Начало
Обучение
Методология
Литература
Аналитика
Контакты







Новости

09.06.2017. Сотрудники Apple уличены в краже персональных данных пользователей

Подозреваемые использовали внутреннюю сеть компании для кражи персональных данных клиентов. >>


09.06.2017. Apple запретила в App Store приложения для торговли бинарными опционами

Apple обновила правила размещения приложений в App Store, запретив публикацию в онлайн-каталоге сервисов для торговли бинарными опционами... >>


09.06.2017. Серия уязвимостей, позволяющих получить контроль над IP-камерами производства Foscam

Исследователи безопасности из компании F-Secure выявили 18 уязвимостей в IP-камерах, выпускаемых компанией Foscam под разными брендами... >>


10.03.2017. Игра «Синий кит» привлекла в «группы смерти» 35 тыс. украинских подростков

 >>


20.02.2017. Заработавший $1 млн на рассылке спама мошенник получил 4 года тюрьмы

 >>


26.12.2016. Мошенники используют скиммеры в виде банкомата

 >>



Архив: 2013 2014 2015 2016 2017.
В начало библиотеки

Стандарты и менеджмент проектов при управлении ИТ

Введение. Занимаясь повседневными делами, законно хочется ощущать причастность к чему-то большему. Учитывая интерес Сообщества ИТ-директоров к тематике цивилизованного будущего, в качестве введения некоторые соображения о социально-экономической роли ИТ. С середины XX века цивилизация переживает качественный скачок от индустриального общества к постиндустриальному. Данный скачок аналогичен переходу от аграрного общества к индустриальному в XVIII веке, поскольку аналогично изменяются формы экономических отношений, способы производства, появляются новые профессии и новые ценности. Характерной чертой эволюции экономики является повышение роли сферы услуг и нематериальных, духовных ценностей. Наиболее осязаемой, прагматичной и экономически значимой разновидностью данных ценностей является информация: знания, опыт, ноу-хау [1].

Анализ показывает, что если раньше валовой продукт состоял преимущественно из результатов материального производства, то сейчас в наиболее развитых странах данное производство составляет меньшую часть валового национального продукта. Экономика планеты с каждым годом постепенно перестает быть экономикой вещей и становится экономикой услуг и знаний [2]. Это относится как к созданию продукта, так и к его потреблению, а также к способам его хранения, доставки и продажи. В роли данного продукта всё чаще выступает собственно информация, точнее услуги по её предоставлению, распространению, передаче, обработке, хранению и защите. Но не только информация в чистом виде является объектом экономических отношений. В традиционном, материальном производстве непрерывно растет доля информационной составляющей. Имеется в виду как производство вспомогательных, с точки зрения информации, товаров и услуг, например, электронной техники, так и повышение уровня информатизации (как следствие автоматизации) производства любых традиционных товаров и услуг с целью получения конкурентных преимуществ на рынке. Таким образом, информационные технологии являются квинтэссенцией описанных тенденций и одновременно их двигателем.

Глобализация, обострение конкуренции и ускорение принятия решений обуславливают повышение требований к непрерывности бизнеса и конфиденциальности информации. Жесткие требования к ограничению сроков и ресурсов при внедрении информационных технологий обуславливают эффективность применения методов проектного управления и сетевого планирования, но данные методы недостаточно адаптированы для решения задач управления ИТ.

Ключевую роль в развитии и распространении практических методологий управления ИТ и информационной безопасностью играют международные стандарты. Наиболее распространенными международными практическими методологическими системами управления ИТ и безопасностью ИТ в настоящее время являются: система стандартов ISO, а также библиотека инфраструктуры информационных технологий ITIL и стандарт COBIT, неотъемлемые составляющие IT Governance, идеологии стратегического управления ИТ.

Стандарты ИТ. Прежде всего, стоит уточнить, что понятие западного стандарта отличается от привычных нам ГОСТов или ДСТУ. Западные стандарты носят более рекомендательный, необязательный характер, как это ни парадоксально. Например, в стандартах ISO часто употребляется глагол "should", который некорректно переводится как "должен". Правильный оттенок теряется. Не точно, но наиболее близко к смыслу слово "следует". В то время как слово "рекомендуется" – уже перебор, дальше по смыслу. Соответственно фраза перестраивается. Не "должен быть внедрен процесс", а "следует внедрить процесс". Другой пример, практический. При сертификации системы управления информационной безопасностью по ISO 27001, аудиторы проверяют наличие перечисленных в стандарте ISO 27002 средств управления. Но не страшно, если некоторые средства отсутствуют. Должны быть описаны причины их отсутствия. Полезный совет: такой причиной может быть экономическое обоснование, а если оно будет сопровождено ещё и анализом рисков, то аудит и сертификация вообще пройдут быстро и легко. Надо отметить, что на данном этапе целесообразно воспринимать западные стандарты не как нормативные, а как методологические системы. А коль скоро организация задумывается об экспорте/импорте или иностранных инвестициях, западные стандарты сослужат хорошую службу.

Внедрение западных стандартов традиционно считается сопряженным с высокими материальными затратами, при этом возникают трудности с измерением экономической эффективности. Аналогия: зачем тратить деньги на шуруповёрт и аккумуляторы к нему, если прекрасно работает вечная отвёртка? Кроме факторов привычек и накладных расходов заметную роль играет обесценивание, девальвация стандартов. Видятся такие причины данного явления, как языковая проблема, неверное понимание и декларативное использование стандартов. Анализ данных причин оставим желающим, поскольку автор имеет привычку сосредотачиваться на том, что работает, а не на том, что мешает.

Внедрение ITIL/CobiT в ряде торговых компаний в Украине даёт ощутимые результаты. В частности, благодаря разработке своими силами и внедрению ServiceDesk, сократилось на порядок число прямых звонков ИТ-директорам по поводу задержек выполнения заявок (на практике вместо этой длинной фразы применяется всего одно крепкое слово, начинающееся с "быстро"). Потерянные заявки сократились до нуля. Вместо электронной почты, где по прошествии времени и по увольнении сотрудников сложно бывает восстановить ход решения проблемы или определить изменения, все коммуникации по заявкам, кроме обсуждений, ведутся в системе ServiceDesk. Информационной безопасности ServiceDesk подарил ряд выгод, таких как эффективная работа системы санкционирования, сообщений об угрозах и нарушениях, регламентация оказываемых ИТ-услуг, то есть, предоставление только согласованного набора ИТ-услуг, без лишнего ПО или сервисов, зачастую несущего новые угрозы и проблемы с поддержкой.

Разделение поддержки согласно ITIL на 1-ю, 2-ю и 3-ю линии позволило предложить прогрессивный подход в мотивации ИТ-специалистов. Техники, операторы ServiceDesk и другой низкоквалифицированный персонал 1-й линии поддержки получает премию от количества выполненных заявок. Сотрудники 2-й и 3-й линий получают премии по окончании внедренных проектных задач и проектов.

Так же, как разделение поддержки на линии дает быстрый результат при повышении качества услуг, внедрение COBIT интуитивно, ещё до прочтения самого стандарта, началось с применения нескольких простых метрик, таких как время простоя, время реагирования на заявки в разрезах их критичности, время выполнения заявки, количество возвратов заявок на доработку, удовлетворенность инициатора заявки. Оценка качества и времени выполнения заявок их инициаторами учитывается в базе данных ServiceDesk и влияет на премию ИТ-специалистов, выполняющих поддержку инфраструктуры.

На 100 ПК сейчас приходится 2,6 чел. обслуживающего персонала, в том числе, системные администраторы, специалисты по ИБ, техники и операторы. Доля всего ИТ-персонала составляет 3,8 человека на 100 ПК, из которых 2,4 работают в центральном офисе, остальные в филиалах. Кроме обслуживающего персонала, ИТ-персонал включает также разработчиков ПО, аналитиков, телефонистов и начальников. При необходимости автор предоставит пропорции в разрезе ролей и зон ответственности персонала. При росте торговой сети за последние годы в 2 раза практически сохранила численность штата ИТ, при некотором улучшении качества обслуживания и сохранении общих удельных затрат на ИТ. Таким образом, мы почувствовали на себе, что ITIL, ISO и COBIT – это не мода, а реальные эффективные инструменты.

Стандарт CobiT. Одной из причин создания стандарта стала необходимость обоснования возрастающих затрат на ИТ. Стандарт базируется на концепции Стратегического управления ИТ (IT Governance), определяющей высокоуровневые инструменты для участия в управлении ИТ корпорации её высшего руководства, а не только руководителя ИТ-службы. С точки зрения методологии COBIT, информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Основная идея COBIT состоит в том, что организация работы ИТ-департамента должна быть основана на отдельных процессах, а не на функциях. Общая модель использования ресурсов, ограничений и требований, разделенная на процессы, позволяет оптимизировать работу ИТ-департамента. Кроме того, такое разделение на процессы помогает четко распределить ответственность. С практической точки зрения стандарт COBIT является руководством по управлению инвестициями, оценке рисков и аудиту информационных систем.

Подпись: 
Рис. 1. Основной принцип структурной основы стандарта COBIT («куб COBIT»): ресурсы ИТ управляются процессами ИТ для достижения целей, удовлетворяющих процессам бизнеса.
Структура основного тела последней версии стандарта COBIT 4.1 представляет собой разбитую на 4 домена (вариация цикла PDCA) совокупность 34 основных процессов ИТ, каждый из которых в наглядной и удобной форме описывает связь данного процесса с ИТ- и бизнес-требованиями, определяет средства управления, входящую и исходящую информацию процесса, распределение ролей персонала, задействованные в процессе ресурсы, а также разноуровневые цели процесса и соответствующие им метрики результата и показатели производительности. Структура, навигация и графическое оформление делают стандарт исключительно удобным инструментом для практического использования как для управления ИТ, так и для аудита ИТ.

Стандарт COBIT и библиотека ITIL, находясь на разных уровнях абстракции, отлично дополняют друг друга. Международный успех их совместного использования привел к тому, что организация ISO в настоящее время ведет работу по гармонизации стандартов ISO с ITIL и COBIT, извлекая из последних наиболее ценный системный опыт.

Стандарт COBIT вобрал в себя опыт десятков других стандартов. Учитывая, что он, кроме прочего, использует принципы и методы PMBoK, а также подходы PRINCE2, наиболее распространенных стандартов проектного управления, являющегося основой всех наших инициатив по развитию, наши службы поддержки и информационной безопасности в стремлении повышения качества ИТ-услуг единодушно сделали ставку на COBIT.

Проектное управление в ИТ и ИБ. Организации, деятельность которых связана с открытием торговых и складских объектов, филиалов и региональных офисов, вынуждены применять проектное управление для минимизации сроков, бюджетов и рисков, связанных с местной инфраструктурной спецификой и т. п. С годами открытие новых объектов постепенно перестало быть уникальной задачей, и стало шаблонной, отработанной операцией. Данная операция включает сложное взаимодействие сотрудников и контрагентов, но всё-таки, в ней преобладают черты процедуры, а не проекта. По привычке такие задачи по-прежнему называются проектами. Тем не менее, опыт проектного управления при расширении оптово-розничной сети вообще и подходы к планированию, бюджетированию, коммуникациям в частности пригодились непосредственно в проектах разработки управлении инфраструктурой ИТ.

За последнее время был инициирован и выполнен ряд больших уникальных задач по оптимизации инфраструктуры ИТ, не связанных с открытиями объектов. Данные задачи можно назвать проектами в классическом понимании менеджмента проектов. В частности, изменение корпоративного стандарта антивируса, прокси-сервера и почтового шлюза, оптимизация системы обновлений ПО, централизованное обновление офисного ПО, клиентов кубов OLAP, а также более мелкие задачи, носящие проектный характер, такие как централизованное внедрение системы защищенного Instant Messaging, IP-телефонии, системы контроля внешних носителей и каналов утечки и т. д. Одним из внедренных проектов стала система мониторинга и управления инфраструктурой ИТ, описанная ниже. Опыта выполнения подобных работ у персонала было мало. Наследство от уволившихся сотрудников в виде недокументированных изменений в инфраструктуре значительно затрудняло не только выполнение проектов, но и повседневную работу. Работы выполнялись на реальном работающем окружении в условиях неопределенности, вызывая различные риски сбоев и отказов. Ограниченные бюджеты и сроки дополняют классическую тройственную ограниченность. Для некоторых работ привлекались внешние подрядчики.

Одной из ключевых проблем, которой было уделено внимание, является управление коммуникациями. Для решения проблемы активно используется система корпоративных коммуникаций Microsoft Exchange, в том числе его календарная составляющая, совместное использование файлов SharePoint и Project Server. Связка данных решений единого поставщика представляет собой достаточно эффективный интегрированный инструментарий управления проектами.

Мониторинг и управление инфраструктурой ИТ. Продолжая тему решений Microsoft, стоит отметить, что они показывают свою высокую эффективность для успешной динамичной корпоративной работы при высокой степени интегрированности.  Чрезвычайно перспективными являются направления мониторинга и управления системной инфраструктурой. Очень удобно управлять сетью из тысяч компьютеров так, как будто это один компьютер. У Microsoft такой функционал выполняют SMS (Systems Management Server) и MOM (Operations Manager), в новой версии именуемые System Center. К сожалению, лицензирование данного решения недешево. Зачастую, особенно в регионах, бывает дешевле нанять лишнего техника для некоторых задач, выполняемых System Center.

В рамках своей деятельности автором была поставлена цель снижения времени реакции на некоторые серьезные нарушения и угрозы угроз информационной безопасности, а также разработка механизма идентификации и ликвидации угроз. В ходе разработки инструментария были достигнуты дополнительные результаты, такие как повышение управляемости наиболее критичных клиентских и серверных компонентов компьютерной сети и повышение качества обратной связи с информационной системой, оперативности и актуальности знаний о ней. Получился гибкий набор инструментов, альтернативных System Center:

а) Мониторинг, протоколирование и автоматизация расследований: мониторинг неуправляемых и посторонних ПК, нестандартных учетных записей, несанкционированного использования критичных полномочий и групповых политик, расширенную регистрацию событий входа пользователей.

б) Централизованное управление: паролями локальных учетных записей, редактирование локальных настроек ПК, оперативные задачи (например, обновление антивируса как временная альтернатива вышедшему из строя серверу).

в) Средства инвентаризации: распределенных компонентов сети, железа и ПО ПК и серверов, конфигураций ПО, ресурсов (свободного дискового пространства и т. д.), системного времени, отклонений от стандартов использования ПО, настроек, пользовательских данных и т. д.

Решение развивается. Система изначально была выполнена на платформе Cygwin с использованием языка сценариев Windows. С целью повышения производительности решения, проект переносится в среду разработки Delphi.

2008

В. И. Булдыжов, CISM

 

Литература.

1. Белл Д. Грядущее постиндустриальное общество. – М.: Academia, 1999. – 783 с.

2. Тоффлер Э. Третья волна: пер. с англ. / Элвин Тоффлер. – М.: ООО "Издательство АСТ", 2002. – 776 с.



В начало библиотеки

Начало · Обучение · Методология · Литература · Аналитика · Контакты
PageRank v