Стратегический аудит состояния информационных систем

3.1.3. Аудит ИТ-процессов

Процессы управления информационными технологиями целесообразно рассматривать с точки зрения применения методов лучшего мирового опыта. С данных позиций наибольшее распространение получили следующие подходы к управлению ИТ: COBIT и ITIL/ITSM. Оба подхода ориентированы на удовлетворение потребностей бизнес-подразделений ИТ-службой, базируются на процессном подходе и оперируют измеримыми показателями деятельности.

Стандарт COBIT охватывает 34 ИТ-процесса, сгруппированных по следующим направлениям:

1. планирование и организация (10 процессов);
2. проектирование и внедрение (7 процессов);
3. эксплуатация и сопровождение (13 процессов);
4. мониторинг (4 процесса).

В совокупности перечисленные 4 группы содержат 302 объекта контроля. Все ресурсы, используемые объектами контроля, оцениваются с точки зрения их соответствия критериям, которые логически вытекают из бизнес-задач организации. Перечень этих критериев (эффективность, технический уровень, безопасность, целостность, пригодность, согласованность, надежность) совпадает с критериями оценки деятельности организации в целом. Для количественной и качественной оценки по критериям широко используется сравнение с лучшими мировыми показателями (на основании модели зрелости). Все это в совокупности обеспечивает полную, объективную и актуальную информацию о текущем состоянии ИТ, возможных решениях по изменению ситуации, перспективах и рисках их реализации.

В современных условиях происходит смещение акцентов в управлении ИТ, связанное с тем, что, фактически, подразделения организации потребляют не информационные системы, а ИТ-услуги, оценка которых должна производится не только по предоставляемой функциональности, но и по качеству обслуживания. При этом серьезно меняется модель управления ИТ, объектом управления становится услуга (а не информационная система), целью – решение бизнес-задачи (а не обеспечение технических возможностей использования ИС).

Основные идеи этого подхода были воплощены в типовой модели бизнес-процессов ИТ-службы ITIL/ITSM (IT Infrastructure Library / IT Service Management). Инициированный правительством Великобритании проект ITIL воплощает в себе основные принципы передовой практики организации ИТ-процессов, сформированные на основе анализа успешных решений (результаты этого анализа издаются в виде постоянно обновляемой библиотеки обобщенных ИТ-процессов). Разработанная компанией Hewlett-Packard на основе принципов ITIL модель ITSM представляет собой описание целостной системы взаимосвязанных ИТ-процессов.

Основные отличия управления ИТ-услугами от управления информационными системами заключаются в следующем:

1. бизнес формулирует требования к ИТ-услугам, а ИТ-служба обеспечивает их реализацию;
2. информационные системы для ИТ-службы имеют статус ресурса;
3. финансовый результат ИТ-службы определяется традиционным для бизнес-единицы образом: доходы за счет предоставления услуг минус расходы по их разработке, внедрению и сопровождению;
4. контроль деятельности ИТ-службы осуществляется на основе показателей, имеющих ценность с позиций клиента;
5. прозрачность деятельности ИТ-службы обеспечивается за счет формализации управленческих процедур в виде пакета документов, являющихся нормативной базой для всех ИТ-процессов.

Модель ITSM группирует ИТ-процессы в 5 тематических блоков:

1. Блок стратегического управления включает в себя следующие процессы:
   1. процесс анализа потребностей бизнеса, основной задачей которого является согласование целей и приоритетов между подразделениями предприятия и ИТ-службой;
   2. процесс управления клиентами, определяющий и согласовывающий требования по конкретным услугам, необходимым подразделениям;
   3. процесс разработки стратегии развития ИТ, организующий интегрированный корпоративный процесс по развитию информационных технологий для обеспечения их соответствия основным целям и потребностям бизнеса предприятия.
2. Блок планирования и управления услугами включает в себя следующие процессы:
   1. процесс планирования услуг, основной задачей которого является проектирование спецификаций услуг;
   2. процесс управления качеством сервиса, согласующий спецификации по составу и параметрам услуг и предоставляемые ИТ-службой ресурсы, а также создающий и согласующий регламентирующий взаимоотношения документ (договор) - Соглашение об уровне сервиса;
   3. процесс управления инфраструктурой, включающий управление безопасностью, управление устойчивостью (способностью поддерживать услуги в чрезвычайных ситуациях), а также управление пропускной способностью;
   4. процесс управления затратами, осуществляющий расчет издержек, пользовательских цен, а также поиск путей снижения затрат.
3. Блок разработки и внедрения услуг включает в себя следующие процессы:
   1. процесс разработки и тестирования, основной задачей которого является реализация услуги в соответствии с ее спецификациями;
   2. процесс ввода в эксплуатацию, обеспечивающий инфраструктуру функционирования новой услуги, осуществляющий подготовку справочных руководств и обучение специалистов по технической поддержке сервиса.
4. Блок оперативного управления включает в себя следующие процессы:
   1. процесс управления операциями, осуществляющий регламентные работы по поддержанию ИТ-инфраструктуры предприятия (функции системного администратора);
   2. процесс управления инцидентами, обеспечивающий восстановление услуги путем обработки инцидентов – событий, не являющихся частью нормального ее функционирования, приводящих (потенциально) к отказу услуги или снижению ее качества;
   3. процесс управления проблемами, предназначенный для устранения причин возникновения инцидентов.
5. Блок управления изменениями и конфигурациями включает в себя следующие процессы:
   1. процесс управления изменениями, задачами которого являются регистрация изменений, разрешение и отсев изменений, оценка воздействия изменений на ИТ-среду и т.п.;
   2. процесс управления конфигурацией, поддерживающий в актуальном состоянии данные по конфигурации информационных систем.

Переход к сервисной модели ИТ в 2002 году был отражен в стандарте BS 15000 "Управление ИТ-сервисом", недавно получившем официальный международный статус ISO 20000. Стандарт ISO 20000 конкретизирует процессный подход, развиваемый в ITIL, применительно к менеджменту ИТ-услуг. Он определяет требования и взаимосвязанные процессы, необходимые для создания и эффективного использования системы менеджмента. Стандарт состоит из двух частей:

1. ISO 20000-1 " Information technology — Service management. Part 1: Specification " представляет собой описание требований к системе менеджмента ИТ-услуг и состоит из 10 разделов: Область применения, Термины и определения, Требования к системе управления, Планирование и применение управления услугой, Планирование и внедрение новых или измененных услуг, Процесс оказания услуг, Процессы взаимосвязей, Процессы разрешения проблем, Процессы контроля, Процесс управления релизом.
2. ISO 20000-2 " Information technology — Service management. Part 2: Code of Practice " воплощает практические рекомендации по процессам, требования к которым сформулированы в первой части.

В конце 2000 года международный институт стандартов ISO на базе первой части британского BS 7799 "Управление информационной безопасностью. Практические рекомендации по управлению информационной безопасностью" (Information Security Management – Code of Practice for information Security Management) разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799 "Информационные технологии. Управление информационной безопасностью" (Information Technology – Information Security Management). Стандарт является совокупностью практических правил по управлению информационной безопасностью, разработанных на основе передового мирового опыта и описывает:

1. требования к политике информационной безопасности;
2. организационные меры безопасности;
3. классификация и контроль информационных ресурсов;
4. кадровые аспекты информационной безопасности;
5. физическую защиту информационных ресурсов;
6. управление технологическим процессом;
7. управление доступом;
8. требования к безопасности компонентов систем в ходе их разработки, эксплуатации и сопровождения;
9. правила обеспечения непрерывности работы и восстановления;
10. требования к соответствию систем информационной безопасности нормативным и руководящим документам.

Следует отметить, что ISO 17799 не является техническим стандартом и не зависит от конкретного средства защиты или технологии. Он описывает концептуальные основы управления информационной безопасностью.

Кроме того, в международной практике широко применяется вторая часть стандарта BS 7799 – "Управление информационной безопасностью. Технические требования" (Information Security Management – Requirements Specification). Она определяет возможные меры по обеспечению защиты в соответствии с требованиями первой части стандарта и по предотвращению реализации угроз информационной безопасности (так называемое управление рисками информационной безопасности).