СТАНДАРТ УПРАВЛЕНИЯ И КОНТРОЛЯ ИНФОРМАЦИОННЫХ СИСТЕМ (CobiT)

Стандарт разработан Фондом аудита и контроля информационных систем (ISACA) с целью создания рекомендаций для построения и контроля информационной среды.

В случае использования методологий CobiT информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Другими словами, CobiT описывает бизнес-ориентированный подход к созданию информационной среды: ИТ рассматриваются в виде инструмента бизнеса, а стандарт определяет принципы построения и организации работы ИТ-департамента.

CobiT (сокращение от Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий») — представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления ИТ, аудита и ИТ-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта — все то, что так или иначе имело отношение к целям управления.

Задача CobiT заключается в ликвидации разрыва между руководством компании с их видением бизнес-целей и ИТ-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей.

Нередко руководство компании в силу объективных причин не понимает ИТ-специалистов. По представлению руководства, сотрудники ИТ-подразделения разговаривают на каком-то птичьем языке. Те, в свою очередь, не понимают бизнес-терминов, на основании которых строятся распоряжения руководства. Это все приводит к росту издержек, выполнению лишней работы, что, конечно же, сказывается на эффективности деятельности компании.

CobiT, благодаря единой терминологии, служит своеобразной платформой-буфером для конструктивного диалога между всеми участниками бизнеса:

– топ-менеджерами;

– руководителями среднего звена (ИТ-директором, начальниками отделов);

– непосредственными исполнителями (инженерами, программистами и т. д.);

– аудиторами.

В CobiT детально описаны цели и принципы управления, объекты управления, четко определены все ИТ-процессы (задачи), протекающие в компании, и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании ИТ-процессов также приведены практические рекомендации по управлению ИТ-безопасностью.

Кроме того, CobiT вводит целый ряд показателей (метрик) для оценки эффективности реализации системы управления ИТ, которые часто используются аудиторами ИТ-систем. В их число входят показатели качества и стоимости обработки информации, характеристики ее доставки получателю, показатели, относящиеся к субъективным аспектам обработки информации (например стиль, удобство интерфейсов). Оцениваются показатели, описывающие соответствие компьютерной ИТ-системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность, общепринятые показатели информационной безопасности — конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Основная идея CobiT состоит в том, что организация работы ИТ-департамента должна быть основана на отдельных процессах, а не на функциях. В отечественной практике в большинстве случаев существует функциональное разделение обязанностей и ответственности, что может привести к появлению бесконтрольных областей (например, при назначении группы администраторов локальной сети, ответственных за эксплуатацию нового сегмента сети, возникновение нештатной ситуации на границе сетей иногда провоцирует конфликт, связанный с распределением ответственности за граничный участок). Описание деятельности ИТ-департамента посредством процессов позволяет определить оптимальное соотношение между возможностями ИС и требованиями, возникающими в ходе деятельности организации. Следует подчеркнуть, что любой процесс имеет определенную достижимую цель. Поэтому работа ИТ-департамента в целом должна рассматриваться как процесс, направленный на поддержание основной деятельности организации и на обеспечение пользователей необходимой информацией.

У каждого процесса есть входные (ресурсы) и выходные (конечный продукт) данные, а также параметры работы (требования, ограничения и т. п.). Общая модель использования ресурсов, ограничений и требований, разделенная на процессы, позволяет оптимизировать работу ИТ-департамента. Кроме того, такое разделение на процессы помогает четко распределить ответственность. Для простоты восприятия стандарт CobiT описывает все внутренние процессы ИТ-департамента в виде иерархической структуры.

На первом уровне выделены четыре базовых процесса (домена), заключающих в себе основные виды деятельности ИТ-департамента:

‑ планирование и организация;

‑ приобретение и внедрение;

‑ поставка и поддержка;

‑ контроль.

Второй уровень иерархической структуры содержит более 30 процессов, каждый из которых детализирован и рассмотрен подробно на третьем уровне. Для всех процессов описаны методы управления и контроля, что позволяет использовать стандарт CobiT на всех жизненных стадиях информационной системы, начиная с построения ее эффективной модели и заканчивая управлением, контролем и аудитом.

В CobiT следует выделить три основополагающих этапа построения эффективной модели ИТ-департамента, которые надо выполнять последовательно.

Первый этап заключается в сопоставлении возможностей информационной системы (ее ресурсов) с требованиями, возникающими в ходе деятельности организации (так называемые требования бизнес-процессов). Возможности системы рассматриваются как совокупный эффект от использования имеющихся ресурсов: квалифицированного персонала, программных и аппаратных средств, технологий. Для определения требований бизнес-процессов необходимо дать качественную оценку требований к информации на основе следующих критериев:

‑ эффективность;

‑ оперативность;

‑ конфиденциальность;

‑ целостность;

‑ доступность;

‑ соответствие;

‑ надежность.

Исходя из требований к информации последовательно реализуется второй этап, который определяет использование целевых ресурсов, входные и выходные данные для каждого процесса, направленного на достижение целей бизнеса. Все целевые ресурсы подразделяются на пять категорий: кадры, приложения, технологии, средства информатизации, данные.

И наконец, после определения процессов на втором этапе сравнивается их совокупный конечный продукт с требованиями бизнес-процессов. Таким образом, круг замыкается. Соответствие между целями организации и деятельностью ИТ-департамента сохраняется постоянно.

Таким образом, стандарт CobiT позволяет оценивать текущую деятельность ИТ-департамента с трех сторон: с точки зрения процессов, ресурсов и бизнес-требований к информации.

С практической точки зрения стандарт CobiT является руководством по управлению инвестициями, оценке рисков и аудиту информационных систем. Для российского бизнеса этот стандарт особенно актуален, так как по мере роста ИТ-департаментов довольно остро встает кадровая проблема. Кроме того, резкая смена отношения российских организаций к информационным технологиям заставляет руководителей ИТ-департаментов ориентироваться в быстро меняющейся среде, предугадывая перспективы того или иного продукта. Но время идет, бурный и хаотичный рост сменяется целенаправленным движением в сторону экономии и повышения качества предоставляемых услуг. Очевидно, что на российском рынке акценты уже смещаются от тотальной автоматизации различных бизнес-функций в сторону поддержки бизнес-процессов.

Отличие CobiT от других стандартов заключается в подходе к организации работы ИТ-департамента. В случае использования методологий CobiT информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Другими словами, CobiT описывает бизнес-ориентированный подход к созданию информационной среды. ИТ рассматривается в виде инструмента бизнеса, а стандарт определяет принципы построения и организации работы ИТ-департамента.

 

2.5. СТАНДАРТ ВЗАИМОДЕЙСТВИЯ С ПОТРЕБИТЕЛЯМИ ИТ-УСЛУГ И УПРАВЛЕНИЯ ОБСЛУЖИВАНИЕМ ИНФОРМАЦИОННЫХ СИСТЕМ (ITIL)

Среди стандартов, использующих процессный подход, можно выделить британский стандарт ITIL, созданный в конце 1980 года Центральным компьютерным и телекоммуникационным агентством (ССТА).

ITIL (IT Infrastructure Library – библиотека инфраструктуры информационных технологий) – библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области информационных технологий.

Использование ITIL предполагает эффективное предоставление ИТ-услуг конечному пользователю. Другими словами, взаимодействие основной организации и ИТ-департамента строится на договорной основе, и, кроме того, четко определены качественные и количественные требования к ИТ-услугам. Такой подход предполагает дифференциацию функций и децентрализацию управления в организации. В частности, ИТ-департамент должен обладать как широкими полномочиями в своей области, так и ответственностью за предоставление качественных услуг. Таким образом, стандарт ITIL регулирует взаимодействие ИТ-департамента и потребителей ИТ-услуг.

В стандарте ITIL описываются принципы управления обслуживанием информационных систем, а также уделено особое внимание организации предоставления ИТ-услуг. В этом случае ИТ-департамент удобно рассматривать в качестве самостоятельной структуры, которая ведет деятельность по всестороннему обеспечению головной организации ИТ-услугами.

Создание стандарта ITIL было обусловлено тем, что требования к информационным системам стремительно возрастали в условиях ограниченности ресурсов. Такое положение дел обусловливало необходимость сокращения издержек при обслуживании и модернизации.

 

Как и в CobiT, в стандарте ITIL деятельность по обеспечению ИТ-услуг представляется в виде отдельных процессов, имеющих входные/выходные параметры и четко определенные цели. В рамках ITIL определены 13 важнейших процессов, собранных в пять ключевых групп (рис. 4):

– процессы оказания услуг (Service delivery process). В группу входят управление уровнем услуг (Service level management), управление доступностью (Service continuity and availability management) и управление возможностями сервисов (Capacity management);

– процессы взаимоотношений (Relationship processes). Эта область включает в себя связи и отношения между поставщиком услуг, клиентом и подрядными организациями;

– процессы решения проблем (Resolution processes). Разработчики стандарта фокусируются на инцидентах, которые удалось предотвратить или успешно разрешить;

– процессы контроля (Control processes). В данном разделе рассматриваются процессы управления изменениями, активами и конфигурациями;

– процессы релиза (Release process). Речь идет о выработке новых и коррекции уже имеющихся решений.

Целью управления уровнем услуг является достижение ясных соглашений с заказчиком об ИТ-услугах и реализация этих соглашений. Соответственно, для управления уровнем услуг необходима информация о потребностях заказчика, о предоставляемых ИТ-департаментом технических средствах и о имеющихся финансовых ресурсах. ИТ-департамент может повысить степень удовлетворенности заказчика через создание услуг на основе его потребностей (услуги, вызванные спросом), только на базе своих технических возможностей (услуги, вызванные предложением).

 

Рисунок 9 – Процессы ITIL

Применение стандарта ITIL позволяет организации:

– получить дополнительные конкурентные преимущества на рынке;

– продемонстрировать своим деловым партнерам, клиентам, инвесторам и другим заинтересованным лицам эффективность управления ИТ-услугами;

– своевременно выявлять проблемы бизнес-процессов, связанных с управлением ИТ-сервисами;

– постоянно совершенствовать процессы управления ИТ-услугами, повышать уровень зрелости процессов организации ИТ-услуг;

– снижать риски прямых потерь из-за предоставления некачественных ИТ-услуг.

Дополнительную выгоду можно получить за счет интеграции системы управления информационными услугами с другими системами управления. Хотя международные стандарты на различные системы управления существуют автономно, все они имеют схожую структуру и организованы по единому принципу (цикл PDCA – планирование – осуществление – проверка – действие), что позволяет интегрировать их в единую систему управления. Это существенно повышает их потенциал, даёт возможность наращивать стоимость предприятия и эффективность его работы.

3. ОРГАНИЗАЦИЯ ДЕЯТЕЛЬНОСТИ ИНФОРМАЦИОННОЙ СЛУЖБЫ НА ОСНОВЕ СТАНДАРТОВ ITIL

⇐ Предыдущая12345678Следующая ⇒

Поделиться:

Популярное:

1. A. между органами государственного управления и коммерческими организациями
2. A.- СРЕДСТВА УПРАВЛЕНИЯ ВРЕМЕНЕМ
3. ANSI – национальный институт стандартизации США
4. Cущность и структура экономических систем
5. D.3. Системы эконометрических уравнений
6. I. Понятие и система криминалистического исследования оружия, взрывных устройств, взрывчатых веществ и следов их применения.
7. I. Является Советский Союз социалистической системой?
8. I.Расчет подающих трубопроводов системы горячего водоснабжения при отсутствии циркуляции.
9. III. Системы теплоснабжения и отопления
10. III. Цель, задачи развития территориального общественного самоуправления «Жуковский Актив»
11. IV. Движение поездов при неисправности электрожезловой системы и порядок регулировки количества жезлов в жезловых аппаратах
12. S 47. ТЕХНОЛОГИЧЕСКИЕ ОСНОВЫ ОПЕРАТИВНОГО УПРАВЛЕНИЯ МАТЕРИАЛЬНЫМИ ПОТОКАМИ