренных типовых запросов Определение групп выполнения запросов Определение групп одобрения запросов по типам Формирование под-процессов по типам запросов Определение реакции на Запросы Определение метрик и показателей процесса Интеграция процесса управления запросами с прочими процессами Определение под-процесса классификации и категоризации запросов Разрешение конфликтов Входы процесса: Процесс Управления Изменениями Процесс Управления Событиями Процесс управления Инцидентами Политика Информационной Безопасности Процесс управления Изменениями Процесс управления Событиями Процесс управления Инцидентами Политика Информационной Безопасности Организационная структура организации Порядок одобрения запросов Выходы процесса: Предоставление процесса самообслуживания Запросы на изменения Запросы на доступ Регистрация инцидентов Регистрация проблем Участники процесса: ИТ комитет Сотрудники ИТ департамента Представители Департамента Безопасности Представители бизнеса организации Ключевые моменты процесса: ИТ департамент является владельцем процесса При внедрении процесса управления запросами необходимо определить следующие важные атрибуты: Определить, по возможности категоризацию воздействия и срочности с указанием метрик: Высокое (High) воздействие – Запрос воздействует на всех пользователей или критичен для бизнеса, или Запрос затрагивает критические компоненты сервиса Среднее (Medium) воздействие – Запрос воздействует на (значительную или нет) группу пользователей или бизнеса, или Запрос затрагивает критические, но зарезервированные компоненты сервиса Низкое (Low) воздействие – Запрос воздействует на одного пользователей или не критичен для бизнеса, или Запрос затрагивает не критические или второстепенные компоненты сервиса. Высокая (High) срочность – Запрос требует немедленного вмешательства или выполнения Средняя (Medium) срочность – Запрос требует вмешательства, но время разрешения в пределах SLA Низкая (Low) срочность – Запрос не требует немедленного вмешательства Порядок реагирования для каждой категории запросов: Время реакции на запрос – максимальное время, в течении которого ИТ департамент обязуется среагировать на инцидент. Как правило это идентификация, классификация, назначение инцидента на группу поддержки с информированием сотрудника, контакт с пользователем и т п. Время разрешения запроса – максимальное время, в течении которого ИТ департамент обязуется разрешить инцидент. Время закрытия запроса – максимальное время ожидания реакции сотрудника, после которого инцидент будет закрыт. Определение источников поступления запросов: Контакт с пользователем Телефонный звонок Электронная почта Электронный портал Системы мониторинга Статусы запроса: Инициирован (Initiate) Одобренный (Approved) Активный (In progress) В ожидании (On pending) Приостановленный (On hold) Проверенный (Validated and Reviewed) Выполненный (Completed) Закрытый (Closed) Активность проигнорирована (skipped) Классификация запросов по типам и подтипам (зависит от специфики организации, предпочтениям и т п): Запрос на предоставление сервиса (новый сервис, новое оборудование и т п) Запрос на обслуживание (предоставление доступа к имеющимся сервисам) Запрос на предоставление информации Запрос на предоставление доступа Определение групп выполнения и подтверждения запросов. Зависит от организационной структуры ИТ департамента, классификации запросов и т п: Оператор центра Поддержки Пользователей Группы подтверждения запросов (по процессам) Первая линия поддержки Вторая линия поддержки Третья линия поддержки и поддержка производителя Результаты выполнения запроса: Удачно выполненный (Successfully implemented) Выполненный с незначительными проблемами (Implemented with Issues) Частично выполненный (Partially implemented) Не выполненный (Failed) Отказанный (Rejected) Отозванный (Cancelled) Не одобренный (Unauthorized) Определение типовых под-процессов для различных запросов Определение метрик и показателей оценки эффективности и результативности процесса Кроме элементов, выше указанных, необходимо также определить следующие элементы: порядок информирования пользователя, сотрудника ИТ и менеджера проекта или супервайзера на различных этапах жизни запроса. Метрики соглашений Порядок эскалации запроса Памятка оператору, для быстрой идентификации и классификации запроса Критерии результативности – (KGI) Критерии эффективности – (KPI) Количество запросов Количество выполненных запросов Количество не правильных запросов Количество запросов по пользователям Карта процесса Диаграмма: Процесс Управления Запросами Процесс Управления Запросами – активность рабочего процесса Управление Проблемами (Problem Management PRM) Процесс Управления Проблемами является частью этапа «Сопровождения». Данный процесс отвечает на такие вопросы как: Формирование процесса управления Проблемами. Действия по процессу: Утверждение процесса управления Проблемами Формирование процесса управления Проблемами Классификация Проблемам Определение реакции на Проблемы Реактивное управление проблемами Про активное управление проблемами Идентификация проблем Регистрация проблем Классификация и категоризация проблем Определение приоритета проблем Исследование и диагностика Разрешение проблемы Закрытие проблемы Обзор значимых проблем Входы процесса: Процесс Управления Изменениями Процесс Управления Событиями Процесс управления Инцидентами Процесс управления Запросами Политика Информационной Безопасности Выходы процесса: Регистрация проблем Нахождение обходных решений Формирование знаний Запросы на изменения Участники процесса: ИТ комитет Сотрудники ИТ департамента Представители Департамента Безопасности Ключевые моменты процесса: ИТ департамент является владельцем процесса Рекомендуемые восемь шагов по решению проблемы: Установка симптомов Определение сферы влияния проблемы Установить, что было изменено Выбрать наиболее вероятные причины Применить решение Протестировать решение Оценить потенциальный эффект решения Задокументировать решение При внедрении процесса управления проблемами необходимо определить следующие важные атрибуты: Определить, по возможности категоризацию воздействия и срочности с указанием метрик: Высокое (High) воздействие – Проблема воздействует на всех пользователей или критична для бизнеса, или Проблема затрагивает критические компоненты сервиса. Среднее (Medium) воздействие – Проблема воздействует на (значительную или нет) группу пользователей или бизнеса, или Проблема затрагивает критические, но зарезервированные компоненты сервиса. Низкое (Low) воздействие – Проблема воздействует на одного пользователей или не критичен для бизнеса, или Проблема затрагивает не критические или второстепенные компоненты сервиса. Высокая (High) срочность – Проблема требует немедленного вмешательства или выполнения. Средняя (Medium) срочность – Проблема требует вмешательства, но время разрешения в пределах SLA Низкая (Low) срочность – Проблема не требует немедленного вмешательства. Порядок реагирования для каждой категории проблем: Время разрешения проблемы – максимальное время, в течении которого ИТ департамент обязуется разрешить проблему. Определение источников поступления проблем: Анализ инцидентов (Процесс управления инцидентами) Анализ запросов (Процесс управления запросами) Анализ изменений (Процесс управления изменениями) Мониторинг событий и логов (Процесс управления Событиями) Анализ релизов (Процесс управления Релизами) Про-активная диагностика проблем (Процесс управления Проблемами) Статусы проблемы: Активный (In progress) В ожидании (On pending) Приостановленный (On hold) Решена (Resolved) Закрытый (Closed) Классификация проблем по категориям (зависит от специфики организации, предпочтениям и т п): Приложение / сервис База данных Аппаратное обеспечение Определение групп разрешения проблем. Зависит от организационной структуры ИТ департамента, классификации проблем и т п. Результаты устранения проблемы: Удачно выполненный (Successfully implemented) Выполненный с незначительными проблемами (Implemented with Issues) Частично выполненный (Partially implemented) Не выполненный (Failed) Определение метрик и показателей оценки эффективности и результативности процесса Наличие временного решения проблемы (workaround) Кроме элементов, выше указанных, необходимо также определить следующие элементы: порядок информирования пользователя, сотрудника ИТ и менеджера проекта или супервайзера на различных этапах жизни проблемы. Метрики соглашений Связанные компоненты инфраструктуры, запросы, инциденты и т п Критерии результативности – (KGI) Критерии эффективности – (KPI) Количество проблем Количество проблем, связанных с аппаратным обеспечением Количество проблем, связанных с программным обеспечением Количество проблем, связанных с функционированием сети Количество проблем по приложениям (сервисам) Количество проблем, связанных с пользователями Количество устранённых проблем Количество проблем, устранённых в срок Количество проблеме вызванных инцидентами Количество проблеме вызванных событиями Количество проблеме вызванных запросами Количество проблеме вызванных изменениями Количество повторных проблем Количество проблеме решенных с помощью «workaround» Количество открытых проблем Управление Доступами (Access Management ACM) Процесс Управления Доступами является частью этапа «Сопровождения». Управление доступом (Access Management) – процесс, отвечающий за допуск пользователей к использованию услуг, данных или других активов. Управление доступом помогает обеспечить конфиденциальность, целостность и доступность активов за счет того, что только авторизованные пользователи имеют возможность получить доступ или модифицировать активы. Основным драйвером процесса является процесс Управления информационной безопасностью, так как именно он формирует политики и правила, которые реализуются процессом Управления доступом. Данный процесс отвечает на такие вопросы как: Формирование процесса управления Доступами. Предоставление доступа пользователям к имеющимся сервисам Предоставление доступа пользователям к информации Утверждение процесса управления Доступами Определение порядка взаимодействия с департаментом Безопасности Управление доступом предоставляет ценность бизнесу благодаря тому, что: каждый сотрудник имеет уровень доступа, необходимый для выполнения своих обязанностей; контролируемый доступ к активам позволит организации поддерживать необходимый уровень конфиденциальности информации; уменьшение вероятности ошибочных действий при работе с данными или использовании критичной услуги; аудит использования услуг и отслеживание некорректной работы с ними; быстрое лишение прав при возникновении необходимости; может понадобиться для обеспечения соответствия требованиям регуляторов. Деятельность по процессу: Процесс управления Информационной Безопасностью Процесс Управления Изменениями Процесс Управления Событиями Процесс управления Инцидентами Процесс управления Запросами Процесс управления Проблемами Политика Информационной Безопасности Формирование процесса управления Доступами Классификация матрицы доступов Предоставление доступов Контроль за предоставлением доступов Управление запросами доступов Проверка Предоставление прав и доступов Мониторинг идентификации Регистрация и мониторинг предоставления доступов Изменение прав и доступов Изъятие прав доступа Участники процесса: ИТ комитет Сотрудники ИТ департамента Представители Департамента Безопасности Вводы процесса: Процесс управления Информационной Безопасностью Процесс управления Изменениями Процесс управления Событиями Процесс управления Инцидентами Процесс управления Запросами Политика Информационной Безопасности Запросы Выходы процесса: Политики и процедуры предоставления доступов Идентификация пользователей Информация по пользователям Показатели процесса: Ключевые моменты процесса: Департамент Безопасности является владельцем процесса ИТ департамент управляет ИТ компонентами Информационной Безопасности Процесс позволяет устранить такие проблемы в информационной безопасности как: Высокий уровень инцидентов безопасности Долгий срок предоставления доступов Не прозрачность процесса предоставления доступов Рассмотрим последовательность деятельностей для предоставления доступа. Запрос доступа (или его ограничение) может быть осуществлен через следующие механизмы: стандартный запрос от Отдела кадров (HR). Например, при найме нового сотрудника, увольнении, переводе в другой отдел и т. п.; Запрос на изменение (RFC); Запрос на обслуживание переданный рассмотренным выше процессом Управления запросами на обслуживание; в процессе выполнения авторизованного сценария или опции (например, скачивание приложения с центрального сервера). Верификация запроса на получение доступа включает в себя проверку двух категорий: пользователь, запрашивающий доступ, действительно тот, за кого себя выдает; пользователь, запрашивающий доступ, имеет право его получить; Первый пункт проверяется обычно с помощью предоставления имени и пароля – они доказывают то, что пользователь является легитимным. В некоторых организациях могут быть использованы eToken, биометрическая аутентификация и т. п. Идентификатор (Identity) – уникальное наименование, используемое для идентификации пользователя, человека или роли. Идентификатор используется для предоставления прав пользователю, человеку или роли. Примерами идентификации могут быть имя пользователя Иванов Иван или Роль «Менеджер Изменений». Вторая категория требует некоторой независимой проверки, не связанной с запросом. Например, уведомление от Отдела кадров о том, что это новый сотрудник и ему необходим доступ к стандартному набору услуг; уведомление от Отдела кадров о том, что сотрудник получил повышение по службе и ему необходим доступ к дополнительным услугам; подтверждение от соответствующего процессу менеджера; предоставление запроса на обслуживание (с обоснованием) через сервис-деск; предоставление запроса на изменение через процесс Управления изменениями; политика безопасности, в которой оговорено то, что пользователи могут получить доступ к услугам, если они им необходимы. Для новых услуг должны быть четко определены пользователи и группы, которые будут иметь к ним доступ. Предоставление доступа. Управление доступом не принимает решений относительно того, кто и куда будет иметь доступ. Процесс только реализует политики и правила, определенные на этапах Проектирования или Построения стратегии. После верификации пользователя, Управление доступом предоставит ему доступ для использования запрошенной услуги. В большинстве случаев непосредственное предоставление доступа требует действий со стороны каждой команды, поддерживающей услугу. Поэтому при проектировании услуг лучше предусмотреть автоматизацию процесса предоставления доступа. Мониторинг статуса идентичности. Пользователи, работающие в организации, и их роли могут меняться. Примерами изменения могут быть: изменение обязанностей – в этом случае пользователю может понадобиться доступ к другому набору услуг или просто к дополнительным услугам; повышение или понижение в должности – в этом случае пользователю обычно необходим доступ к тому же набору услуг, но с другими уровнями; перевод – в этом случае пользователю чаще всего нужен будет тот же набор услуг, но в другом регионе и с другими данными; отставка или смерть – в этом случае все доступы должны быть немедленно аннулированы; выход на пенсию – в этом случае доступы либо аннулируются, либо ограничиваются. Например, сотрудник, вышедший на пенсию, может иметь доступ к услугам по покупке продуктов своей компании по сниженной цене; дисциплинарное ограничение – временное ограничение доступа пользователя из-за какой-то провинности; увольнение – в этом случае доступы должны быть немедленно аннулированы во избежание инцидентов безопасности. Мониторинг доступа – Управление доступом ответственно не только за непосредственное предоставление доступа, но и за контроль его использования. Поэтому функция контроля доступа должны быть предусмотрена в рамках деятельностей мониторинга. Если возникают какие-то нарушения, они характеризуются как инциденты безопасности. Управление доступом принимает участие в определении настроек систем обнаружения вторжений (IDS). Отзыв или ограничение прав Наряду с предоставлением доступа, Управление доступом ответственно за его аннулирование или ограничение. Координация деятельности по системам обеспечения ИТ (IT Facility Coordination Management FCM) Процесс координации деятельностью по управлению системами обеспечения ИТ сервисов является важным процессом в функционировании ИТ любой компании. Данный процесс отвечает на такие вопросы как: Организация процесса Разработка административных мероприятий по управлению системами сопровождения ИТ сервисов Организация работы ИТ документацией по управлению ИТ сервисами Деятельность по процессу: Разработка и утверждение процессов управления ИТ сервисами Разработка и утверждение руководящих ИТ документов Разрешение конфликтов интересов Входы процесса: Требования бизнеса Портфель сервисов Каталог сервисов Выходы процесса: Подписанный протокол решения ИТ комитета Требования и рекомендации по вопросам систем обеспечения ИТ Подписанные руководящие документы по координации деятельности по системам обеспечения ИТ Контроль за исполнением требований по системам обеспечения ИТ Участники процесса: ИТ Комитет Показатели процесса: Удовлетворённость бизнеса Снижения количества инцидентов, вызванных сбоями в системах обеспечения ИТ Ключевые моменты процесса: Как правило Административный департамент является владельцем процесса ИТ департамент обеспечивает управление процессом Процесс: Координация деятельности по сопровождению ИТ сервисов (IT Facility Coordination Management FCM) Назначение процесса (WHAT) и цели процесса (WHY): Процедуры (HOW), Зона применения (WHEN) и Зона ответственности (WHO): Формирование требований и рекомендаций ИТ Обсуждение требований ИТ Принятие руководящих документов ИТ Ознакомление с руководящими документами ИТ Контроль за исполнением руководящих документов ИТ Внесение изменений в руководящие документы ИТ Разрешение конфликтов интересов |