1/98Конспект видеолекции

Тема:

«Управление информационнымисистемами»

2/98

Оглавление

ВВЕДЕНИЕ ................................................................................................................................ 5

Раздел 1. ИТ-СТРАТЕГИЯ И БИЗНЕС-СТРАТЕГИЯ: СООТНОШЕНИЕ И ВЗАИМОСВЯЗЬ . 6

Корпоративная архитектура ..................................................................................................... 6

ИТ-стратегия ............................................................................................................................. 7

Интеграция бизнеса и ИТ-стратегии ........................................................................................ 9

Связь ИТ-стратегии и развития бизнеса ................................................................................ 10

Пример ИТ-стратегии на базе системы сбалансированных показателей ........................... 11

Этапы разработки ИТ-стратегии ............................................................................................ 12

Оценки стратегического развития ИТ и отношений ИТ с бизнесом ..................................... 14

Раздел 2. ОБЗОР МЕТОДОЛОГИЙ И СТАНДАРТОВ. ПОДХОДЫ К ЖИЗНЕННОМУ ЦИКЛУКИС .......................................................................................................................................... 15

Метамодели ИТ-стратегии ..................................................................................................... 15

Понятия проекта, качества, сервиса, стандарта и методологии .......................................... 16

Стандарты, используемые в проектном и сервисном подходах .......................................... 18

Иерархия управления ИТ в компании и уровень ее зрелости .............................................. 19

Раздел 3. МОДЕЛИРОВАНИЕ БИЗНЕС-ПРОЦЕССОВ ......................................................... 21

Проектно-сервисные методологии бизнес-моделирования ................................................. 21

Основные понятия IDEF0. ...................................................................................................... 23

Функциональный блок ............................................................................................................. 23

Интерфейсная дуга ................................................................................................................. 23

Декомпозиция .......................................................................................................................... 25

Глоссарий ................................................................................................................................ 27

Ограничения по детализации декомпозиции. Возможности IDEF0 и ARIS.......................... 27

Пример моделирования бизнес-процесса «Прием специалиста в штат» ........................... 28

Пример моделирования бизнес-процесса «Увольнение сотрудника» ................................. 31

Раздел 4. ИТ-БЕЗОПАСНОСТЬ ДЛЯ МЕНЕДЖЕРА ............................................................. 35

Политика безопасности и программное обеспечение .......................................................... 35

Стандарты защиты информации ........................................................................................... 36

Место ИТ-безопасности в структуре информационной безопасности ................................. 37

Рынок информационной безопасности .................................................................................. 38

Защита на файловом уровне ................................................................................................. 38

Средства авторизации и разграничения доступа, защита от несанкционированногодоступа .................................................................................................................................... 40

3/98

Защита от внешних угроз. Сигнатурная и морфологическая фильтрация .......................... 41

Комплексы антивирусной профилактики ............................................................................... 43

Средства обеспечения конфиденциальности, целостности, доступности и подлинностиинформации, передаваемой по открытым каналам связи ................................................... 44

Общие тенденции в ИТ-безопасности ................................................................................... 46

Раздел 5. ИТ-АУДИТ ДЛЯ БИЗНЕСА ..................................................................................... 46

Понятие и план работ по ИТ-аудиту ...................................................................................... 46

Понятие эффективности/результативности .......................................................................... 48

Оценка эффекта от внедрения ИТ: финансовые методы .................................................... 50

Приведенные показатели ROI, их достоинства и недостатки .............................................. 52

Шаблон расчетов ROI в области модернизации ИТ (упрощенный) ..................................... 53

Оценка эффекта от внедрения ИТ: качественные методы .................................................. 55

Оценка эффекта от внедрения ИТ: вероятностные методы ................................................ 56

Вопросы для ИТ-аудита .......................................................................................................... 57

Раздел 6. СЕРВИСНЫЙ ПОДХОД НА ОСНОВЕ МЕТОДОЛОГИИ ITIL ................................ 58

История развития ITIL ............................................................................................................. 58

Версии ITIL .............................................................................................................................. 58

Жизненный цикл ITIL............................................................................................................... 59

Управление уровнем сервиса ................................................................................................ 60

Каталог услуг (SLA) ................................................................................................................. 61

Варианты построения службы Service Desk .......................................................................... 63

Разделы каталога услуг. Показатели деятельности ............................................................. 63

Управление инцидентами ....................................................................................................... 66

Управление проблемами ........................................................................................................ 69

Управление конфигурациями ................................................................................................. 70

Управление изменениями ...................................................................................................... 72

Управление релизами............................................................................................................. 73

Последовательность внедрения, типовые роли и показатели ............................................. 74

Управление мощностями и непрерывностью ........................................................................ 75

Управление доступностью ...................................................................................................... 76

Управление ИТ-Финансами и информационной безопасностью ......................................... 77

Заключение ............................................................................................................................. 78

ПРИЛОЖЕНИЕ ........................................................................................................................ 79

Рекомендуемый порядок внедрения процессов для существующих ИТ-сервисов ............. 79

4/98

Рекомендуемый порядок внедрения процессов для новых ИТ-сервисов ........................... 79

Взаимосвязь между типичными проблемами в работе ИТ-подразделения и процессамиITIL ........................................................................................................................................... 80

Возможные KPI-метрики ......................................................................................................... 80

Вопросник для пошаговой методики внедрения ITIL-процессов .......................................... 81

Глоссарий ................................................................................................................................ 84

Список литературы и Интернет-ресурсов .............................................................................. 97

5/98

ВВЕДЕНИЕ

Мы с вами уже знакомы с основными подходами к проблемам информации,информационных технологий и систем (ИТ и ИС) со стороны гуманитарных наук и наук,изучающих информацию, которые впервые определили, что такое информационнаятехнология и информационная система. Теперь проанализируем подходы к ИТ и ИС состороны наук о бизнесе, то есть будем рассматривать информационные технологии какобычный бизнес-процесс.

Напомним метафору, которой мы определяли шкалу роста ценности информации.Знания, компетенции и лучшие практики, выраженные и оформленные в концепциях,теориях, методиках и других формах теоретического знания, составляют «вершинуайсберга», за которую можно «зацепиться», чтобы не утонуть в «океане информации»,предоставленном расширяющейся цифровой вселенной.

Что же делать менеджеру, находящемуся на вершине пирамиды? Разумеется,воспользоваться знаниями, полученными в других модулях программы «МВА-старт»(например, из модуля, посвященного стратегическому менеджменту) и применить своибизнес-знания к задачам управления ИТ.

Напомним, что управленческой вершиной любого бизнеса являются стратегия и миссия –как цель, выражающая философию и смысл существования бизнеса. На вершинепирамиды находится стратегия бизнеса, далее – ее организационная структура, ситемауправления, сами бизнес-процессы и, наконец, их ресурсная база в виде ИТ. Еслирассмотреть «траекторию исторического развития» любого бизнеса, то ее можнопредставить в виде чередования прямых пологих отрезков линии с крутыми поворотами иизломами, которые отражают перемены в бизнесе, вызванные как внешними, так ивнутренними причинами, например кризисными явлениями, «болезнями роста» и пр.Именно в переломные периоды компания резко меняет свою стратегию, например,принимая решение о выходе на новые рынки, отказе от каких-либо видов деятельности,разделении компании или слиянии ее с другими. Каждый такой поворот связан состратегическими решениями, которые руководители и владельцы принимают в кризисныхусловиях.

Рис. 1. Структура системы управления компанией.

6/98

Цель изучения курса «Управление информационными системами» – познакомитьслушателей с основами управления информационными системами современнойкомпании, аудита и безопасности ИТ, с особенностями различных методологий,подготовить к принятию взвешенных решений по выбору и внедрению тех из них, которыенаиболее полно отвечают интересам его бизнеса.

Раздел 1. ИТ-СТРАТЕГИЯ И БИЗНЕС-СТРАТЕГИЯ: СООТНОШЕНИЕИ ВЗАИМОСВЯЗЬ

Корпоративная архитектура

Согласно постулатам стратегического менеджмента, цикл стратегического управлениясостоит из 6 основных этапов:

1 – стратегический анализ;

2 – формулирование стратегии;

3 – передача стратегии в подразделения;

4 – реализация стратегии;

5 – мониторинг деятельности;

6 – принятие корректирующих мер.

Процесс стратегического управления непрерывен и представляет собой замкнутыйцикл. Анализ, оценка результатов деятельности и внесение корректив –одновременно конец и начало цикла стратегического управления.

Для построения цикла стратегического управления используются хорошозарекомендовавшие себя концепции, например концепция системы сбалансированныхпоказателей (Balanced Scorecard, BSC), концепция целеполагания SMART, концепцияключевых показателей деятельности KPI, концепция STEP, на основании которойпроисходит изучение внешнего окружения; концепция SWOT-анализа как инструментаразработки и оценки альтернативных вариантов стратегии и другие.

Эти и другие концепции помогают создать эффективную стратегию, которая должнаосновываться на правильно выбранных долгосрочных целях, глубоком пониманиипотребностей рынка и конкурентного окружения и реальной оценке собственных ресурсови возможностей.

Несмотря на то, что детализация разработки стратегии бизнеса зависит от его объема,само формулирование стратегии обеспечивает координацию и баланс развитияразличных направлений бизнеса, создает основу для оптимизации бизнес-процессов иоперативных планов. Для малых и средних компаний такая формулировка может бытьвыражена в неявном виде, то есть содержаться в голове владельца бизнеса. У крупныхкомпаний хорошо проработанная, непротиворечивая и принятая большинствомсотрудников стратегия может со временем позволить создать из разнообразных бизнесовединый организм, работающий на достижение корпоративных целей под единой

7/98

корпоративной культурой и на основе оптимальной и адаптивной корпоративнойархитектуры (КА).

Под КА понимается фундаментальная организационная структура компании,воплощенная в компонентах, их взаимоотношениях между собой и с окружением, атакже принципы, управляющие ее построением и эволюцией. Иными словами, подпонятием корпоративной архитектуры понимаются, как единое целое, всеорганизационные и технические аспекты деятельности корпорации.

ИТ-стратегия

Все вышеперечисленные концепции можно применять и к информационным технологиями системам. Определение стратегии применительно к ИТ-сфере дополняется, преждевсего, многоплановостью, необходимостью увязки интересов различныхорганизационных структур и стыковки множества слабо связанных бизнес-процессов.Может показаться, что из-за подобной многофункциональности создание ИТ-стратегии,например, для крупного предприятия является занятием очень сложным, почтиневозможным. Однако мировая практика наработала немало теоретических моделей иприкладных методик, которые, как минимум, упрощают выработку ИТ-стратегии.Большинство из них базируется на понятии корпоративной архитектуры, которое мыпривели выше и которое описывает состояние ИТ в организации, в то время как ИТ-стратегия определяет пути достижения этого состояния, возможные ограничения иэффекты.

Итак, что такое ИТ-стратегия?

ИТ-стратегия – это документ, который должен дать ответ на вопрос, каким образомможно использовать информационные технологии для бизнеса и какие ресурсы для этогонужны.

Вместе с тем, разработке ИТ-стратегии присущи некоторые особенности, связанные сцелеполаганием. Так, с одной стороны, повышается значимость ИТ для поддержки иразвития основного бизнеса, а с другой – на передний план выходит задача сниженияили, по крайней мере, ограничения роста затрат на ИТ. На рис. 2 показановзаимодействие бизнес-стратегии, ИТ-стратегии и бизнес-процессов.

Рис. 2. Роль ИТ в деятельности компании.

8/98

На пересечении стратегии, бизнес-процессов и информационных технологий выявляетсянесколько задач. Так, нужно разработать операционную стратегию – план развитиябизнеса, далее, ИТ-стратегию – куда и каким образом развивать ИТ и системыавтоматизации как факторы, обеспечивающие функционирование бизнес-процессов. Нарис. 3 можно увидеть возможные основные факторы успеха или провала реализации ИТ-стратегии.

Рис. 3. Возможные факторы успеха (или провала) реализации ИТ-стратегии.

Так как сегодня ИТ-технологии – это несколько прикладных программных приложений(например, бизнес-приложение плюс электронная почта, Интернет и прочее), то рабочиеместа пользователей образуются в центре этих кругов как некоторые наборы услуг илисервисов, которые они получают от ИТ в соответствии с бизнес-задачами. Отсюдавытекает место и роль ИТ как основы обеспечения функционирования всех бизнес-процессов. Рис. 4 отображает в самом условном виде модель корпоративной архитектурыбизнеса с позиций его взаимодействия с ИТ. Как видим, остановка или сбои в работе ИТ-инфраструктуры ведут к остановке бизнеса. Таким образом, ИТ-стратегию можнорассматривать в качестве согласованного замысла, в котором описываетсяпредставление о целевой ИТ-архитектуре предприятия (ее компонентах, взаимосвязях) всовокупности с планом мероприятий по ее реализации. В самом общем случае ИТ-стратегия состоит из двух разделов: описания ИТ-архитектуры «как есть» и целевой ИТ-архитектуры «как будет», согласованного с ключевыми представителями бизнеса, ихбизнес-требованиями, приоритетами и видением будущих бизнес-процессов.

9/98

Рис. 4. Структура управления бизнесом и ИТ компании.

Интеграция бизнеса и ИТ-стратегии

Существует несколько признаков ситуаций, когда ИТ «не дружат» с бизнес-процессами,которые они должны обеспечивать информационным обслуживанием. Исходя изпрактики, этот список можно расширить.

1. Стабильно низкая надежность корпоративной информационной системы (КИС) вцелом.

2. Небольшие изменения функциональности КИС сопровождаются лавинойдоработок в решениях, связанных с нею.

3. Текущая работа менеджеров требует постоянного участия программиста.

4. Поддержка КИС в режиме эксплуатации превращается в бесконечный проект,пожирающий рабочее время сотрудников и материальные средства компании.

В зависимости от силы подобного конфликта выделяют три варианта стыковки бизнес-подразделений с ИТ-подразделениями.

· Реагирование: ИТ-стратегия формируется, когда бизнес-стратегия ужеразработана и готова; тогда деятельность «айтишников» подстраивается нуждыбизнеса;· Выравнивание: адаптацию ИТ-стратегии к нуждам организации руководителибизнес- и ИТ-подразделений выполняют по возможности совместно;· Интеграция: бизнес-стратегию и ИТ-стратегию разрабатывают совместно,

учитывая взаимные нужды и возможности.

Самый эффективный, конечно, третий путь

Признаки хорошей ИТ-стратегии можно определить следующим образом.

ИТ-стратегия должна основываться на:

· результатах анализа бизнес-процессов предприятия;

10/98

· детальном анализе требований к информационно-вычислительным системам, атакже на степени покрытия ими существующих бизнес-процессов;

· глубоком анализе нескольких вариантов ИТ-стратегии с оценкой факторов рискапо каждому варианту, то есть предусматривать запасные варианты на случайнеблагоприятного развития событий;

· оценке стоимости, сроков и ресурсов для внедрения соответствующихинформационных технологий;

· согласовании со стратегическими целями развития бизнеса;

· этапности, то есть она должна предусматривать возможность изменений,эволюции;

· многоплатформенности, то есть она не может быть привязана к одномуконкретному поставщику оборудования или программного обеспечения.

Наличие (или отсутствие) у компании/предприятия сформулированной ИТ-стратегиивлияет на:

· количество закрытых или «замороженных» ИТ-проектов;

· объем и структуру затрат на ИТ;

· структуру и численность ИТ-службы;

· долгосрочные финансовые показатели деятельности предприятия.

Оценки стоимости разработки ИТ-стратегии, которые приводят эксперты (в основномзарубежные), достаточно сильно разнятся. С одной точки зрения, проекты по разработкеИТ-стратегии стоят от 800 тыс. до 2 млн. долл., а продолжаются 3–6 месяцев. По другимэкспертным оценкам, такие проекты оцениваются в 10–50% стоимости проекта повнедрению управленческой системы, то есть в сумму до 500 тыс. долл.

Связь ИТ-стратегии и развития бизнеса

Итак, согласно современным методологиям и концепциям, посвященным взаимосвязиразвития бизнеса и ИТ в компаниях, можно выделить три схемы взаимосвязи бизнеса иИТ-стратегии, а также информационной и организационной инфраструктуры.

Рис. 5. Взаимосвязь развития бизнеса и ИТ-стратегии.

11/98

Согласно схеме А, сначала должна быть формализована бизнес-стратегия,усовершенствована оргструктура компании и бизнес-процессы, а затем можно приступатьк ИТ-стратегии. Эта схема укладывается в известную шутку «айтишников» о том, чтонельзя автоматизировать хаос. Если же информация или информационные сервисыпредставляют собой ключевой продукт (схема Б), за счет которого бизнес получаетприбыль, то ИТ-стратегия может выступать инициатором трансформации оргструктуры идаже выступать в качестве стратегии бизнеса. И, наконец, в том случае, когдаинформация не является основным продуктом, но уже развитая ИТ-стратегия может идолжна служить ключевым инструментом повышения конкурентоспособности, она такжеможет стать инициатором перемен (схема В).

Пример ИТ-стратегии на базе системы сбалансированных показателей

В качестве примера рассмотрим планирование и развитие ИТ в компании на базеконцепции системы сбалансированных показателей – Balanced Scorecard (BSC),разработанной профессорами Гарвардской школы бизнеса (Harvard Business School,HBS) Робертом Капланом и Дэвидом Нортоном в их фундаментальных трудах BalancedScorecard и Strategic-Focused Organization. Эта система используется многимиконсалтинговыми компаниями на российском рынке. Сама методология BSC довольнопроста и понятна, причем она взята за основу ведения систем управленческого учета нароссийских предприятиях, реализацию которого патронирует Экспертно-консультативныйсовет по вопросам управленческого учета при Министерстве экономического развития иторговли Российской Федерации, созданный в мае 2002 года.

Традиционная концепция BSC предполагает формирование так называемыхстратегических карт, группирующих цели и показатели по четырем категориям(перспективам):

1) финансы (финансовые цели развития и результаты работы компании –оборот, прибыль, рентабельность и т.д.);

2) клиенты и рынки (цели присутствия на рынке и показатели качестваобслуживания клиентов – освоение рынков и территорий продаж, времявыполнения заказа, «идеальный заказ» и т.д.);

3) процессы (требования к эффективности процессов – стоимость, время,количество ошибок, рискованность и т.д.);

4) развитие (цели поиска новых технологий и повышения квалификацииперсонала).

Системы для измерения производительности и эффективности бизнеса, основанные нафинансовых метриках, используются на протяжении нескольких десятилетий, но в 1992году Каплан и Нортон описали несколько моделей использования сбалансированныхоценочных карт в качестве системы управления эффективностью предприятия. Этопозволило не только менеджерам, но и всем служащим оценивать свою ежедневнуюработу по отношению к стратегическим целям компании благодаря так называемымпричинно-следственным влияниям показателей друг на друга. В самом общем виделогика такова: чем лучше у нас с квалификацией персонала и технологиями, тем прощенам поддерживать эффективность бизнес-процессов, что, в свою очередь, способствуеткачественному обслуживанию клиентов и реализации конкурентных преимуществ, а

12/98

последнее помогает достичь запланированных финансовых показателей.

Для измерения количественных показателей по индивидуальным стратегическим целямиспользуются ключевые показатели деятельности (Key Performance Indicators, KPIs). Этипоказатели, так или иначе, предоставляют информацию о достижении компаниейпоставленных целей; в результате обеспечивается управление стратегией. Например,среднеотраслевые KPIs также могут служить целями. Анализ отклонений даетвозможность реализовать непрерывные процессы повышения квалификации напредприятии, как на оперативном, так и на стратегическом уровне.

Применительно к развитию ИТ методология BSC позволяет обеспечить их соответствиецелям бизнеса. На рис. 6 демонстрируется пример соответствия стандартных перспективBSC некоторому набору целей для планирования развития ИТ-направления.

Таблица 1. Перспективы и цели при планировании ИТ на основе BSC.

ПерспективаBSC Стратегические цели в плоскости ИТ

Финансы

Понимание места расходов на ИТ в общей структуре бизнесаСпособность контролировать затраты на ИТСокращение затрат на ИТОбеспечение возврата инвестиций в ИТ-инфраструктуруСоставление контрактов на внутренние ИТ-услуги и управление ими

Клиенты

Степень доступности ИТ-услугИзмерение их производительностиУстановление стоимостных характеристик ИТ-услуг по количеству икачествуОбеспечение надёжности ИТ-инфраструктуры

Внутренниепроцессы

Сервисно-ориентированная культура предоставления ИТ-услугКвалифицированный персонал (понимание как бизнеса, так и ИТ)Время предоставления сервисаПроизводительность инфраструктуры предоставления ИТ услугВозможность учёта предоставления услуг

Обучение иразвитие

Обеспечение гибкости и возможность контролировать изменения в ИТ-инфраструктуре и в способах предоставления ИТ-услугОбеспечение адаптации ИТ-инфраструктуры к изменяющимся требованиямбизнесаФормирование и передача основанных на опыте корпоративных знаний вобласти предоставления ИТ-услугСпособность использовать новые технологии

Этапы разработки ИТ-стратегии

Если в компании принято решение о разработке ИТ-стратегии, то всюпоследовательность действий можно разбить на 9 этапов.

1. Решение о разработке ИТ-стратегии.

2. Постановка задачи перед внешними и внутренними рабочими группами, которыеучаствуют в проекте, по методологии BSC, определение ключевых показателейэффективности (KPIs).

3. Анализ условий и возможностей, возможно применение STEP-анализа.

4. Аудит ресурсов и компетенций по методологии BSC.

13/98

5. SWOT-анализ и разработка альтернатив развития.

6. Верификация целей по методологии CobiT. Цель верификации – анализсоответствия ИТ-стратегии ожидаемым бизнес-эффектам.

7. Разработка ИТ-стратегии в виде формализованного документа.

8. Реализация ИТ-стратегии в виде долгосрочных бюджетов, планов, политик,процедур и регламентов, то есть включение в должностные обязанности сотрудниковнеобходимого ИТ-функционала.

9. Измерения и контроль над реализацией ИТ-стратегии по методологии BSC.

Необходимо отметить наличие на рынке инструментов автоматизации примененияметодологии BSC. Так, компания SAP AG (www.sap.com) разработала инструментарийстратегического управления компанией SAP SEM, в основе которого лежит концепцияBSC. Используя карты решений (SAP Solution Map), инструментарий объединяетреализацию коммуникаций «сверху вниз» в процессе развертывания стратегии на местахс процессами мониторинга деятельности компании «снизу вверх».

Формулировка стратегии с помощью методологии Balanced Scorecard имеет три уровняабстракции: корпорация, бизнес-единицы, производства. На корпоративном уровнеформулируется миссия компании, которая ориентирована на решение трех главныхвопросов.

1. Кто наши основные конкуренты?

2. Какие продукты/услуги должна продавать компания, основываясь на ееспособностях/компетенциях?

3. Какие рынки приоритетны для продуктов и услуг, предоставляемых компанией?

Руководство заинтересовано не только в мощной технологии стратегическогоуправления, но и в создании сильной и эффективной команды стратегическогоуправления. Каждый работник компании обязан знать, что он должен делать дляподдержки общей стратегии, а также свои персональные задачи. Чтобы достичь этого,нужно следовать ряду принципов. Так, каждый работник компании должен точно знать,каковы стратегические цели компании и его подразделения, отраженные в карте вкладовподразделения (Scorecard). Кроме того, все сотрудники подразделения вместе сменеджерами должны определить свои персональные задачи в рамках задачподразделения. Эти персональные цели и задачи должны быть облечены в формуэлектронного документа (персональная карта вкладов). Информация о выполненииперсональных задач и задач подразделений автоматически помещается в карты вкладов.И, наконец, если происходят существенные отклонения от заданных целей, сотрудникидолжны немедленно получать «тревожный сигнал» через электронные каналы.Используя электронную почту или видеоконференцию, каждый сотрудник можетконтактировать с коллегами независимо от своего местонахождения, для того чтобысовместно найти выход и принять соответствующее решение по корректировке. Такойподход не только служит мощным инструментом, который гарантирует согласованностьвсех действий со стратегией, но и создает среду, которая стимулирует кооперацию,обмен знаниями и коммуникацию между сотрудниками, заинтересованными в достиженииобщего успеха.

14/98

Аналогичный продукт под названием Microsoft Balanced Scorecard Framework (BSCF)создан компанией Microsoft (www.microsoft.com). Основной идеей успеха внедрениясбалансированных оценочных карт (Balanced Scorecards), которые по природе своейдовольно изменчивы и, следовательно, подчас опасны, является условие их быстройразработки и развертывания на всех организационных уровнях. Для этого Microsoftпредлагает использовать уже имеющиеся на многих предприятиях многочисленныеприложения Microsoft – например, пакет Office, средства Analysis Services сервера SQLServer, портал SharePoint и пр.

Оценки стратегического развития ИТ и отношений ИТ с бизнесом

Приведем некоторые экспертные оценки будущего стратегического развития ИТ и ихвзаимоотношений с бизнесом, полученные от нескольких консалтинговых фирм, которыезанимались исследованиями стратегического управления ИТ для целей бизнеса. Преждевсего, это компания Gartner http://www.gartner.com/. Согласно Gartner, сейчаскатастрофически не хватает «айтишников» с широким и глубоким пониманием бизнес-задач, что не способствует успешному развитию бизнеса. Дисбаланс в ИТ-отделах междутехническими специалистами и сотрудниками с бизнес-ориентированными икоммерческими знаниями и опытом будет устраняться постепенно. Так, доля людей,имеющих опыт в бизнесе и принимающих стратегические решения в области ИТ,увеличится с 40% в 2006 году до 75% к 2012 году, а к 2010 году значительный опыт вбизнесе и сферах, не относящихся к ИТ, будут иметь 40% «айтишников». Кроме того,эксперты из Gartner отмечают устойчивую тенденцию разделения ИТ-подразделенийкомпаний на две части. Одна из них будет заниматься развитием и поддержкой ИТ-инфраструктуры, а другая – разработкой архитектуры корпоративных информационныхсистем (КИС), а также изменением их функционала.

Аналогичные реалии взаимоотношений ИТ и бизнеса описывают и российскиеисследователи рынков. Например, по результатам исследований «Практикаиспользования ИТ на российских предприятиях», проведенного журналом IntelligentEnterprise в 2005 и 2007 годах (http://www.iemag.ru/), и «Стратегические цели предприятийи ИТ», проведенного РА «Эксперт» (первым в России независимым рейтинговымагентством, созданным в 1997 году журналом «Эксперт» http://www.raexpert.ru/), можновыделить следующие тенденции развития и соотношения между ИТ и бизнесом:

· у 50% компаний соотношение расходов на ИТ и оборота компании не превышает1% и имеет устойчивую тенденцию к снижению;

· почти 70% компаний более 50% ИТ-бюджета тратят на поддержку и эксплуатацию(обычно о таком планировании финансов ИТ-директора узнают в последнююочередь), что свидетельствует о низкой доле инновационного бизнеса в России;

· ИТ-стратегия есть у 30% предприятий, и еще 50% хотят ее иметь;

· ИТ-стратегия нужна предприятиям, работающим на высококонкурентных рынках,на розничных рынках, компаниям, специализирующимся на логистике, страховымфирмам, банкам, предприятиям авиапрома, а также публичным и территориальнораспределенным компаниям различных отраслей;

15/98

· разработка ИТ-стратегии, как правило, возникает при: а) необходимостискоординировать основные направления развития ИТ-сферы с новой бизнес-стратегией компании; б) реинжиниринге бизнес-процессов какого-либо крупногоструктурного подразделения компании и, наконец, в) появлении на рынке новыхтехнологических возможностей, которые способны более эффективно поддержатьтекущую бизнес-деятельность структурных подразделений компании или всейкомпании в целом.

Итак, цели ИТ-стратегии зависят от целей бизнеса, которые могут достигаться за счетзапуска новых информационных сервисов или изменения требований к существующим. Взависимости от специфики деятельности компании наиболее общими приоритетами ИТ-стратегии могут быть получение конкурентных преимуществ путем автоматизации пока неавтоматизированных бизнес-процессов, оптимизация инвестиций в ИТ, минимизацияобщей стоимости владения, защита инвестиций в условиях быстро сменяющих друг другатехнологий, интеграция территориально распределенных систем, обеспечение высокихпоказателей производительности и т.д.

Раздел 2. ОБЗОР МЕТОДОЛОГИЙ И СТАНДАРТОВ. ПОДХОДЫ КЖИЗНЕННОМУ ЦИКЛУ КИС

Метамодели ИТ-стратегии

Как мы уже упоминали, существует множество методологий проектирования и внедренияИТ и ИС, которые устанавливают стандарт и технологию формирования бизнес-требований, а также способы их эксплуатации в рамках бизнес-приложений. Каждойконкретной организации, в идеале, требуется собственная оригинальная модельвзаимодействия ИТ и бизнеса, однако у подобных моделей можно выделить общиечерты, которые выражаются в метамодели ИТ-стратегии – наборе организационныхшаблонов, настраиваемых на реальные ситуации, и правилах их применения.Созданием подобных метамоделей обычно занимаются консультанты. Однако практикапо выявлению общих черт и типовых узких мест в бизнес-процессах не слишком сложна иполезна для любой компании. Не вдаваясь в подробности, которые можно узнать насоответствующих сайтах, отметим следующие наработки в этой сфере.

· IEEE 1471 – метамодель корпоративной архитектуры, ориентированная на гибкиеподходы и множественность точек зрения на архитектуру.

· Business Motivation Model – метамодель выработки стратегии, миссии, целей,критериев успешности, тесно связанная с корпоративной архитектурой.

· Software Process Engineering Metamodel (SPEM) – метамодель, предложенная в2002 г. группой по объектному управлению OMG и первоначально нацеленная напроцессы разработки ПО. Но она хорошо подходит для любой деятельности пооптимизации рабочих процессов.

· The Open Group Architecture Framework (TOGAF) – оболочка дляпроектирования и управления по разделам «бизнес», «приложение», «данные» и

16/98

«технология». Более точно, но менее красиво она называется модельюинфраструктуры архитектуры предприятия.

· стандарт Control Objectives for Information and related Technology (CobiT),созданный Ассоциацией по аудиту и управлению информационными системамиISACA и институтом ИТ-управления ITGI в 1992 г. В CobiT (последняя версия – 4.1)включены рекомендации, индикаторы и лучшие способы, нацеленные насогласование стратегий бизнеса и ИТ.

· Упомянем также модель общей ценности владения (Total Value of Ownership),рекомендованную Gartner Group. Она подразумевает оценку отдачи от ИТ по пятинаправлениям: степень влияния ИТ на рабочие процессы; степеньсогласованности стратегий ИТ и бизнеса; надежность, гибкость имасштабируемость ИТ-архитектуры; измеряемая экономическая отдача; влияниена бизнес-риски.

Эти методологии показывают, как правильно проектировать, внедрять и эксплуатироватькорпоративные ИС (КИС), но НИКОГДА не гарантируют получения реально значимыхрезультатов. И все они, при огромном разнообразии постоянно меняющихся бизнес-требований и реализующих их бизнес-приложений, с точки зрения процессного подходасводятся к двум наиболее устойчивым типам корпоративной деятельности – проектномуи сервисному.

Понятия проекта, качества, сервиса, стандарта и методологии

Вспомним и уточним содержание некоторых понятий, которые будем использовать ниже.

Проект – это уникальная деятельность, имеющая начало и конец во времени,направленная на достижение определенного результата, создание определенного,уникального продукта или услуги.

Термин проект происходит от латинского слова projectus, что в переводе означает«брошенный вперед». То есть понятие «проект» тесно связано с такими понятиями, как«стратегия» и «миссия». Типичные проекты – создание или проектирование различныхпотребительских продуктов (здания, машины, электронного устройства, программногообеспечения). Также примерами проектов являются переезд в новое здание, изменения ворганизационной структуре компании, подготовка и внедрение новой КИС и прочие.Проектный формат в последние десятилетия широко используется многими компаниямив качестве постоянной парадигмы деятельности в условиях быстро меняющейсярыночной среды.

Сервис ассоциируется с понятием услуга, то есть с совершенными одним человеком илипредприятием в интересах другого человека или предприятия действиями илисистематической деятельностью.

17/98

Качество продукта или услуги, по определению международных стандартов, – этосовокупность характеристик, которые формируют способность продукта или услуги(сервиса) удовлетворять сформулированные или подразумеваемые потребности. Причемкачество продукта можно оценить, не потребляя его, по каким-то характерным свойствам,а качество услуги или сервиса оценивается исключительно ПОСЛЕ их потребления.

Итак, с позиций современной культуры процессного управления, в компаниях происходятдва типа процессов – проектные процессы и сервисные процессы. Другими словами,жизненный цикл любого бизнес-процесса – это череда взаимоувязанных по изменениям ипостоянству процессов, целостно оформленных в виде бизнес-проектов и бизнес-серисов. Аналогично следует рассматривать и процессы в ИТ-проектах и ИТ-услугах.

С точки зрения жизненного цикла КИС, на этапах зарождения, разработки и демонтажаКИС должны превалировать проектные методы деятельности, а на этапе эксплуатация –сервисные. Для определения сферы ответственности, управляемости иконтролируемости каждому процессу проектирования или процессу сервиса (услуги),согласно методологии процессного управления, назначаются «владелец процесса» и«менеджер процесса». Это требования международных стандартов в областименеджмента, которым до недавнего времени в России придавали лишьрекомендательный характер. Вместе с тем, сегодня стандартизация приобретаетдополнительное значение при ослаблении роли командно-административных методовуправления.

Стандарт – это способ управлять слабо связанными структурами, когда между ними нетпрямого подчинения, но должна быть координация.

В чем разница между методологией и стандартом?

Методология – это своего рода «язык общения», который, как любой язык, служит«стандартом коммуникации», но не предписывает каких-либо действий. В то же времялюбой стандарт основывается на создании предписаний и регламентов деятельности.У нас в России со времен СССР стандарт – это «нормативно-технический документ постандартизации, устанавливающий комплекс норм, правил, требований к объектустандартизации и утвержденный компетентным органом». Такое определение даетБольшая Советская Энциклопедия. Между тем, в зарубежной практике стандарт – преждевсего «образец», «эталон», «модель», которые берут за основу для сравнения с другимиобъектами. Термину «стандартизация» Международная организация по стандартам (ISO)дает следующее определение: «Установление и применение правил с цельюупорядочения деятельности в определенной области на пользу и при участии всехзаинтересованных сторон, в частности, для достижения всеобщей оптимальной экономиипри соблюдении функциональных условий и требований техники безопасности».

Примером важной роли стандарта как средства обеспечения взаимодействия в ИТ-сфереможет служить аутсорсинг. Стандарты в ИТ как раз и представляют собой способминимизации возникающих при этом рисков и способ обеспечения преемственности присмене поставщиков. Как когда-то наличие Палаты мер и весов позволило унифицироватьизмерения в мире, так и сейчас наличие стандарта управления, единого для всехорганизаций, позволит выполнять аудит потенциальных аутсорсинговых компаний поединой оценочной шкале. Заказчики смогут сравнивать качество управления в различныхаутсорсинговых компаниях и, таким образом, оценивать связанные с этим риски и

18/98

осуществлять осознанный выбор.

Стандарты, используемые в проектном и сервисном подходах

Необходимо отметить, что научные схемы управления ИТ-процессами, которыепроисходят из различных наук о бизнесе, не только помогают обеспечиватьсогласованность выполнения операций, но и позволяют оценивать эффективность ивнедрять научный подход в области ИТ, в той области знаний, которая раньшеназывалась «наукой о компьютерах», а воспринималась скорее как искусство.

Дополним метамодели, которые мы уже упоминали при разработке ИТ-стратегии, ещенесколькими наиболее популярными структурными схемами (методологиями истандартами), которые используются в проектных и сервисных подходах по управлениюбизнес-процессами на основе информационных технологий.

· ГОСТ Р ИСО 9000–2001, который определяет положения и словарь системыменеджмента качества.

· Разрабатываемый в России фирмой «Ай-Теко» (www.i-teco.ru) национальныйстандарт под названием «Информационные технологии. Управление услугами»,который будет состоять из двух частей: «Основные положения и словарь» (аналогISO/IES 20000-1:2005 «Information technology — Service Management. Part 1:Specification», разработанного Британским институтом стандартизации) и«Практическое руководство» (аналог ISO/IES 20000-2:2005 «Information technology —Service Management. Part 2: Code of Practice»).

· Six Sigma – программа управления качеством на основе данных и фактов. Онапозволяет осуществлять контроль над изменениями и достигать очень высокихуровней качества. В основу методологии Six Sigma (http://www.six-sigma.ru/) положенастатистическая зависимость, в соответствии с которой отказы происходят лишь в 3–4случаях из миллиона, если верхняя и нижняя граница допустимых значенийконтрольных параметров находятся на расстоянии шести среднеквадратическихотклонений от математического ожидания.

· Библиотека инфраструктуры информационных технологий (IT Infrastructure Library,ITIL) – настраиваемая структурная схема, обобщающая передовой опыт ипозволяющая организовать предоставление высококачественных услуг в сектореинформационных технологий. Методология ITIL (http://www.itil-officialsite.com/home/home.asp) построена на основе моделирования процессов,используемых при выполнении операций управления и контроля. Наличие вбиблиотеке исчерпывающего набора процедур управления позволяетсформулировать требования к структуре ИТ-службы и квалификации ееспециалистов. В первоначальном виде ITIL была разработана 20 лет тому назадправительственным агентством Великобритании. Отличительной чертой ITIL былачеткая ориентация на ИТ-операции. При правильном подходе ITIL помогает улучшитькачество обслуживания, снизить продолжительность простоев, ускорить разрешениевозникающих проблем и обеспечить более высокий уровень безопасности.

· Управление проектами (англ. project management) – область деятельности, входе которой определяются и достигаются определенные цели, а также

19/98

оптимизируется использование ресурсов (таких как время, деньги, труд, материалы,энергия, пространство и др.) в рамках некоторого проекта (определяющего конечныйрезультат и ограничение по времени и/или другим ресурсам). Управление проектом –применение знаний, навыков, инструментов и методов для планирования иреализации действий, направленных на достижение поставленной цели в рамкахпроектных требований. Разработчиком этой методологии первоначально былИнститут по управлению проектами (Project Management Institute, PMI), разработавшийсистему сертификации специалистов в области управления проектами, требованиякоторой изложены в «A Guide to the Project Management Body of Knowledge (PMBOKGuide)», http://www.pmi.org.

Еще одним важным отличием между применением методологий и стандартов являетсяаспект сертификации. Если следование методологии, например, ITIL носитрекомендательный характер, то внедрение стандарта, например, ISO/IES 20000-1:2005требует тщательной сертификации ИТ-услуг, то есть оценки их соответствия стандарту.Причем согласно международным соглашениям сертифицировать российскую компаниюимеют право только иностранные уполномоченные компании Британского институтастандартизации (BSI). Такая сертификация позволяет владельцу компании заявить о себена мировом рынке.

Иерархия управления ИТ в компании и уровень ее зрелости

Общая иерархия управления ИТ в компании отражает уровни зрелости развития ИТ.

Рис. 6. Иерархия управления ИТ в компании и уровень ее зрелости.

20/98

На нижнем, первом уровне находятся компании, которые определили свои ИТ-процессыи описали их «как есть».

Второй уровень составляют организации, которые внедрили процессы в соответствии срекомендациями ITIL, но оставили открытым вопрос, когда и при каких условиях фирмаможет считать себя более или менее полно внедрившей ITIL.

К третьему уровню относятся предприятия, которые строят управление ИТ-процессамив соответствии с рекомендациями документа BSI BIP 0005 (руководства по управлениюсервисом).

На четвертом уровне зрелости находятся организации, которые создали системууправления сервисом в соответствии с рекомендациями стандарта ISO 20000-2.

К пятому уровню относят компании, подтвердившие соответствие действующейсистемы управления ИТ-услугами требованиям стандарта ISO 20000-1 – путемсертификации аккредитованным органом.

В данном курсе мы не будем рассматривать ИТ с точки зрения проектного подхода, таккак в программе «МВА-старт» существует отдельный модуль «Управление проектами».Основной акцент мы сделаем на сервисной модели функционирования ИТ в компании. Вчастности, отдельный раздел будет посвящен рекомендациям методологии ITIL.

Сервисная модель ИТ реализуется через систему управления сервисом. В свою очередь,она должна быть неразрывно связана с системой управления компанией. Это приводит кконцепции интегрированной системы управления или системы бизнес-менеджмента. Онаподразумевает, что разные компоненты управления объединяются в целое немеханически, а как система взаимосвязанных частей. К компонентам управления относяторганизацию, ресурсы и процессы, поэтому персонал, оборудование и производственнаякультура являются такими же неотъемлемыми частями системы, как документированныеполитики и процедуры.

Итак, все, что влияет на бизнес-процессы, становится элементом системы бизнес-менеджмента, а потому необходимы интеграция, формализация, стандартизация исертификация всех бизнес-процессов, в том числе и ИТ-процессов (ИТ-сервисов). Так какосновой любой системы бизнес-менеджмента является обеспечение качества бизнесасогласно модели Деминга (Plan, Do, Check, Act), то для ИТ-сервиса это означаетподтверждение соответствия его качества, уровня и эффективности бизнес-целямкомпании, ее стратегии и миссии. Поэтому для предоставления качественных ИТ-услуг вкомпании должна быть создана соответствующая система ИТ-бизнес-менеджмента,которая определяет организационную структуру, области ответственности, политики,процедуры, стандарты и ресурсы.

21/98

Раздел 3. МОДЕЛИРОВАНИЕ БИЗНЕС-ПРОЦЕССОВ

Проектно-сервисные методологии бизнес-моделирования

После краткого обзора разнообразных видов теоретического знания, выраженного вподходах, методологиях и стандартах, помогающих разработать и реализовать какбизнес-стратегию, так и ИТ-стратегию, упомянем еще две «гибридные» или«промежуточные» методологии, связанные с бизнес-моделированием.

Под «бизнес-моделированием» понимается как собственно моделирование бизнес-процессов, так и создание с помощью прикладных информационных систем некойимитационной модели функционирования бизнеса.

Эти методологии можно представить в виде своего рода промежуточного слоя междубизнесом и ИТ. «Гибридность» их заключается в том, что в условиях, например,диверсификации бизнеса перед ИТ встают новые задачи по ИТ-поддержке бизнеса, тоесть развивать ИТ в компаниях нужно в том же темпе, в котором развивается бизнес.Таким образом, в этих методологиях представлено одновременное сочетание сервисногоподхода с проектным. Рассмотрим кратко две наиболее популярные методологии: IDEF0и ARIS.

IDEF0 – методология и графическая нотация, предназначенные дляформализации и описания бизнес-процессов.

Методологию IDEF0 можно считать следующим этапом развития хорошо известногографического языка описания функциональных систем SADT (Structured Analysis andDesign Teqnique).

Исторически IDEF0 как стандарт был разработан в 1981 году в рамках обширнойпрограммы автоматизации промышленных предприятий, которая носила обозначениеICAM (Integrated Computer Aided Manufacturing) и была предложена департаментомВоенно-Воздушных Сил США. Собственно семейство стандартов IDEF унаследовалосвое обозначение от названия этой программы (IDEF=ICAM DEFinition). Последняя егоредакция была выпущена в декабре 1993 года Национальным институтом постандартам и технологиям США (NIST). После опубликования стандарт был успешноприменен в самых различных областях бизнеса, показав себя эффективным средствоманализа, конструирования и отображения бизнес-процессов (например, его активноприменяет Государственная налоговая инспекция). Более того, благодаря широкомуприменению IDEF и предшествующей методологии – SADT – стало возможнымпоявление популярных понятий, связанных с бизнес-процессом реинжиниринга (BPR).

ARIS (сокр. от англ. Architecture of Integrated Information Systems) – методология ипрограммный продукт для моделирования бизнес-процессов, выпущенныйкомпанией IDS Sheer.

Методология ARIS рассматривает предприятие как совокупность четырех взглядов(views):

– взгляд на организационную структуру,

– взгляд на структуру функций,

22/98

– взгляд на структуру данных,

– взгляд на структуру процессов.

При этом каждый из этих взглядов разделяется еще на три подуровня:

– описание требований,

– описание спецификации,

– описание внедрения.

Таким образом, ARIS предлагает рассматривать организацию с позиции 12 аспектов,отображающих разные взгляды на предприятие, а также разную глубину этих взглядов.Для описания бизнес-процессов предлагается использовать 85 типов моделей, каждая изкоторых принадлежит тому или иному аспекту.

При описании бизнес-процессов с помощью одного из 85 типов моделей возможноиспользование до 90 типов объектов (например, «функция», «класс», «организационнаяединица»). Между различными типами объектов возможны различные типы связей(например, «выполняет», «является входящим», «занимает позицию»). При этом укаждого типа модели, объекта, связи имеется список типов атрибутов (например, «имя»,«затраты», «время выполнения», «адрес»), значения которых задают пользователи исистема.

Важными качествами рассматриваемого семейства методологий являются, во-первых,уникальная способность «задавать вопросы» в процессе моделирования, а во-вторых,неразрывная связь графических средств (нотации), методологии и технологии.Рассмотрим на примере методологии IDEF0, как они работают, а методологию ARISупомянем лишь в свете некоторых ее отличительных особенностей. Выбор обусловлентем фактом, что методология IDEF лежит в основе наших ГОСТов 34-й серии, которые мырассмотрели ранее, в то время как методология ARIS более сложна для понимания итребует некоторых знаний по бизнес-аналитике, которые мы получим позже.

Итак, одной из самых важных возможностей, которая реализуется на базе методологииIDEF0, является помощь менеджеру в подсчете «количества бизнесов» в рамкахопределенного структурного подразделения компании или даже всего предприятия, атакже возможность определить их взаимодействие, то есть создать оптимальнуюорганизационно-штатную структуру компании. Для достижения этой цели необходимоисследовать все происходящие финансово-хозяйственные процессы и соответствующиеим потоки информации на предприятии. Далее нужно попытаться графически изобразитьвзаимосвязи между различными элементами ранее определенной структуры. Какправило, в «доинформационную эпоху» для этого использовались украшавшие стеныкабинетов менеджеров графические средства в виде схем, в которых отражались«организационно-штатная структура», «диаграммы потоков данных» (ДПД),документооборот компании. Эти «телодвижения» менеджеров стали прообразом методикДМД-моделирования, входящих в семейство CASE-технологий (Computer Aided SoftwareEngineering – компьютерное проектирование программных систем).

23/98

Основные понятия IDEF0.

В основе графического языка методологии IDEF0 (http://www.idefinfo.ru) лежат четыреосновных понятия

Функциональный блок

Понятие функционального блока (Activity Box).

Функциональный блок графически изображается в виде прямоугольника иолицетворяет собой некоторую конкретную функцию в рамках рассматриваемогобизнеса.

По требованиям стандарта, название каждого функционального блока должно бытьсформулировано в глагольной форме (например, «производить услуги», а не«производство услуг»). Каждая из четырех сторон функционального блока имеет своеопределенное значение (роль), при этом:

· верхняя сторона имеет значение «Управление» (Control);

· левая сторона имеет значение «Вход» (Input);

· правая сторона имеет значение «Выход» (Output);

· нижняя сторона имеет значение «Механизм» (Mechanism).

Рис. 7. Модель функционального блока IDEF0.

Каждый функциональный блок в рамках единой рассматриваемой системы должен иметьсвой уникальный идентификационный номер.

Интерфейсная дуга

Вторым ключевым понятием является понятие интерфейсной дуги (Arrow). Такжеинтерфейсные дуги часто называют потоками или стрелками.

Интерфейсная дуга изображает элемент бизнес-системы, который обрабатывается

24/98

функциональным блоком или оказывает иное влияние на функцию, изображеннуюданным функциональным блоком.

Графическим отображением интерфейсной дуги является однонаправленная стрелка.Каждая интерфейсная дуга должна иметь свое уникальное наименование (Arrow Label).По требованию стандарта, наименование должно быть формой существительного. Спомощью интерфейсных дуг отображают различные объекты, в той или иной степениопределяющие бизнес-процессы. Такими объектами могут быть элементы реальногомира (детали, вагоны, сотрудники и т.д.) или потоки данных и информации (документы,данные, инструкции и т.д.). В зависимости от того, к какой из сторон подходит даннаяинтерфейсная дуга, она носит название «входящей», «исходящей» или «управляющей».Кроме того, «источником» (началом) и «приемником» (концом) каждой функциональнойдуги могут быть только функциональные блоки, при этом «источником» может бытьтолько выходная сторона блока, а «приемником» – любая из трех оставшихся.Необходимо отметить, что любой функциональный блок по требованиям IDEF0 должениметь, по крайней мере, одну управляющую интерфейсную дугу и одну исходящую. Это ипонятно – каждый процесс должен происходить по каким-то правилам (отображаемымуправляющей дугой) и должен выдавать некоторый результат (выходящая дуга), иначеего рассмотрение не имеет никакого смысла. Существуют трудности в различии междувходящими и управляющими интерфейсными дугами, которые имеют внешне схожуюприроду. Однако для преодоления этих трудностей, а также для проведения болееопределенного разграничения, экосистему бизнеса классифицируют на пять основныхвидов объектов:

· материальные потоки (детали, товары, сырье и т.д.);

· финансовые потоки (наличные и безналичные, инвестиции и т.д.);

· потоки документов (коммерческие, финансовые и организационные документы);

· потоки информации (данные о намерениях, устные распоряжения и т.д.);

· ресурсы (сотрудники, компьютеры, машины и т.д.).

При этом в различных случаях входящими и исходящими интерфейсными дугами могутотображаться все виды объектов, управляющими – только относящиеся к потокамдокументов и информации, а дугами-механизмами – только ресурсы. Поэтому присоздании IDEF-диаграммы деятельности своего функционального подразделенияменеджеру нужно ответить на следующие вопросы.

· Что поступает в подразделение «на входе»?

· Какие функции и в какой последовательности выполняются в рамкахподразделения?

· Кто является ответственным за выполнение каждой из функций?

· Чем руководствуется исполнитель при выполнении каждой из функций?

· Что является результатом работы подразделения «на выходе»?

25/98

Декомпозиция

Третьим основным понятием стандарта IDEF0 является декомпозиция (Decomposition).Принцип декомпозиции применяется при разбиении сложного бизнес-процесса насоставляющие его функции. При этом уровень детализации процесса определяетсянепосредственно разработчиком модели. Декомпозиция позволяет постепенно иструктурированно представлять модель бизнеса в виде иерархической структурыотдельных диаграмм, что делает ее менее перегруженной и легко усваиваемой. МодельIDEF0 всегда начинается с представления бизнеса как единого целого – одногофункционального блока с интерфейсными дугами, простирающимися за пределырассматриваемой области. Такая диаграмма с одним функциональным блокомназывается контекстной диаграммой и обозначается идентификатором «А-0». Впояснительном тексте к контекстной диаграмме должна быть указана цель (Purpose)построения диаграммы в виде краткого описания и зафиксирована точка зрения(Viewpoint). Определение и формализация цели разработки IDEF0-модели являютсякрайне важными моментами.

Различные цели моделирования предполагают разработку различных моделей бизнес-процессов, то есть, например, цель «оптимизируем финансовые потоки» приводит кдругой модели, нежели цель «оптимизируем логистические цепочки». Точка зренияопределяет основное направление развития модели и уровень необходимойдетализации. Четкое фиксирование точки зрения позволяет разгрузить модель,отказавшись от детализации и исследования отдельных элементов, не являющихсянеобходимыми с выбранной точки зрения на моделирование бизнеса. Это и понятно, таккак точка зрения, допустим, финансового директора предприятия может существенноотличаться от точки зрения главного технолога на те же бизнес-процессы. Правильныйвыбор точки зрения существенно сокращает временные затраты на построение конечноймодели.

В процессе декомпозиции функциональный блок, который в контекстной диаграммеотображает систему как единое целое, подвергается детализации на другой диаграмме.Получившаяся диаграмма второго уровня содержит функциональные блоки,отображающие главные подфункции функционального блока контекстной диаграммы иназывается дочерней (Child diagram) по отношению к нему (каждый из функциональныхблоков, принадлежащих дочерней диаграмме, соответственно называется дочернимблоком – Child Box). В свою очередь, функциональный блок-предок называетсяродительским блоком (Parent Box) по отношению к дочерней диаграмме, а диаграмма, ккоторой он принадлежит – родительской диаграммой (Parent Diagram). Каждая изподфункций дочерней диаграммы может быть далее детализирована путем аналогичнойдекомпозиции соответствующего ей функционального блока.

Важно отметить, что в каждом случае декомпозиции функционального блока всеинтерфейсные дуги, входящие в данный блок или исходящие из него, фиксируются надочерней диаграмме. Этим достигается структурная целостность IDEF0-модели. Следуетобратить внимание на взаимосвязь нумерации функциональных блоков и диаграмм:каждый блок имеет свой уникальный порядковый номер на диаграмме (цифру в правомнижнем углу прямоугольника), а обозначение под правым углом указывает на номердочерней для этого блока диаграммы. Отсутствие этого обозначения говорит о том, чтодекомпозиции для данного блока не существует.

26/98

Рис. 8. Декомпозиция функциональных блоков.

Часто бывают случаи, когда отдельные интерфейсные дуги не имеет смысла продолжатьрассматривать в дочерних диаграммах ниже какого-то определенного уровня в иерархии,или наоборот: отдельные дуги не имеют практического смысла выше какого-то уровня –это будет только перегружать диаграммы и делать их сложными для восприятия. Сдругой стороны, случается необходимость избавиться от отдельных «концептуальных»интерфейсных дуг и не детализировать их глубже некоторого уровня. Для решенияподобных задач в стандарте IDEF0 предусмотрено понятие туннелирования.Обозначение «туннеля» (Arrow Tunnel) в виде двух круглых скобок вокруг началаинтерфейсной дуги говорит о том, что эта дуга не была унаследована отфункционального родительского блока и появилась (из «туннеля») только на этойдиаграмме. В свою очередь, такое же обозначение вокруг конца (стрелки) интерфейснойдуги в непосредственной близи от блока-приемника означает, что в дочерней поотношению к этому блоку диаграмме эта дуга отображаться и рассматриваться не будет.Чаще всего бывает, что отдельные объекты и соответствующие им интерфейсные дугине рассматриваются на некоторых промежуточных уровнях иерархии – в таком случаеони сначала «погружаются в туннель», а затем при необходимости «возвращаются из

27/98

туннеля».

Глоссарий

Последним из ключевых понятий IDEF0 является глоссарий (Glossary). Для каждого изэлементов IDEF0 (диаграмм, функциональных блоков, интерфейсных дуг) существуетнабор соответствующих определений, ключевых слов, повествовательных изложений ит.д., которые характеризуют объект, отображенный данным элементом. Этот наборназывается глоссарием и является описанием сущности данного элемента.

Например, для управляющей интерфейсной дуги «распоряжение об оплате» глоссарийможет содержать перечень полей соответствующего дуге документа, необходимыйнабор виз и т.д.

Глоссарий гармонично дополняет наглядный графический язык, снабжая диаграммынеобходимой текстовой информацией.

Ограничения по детализации декомпозиции. Возможности IDEF0 и ARIS

Обычно IDEF0-модели несут в себе сложную и концентрированную информацию.Поэтому для того, чтобы ограничить их перегруженность и сделать схемы болеенаглядными на диаграмме, как правило, показывают от трех до шести функциональныхблоков. Верхний предел (шесть) заставляет разработчика использовать иерархии приописании сложных предметов, а нижний предел (три) гарантирует, что насоответствующей диаграмме достаточно деталей, чтобы оправдать ее создание. Такжепринято ограничивать количество подходящих к одному функциональному блоку(выходящих из одного функционального блока) интерфейсных дуг (как правило, их неболее четырех).

Одним из ключевых аспектов применения средств информационной поддержкимоделирования является уровень детализации моделей. Слишком подробнаядетализация приводит к тому, что даже при наличии ИТ-поддержки будет очень труднореализовать объявленные цели моделирования. А в случае, когда бизнес функционируетв среде интенсивных и значительных изменений бизнес-процессов, имеет смыслотслеживать только значимые изменения, не слишком детализируя модели. Поэтомууровень декомпозиции бизнес-процессов не должен быть выше пятого. Рекомендуетсяограничиться вложенностью третьего уровня при условии, что при этом удастся захватитьоколо восьмидесяти процентов проблем, связанных с бизнес-процессами. Разумеется,строго следовать этим ограничениям вовсе не обязательно, однако, как показывает опыт,в реальной работе они являются весьма практичными.

Итак, сформулируем основные возможности информационных средств бизнес-моделирования по методологиям IDEF0 и ARIS, которые позволяют менеджеру понятьсущность и структуру его деятельности и стать полновластным владельцем бизнес-процесса.

1. Анализ бизнес-среды.2. Разработка стратегии предприятия.3. Формирование общего видения компании (глобальный уровень).

28/98

4. Формирование детального описания процессов компании «как есть» и «как будет».5. Создание системы целей и показателей для оценки эффективности деятельности

компании и отдельных сотрудников.6. Формирование организационной и функциональной структуры, распределение

полномочий и ответственности между подразделениями, функций междуисполнителями.

7. Описание требований к информационным системам поддержки деятельности.8. Проектирование интегрированных информационных систем.9. Проведение документирования результатов проекта.10. Проведение анализа разработанных моделей (количественного и сравнительного

анализа, анализа семантики, анализа стоимостных и временных характеристик).11. Интеграция моделей с функционирующими информационными системами

(актуализация организационной структуры, номенклатуры, показателей).

Таким образом, инструментарий IDEF0 и модули ARIS совместно с дополнительнымиинтерфейсами обеспечивают поддержку всех основных функциональных требований ксистемам моделирования и анализа бизнес-процессов. Они позволяют не толькопровести виртуальное имитационное моделирование какого-то сконструированногоотдельного участка процесса и оценить его функционирование, но и «прощупать»возможности развития бизнеса в целом, со всеми его внутренними взаимосвязями.

Пример моделирования бизнес-процесса «Прием специалиста в штат»

Рассмотрим опыт применения систем бизнес-моделирования для потребностейменеджера по управлению персоналом по рекомендациям консалтинговой компании«Бизнес-инжиниринговые технологии» - www.betec.ru. Примеры моделирования бизнес-процессов: «Прием специалиста в штат», «Увольнение сотрудника».

Итак, первый бизнес-процесс «Приём специалиста в штат компании» имеет:

· Точку зрения на бизнес-процесс от генерального директора компании.· Цели бизнес-процесса в виде «Формирование штата».· Назначение бизнес-процесса – «Обеспечение компании необходимыми

специалистами».· Выходы - «Заполненное рабочее место», «Приказ, трудовая книжка, личное дело,

карточка учета Т-12», «Информация об отказе», и «Объявления».· Клиенты бизнес-процесса – «Профильное подразделение», куда поступает на

работу сотрудник, «Кадровый архив», «Соискатель должности» и «Средствамассовой информации – СМИ».

· Кроме того, поставщиками данного бизнес-процесса, являются два других бизнес-процесса – «Сбор данных по специалистам» и «Формирование кадровогорезерва».

· Входы и поставщиков бизнес-процесса – «Запрос», «Соискатель», «Резюме»,«Информация о кадровом резерве», «Профильное подразделение», «Рыноктруда», «Кадровые агентства», «Сотрудники компании».

29/98

· Основные стадии бизнес-процесса – «Первичный отбор», «Проведение встречи»,«Вторичный отбор», «Стандартное согласование кандидатур», Оформлениетрудовых отношений».

· Начало бизнес-процесса - «Запрос от профильного подразделения».· Окончание бизнес-процесса – «Специалист принят в штат и занял рабочее место».

Рис. 9. Диаграмма окружения бизнес-процесса.

Диаграмма окружения бизнес-процесса приведена на Рис. 9. Структура действий накаждой стадии бизнес-процесса отражена в таблице 2. Структура информационныхпотоков в зависимости от типа носителя изображена в таблице 3. Диаграмма потоковбизнес-процесса в нотации DFD с указанием исполнителей приведена на Рис. 10

30/98

Таблица 2. Структура действий по стадиям бизнес-процесса.

Таблица 3. Структура потоков объектов информации.

Совмещая «Структуру действий бизнес-процесса по его этапам с организационнойструктурой бизнес-процесса получаем матрицу ответственности каждого исполнителябизнес-процесса, начиная от генерального директора и заканчивая менеджером подокументообороту трудовых отношений (кадровик) – Таблица 4.

31/98

Таблица 4. Матрица ответственности бизнес-процесса «Прием специалиста в штат».

Пример моделирования бизнес-процесса «Увольнение сотрудника»

Второй бизнес-процесс, бизнес-моделирование которого мы рассмотрим – это«Увольнение сотрудника», выполненный в нотациях DFD и IDEF0. ПервичнаяДиаграмма А-0 приведена на рис. 10.

Рис.10. Диаграмма А-0 самого верхнего уровня бизнес-процесса «Увольнениесотрудника».

32/98

Рис. 11. Диаграмма А0. Бизнес-процесс «Увольнение сотрудника».

Рис. 12. Диаграмма А1 «Визировать заявление у непосредственного руководителя иоформить обходной лист».

33/98

Рис. 13. Этапы потоков объектов бизнес-процесса «Заполнить обходной лист».

Рис. 14. Декомпозиция блока «Издать приказ об увольнении». Диаграмма А2.

34/98

Рис. 15. Декомпозиция блока «Произвести расчеты с бухгалтерией». Диаграмма А3.

Рис. 16. Декомпозиция блока «оформить и выдать трудовую книжку сотруднику».Диаграмма А5.

35/98

Раздел 4. ИТ-БЕЗОПАСНОСТЬ ДЛЯ МЕНЕДЖЕРА

Политика безопасности и программное обеспечение

Ранее в программе «МВА-старт» вопросы информационной безопасности ужерассматривались – в свете защиты корпоративных интересов и осуществлениябезопасного предпринимательства в России. В этом курсе мы рассмотриминформационную безопасность (ИБ) с позиций применения информационных технологий(ИТ-безопасность), которые помогают осуществлять бизнес. Понятно, что ИБ и ИТ-безопасность – это не одно и то же. За безопасность бумажных документов отвечает ИБ,но не ИТ. Чтобы понять место ИТ-безопасности в структуре ИБ, а также процессы ихконвергенции, которые происходят на современном этапе развития ИТ, напомним общееопределение политики безопасности и те стандарты, по которым она осуществляется.

Политика безопасности для любой компании, как правило, рассматривается ввиде набора внешних и корпоративных стандартов, правил и норм поведения,отвечающих законодательным актам страны и регламентирующих сбор,обработку, распространение и защиту информации.

Такая деятельность регламентируется законодательством, примерами которого служат«Доктрина информационной безопасности Российской Федерации» № Пр-1895 от09.09.2000 г., Федеральные законы №149-ФЗ от 27 июля 2006 г. «Об информации,информационных технологиях и о защите информации», № 152-ФЗ от 27 июля 2006 г. «Оперсональных данных», № 16-ФЗ от 9 февраля 2007 г. «О транспортной безопасности»,№ 98-ФЗ от 29 июля 2004 г. «О коммерческой тайне» и др. Эти документы определяютстандарты и правила того, в каких случаях и каким образом пользователь имеет правооперировать конкретными наборами данных.

Так, чтобы защитить свои информационные ресурсы в соответствии с действующимзаконодательством, необходимо осуществить комплекс организационных и техническихмероприятий по защите информации, важной составляющей которого и являетсяприменение сертифицированного в системе ФСТЭК России программногообеспечения.

Например, операционная система Microsoft Windows XP Professional Service Pack 1aсоответствует заданию по безопасности MS.Win_XP_SP1a.ЗБ и имеет оценочныйуровень доверия ОУД 1 (усиленный) по руководящему документу «Безопасностьинформационных технологий. Критерии оценки безопасности информационныхтехнологий» (ФСТЭК России). В то же время новое поколение операционных системMicrosoft – Windows Vista – не прошло пока сертификацию, что делаетпроблематичным применение данного ПО в государственных учреждениях икомпаниях, в той или иной мере связанных с государственной тайной.

В целом, политика безопасности – это активный компонент защиты, включающий всебя анализ возможных угроз и рисков, выбор мер противодействия иметодологию их применения.

36/98

Стандарты защиты информации

На международном уровне правила и политика ИБ регламентируются международнымстандартом BS 7799, который был разработан и обновлялся Британским институтомстандартов (BSI). В России стандарт ISO/IEC 17799 начал применяться на практике с2002 года. В 2002 году стандарт BS был усовершенствован и вышла его новая редакция –BS 7799-2:2002. На ее основе 14 октября 2005 года был принят стандарт ISO/IEC27001:2005. Важно указать, что, в отличие от ISO/IEC 17799:2005, содержавшегоописание «лучших практик» и лишь рекомендовавшего их к внедрению, стандарт ISO/IEC27001:2005 выдвигает жесткие требования к разработке, внедрению исовершенствованию систем управления информационной безопасностью (СУИБ), чтопозволяет проводить сертификацию на соответствие его требованиям. Развитие серийстандартов BS 7799 и ISO/IEC 27000 продолжается: ожидается принятие стандартаISO/IEC 27002, который сменит ISO/IEC 17799:2005, и ISO/IEC 27005, который определиттребования к методике оценки рисков и будет основываться на недавно принятомстандарте BS 7799-3:2006.

Суть стандартизации ИБ состоит в выборе адекватных мер по защите активов компанииот идентифицированных угроз в соответствии с их критичностью для бизнеса. В нихобобщены правила по управлению ИБ, которые могут быть использованы в качествекритериев оценки механизмов безопасности организационного уровня, включаяадминистративные, процедурные и физические меры защиты.

Практические правила разбиты на десять разделов.

1. Политика безопасности.

2. Организация защиты.

3. Классификация ресурсов и их контроль.

4. Безопасность персонала.

5. Физическая безопасность.

6. Администрирование компьютерных систем и сетей.

7. Управление доступом.

8. Разработка и сопровождение информационных систем.

9. Планирование бесперебойной работы организации.

10. Контроль выполнения требований политики безопасности.

37/98

Место ИТ-безопасности в структуре информационной безопасности

Место ИТ-безопасности в структуре ИБ легко понять при структурировании деятельностипо уровням обработки информации.

Рис. 17. Уровни управления в отношении ИТ-безопасности.

На нижнем уровне находится инфраструктура, которая работает с данными. С этимиданными, не затрагивая особо их содержание, работает ИТ-оборудование –маршрутизаторы, коммутаторы, межсетевые экраны, системы предотвращения атак,антивирусы и т.д. Поэтому процессы, которые происходят с точки зрения защитыинформации на этом уровне, – это и есть ИТ-безопасность.

На втором уровне располагаются информационные системы – ERP, CRM, SCM,системы билинга и т.д., которые, опираясь на инфраструктуру, облегчают решениеразличных бизнес-задач.

И, наконец, на высшем уровне находится результат работы бизнес-систем –информация, знания, компетенции, которыми руководствуется компания, ее топ-менеджмент для принятия тех или иных решений. На этом уровне должнаобеспечиваться полноценная информационная безопасность, учитывающая различныеформаты представления информации, – электронный, бумажный, устный и т.д.

Тем не менее, применение средств ИТ и ИБ для целей безопасности бизнеса совпадают,поэтому на техническом уровне можно говорить о своеобразной конвергенции средств ИТи ИБ, так как они призваны обеспечить работоспособность и поддержку корпоративнойинфраструктуры, а на уровне бизнеса – помочь в достижении бизнес-стратегии компании.Следовательно, с целью снижения издержек и отказа от дублирования некоторыхфункций, целесообразно объединить ИТ и ИБ в рамках единого решения или продукта;поэтому мы будем рассматривать их совместно, не разделяя по содержанию. И сейчасэто стало мировой тенденцией развития средств ИТ для ИБ.

38/98

Рынок информационной безопасности

Рис. 18. Рынок информационной безопасности.

Из всего разнообразия средств ИБ (ИТ), которое предлагает рынок, мы остановимсятолько на тех, которые позволят уменьшить степень угроз для деятельности менеджераили компании и будут полезны всем слушателям курса для их непосредственной работы.

Защита на файловом уровне

Выделим наиболее актуальные, с нашей точки зрения, наборы ИТ-средств защитыинформации, которые будут полезны всем владельцам бизнес-процессов.

Средства обеспечения надежного хранения информации с использованиемтехнологии защиты на файловом уровне (File Encryption System, FES)

Технологии защиты информации на файловом уровне позволяют скрытьконфиденциальную информацию пользователя на разнообразных носителях (жесткомдиске компьютера или сетевых дисках) путем кодирования содержимого файлов,каталогов и дисков. Доступ к данной информации осуществляется по предъявлениюключа, который может вводиться с клавиатуры, храниться и предоставляться со смарт-карты, HASP-ключей или USB-ключей. Помимо этого, данные средства позволяютмгновенно «уничтожить» информацию при подаче сигнала «тревога» или при «входе подпринуждением», а также блокировать компьютер в перерывах между сеансами работы.

39/98

Пример решения защиты отдельных документов

Достаточно часто перед людьми возникает задача защиты различных документов отнесанкционированного доступа. Допустим, информационное или аналитическое агентствообязалось предоставлять своим подписчикам различные документы. Но ведь нет никакой гарантиитого, что кто-нибудь из клиентов по неосторожности или намеренно не выложит полученнуюинформацию, например, в Интернет. Таким образом, данные, за которые люди должны платитьденьги, окажутся в свободном доступе. Как можно решить эту проблему? Специалисты AladdinSoftware Security предлагают следующий вариант решения: документ переводится в форматHTML, а затем зашифровывается с помощью ключа HASP (Hardware Against Software Piracy – этомультиплатформенная аппаратно-программная система защиты данных от нелегальногоиспользования и несанкционированного распространения, разработанная компанией Aladdin). Дляпоследующего чтения используется специальная утилита HASP DocSeal. Фактически онапредставляет собой программу-браузер для просмотра защищенных HTML-файлов. Правда, отобычных браузеров ее отличают две вещи. Во-первых, она позволяет расшифровыватьдокументы, только если соответствующий ключ HASP подключен к компьютеру или серверулокальной сети. А, во-вторых, в HASP DocSeal полностью отсутствуют возможности импортасодержимого защищенного HTML-файла. Это позволяет надежно защитить документ откопирования. Конечно, пользователь может открыть текст и перепечатать его вручную. Однако это,во-первых, требует больших трудозатрат, а во-вторых, от такого способа обмана защиты пока несуществует.

Актуальность проблемы защиты данных на серверах и в резервных копияхподтверждается большим количеством инцидентов, происходящих с этими носителями впоследнее время. Основными предпосылками этого многие аналитики называютповышение степени централизации данных, увеличение их объемов, а также ростемкости и миниатюризацию носителей. Кроме этого, в последнее время, в связи сориентацией бизнеса на клиента, стали бурно развиваться системы типа CRM, гденакапливаются персональные данные (адреса, номера паспорта/водительскогоудостоверения, номера счетов и т.д.), которые могут быть использованы для того, чтосейчас называют «кражей личности» (Identity Theft). Наиболее приемлемой технологиейзащиты, известной сегодня, является шифрование. Если данные на носителезашифрованы, то можно не беспокоиться об их обнародовании – вне зависимости от того,где этот носитель физически находится, какими путями перевозится, к кому в рукипопадает и т.д. Естественно, это так лишь при условии, что ключ шифрования хранится ипередается отдельно от носителя. По оценкам большинства экспертов, для решениятакой задачи вполне подходят современные симметричные криптоалгоритмы (например,AES) с длиной ключа от 128 бит. Шифрование должно быть «прозрачным», то естьданные должны автоматически зашифровываться при записи на носитель ирасшифровываться при чтении. Наиболее популярными решениями в этой областиявляются решения российских компаний: StrongDisk Server компании «Физтехсофт»,SecretDisk Server NG компании Aladdin и Zserver Suite компании SecurIT. Первые двесистемы обеспечивают защиту только на жестких дисках, а Zserver Suite – на жесткихдисках, магнитных лентах и CD/DVD. Из зарубежных производителей следует упомянутьтаких разработчиков, как Pointsec, Safeboot, PGP, Decru Datafort, Neoscale Cryptostor иDISUK Paranoia.

Необходимо отметить, что компетенции, знания и навыки в криптографии становятся всеболее востребованными в быстро меняющемся современном мире и ужерассматриваются экспертами в качестве третьего уровня грамотности (компьютерная

40/98

грамотность – второй, а чтение и письмо – первый уровень грамотности). Необходимо нетолько защищать свой виртуальный мир, но и развивать его в соответствии ссобственными целями и стратегиями, обеспечивая доступ туда лишь тому, кому следует.Для менеджера, который стремится освоить или адаптировать свой бизнес квиртуальному пространству, знания и компетенции по криптографии являютсянеобходимыми условиями продвижения бизнеса на просторах Интернета.

Средства авторизации и разграничения доступа, защита отнесанкционированного доступаИнформационные технологии находятся сегодня в противоречивой ситуации: с однойстороны, от ИТ требуют максимальной гибкости и открытости в пользованииинформацией, c другой стороны, они находятся под сильным давлением требований кконфиденциальности корпоративных данных. Отсюда и требования по применениюсредств ИТ-безопасности:

· предотвращение несанкционированного доступа к базам данных илизлоупотреблений содержащейся в них информацией;

· предотвращение утечки информации из организации через общие каналы связи;

· обеспечение информационной безопасности ноутбуков и съемных носителейданных.

Необходимо признать, что системы ИТ-безопасности пока не имеют «защиты от дурака»,т.е. ничто не помешает инсайдеру брать конфиденциальные данные домой на своемноутбуке или копировать их на съемный носитель. Но обнаружить утечку информации ипотом найти и наказать виновного они могут. По данным CNews Analytics, 33% и 20%инцидентов, связанных с утечкой информации из компании и использованием ее вкорыстных целях, вызваны нынешними и бывшими сотрудниками, соответственно, 11%приходятся на долю клиентов компании, 8% происходят по вине партнеров, 7% вызванывременными служащими (контрактниками, консультантами и т.д.). Таким образом, за 60%всех инцидентов несут ответственность нынешние, бывшие и временные сотрудникикомпании, что поднимает проблему утечек конфиденциальной информации на первоеместо в списке приоритетов руководства компании.

Существует ряд специализированных решений мировых разработчиков ПОразграничения доступа и идентификации клиентов. Например, Hewlett-Packardразработала комплекс программных продуктов Identity Manager, компания Oracle –COREid Access & Identity, компания Sun – Java System Identity Manager, и Novell – свойIdentity Manager. Все эти решения предназначены для централизованного управленияидентификацией и доступом к различным информационным ресурсам предприятия, втом числе через веб-интерфейсы. Все производители позиционируют эти решения впервую очередь как инструмент повышения надежности и безопасности бизнеса вцелом.

Довольно быстрыми темпами развивается индустрия биометрического сканирования ираспознавания при авторизации и доступе. Главный стимул развитию отрасли придаетсинергетический эффект от сочетания многих тенденций и факторов. В число наиболее

41/98

значимых из них входят:

– наращивание спектра применений биометрии в государственных системах;

– осознание бизнес-структурами потребности и необходимости в распознавании людей (ане жетонов или карт) при доступе в здания и к корпоративным информационнымресурсам;

– рост мобильности населения и децентрализация управления человеческимиресурсами, требующие надежной идентификации;

– расширение числа сервисов «электронного правительства», при котором государствозаинтересовано в адресном предоставлении соответствующих информационных услуг, тоесть в идентификации граждан. Ключевые российские производители биометрическихсредств ИБ перечислены в таблице.

Таблица 5 . Ключевые российские производители биометрических средств ИБ.Компания Город Продукция

BioLink Москва Биометрические считыватели, серверы аутентификации,пакет разработчика BioLink SDK

«Биометрическиетехнологии»

Москва Сканеры отпечатков пальцев, пакет разработчика SmartIDSDK

ЗАО «Биопаспорт» Санкт-Петербург Фирма организована специально под всероссийский проект«Биометрический паспорт»

«Папилон» Челябинск Системы АДИС

«Сонда» Челябинск Системы АДИС, биометрические считыватели, пакетразработчика Sonda SDK

«ЦентрИнвестСофт» Москва Решения на основе биометрических технологий:разграничение доступа, контроль рабочего времени и др.

«Элвис» Москва СКУД, биометрические считыватели, системы контролярабочего времени

«Элсис» Санкт-Петербург Сканеры отпечатков пальцев, биометрические считыватели

Защита от внешних угроз. Сигнатурная и морфологическая фильтрация

Рассмотрим средства защиты от внешних угроз при подключении к общедоступным сетямсвязи (Интернету), а также средства управления доступом из Интернета сиспользованием технологии межсетевых экранов (FireWall) и содержательнойфильтрации (Content Inspection).

Использование технологии межсетевых экранов предлагается для решения таких задач,как:

· безопасное взаимодействие пользователей и информационных ресурсов,расположенных в интернет- и интранет-сетях, с внешними сетями;

42/98

· создание технологически единого комплекса мер защиты для распределенных исегментированных локальных сетей подразделений предприятия;

· построение иерархической системы защиты, предоставляющей адекватныесредства обеспечения безопасности для различных по степени закрытости сегментовкорпоративной сети.

Вместе с тем, сегодня технология межсетевого экрана уже не гарантирует, что вашкомпьютер или ваша сеть не станут своего рода «зомби» какой-нибудь бот-сети.

Бот-сеть (bot network – сеть роботов) – множество компьютерных систем,находящихся под единым управлением без ведома владельцев компьютеров.Обычно используются для нелегальной или неодобряемой деятельности –рассылки спама, перебора паролей на удаленной системе, атак на отказ вобслуживании.

Сегодня на рынке становятся востребованными системы предотвращения вторжений(Intrusion Prevention System, IPS), примерами которых являются:

· Proventia GX6116 фирмы IBM;

· устройство IntruShield 10 Gb фирмы McAfee.

Принципиальное назначение этих систем предотвращения вторжения – в том, чтобыобеспечить безопасность защищаемых объектов от воздействия, которое признановторжением или нарушением безопасности. При этом времена, когда для обнаруженияфакта атаки считалось достаточным найти некий характерный шаблон трафика(сигнатуру), уже прошли. Сегодня считается, что для успешного обнаружения атак IPSдолжна обладать свойствами и функциями обучения и самообучения.

Для борьбы со спамом, вирусами и утечками информации широко используются системыфильтрации контента (Content Inspection).

Существуют два концептуально разных подхода к фильтрации – сигнатурный иморфологический.

· Обнаружение, основанное на сигнатурах – метод работы антивирусов и системобнаружения вторжений, при котором программа, просматривая файл или пакет,обращается к базе с известными атаками, составленной авторами программы. В случаесоответствия какого-либо участка кода просматриваемой программы известному коду(сигнатуре) вируса в базе, программа-антивирус может заняться выполнением одного изследующих действий:

– удалить инфицированный файл;

– отправить файл в «карантин» (то есть сделать его недоступным для выполнения сцелью недопущения дальнейшего распространения вируса);

– попытаться восстановить файл, удалив сам вирус из тела файла.

Примером решения является продукт компании Clearswift MIMEsweeper.

· В состав решения для морфологической фильтрации входит сервер контентнойфильтрации, с помощью которого определяется, какая информация являетсяконфиденциальной, а какая – публичной. За фильтрацию контента отвечает движок,

43/98

который использует не сигнатурные методы, а морфологические технологии. Этоозначает, что при внедрении решения создается специальная база контентнойфильтрации, в которую заносятся все конфиденциальные документы организации.Обработав все эти документы, движок в состоянии выявлять чувствительнуюинформацию, специфичную для данной конкретной компании. Преимуществами даннойтехнологии, в отличие от сигнатурного поиска, являются возможность полноценнойфильтрации русскоязычных текстов во всех кодировках, а также учет абсолютно всехсловоформ корневых морфем, огромное количество которых специфично именно дляславянских языков. Сигнатурный фильтр просто не в состоянии учесть все возможныесловоформы, так как администратору необходимо самому задавать ключевые слова(сигнатуры), являющиеся конфиденциальными для данной организации. Более того,точность морфологических технологий позволяет блокировать утечку даже малыхфрагментов конфиденциальных документов, и при этом вовсе не требуется совпадениепроверяемых данных с образцами из базы контентной фильтрации. Даже еслиинсайдер перефразирует текст, воспользовавшись синонимами и по-другому построивпредложения, фильтр все равно предотвратит утечку.

Примером решения является InfoWatch Enterprise Solution.

Комплексы антивирусной профилактики

Лавинообразное распространением вирусов («червей», «троянских коней», шпионскихпрограмм) действительно стало большой проблемой для большинства компаний игосударственных учреждений.

Так, в марте 2006 года сканеру Norton Antivirus было известно около 72 тысяч вирусов, абаза программы содержала порядка 400 тысяч сигнатур. Каждый месяц появляется более300 новых разновидностей вредоносных программ. При этом считается, что основнойпуть «заражения» компьютеров – через Интернет. Поэтому в настоящее время сталонедостаточно технологической реактивности антивирусной защиты, когда компьютер ужезаражен и начинает свою работу антивирус. Отсюда важнейшей тенденцией развитияантивирусного ПО стало применение проактивных технологий эффективной защиты впериод «окна уязвимости», пока угрозы еще не классифицированы антивируснымиразработчиками. Речь идет о системах предотвращения атак уровня хоста и контролясетевого доступа. Примером может служить решение фирмы McAfee Total Protection. Мыне будем подробно останавливаться на примерах антивирусных программ. Приведемлишь результаты тестирования, на основании которых можно выбрать ту или инуюзащиту от вирусов. Данный тест проводился под операционной системой Windows XPSP2 по следующим группам атак:

– изменение разрешений на доступ к файлам и ключам реестра,

– модификация/удаление модулей, удаление антивирусных баз,

– модификация/удаление значимых ключей реестра,

– завершение процессов,

– модификация процессов/кода

44/98

– выгрузка драйверов.

Всего проводилась проверка по 33 параметрам, отсюда и максимальный балл – 33.Результаты теста представлены в таблице (источник: http://www.anti-malware.ru, 2007).

Таблица 6. Итоговые результаты теста самозащиты антивирусов.

Тестируемый продукт Всего баллов(максимум 33)

Доля отмаксимальновозможного

Kaspersky Internet Security 7.0 32 97%

VBA32 Antivirus 3.11 23,5 71%

Symantec Internet Security 2007 23,5 71%

F-Secure Internet Security 2007 20 61%

ZoneAlarm Internet Security 7.0 19 58%

Panda Internet Security 2007 16 48%

McAfee Internet Security 2007 15,5 47%

Eset Smart Security 3.0 14,5 44%

Trend Micro PC-Cillin 2007 14 42%

Avast! Professional Edition 4.7 11 33%

Avira Premium Security Suite 7.0 11 33%

Sophos Anti-Virus 6.5 11 33%

DrWeb 4.44 Beta 10,5 32%

Microsoft Windows Live OneCare 1.6 10,5 32%

BitDefender Internet Security 10 10 30%

Средства обеспечения конфиденциальности, целостности, доступности иподлинности информации, передаваемой по открытым каналам связиКак уже не раз отмечалось в данном курсе, менеджер должен «овладеть» информациейдля успешного управления ею, в том числе и при передаче по открытым каналам связи.Одним из этапов «овладения информацией» является ее классификация иинвентаризация информационных ресурсов.

45/98

Классификация не должна быть избыточной, иначе это приведет к большим расходам.Разумеется, защищать нужно прежде всего конфиденциальную информацию.

Таблица 7. Классификация ценности данных.

Общедоступная (public) Открытая информация при работе с которой нет никаких ограниченийЧувствительная(sensetive) Информация ограниченного доступа

Персональная (private) Персональные данные. Например зарплатная ведомость,медицинские карточки, адресные книги сотрудников

Конфиденциальная(confidential)

Конфиденциальная информация. При работе с ней вводятсяограничения в зависимости от уровня допуска пользователя.Например бухгалтерская, производственная.

Пример инвентаризации информационных ресурсов

Вид информации Содержание Расположение Гриф

Производственная

Планы производства,интеллектуальнаясобственность, описаниетехнологий, внутренниеразработки

Файловые сервера,СУБД Конфиденциальные

Инфраструктурная Карты ИТ-инфраструктуры, ИТ-системы, логины, пароли локально Чувствительная

ФинансоваяЛюбая бухгалтерскаяинформация, финпланы,отчёты, балансы.

Среда финдепа Конфиденциальная

Кадровая Личные карточки персонала Локально, файловыйсервер Чувствительная

Рабочая Файлы и документы длявнутреннего обмена

Расшаренные папкиили выделенныйфайловый сервер

Персональная

Внутрикорпоративная Отчёты собраний, приказы,распоряжения, статьи Файловый сервер Общедоступная

Развлекательная Фотографии, видеоролики,фильмы, аудиокниги

Расшаренные папкиили выделенныйфайловый сервер

Общедоступная

Для защиты информации, передаваемой по открытым каналам связи, и построения VPNна основе международных стандартов IPSec существует ряд программных продуктов.Виртуальные сети создаются чаще всего на базе арендуемых и коммутируемых каналовсвязи в сетях общего пользования (Интернете). Для применения Интернета в бизнеседолжны функционировать системы, имеющие такие характеристики, как надежность ибезопасность. Без современных технологий защиты электронный бизнес основногосектора В2В (Business-to-Business) не переживал бы такого бурного развития, которое взначительной степени зависит от фактора доверия. Доверие связано с безопасностью –чем более прозрачна и надежна защита, тем выше степень доверия и шире областьиспользования решений.

А для этого необходимо решить такие задачи, как:· защита (конфиденциальность, подлинность и целостность) передаваемой по сетяминформации;

46/98

· контроль доступа в защищаемый периметр сети;

· идентификация и аутентификация пользователей сетевых объектов;

· централизованное управление политикой корпоративной сетевой безопасности.

Одним из современных способов решения является внедрение электронной цифровойподписи (ЭЦП) – одного из сервисов безопасности, который помогает решать задачицелостности, доступности и невозможности отказаться от авторства. Для полноценногофункционирования электронной цифровой подписи требуется создание развитойинфраструктуры, которая известна в России как инфраструктура открытых ключей(Public Key Infrastructure, PKI – в международной терминологии). Под этим терминомпонимается полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, необходимых для использования технологии с открытымиключами. Основным компонентом PKI является собственно система управленияцифровыми ключами и сертификатами. Все развитые страны мира, в том числе и Россия,формируют подобные национальные инфраструктуры.

Общие тенденции в ИТ-безопасности

Итак, мы рассмотрели лишь некоторые аспекты конвергенции ИБ и ИТ. Помимотехнологической конвергенции, существуют также конвергенция организационная иархитектурная, основанные на сервисном подходе методологии ITIL, которая, попрогнозам Gartner, достигнет своего пика лет через 5–10. Сервисный подход одинаковораспространяется и на область ИТ, и на область ИБ. В данном случае применениесервисов – это аналог модульного принципа в инженерии и многих других сегментах иотраслях. Не надо строить единую и неповторимую систему защиты – она должна бытьмодульной, гибкой и удобной. Каждый модуль, сервис или процесс должен иметьпонятный вход и понятный выход. Это позволит при необходимости менять отдельныемодули не в ущерб остальным. Монолитность сегодня уже не приветствуется, так как неотвечает задачам гибкости и адаптивности ИТ- и ИБ-инфраструктур. Такой подходпозволяет реализовывать проект создания системы информационной безопасностипоэтапно – сервис за сервисом, процесс за процессом. В качестве таких сервисов,применимых как к ИТ, так и к ИБ, можно назвать управление инцидентами, управлениеизменениями, управление доступностью, управление конфигурацией и т.д.

Раздел 5. ИТ-АУДИТ ДЛЯ БИЗНЕСА

Понятие и план работ по ИТ-аудиту

Под термином «аудит информационной системы» понимают процесс получения и оценкиобъективных данных о текущем состоянии системы, устанавливающий уровень еесоответствия определенному критерию и позволяющий предоставить результаты этогоисследования заказчику.

По сути дела, ИТ-аудит – анализ сети, компьютеров, программного обеспечения и работыоргтехники, выявление проблемных мест в информационной базе компании. ИТ-аудитпозволяет оперативно принять меры для устранения проблем, а также наметить планоптимизации и модернизации компьютерной инфраструктуры. Необходимость в ИТ-

47/98

аудите возникает тогда, когда компания нуждается в создании или модернизациикомпьютерной инфраструктуры, когда на предприятии происходит смена кадров иликорпоративная реорганизация (слияния и поглощения компаний), а также когда возникаетнеобходимость оптимизировать и максимально эффективно задействовать имеющиесяресурсы.

Примерный план работ по IT аудиту

1. Инвентаризация имеющейся техники.

2. Осмотр локальной сети и сетевого оборудования.

3. Составление плана работ по ИТ-аудиту и схемы взаимодействия сетевыхкомпонентов.

4. Выявление ключевых проблемных моментов в работе сетевого и компьютерногооборудования.

5. Сбор информации, жалоб и пожеланий конечных пользователей по работекомпьютеров, сети, оргтехники и программного обеспечения.

6. Подготовка заключения о работе компьютерной техники, программногообеспечения, сетевых компонентов и оргтехники.

7. Разработка предложений по оптимизации работоспособности всейинфраструктуры.

8. Составление плана оптимизации работы имеющегося компьютерногооборудования и программного обеспечения на рабочих станциях и серверах.

9. Составление календарного плана работ по дальнейшему обслуживаниюкомпьютерной техники, оргтехники, сетевых компонентов и программногообеспечения.

По данным опроса агентства CNews Analytics, самой распространенной проблемой ИТ-инфраструктуры в российских компаниях считается сбой серверного оборудования инарушение удаленного доступа к сети (40%). Нa втором и третьем местах по«популярности» – повреждение данных (35%) и неслаженная работа информационнойсистемы в целом (30%). В плане бизнес-проблем главные причины беспокойства –несовершенная техническая база (40%), а также трудности, связанные с организационнойструктурой (35%).

Одним из наиболее известных международных стандартов ИТ-аудита являетсяметодология CobiT (контрольные объекты информационной технологии), о которой мыуже упоминали. В основу CobiT положена процессная модель ИТ, базирующаяся наконтроле достижения установленных целевых показателей. Данный стандарт – этоинструмент, позволяющий руководству предприятия обеспечить переход от постановкибизнес-задач к вопросам управления ИТ, установить должный уровень понимания рискови преимуществ, связанных с использованием ИТ, а также реализовать эффективнуюсистему управления ИТ. Таким образом, CobiT служит связующим звеном между бизнес-рисками, задачами управления и технической инфраструктурой.

Как показывает опыт, целесообразно разбивать процесс аудита на этапы длительностьюпримерно по 10 дней. На начальном этапе лучше провести первичное обследование,

48/98

которое поможет в общих чертах оценить текущее состояние дел в сфере ИТ, определитьосновные проблемы и расставить приоритеты их решения. На следующих этапах можнозаняться более подробным анализом выявленных проблем и выработкой конкретныхпредложений по их устранению.

Понятие эффективности/результативности

Ключевой вопрос ИТ-аудита – критерии эффективности ИТ для компании. Вкаком случае применение ИТ в организации может считаться эффективным? Какой наборИТ-систем будет наиболее эффективным сегодня и какой – завтра? Будет ли выбраннаяИТ-система более эффективной, чем альтернативные? Ответы на такие вопросыосложняются тем, что эффект от применения ИТ-системы чаще всего весьма непростовыделить «в чистом виде». Поэтому менеджеры и «айтишники» нередко не сходятся вомнениях по поводу того, что такое эффективность ИТ, есть ли она вообще и как можетбыть выражена.

Здесь мы опять должны вернуться к терминологии эффективности, которуюрассматривали ранее, на шкале ценности информации. По определению стандарта ISO9000, «эффективность – это связь между достигнутым результатом и использованнымиресурсами». В оригинале стандарта переведенный термин обозначается словомefficiency, но там есть также термин effectiveness, который в ГОСТ Р ИСО 9000 переведенкак «результативность». В то же время смысл этого слова и его определение в ISO 9000скорее относятся к понятию рroductivity – продуктивность.

Чтобы уйти от «переводных» споров, сошлемся на модельэффективности/результативности ИТ для государственных органов США, которуюназывают Performance Model (PRM). В PRM для оценки параметров деловых процессов идругой деятельности вводится категория показателей, названная рroductivity&еfficiency:«объем работы, выполненной в единицу времени и отнесенный к использованнымресурсам». Тогда еfficiency определяется как «результативность/эффективность системыили приложения в терминах времени отклика, интероперабельности, доступности дляпользователя и совершенствования технических возможностей или характеристик»; аеffectiveness – «степень, до которой пользователи удовлетворены соответствующейсистемой или приложением или в которой они отвечают требованиям пользователей, атакже их итоговое влияние на результативность/эффективность процесса(ов), которуюони обеспечивают, и на результаты клиентов или реализацию миссии (организации), вкоторую они вносят свой вклад».

Следовательно, русскоязычный аналог определения будет звучать так: эффективностьсистемы в широком смысле – это комплексная характеристика системы, отражающаястепень ее соответствия потребностям и интересам ее заказчиков, пользователей, другихзаинтересованных лиц. Такое определение позволяет единообразно, с единым наборомпринципов и общих критериев, подходить как к эффективности конкретной ИТ-системы,так и к эффективности применения ИТ на предприятии в целом, а также в тех случаях,когда наиболее существенными являются социальные или иные неэкономическиепоказатели.

49/98

Итак, чтобы оценить эффективность ИТ, надо, как минимум:

· определить реальную пользу, которая должна быть получена предприятием, егобизнес-процессами, изготавливаемыми продуктами и важнейшимизаинтересованными лицами (в первую очередь руководством, но не только им);

· обозначить финансовые, кадровые и другие ограничения, такие как время, закоторое эффект должны быть достигнут;

· определить степень соответствия получаемого эффекта желаемому, а такжеуровень выполнения существующих ограничений для каждого альтернативноговарианта применения ИТ на предприятии;

· выбрать вариант ИТ-системы (или набор систем), который позволит наиболееадекватно обеспечить получение эффекта, причем с минимальными затратамиресурсов всех видов.

Эффективность ИТ для предприятия

Один из ключевых моментов состоит в том, что эффективность ИТ для предприятия —это мера вклада ИТ-систем в деловые эффекты. И прежде всего необходимоотметить, что в период проектирования и сервиса, то есть эксплуатации ИТ-систем, мывстречаемся с феноменом, названным «крестом информационных технологий».

Рис. 19. Крест информационных технологий.

Смысл его сводится к тому, что при внедрении и по мере эксплуатации ИТ бюджетыкомпаний, выделяемые на поддержку ИТ, растут медленнее, чем собственноэксплуатационные расходы, связанные с жизненным циклом ИТ-систем. Этот феноменобусловлен целым рядом негативных факторов – низким качеством ИТ-систем, ихизбыточной сложностью, неспособностью прогнозировать будущее, переходом вкритическое состояние. Сегодня недостаточно обеспечить требуемую

50/98

эффективность и качество предоставляемых ИТ-услуг, приемлемые цену истоимость владения, надежность функционирования на данный моментвремени – необходимо гарантировать работоспособность системы привозникновении изменений.

Рис. 20. Критерии оценки ИТ.

Оценка эффекта от внедрения ИТ: финансовые методы

В целом можно выделить три основные группы методов, позволяющих определитьэффект от внедрения ИТ: финансовые (они же количественные), качественные ивероятностные. У каждого метода есть свои минусы. Так как все они в основномсвязаны с технико-экономическим обоснованием и оцениванием ИТ-проектов (то естьотносятся к «проективному подходу» в ИТ), то мы лишь упомянем их, оставляя болеедетальное рассмотрение для других модулей программы «МВА-старт».

Финансовые, или количественные методы так или иначе связаны с понятием ROI.

ROI – это возврат на инвестицию, а не «возврат инвестиций», и ЭТО ОЧЕНЬ ВАЖНОПОНИМАТЬ! То есть ROI, по определению, отношение – а именно отношение чистойприбыли к вложенным средствам. ROI = Net Benefits/Costs.

Понятно, что любой инвестор или собственник хочет, чтобы это отношение превратилосьв зависимость размера прибыли от инвестиций. Однако ROI зависит только от двухпоказателей – активности оборота капиталов и прибыли на каждый оборот. А таккак вложение средств – это, по определению, приобретение собственности:оборудования, недвижимости, доли в бизнесе и пр., то, вкладывая средства в ИТ(технику, программное обеспечение и услуги), инвестор/собственник получает правопользования ПО и результатами оказания услуг. Как он сможет распорядиться этимправом – вопрос менеджмента, в частности ИТ-менеджмента. Выступая в качествеколичественного показателя производительности, ROI дает в руки менеджментукомпаний очень простой и наглядный инструмент отчетности и планирования. ROI

51/98

предлагает способ сведения субъективных оценок прибыльности предприятия кматематически точным показателям, что необходимо при оценке инвестиций и сравнениитекущей оправданности вложений, а также для оценки альтернативных путейиспользования капиталов. ROI исходит из того, что инвесторам совершенно неважно, чтобыло сделано компанией для получения прибыли. Инвесторам важно, что можно будетполучить, в конце концов, от инвестиций.

Например, ROI позволяет быстро найти ответы на вопрос: надо ли увеличиватьвложения в технику, инвентарь или лучше выплатить задолженности?

Вместе с тем, ROI имеет некоторые недостатки, которые необходимо учитывать врасчетах.

Допустим, компания инвестирует 100 тыс. долл. в новое программное приложение,которое требует 25 тыс. долл. в год на поддержку и техническое обслуживание.Предполагается, что это вложение денег позволит сохранить 200 тыс. в год.Показатель ROI, рассчитанный по общей формуле, даст ROI 200% – это означает,что доходы от проекта в два раза превышают расходы на него, и каждый вложенныйдоллар дает два доллара чистой прибыли. Такой подсчет имеет массу недостатков.Например, ROI показывает чистый возврат от инвестиций, но никак не учитываетвремя, в течение которого эта прибыль была получена. В реальности придетсяиметь дело с общей суммой инвестиций в течение некоего периода времени ипринимать во внимание все доходы и затраты за этот период.

Для «правильного» применения ROI нужно учитывать, по крайней мере, два финансовыхфеномена, а именно Time value (ценность времени) и Hurdle rate (норму помех).

Первый феномен связан с тем, что с течением времени деньги меняют своюценность. Будущие затраты и сбережения, выраженные в деньгах сегодня, на самомделе окажутся меньше, чем те же затраты, выраженные в «завтрашних» деньгах. Завтрате же самые вещи будут стоить чуть больше: это связано с тем, что покупательнаяспособность денег сегодня выше, чем в будущем.

Второй феномен связан с учетом рисков инвестиций, оправданностью илинеоправданностью тех или иных вложений. Когда деньги кладутся, например, насберегательный счет, возврат их гарантирован, однако прибыль редко превышает 5–6%.По государственным ценным бумагам процентные ставки выше (в типичном случае ониприносят 7–9% прибыли), и они относительно стабильны, хотя возврат и не гарантированна 100%. Покупка акций каких-либо компаний – дело более рискованное, но в среднемдает около от 10% прибыли. При вложении в акции через ПИФы (паевые инвестиционныефонды – Mutual Funds) очень хорошим считается уровень прибыли 17%. Естественно, всвязи с тем, что покупка акций – дело рискованное, и эти деньги могут просто «сгореть»,она обязана приносить больше потенциальной прибыли, чтобы как-то оправдать рисквложений. Понятно, что, если бы вложения в акции компании приносило всего 5–6%,деньги уходили бы на относительно гарантированные государственные бонды, а не вкомпании. На языке финансов говорят, что 5–6% прибыли «не покрывают рисквложения».

52/98

Приведенные показатели ROI, их достоинства и недостатки

Для анализа вложений в ИТ и оценки их эффективности чаще всего применяются триосновных приведенных показателя ROI:

1. NPV (Net Present Value) – чистый приведенный доход, или чистая приведеннаястоимость;

2. IRR (Internal Rate of Return) – внутренняя норма доходности (рентабельности);

3. Payback Period – срок окупаемости инвестиций.

У каждого из них есть свои достоинства и недостатки.

Чистый приведенный доход (NPV) учитывает стоимость денег, однако не учитываетрисков ИТ-проекта. Кроме того, это абсолютный показатель (деньги), что не позволяетсравнивать с его помощью проекты с разным уровнем финансирования.

Внутренняя норма рентабельности (IRR) устраняет указанные недостатки. ОднакоIRR не учитывает стоимости капитала и, к сожалению, не имеет простого экономическогоопределения (такого, например, как NVP). Этот показатель немного сложнее.

Наконец, Payback Period не учитывает временную стоимость средств. Нетруднозаметить, что показатели NPV и IRR дополняют друг друга, и поэтому большинствокомпаний использует их только вместе. Показатель Payback Period используется гораздореже, и основной причиной здесь являются трудности в идентификации будущегоденежного потока от ИТ-проекта.

Как же определяется будущий денежный поток? Это зависит от области, в которойприменяется ИТ-система. Например, при автоматизации логистических операций этопросчитывается достаточно легко: увеличение производительности работы склада илиже выигрыш по количеству сэкономленной площади переводятся в деньги достаточнопросто. Если в ходе реализации ИТ-проекта происходит оптимизация бизнес-процессов,которые влияют на управление активами предприятий, активами, связанными с балансомпредприятия, принципиальных проблем тоже не возникает, хотя есть трудоемкая икропотливая работа. В целом, как показывает практика, примерно от 60 до 75%функционального объема проекта можно перевести в будущий денежный поток. И от 25до 40% остается на качественную и вероятностную оценку эффекта.

В любом случае, можно назвать четыре категории потенциальной прибыли,которые компания может получить в результате внедрения ИТ-проекта и последующейэксплуатации ИТ-системы:

1) сокращение стоимости труда;

2) снижение капитальных затрат (сокращение стоимости материалов,канцелярских принадлежностей, стоимости печати, затрат на электроэнергию и т.п.);

3) увеличение производительности труда (обычно достигается за счет внедрениярешений, приводящих к снижению времени вынужденного простоя системы илиувеличению эффективности выполнения определенных задач);

53/98

4) бизнес-прибыль (как правило, это увеличение реальной прибыли компании,которое может быть достигнуто за счет увеличения уровня продаж, увеличенияприбыли от одного покупателя и т.д.).

Шаблон расчетов ROI в области модернизации ИТ (упрощенный)

Допустим, ставится задача привлечения новых клиентов и увеличения отдачи отсуществующих за счет совершенствования системы продаж услуг (например, банковскихили страховых) VIP-клиентам. Считается, что данная инициатива способна приноситьбизнесу порядка 500 тыс. долл. дополнительной прибыли (Pt (profit)) в год.

Задача для «айтишников» формулируется так: необходимо, чтобы менеджеры попродажам в количестве N человек могли иметь оперативный доступ к корпоративной БД ипочте со своих ноутбуков/КПК. Им нужно обеспечить предоставление аналитическихвыборок данных, касающихся истории клиентов, объемов закупленных ранее услуг и ихконфигурации. Необходим и доступ к агрегированным данным, характеризующим общуюактивность клиентов определенной категории в определенный период времени.

Решение, предлагаемое ИТ-отделом, может выглядеть так.

Требуемые скоростные параметры доступа к данным и их предоставленияпользователям диктуют необходимость использования технологии аналитическихзапросов. Для этого целесообразно:

· средствами, встроенными в SQL Server, создать аналитическую БД и наполнить еенеобходимыми корпоративными данными;

· приобрести серверное ПО, позволяющее осуществлять анализ данных ипостроение отчетов через Сеть средствами браузера;

· для обеспечения мобильного доступа к корпоративной почте провести миграцию ссуществующего на более современный почтовый сервер;

· в качестве средств доступа к данным для менеджеров использовать мобильныетелефоны/КПК с поддержкой современных стандартов связи CDMA/Wi-Fi/GPRS/Bluetooth.

С учетом темпов технического прогресса в области ИТ по закону Мура временнойгоризонт для расчета ROI составляет три года. Ставка дисконтирования (r) принимаетсяна уровне r = 12%. Примерные статьи затрат по первоначальным инвестициям и поподдержанию работы нового функционала на каждый год приведены в таблицах.

54/98

Таблица 8. Первоначальные вложения в проект

Тип затрат/описание Статьирасходов

Величиназатрат, тыс.у.е.

Аппаратное обеспечение

1. Четырехпроцессорный сервер 1

2. Количество КПК/мобильных телефонов с поддержкоймобильного Интернета

2

Программное обеспечение

1. ПО для анализа и построения отчетов (серверныелицензии для четырехпроцессорного сервера) +модернизация почтового сервера

3

2. Лицензии для системы разработки 4

3. Итого стоимость ежегодной поддержки ПО (ст. 3 + ст.4)х15% = I

5

Персонал

1. Установка ПО для анализа и построения отчетов.Обучение персонала.

6

2. Разработка структуры OLAP базы данных средствами SQLServer

7

Итого первоначальные инвестиции: W = (ст. 1 + ст. 2 + ст. 5 +ст. 6 + ст. 7)

8

Таблица 9. Ресурсы для поддержания работы нового функционала в течение года.

Позиция Статьирасходов Число

Среднегодоваязарплата (тыс.у.е.)

Требуемоерабочеевремя (в % отполного)

Специалист-аналитик 1 2 100

Администратор БД 2 1 5

Программист 3 1 2

Специалист по обучению 4 1 25

Складывая средние годовые зарплаты, умноженные на количество работников и проценттребуемого рабочего времени в год, получаем средние затраты на персонал (Р).

P = (зарплата аналитика) х 2 х 1% рабочего времени + (зарплата администратора БД) х 1

55/98

х 0,05 + …

Итого ежегодные затраты на персонал (P) и на ПО (I) составят общие ежегодныезатраты (F).

F = P + I

Для трех лет эксплуатации, для которых ведется расчет, величина денежного потока(V) одинакова и рассчитывается как выгода от реализации проекта за вычетомсуммарных ежегодных затрат.

V= Pt – F = 500000 – F

Величина чистой приведенной стоимости вычисляется по формуле за три года каксумма:

ТЗМ = ТЗМ (1-й год) + ТЗМ (2-й год) + ТЗМ (3-й год)

Для общей формулы это выглядит так: NPV = ∑ V/(1 – r)i,

где i – годы (в нашем случае имеют значения 1, 2, 3);

V – чистый денежный поток i-го года;

r – ставка дисконтирования.

В нашем случае показатель NPV = V/(1 – 0,12) + V/(1 – 0,12)2 + V/(1 – 0,12)3

Внутренняя норма рентабельности (IRR) вычисляется по аналогичной формуле,только в правую часть уравнения NPV подставляется величина первоначальносделанных инвестиций W.

Затем уравнение W/(1 – r) + W/(1 – r)2 + W/(1 – r)3 решается относительно величиныпроцентной ставки r.

Величина IRR определяет максимальную стоимость привлекаемого капитала, прикотором проект остается выгодным.

Далее по определению:

срок окупаемости (Payback Period) = W/(NPV/3),

где W – сумма первоначальных инвестиций;

цифра 3 – это временной расчет (3 года).

И, наконец, возврат инвестиций ROI = NPV/W x 100%

Оценка эффекта от внедрения ИТ: качественные методы

Качественные методы оценки базируются на идее соответствия целей, приоритетов ипоказателей по ним.

Первый метод, который можно упомянуть, получил название информационнойэкономики (Information Economics). Его идея в том, что топ-менеджмент компании и ИТ-служба организуют некую систему координат – определяют приоритеты в развитиибизнеса компании и расставляют приоритеты проектных критериев – еще дорассмотрения какого-либо ИТ-проекта. И тогда проект изначально оценивается на

56/98

соответствие этим критериям. Ожидаемый качественный эффект от ИТ-проектасравнивается с желаемыми эффектами.

Еще один качественный метод, получивший название IT Scorecard, состоит в том, чтобыадаптировать подход BSC для ИТ-отдела. Как и в традиционном BSC, в IT Scorecardвыбираются четыре более-менее сбалансированных направления (перспективы втерминологии BSC) влияния ИТ на бизнес компании. В классическом и в «айтишном»случае эти направления следующие: помощь в развитии бизнеса компании, повышениекачества продукции (причем здесь имеется в виду качество как для внутренних, так и длявнешних пользователей), повышение качества принятия решений и повышениепроизводительности труда. Затем, как и в BSC, по каждому направлению (перспективе)определяются цели, другими словами – ориентиры, характеризующие желаемое местоИТ в бизнесе компании в будущем. Именно эти цели составляют стратегию развития ИТ-отдела (именно так можно трактовать перспективы) и будут трансформированы наоперационный уровень, то есть в конкретные ИТ-проекты. По сути, это те же приоритетыпроектных критериев, что и в методе информационной экономики, толькосгруппированные по направлениям. И наконец, как в классическом BSC, из целейвытекают инициативы, то есть цели ИТ-отдела определяют, будет ли ИТ-проектэффективен в разрезе приближения к одной или нескольким целям. Единственноеотличие от BSC, которое здесь есть, – это несколько иные показатели приближения кцели. Метод информационной экономики страдает субъективизмом, особенно в частианализа рисков проекта; с другой стороны, IT Scorecard, как и BSC, требует наличияформализованной бизнес-стратегии. Для качественной оценки эффекта от инвестиций вИТ компании применяют либо метод информационной экономики, либо IT Scorecard. Иопыт показывает, что для качественной оценки этого, как правило, достаточно.

Оценка эффекта от внедрения ИТ: вероятностные методы

Вероятностные методы оценки экономического эффекта от ИТ-проекта – этоприкладная информационная экономика (Applied Information Economics) и справедливаяцена опционов (Real Options Valuation, ROV).

Метод прикладной информационной экономики – это немного модифицированныйкачественный метод информационной экономики. Его идея в том, чтобы для каждой иззаявленных целей ИТ-проекта определить вероятность ее достижения и далее вывестииз нее вероятность улучшений в бизнес-процессах компании. Например, позволяет липроект по созданию корпоративного портала улучшить доступ к информации и приниматьрешения быстрее? Насколько увеличится скорость принятия решений? В какой степениэто ускорит заключение сделки? Отсюда делается вывод об увеличении вероятностизаключения сделки.

Метод справедливой цены опциона сам по себе достаточно труден, поэтому за егоразработку недавно была вручена Нобелевская премия. В любом проекте выделяютсяпять параметров: выручка от проекта, расходы на проект, сложность проекта, стоимостьподдержки получившегося решения и жизненный цикл внедряемой ИТ-системы. Затемследует оценить, насколько мы можем влиять на эти параметры по ходу проекта. Чемсильнее мы можем влиять на эти параметры, то есть понижать расходы или сложностьпроекта, тем выше оценка этого проекта по данному методу. Соответственно, чем более

57/98

жестким получается проект, чем строже заданы рамки, тем менее он интересен с точкизрения бизнеса.

Надо сказать, что вероятностные методы используются для оценки будущего эффекта отИТ-проекта нечасто. Метод прикладной информационной экономики очень субъективен ивообще мало похож на конкретную методику. Метод справедливой цены опциона,напротив, очень конкретен, но достаточно труден и требует большого времени дляанализа. Как правило, компании не используют какой-то один конкретный метод оценкиэкономического эффекта от ИТ-проекта, которому они очень доверяют. Опыт показывает,что в разных ситуациях ближе к истине оказываются разные методы. Часто компаниииспользуют сразу четыре метода – два финансовых и два нефинансовых. Именно наосновании таких оценок экономической эффективности можно принять взвешенноерешение, запускать ИТ-проект или нет, и определиться, какой из ИТ-проектов компанииболее выгоден.

Вопросы для ИТ-аудита

Итак, сформулируем несколько «правильных вопросов», связанных с эффективностьюИТ, а также с инвестициями в ИТ, на которые ИТ-менеджер любой компании долженполучить ответы.

1. Получает ли компания адекватный возврат инвестиций, вкладываемых винформационные ресурсы?

2. Достаточна ли информационная инфраструктура, соответствует ли онапотребностям сотрудников, управляющих?

3. Исключает ли сложившаяся практика ИТ-менеджмента моральное старение всехвидов ИТ-ресурсов (в том числе программных, аппаратных и человеческих)?

4. Обеспечена ли достаточная безопасность информационных активов предприятия?

5. Гарантирована ли защита от хакерских атак, от атак, прерывающих обслуживание?

6. Обеспечено ли непрерывное функционирование системы, созданы ли резервныецентры обработки данных и резервные копии?

7. Обеспечены ли все условия для использования тех преимуществ, которые даютИТ?

8. Предприняты ли все меры, исключающие риски, связанные с ИТ?

9. Обеспечены ли методы оценки ИТ-инфраструктуры на предмет конкурентныхпреимуществ?

10. Обеспечены ли все юридические требования, включая соблюдение авторских правна используемое программное обеспечение, патенты и лицензии?

На большинство этих вопросов дает адекватные ответы методология ITIL.

58/98

Раздел 6. СЕРВИСНЫЙ ПОДХОД НА ОСНОВЕ МЕТОДОЛОГИИ ITIL

История развития ITIL

Методология ITIL была впервые разработана в конце 1980-х годов Центральнымкомпьютерным и телекоммуникационным агентством (Central Computer andTelecommunications Agency) – уже не существующим ныне структурным подразделениемправительства Великобритании – в качестве каталога, в котором обобщался передовойопыт правительственных ИТ-служб. Вскоре она получила распространение в частномсекторе Великобритании, а затем в других европейских компаниях и в США. В 1988 годувышла первая редакция документа Government Infrastructure Management Method(«Государственный метод управления инфраструктурой»), переименованного в 1991 годув IT Infrastructure Library (ITIL). Тогда же была образована группа пользователей ITILUser Group с участием представителей Великобритании и Голландии; с тех пор эти двестраны стали лидерами ITIL-сообщества. В том же 1991 году группа была преобразованав IT Infrastructure Management Forum (ITIMF). Последующие годы были отмечены бурнойактивностью форума, которая в конечном итоге и привела к созданию в конце 90-х годовITILv2, а теперь – и ITILv3.

Версии ITIL

В состав второй версии ITIL включено семь книг, каждая из которых имеет объем около200 страниц и стоит 115 долларов. Каждый из томов посвящен конкретной области:поддержке услуг, предоставлению услуг, планированию внедрения системы управленияуслугами, управлению безопасностью, управлению инфраструктурой информационных ителекоммуникационных технологий, управлению приложениями и перспективам развитияс точки зрения бизнеса.

В третьей версии знания собраны в пяти книгах.

1. «Стратегия сервисов» (Service Strategy). Издание предназначено для практиков,принимающих решения, в нем описаны роль ИТ и требования, предъявляемые к ИТ.

2. «Проектирование сервисов» (Service Design). Содержащийся в этой книге материалпозволяет оценивать сервисы – по функциональности, производительности и насоответствие требованиям бизнеса.

3. «Внедрение сервисов» (Service Transition). Здесь дается возможность оценить рискии обеспечить качество сервисов. Внедрение должно гарантировать более быстроереагирование ИТ на изменения в собственной среде и в бизнесе.

4. «Работа с сервисами» (Service Operation). В этой книге описывается практика работыс сервисами.

5. «Постоянное совершенствование сервисов» (Continual Service Improvement). Здесьпредлагаются методы мониторинга и методика совершенствования сервисов.

59/98

Существует и шестая книга, «Введение в практику управления сервисами ITIL»(Introduction to ITIL Service Management Practice), где описаны основы внедрения ITIL вбизнес.

В чем секрет роста популярности методологии ITIL?

Вспомним материалы первого раздела курса, где мы рассматривали взрывной ростсферы услуг по сравнению с материальным производством – примерно с 70-х годовпрошлого столетия. Этот феномен многими расценивался как признак зарожденияинформационного общества. Однако можно также предположить, что феномен «бумауслуг» нашел отклик в науках о бизнесе, а именно в менеджменте, в которомтрадиционно сильны британцы. Последующее развитие ITIL показало, что ее авторыпристально следят за тенденциями в развитии ИТ и бизнеса. Именно посредническаяроль методологии ITIL между ИТ-технологиями и бизнесом делает ее востребованной нарынке!

Жизненный цикл ITIL

Природа любых сервисных моделей предоставляет возможность эволюционногоразвития – в этом их основное преимущество. Для представления эволюции в жизненномцикле ITIL Service Lifecycle используется модель типа hub-and-spoke (в ней можно найтисходство с велосипедным колесом со ступицей (hub) и спицами (spoke)).

Рис. 21. Эволюция жизненного цикла ITIL.

Специфика модели в данном случае состоит в том, что из центра распространяютсясобственные знания, собранные в ITIL. Причем модель не замкнута – извне, попериметру, собираются внешние сведения. Если идти от центра по радиусу, то наследующем уровне разрабатывается стратегия сервисов, а еще дальше осуществляетсяциклическая процедура, включающая в себя проектирование сервисов, переход ксервисам и работу с сервисами. Еще одним уровнем выше выполняется постоянное

60/98

усовершенствование сервисов; наконец, на внешней стороне находятся еще дваисточника знаний – дополнительные источники и источники, расположенные в Сети. Вналичии двух типов источников знаний – основных и внешних – и заключается спецификамодели жизненного цикла сервисов по методологии ITIL.

Модель ITIL

Основные сведения о «лучшей практике» – классика ITIL – содержатся в «ядре» (Core).Дополнительные сведения, относящиеся к определенному сегменту рынка или к какой-точастной технологии, содержатся в секции «дополнения» (Complementary). Кроме того,через Web распространяются дополнительные продукты, руководства, исследования ишаблоны.

Рис.22. Модель ITIL.

Реализация стратегии адаптивности на основе интеграции бизнеса и ИТ, а такжевосприимчивость к нововведениям в бизнесе и технологиях (конвергенция бизнес-процессов, которую мы рассмотрели на примере ИБ и ИТ, аутсорсинг, виртуализация ипр.) позволили ITIL прочно занять место ведущей методологии в различных странах мира.Мы не будем подробно останавливаться на методологии ITIL, так как любой может купитькниги и самостоятельно их изучить. Мы обратим внимание на российские реалии,связанные с сервисным подходом на базе ITIL и более подробно рассмотрим ключевыезнания из практики внедрения программных продуктов по методологии ITIL версий2 и 3.

Управление уровнем сервиса

Сервис или услуга – одно из ключевых понятий сервисного подхода, которое мырассматривали ранее.

Сервис – это способ предоставления ценности клиенту, основанный нарезультатах, которых клиент хотел бы достичь, не владея специфическимизнаниями, активами и решениями.

61/98

Такое определение сервиса дает команда «Итилиума». Применительно к ИТ-сфере этонаиболее «продвинутое» определение, помогающее осознать роли основных «игроков»сервис-процесса: заказчиков, клиентов, менеджеров, владельцев бизнес-процессов и«айтишников», поставщиков услуг. Действительно, многие объясняют, например,появление аутсорсинг-бизнеса разделением труда, идущим еще от Адама Смита –прародителя экономической науки. Но это слишком тривиальный способ объяснения.Цепочки прироста ценности бизнеса, в которых отдельные звенья не являютсясобственностью владельцев бизнеса, но которые могут ими управляться с помощьюсоглашений и договоров, позволили строить скорее конвергенция бизнесов, то есть ихслияние, а также информатизация и виртуализация сервисов.

Рис. 23. Современная цепочка бизнес-процессов.

Каталог услуг (SLA)

Целью процесса управления уровнем сервиса (SLM – Service Level Management)является формирование перечня услуг и соглашений об уровне обслуживания (ServiceLevel Agreement, SLA) на базе понятного владельцу бизнес-процесса и поставщику услуг(«айтишнику») механизма поддержки и развития ИТ-услуг и мониторинга их качества.

Рис. 24. Этапы SLA.

Перечень или каталог услуг – это главный инструмент работы с заказчиком. Каталог

62/98

содержит подробное описание действующих услуг на понятном заказчику языке, а такжеописание уровней сервисов, которые могут быть ему предложены. Каждая услуга,описанная в Каталоге услуг, должна иметь четкие измеримые параметры.

Совокупность измеримых параметров и называется уровнем сервиса(обслуживания).

Этапы разработки и мониторинга выполнения SLA следующие.

1. На первом этапе создания SLA составляются требования к уровню услуг(Service Level Requirements, SLR). SLR – это прототип будущей услуги, которыйпредставляет собой детальное описание потребностей заказчика; эти требованияиспользуются при разработке, модификации и инициировании услуг.

2. На втором этапе на основе SLR разрабатываются таблицы спецификации услуг(Service Specification Sheets). Таблицы помогают преобразовать требования к уровнюуслуг в технические определения и параметры, необходимые для предоставленияуслуги.

3. На третьем этапе рассчитывается стоимость услуги для всех уровней сервиса.

4. На четвертом этапе «айтишник» совместно с менеджментом компании выбираеттот или иной уровень обслуживания, исходя из потребностей бизнеса и затрат,неоходимых для выбранного уровня услуги, и оформляют (подписывают) SLA. Еслипоставщик услуги является внутренним подразделением компании, то рекомендуетсяне юридическая, а внутренняя форма договора – «операционное соглашение обуровне обслуживания» (OLA).

Пример каталога услуг

А. Базовые сервисы

1. Обслуживание рабочих мест2. Предоставление электронной почты3. Доступ в Интернет4. Услуга печати5. Предоставление дискового пространства

С. Специализированные сервисы

1. Обеспечение работы 1С:Бухгалтерии2. Обеспечение работы 1С:Зарплата и

кадры3. Обеспечение работы системы "Бюджет"

В. Услуги связи

1. Телефонная связь2. Видеоконференцсвязь

D. Разовые услуги

1. Обеспечение переездов2. Обеспечение выездных мероприятий

Описание услуг

Параметр «Золотой» «Серебряный» «Бронзовый»

63/98

уровень уровень уровеньВремя предоставления С 9-00 до 20-00 С 9-00 до 19-00 С 9-30 до 18-30Допустимый нормативный простой, часов вмесяц 1 4 16

Время реакции (часов) 0,2 1 2Время устранения неисправностей (часов) 0,5 2 8Число консультаций (обращений в месяц) 10 5 1Консультации предоставляются по запросу,не позднее, чем через ... (часов) 0,5 3 8

Параметр «Золотой»уровень

«Серебряный»уровень

«Бронзовый»уровень

Варианты построения службы Service Desk

Обычно процесс управления уровнем услуг после составления каталога и подписанияSLA формируется в собственно услугу, для мониторинга которой в компании выделяетсяспециальный сервис-менеджер или организуется служба сервиса (Service Desk).

Service Desk играет важную роль в поддержке пользователей. Современнаяполномасштабная служба Service Desk выполняет функции «фронт-офиса» для всей ИТ-организации и сама может обработать большую часть обращений и запросовпользователей, не прибегая к помощи специалистов. Существует несколько вариантовпостроения службы Service Desk, их называют линиями поддержки или единой точкойвхода.

1. Центр обработки звонков (1-я линия поддержки, точка входа) – производятсятолько запись и регистрация обращений и передача их специалистам.

2. Неквалифицированная служба Service Desk или служба регистрации звонков– происходит регистрация и описание в общих чертах обращений, которые затемсразу маршрутизируются.

3. Квалифицированная служба Service Desk – этот тип предполагает наличие уперсонала высокого уровня профессиональной подготовки и большого опыта.Сотрудники Service Desk в этом случае, используя документированные решения,могут обработать большую часть поступающих обращений, хотя некоторые из них всеже перенаправляются в группы поддержки.

4. Экспертная служба Service Desk – персонал данной службы знает всю ИТ-инфраструктуру и располагает экспертными знаниями, позволяющимисамостоятельно обрабатывать все обращения.

Разделы каталога услуг. Показатели деятельности

Итак, соглашение об уровне обслуживания (SLA) представляет собой соглашение междуИТ-организацией (например, интернет-провайдером) или ИТ-отделом компании изаказчиком (менеджером или компанией), в котором подробно оговореныпредоставляемые услуги. SLA обычно имеет иерархическую структуру. Например, услугиобщего характера, такие как сетевые услуги и услуги службы Service Desk, определяютсядля всей организации и утверждаются руководством. Услуги более конкретногохарактера, предназначенные для бизнеса-процесса, согласуются на более низком

64/98

уровне, например, с руководством бизнес-подразделения или владельцем бизнес-процесса.

Грамотно составленный договор об уровне обслуживания (SLA) является неотъемлемыми основополагающим элементом в организации сервисной поддержки. В общем случаеSLA должен содержать следующие взаимоувязанные разделы.

· Общую часть (предмет соглашения, стоимость и порядок взаиморасчетов,ответственность сторон, порядок разрешения споров, форс-мажор и т.д.).

· Перечень оборудования и ПО, передаваемого на сервисную поддержку (включаяколичество, спецификации, серийные номера и т.д.).

· Перечень и описание услуг, включая количественные и качественные метрики ипоказатели.

· Процедуры и регламенты оказания услуг (включая правила открытия заявок,систему приоритетов заявок, процедуру взаимодействия специалистов компаниизаказчика и инженеров сервис-провайдера, методики выполнения замен, ремонтов,обновлений ПО, аудитов и т.д.).

Познакомьтесь с примерами шаблонов оказания услуги. Наименование услуги –«Обеспечение работы стандартного рабочего места».

Соглашение об уровне обслуживания

№ Составляющая услуги Обязательная часть Опция

1 Обеспечение работы компьютера и

ПО

Установка рабочего места и

ПО

2 Консультирование пользователей по

системному ПО

Администрирование прав

доступа в локальную сеть

Обучение работе

с Windows – 1

день

3 Обучение пользователей Устранение неполадок Обучение работе

с MS Word, Excel

– 1 день

4 Консультирование пользователей по

офисному ПО

Обновление версий

5 Организация нового рабочего места Меры по информационной

безопасности

6 Перемещение рабочих мест

Уровни предоставления услуги

65/98

Параметры/уровеньобслуживания

«Золотой» «Серебряный» «Бронзовый»

Время предоставления услуги

Время реакции на инцидент

Доступность объекта обслуживания

Консультация (от момента подачи

запроса, часов)

Организация нового рабочего места (не

более ... часов)

Перемещение рабочих мест (часов)

Время исполнения заявок на обучение

(дней с момента запроса)

Отчетность по услуге

Параметры отчётности Описание параметра

Доступность Фактический % времени доступности

Число сбоев Число сбоев за период

Время превышения реакции на инциденты Сумма времени по заявкам, превышающимустановленные

Превышение планового времени устранениясбоев

Сумма времени по заявкам, превышающимустановленные

Число консультаций пользователей Количество обращений

Число нарушений по запросам на консультации

Обучение пользователей Количество обученных

Число нарушений по запросам на обучение Сумма дней, превышающих нормы обучения

Число создание рабочих мест Число новых мест за рабочий период

Число перемещённых рабочих мест Число перемещённых рабочих мест

Объем и стоимость услуги

66/98

№ Составляющая услуги Объём Стоимость

1 Обеспечение работы компьютера и ПО По числу рабочих мест

2 Консультирование пользователей посистемному ПО Количество запросов

3 Обучение пользователей системному иофисному ПО Число групп обучения

4 Консультирование по офисному ПО Количество запросов

5 Организация новых рабочих мест Количество рабочих мест

6 Перемещение рабочих мест Количество перемещённых рабочихмест

Показатели процесса управления уровнем услуг (KPI), а также информация, котораяможет включаться в отчеты, могут быть такими.

· Процент инцидентов, не разрешенных в рамках SLA.

· Число контролируемых параметров сервисов, включенных в SLA.

· Параметры SLA, по которым ведется мониторинг и о недостатках которыхсоставляются отчеты.

· Параметры SLA, которые анализируются.

· Выявленные недостатки, включенные в план улучшений.

· Действия, предпринятые по исправлению указанных недостатков.

· Изменения (повышение, снижение) согласованного уровня сервиса и т.д.

Управление инцидентами

В январе 2004 года американская компания Pershing внедрила ITIL. Когда возникаютсложности с оборудованием или ИТ-системами, сотрудники обращаются в службутехнической поддержки, зона ответственности которой охватывает четыреспециализированных направления: настольные компьютеры, сети, мэйнфреймы ираспределенные системы. Благодаря методологии ITIL, у специалиста службытехнической поддержки, отвечающего на телефонные звонки, имеется список ранеевыявленных неисправностей и способов их устранения. Если вопрос не решается втечение десяти минут, то специальная программа автоматически направляет заявкуспециалисту в конкретной области. У этого человека есть один час. Если в течениечаса решение найти не удается, то в конференц-зале собирается высшееруководство ИТ-службы. Еще через два часа созывается совещание руководителейбизнес-подразделений, чтобы обсудить последствия инцидента и принимаемые меры.Ровно через год после реструктуризации службы технической поддержки всоответствии с требованиями ITIL время реакции на обращения пользователей

67/98

сократилось на 50%!

На этом примере можно понять силу ITIL. Если в компании, например, построеназамечательная сеть или объединение мэйнфреймов, но каждая группа ориентирована наоптимизацию только своей области, то ценность отдельных мероприятий дляорганизации в целом может оказаться маленькой. Методология ITIL описывает языки ипроцедуры, направленные на координацию усилий всех подразделений ИТ-службы иобеспечивающие слаженность их функционирования «на уровне оркестра».

Если управление уровнем сервиса работает в основном с запросами на обслуживание, тоуправление инцидентами и проблемами предназначено для всякого рода неполадок вработе ИТ-службы. Здесь основными понятиями являются:

· инцидент – любое событие, не являющееся частью стандартных операций попредоставлению услуги, которое привело или может привести к сбою в работе илиснижению качества этой услуги;

· проблема – неизвестная причина возникновения инцидентов;

· известная ошибка – это проблема, причина которой установлена.

Целью процесса управления инцидентами и проблемами является уменьшение илиисключение отрицательного воздействия сбоев в предоставлении ИТ-услуг инаиболее быстрое восстановление работы пользователей.

Примерами инцидентов могут служить такие события: «не работает программа»,«сломалось оборудование» и пр. Тогда осуществляется выписка нарядов на работы поинциденту, проводится контроль выполнения нарядов, возможна эскалация нарядов,если для их выполнения целесообразно использовать потенциал всей ИТ-службы.Важным фактором процесса является накопление базы знаний по решению частовозникающих инцидентов.

Этапы, последовательность действий и возможная результативность (выходы) процессауправления инцидентами показаны в таблицах.

68/98

Таблица 10. Процесс управления инцидентами.

Этап Действие

Прием заявки ирегистрацияинцидента

Оператором Service Desk принимается сообщение и создается запись обинциденте.

Классификация иначальнаяподдержка

Определяется тип, статус, степень воздействия, срочность, приоритетинцидента, SLA и т.п. Может быть предложено временное решение. Еслиобращение касается запроса на обслуживание, то инициируетсясоответствующая процедура.

Привязка Происходит проверка, не является ли инцидент рецидивом или известнойошибкой, нет ли для него открытой проблемы и известного или обходногорешения.

Расследование идиагностика

При отсутствии известного решения производится исследование инцидента,чтобы как можно быстрее восстановить нормальную работу.

Решение,восстановлениеработы

Если решение найдено, то работа может быть восстановлена.

Закрытие Происходит обращение к пользователю за подтверждением согласия спредложенным решением, после чего инцидент закрывается.

Мониторинг ходаработ иотслеживание

Весь цикл обработки инцидента контролируется, и если инцидент не может бытьразрешен вовремя, инициируется процесс эскалации.

Таблица 11. Выходы процесса управления инцидентами.

Результат Комментарий

Запрос на изменение(RFC)

Рекомендуется регистрировать в Service Desk все запросы наизменение, поступающие от пользователей

Запись об инциденте Регистрация, информация о работе, проведенной в рамкахинцидента, информация о его закрытии, эскалации, обходных путяхрешения проблемы, информация для процесса управленияпроблемами и др.

Отчеты Отчеты установленной формы, в том числе для других процессов(число инцидентов, время разрешения, по категориям и др.)

69/98

Управление проблемами

Обычно проблемы выявляются, когда за короткий промежуток времени возникло многоинцидентов или появились похожие инциденты, связанные с одной темой, или инцидентыпризнаются очень критичными.

Часто инцидент путают с проблемой. Проблема – неизвестная первопричинавозникновения инцидентов, а инцидент – реальное событие. Проблемы могут иметьследующую примерную классификацию:

· категория (программное или аппаратное обеспечение и т.д.);

· степень воздействия на услугу;

· срочность по времени;

· приоритет (агрегатный показатель, объединяющий срочность, степеньвоздействия, риски, ресурсы).

Управление проблемами включает в себя проактивные и реактивные видыдеятельности.

Задачей реактивных составляющих процесса управления проблемами являетсявыяснение корневой причины прошлых инцидентов и подготовка предложений по ееликвидации.

Проактивное управление проблемами помогает предотвратить инциденты путемопределения слабых мест в инфраструктуре и подготовки предложений по ееусовершенствованию.

Процесс реактивного управления проблемами, как правило, состоит из следующейпоследовательности работ.

1. Выявление и идентификация проблем.

2. Анализ проблем.

3. Предложение объяснения проблемы (меняем статус – проблема становитсяизвестной ошибкой).

4. Предложение решения.

5. Передача решения в процесс управления изменениями.

6. Устранение ошибки в процессе управления релизами.

7. Анализ – решена ли задача?

8. Закрытие проблемы (ошибки).

Проактивное управление проблемами включает в себя выявление потенциальныхпроблем на основе информации из внешних источников: от поставщиков,производителей, коллег. Потенциальные проблемы могут устраняться установкой патчей,новых релизов, ликвидацией ошибок, выявленных другими.

Показателями процесса управления инцидентами и проблемами и видами информации,отражаемой в отчетах, могут быть:

70/98

· общее количество инцидентов и выявленных проблем;

· среднее время разрешения инцидентов и проблем;

· среднее время разрешения инцидентов по приоритетам;

· среднее число инцидентов, разрешенных в рамках SLA;

· средняя стоимость поддержки на инцидент;

· число инцидентов, разрешенных на одно рабочее место или на одного сотрудникаслужбы Service Desk;

· процент инцидентов, разрешенных первой линией поддержки («фронт-офисом»);

· число инцидентов, разрешенных без посещения пользователя (удаленно);

· количество пропущенных звонков, оценка числа инцидентов, незарегистрированных службой;

· количество замечаний по эскалации инцидента от менеджеров функциональныхподразделений и сотрудников 2 и 3 линии;

· количество верно (с первой попытки) классифицированных операторомобращений;

· количество зарегистрированных ошибок;

· число запросов на изменение;

· число потенциальных проблем, выявленных на основе изучения информации извнешних источников;

· эффект от устранения известных ошибок (соответствие ожиданиям).

Управление конфигурациями

Если службу Service Desk называют «фронт-офисом» методологии ITIL, токонфигурационную базу данных (Configuration Management Database, СMDB) – «бэк-офисом», так как ее главное предназначение – хранить актуальную информацию об ИТ-инфраструктуре и предоставлять данные, необходимые другим процессам. Важнейшиммоментом является то, что процесс хранит информацию не только об элементах ИТ-инфраструктуры, о так называемых конфигурационных элементах или учетныхэлементах, но и информацию о связях этих элементов между собой.

CMDB – это ядро ITIL, которое позволяет осуществлять контроль над ресурсами исодержит историю всех выполненных операций. CMDB представляет собой фактическоеотражение всех имеющихся у компании технологий – КИС, маршрутизаторов, серверов,ПК и т.д., а также каталог изменений всех ресурсов, перечень инцидентов, связанных сработой этих ресурсов, и описание места ресурсов в ИТ-инфраструктуре. Поэтому цельюпроцесса управления конфигурациями является хранение информации об ИТ-инфраструктуре компании и предоставление данных другим процессам.

Для описания конфигурационных элементов необходимо определить границы процессаи уровни детализации всей хранимой в CMDB информации, так как это влияет наколичество хранимой информации и затраты на поддержку актуального состояния CMDB.

71/98

Рис. 25. Структура CMDB.

Реализация процесса управления конфигурациями на практике выглядитследующим образом:

· определяются конфигурационные единицы (компьютеры, ПО, лицензии и т.д.);

· определяется вариант работы с бухгалтерской службой, ведения склада и учетазапасных частей;

· на основании первых двух пунктов определяется набор атрибутов дляконфигурационных единиц;

· назначаются ответственные за ведение базы и проведение аудита;

· определяется процедура первоначального заполнения базы: либо из средствтехнического аудита, либо путем внесения данных об активах из бухгалтерии;

· путем проведения аудита формируется конфигурационная база.

Пример набора атрибутов для CI

Атрибут Пример заполнения

Инвентарный номер 123456789

Серийный номер 00012203034550

Тип Телефонный аппарат

Производитель Sony

Принадлежит пользователю Иванову С.А.

Дата покупки 11.11.2007

Дата окончания гарантийного срока 11.11.2008

72/98

Для отчетов, как правило, используются следующие показатели:

· количество случаев, когда зарегистрированная конфигурация не имела верныхатрибутов;

· количество расхождений между регистрационными записями и реальнойситуацией, обнаруженных во время аудита;

· количество случаев, когда используется неавторизованная конфигурация;

· средняя длительность обработки запросов на регистрацию информации;

· перечень конфигурационных единиц, в отношении которых количествозарегистрированных инцидентов или изменений превышает среднюю величину.

Управление изменениями

Изменения являются неотъемлемой частью любой деятельности. Они вносятся,рассматриваются, одобряются или отклоняются. Накопленные изменения реализуются напрактике в виде измененных процедур и стандартов деятельности. Поэтомусовокупность одобренных изменений называется релизом. В этих двух процессах –управлении изменениями и управлении релизами – больше проектного подхода, чемсервисного, так как именно эти процессы адаптируют взаимодействие ИТ и бизнеса кокружающей бизнес-среде.

Различают следующие типы изменений.

Простые – изменения, которые согласовываются по умолчанию.

Например, поступил запрос на смену пароля, установку офисного ПО и т.д.

Средние – требуют согласования с ИТ-директором (например, из-за необходимостиутверждения бюджета: покупка новой рабочей станции и т.д.).

Большие – требуют согласования в Комитете по изменениям (Change Advisory Board,САВ) – специальном органе компании, утвержденном приказом, куда, помимо директорапо ИТ, входят представитель финансовой службы и представители основныхподразделений. Комитет может принимать решения в очной или заочной форме.

Какие операции сопутствуют процессу управления изменениями?

· Направление запроса на изменение (Request for Change, RFC) – хотя этопрерогатива процесса управления инцидентами и проблемами, но эта процедураподдерживается и процессом управления изменениями, так как он отвечает заправильную регистрацию всех изменений.· Прием в обработку – предварительный просмотр запросов на изменение и приемих к дальнейшему рассмотрению.· Классификация-сортировка запросов на изменение по категориям и приоритету.· Планирование-объединение изменений, планирование их проведения инеобходимых ресурсов.· Координирование компоновки, испытаний и проведения изменений.· Оценка успешности каждого изменения, составление заключения для будущейдеятельности (накопление знаний) и закрытие процесса.

73/98

Для контроля работы над процессом проводится регулярный аудит ИТ-инфраструктуры сцелью выявления несанкционированных изменений. Аудит проводится в процессеуправления конфигурациями.

Управление релизами

Накопленные и одобренные изменения – релизы – разделяют на большие (значимые)релизы и срочные релизы. Также выделяют следующие типы релизов:

· «дельта»-релиз – включает только измененные аппаратные и программныесредства;· полный релиз – распространение полного комплекта ПО, включая неизмененныемодули;· пакетный релиз – группа релизов, проводимых одновременно.

Операции процесса управления релизами сосредоточены в трех бизнес-средах –разработки, тестирования и эксплуатации.

Таблица 12. Операции в бизнес-средах.

Операция/активность Среда выполнения

– Политика выпуска релизов, планирование релизов– Проектирование и разработка системы

Среда разработки

– Тестирование– Подготовка плана развертывания– Приемка-сдача системы– Обучение персонала

Тестовая среда

– Установка и инсталляция Эксплуатационная среда

Если целью процесса управления изменениями является гарантия использованиястандартных методов и процедур для быстрой обработки изменений с минимальновозможным отрицательным воздействием на качество услуг, то целью процессауправления релизами является управление распространением используемых в рабочейсреде версий программного и аппаратного обеспечения, которые поддерживаются ИТ-подразделением, для обеспечения необходимого уровня услуг. По сути дела, релизы –это наборы новых и/или измененных конфигурационных единиц, которые вместеиспытываются и внедряются в рабочую среду компании. Вследствие этого уменьшаетсячисло инцидентов, вызванных некорректной установкой ПО или предотвращаетсяустановка неадекватных компонентов аппаратного или программного обеспечения.

Обеспечение бесперебойности функционирования сервисов путем примененияформализованных процедур и методик проверки при проведении релизов позволяет:

· спланировать все необходимые ресурсы и затраты на установку компонентов;

· использовать единые эффективные методы и процедуры установки;

· объединить все изменения в единый релиз, что уменьшает влияние самих измененийна согласованный уровень предоставления услуг;

74/98

· выявить некорректные компоненты и не устанавливать их, что сокращает числоинцидентов и проблем;

· контролировать используемые версии, что также уменьшает число инцидентов,особенно в распределенных структурах;

· знать, кто и сколько лицензий реально использует;

· уменьшить число инцидентов, связанных с самостоятельной установкой ПОпользователями;

· сократить зависимость от ключевого персонала: можно привлечь большееколичество специалистов, когда предстоит большой объем установок.

Последовательность внедрения, типовые роли и показатели

Как уже отмечалось, данные процессы очень схожи с процессами проектирования,разработки и внедрения системы или с ИТ-проектами, поэтому возможно использованиетерминологии уже упоминавшегося нами ГОСТа З4.хх. Последовательность внедренияпроцесса может быть следующей:

· определение политики (охват процесса, основные участники и процедуры),согласование политики с заказчиками;

· создание библиотеки эталонного ПО – хранилища актуальных версийпрограммного обеспечения;

· определение процедуры для выделенных типов релизов (стандартных, простых,сложных); определение процедуры по связи с процессами управленияконфигурациями и управления изменениями;

· назначение ответственных и ознакомление их с правилами;

· проведение «пилотного проекта» по процедурам;

· проведение процедуры «Запуск процесса».

Типовые роли в процессе:

Менеджер процесса. Отвечает за весь процесс. Должен понимать основы «железа» и«программного обеспечения», но не обязан быть «большим техником». Часть егодействий может быть делегирована другим специалистам, например учет операцийможет выполнить диспетчер.

Разработчик релизов. Создает описания стандартных и типовых релизов, участвует впланировании релизов других типов. Отвечает за актуальность библиотеки эталонногоПО, документации. Участвует в тестировании релизов. Это должен быть сотрудник стехнической подготовкой. Часть его работы может быть поручена внешним поставщикам.

Тестировщик релизов. Участвует в тестировании; не обязательно техническийспециалист – это может быть и кто-то из конечных пользователей, имеющих достаточновремени на выполнение тестирования.

Установщик релизов. Участвует в установке релизов. Это обязательно техническийспециалист. Для этой работы подойдет персонал, например, задействованный в процессе

75/98

управления инцидентами.

Возможные показатели процессов и виды отчетной информации для принятиярешений:

· количество завершенных изменений и проведенных релизов за определенныйпромежуток времени;

· скорость проведения изменения, релиза;

· количество отклоненных изменений;

· количество инцидентов, вызванных изменением и релизом;

· затраты на произведенные изменения и релизы;

· количество возвратов к исходному состоянию при изменениях и релизах;

· количество срочных и внеплановых изменений и релизов;

· ТОП 3 (5, 10 и т.п.) пользователей, подающих больше всего запросов наизменение.

Управление мощностями и непрерывностью

Процесс управления мощностями направлен на постоянное предоставлениенеобходимых ИТ-ресурсов, соответствующих текущим и будущим потребностямзаказчика, в нужное время, там, где они требуются, и за приемлемую цену. Поэтому дляпроцесса управления мощностями необходимо понимание как ожидаемого развитиябизнеса заказчика, так и прогнозируемого технического развития. Процесс управлениямощностями играет важную роль в определении инвестиций и обосновании стоимости.

Рис. 26. Схема процесса управления мощностями.

Цепь процесса управления непрерывностью ИТ-сервисов призвана оказыватьподдержку процессу управления непрерывностью бизнеса. Такая поддержка означает,что необходимая инфраструктура и ИТ-услуги, включая службу поддержки и службу

76/98

Service Desk, могут быть восстановлены за заданный период времени послевозникновения чрезвычайной ситуации.

Одним из важных результатов этого процесса является план аварийноговосстановления (Disaste Recovery plan, DRP).

У данного процесса может быть и ряд других целей. Поскольку он является составнойчастью процесса управления непрерывностью бизнеса, сфера действия процессауправления непрерывностью ИТ-сервисов должна определяться с учетом из целейбизнеса. В результате при оценке рисков потом можно определить, попадают ли они всферу действия данного процесса.

Управление доступностью

Целью процесса управления доступностью является обеспечение рентабельности исогласованного уровня доступности ИТ-услуг, который поможет бизнесу в достижениипоставленных целей. Такое определение цели процесса означает, что потребностизаказчика (бизнеса) должны соответствовать тому, что могут предложить ИТ-инфраструктура и организация.

Рис 27. Доступность сервиса.

Если имеется расхождение между спросом и предложением, то процесс управлениядоступностью должен предложить выход из такой ситуации. Более того, данный процессгарантирует оценку достигнутых уровней доступности и их дальнейшеесовершенствование в случае необходимости. Это означает, что в рамках процессавыполняются как проактивные, так и реактивные виды деятельности. Управлениедоступностью должно включать:

· наблюдение и регистрацию доступности услуги;

· поддержание точности исторических данных;

· проведение сравнения с требованиями, описанными в соглашении об уровнеобслуживания, чтобы выявлять нарушения согласованных параметров доступности;

77/98

· документирование и анализ нарушения доступности;

· прогнозирование будущей доступности;

· прогнозирование потенциальных проблем и принятие превентивных мер.

Таким образом, процессы управления доступностью услуг и управления непрерывностьюпредоставления услуг должны преследовать единую цель – обеспечениегарантированной поддержки согласованного уровня услуг. Поставщик услуг долженразработать и поддерживать в актуальном состоянии стратегию, определяющую общийподход к выполнению обязательств по бесперебойности предоставления услуг. Онадолжна включать в себя оценку риска и использовать в качестве исходных данныхзначения согласованных часов предоставления услуги и критические для деятельностипотребителя периоды. Для каждой группы потребителей и каждой услуги поставщик услугдолжен согласовать:

· максимальную продолжительность периода отсутствия предоставления услуги;

· максимальную продолжительность деградации услуги;

· приемлемый уровень деградации услуги в течение периода ее восстановления.

Управление ИТ-Финансами и информационной безопасностью

Управление ИТ-финансами группируется по трем процессам:

· бюджетирование (планирование затрат, мониторинг расходов);

· учет затрат (прямых, косвенных; распределение затрат);

· договорной процесс или «выставление счетов за оказанные услуги, т.е.подтверждение расходов у бизнеса».

Таким образом, целью процесса управления финансами является содействие ИТ-отделукомпании в эффективном управлении ИТ-ресурсами, необходимыми для предоставленияуслуг. Для учета прямых затрат на ИТ-услугу и, следовательно, для определения еестоимости можно использовать:

· время собственных ИТ-специалистов организации (лучше стоимость в рублях);

· отдельные плановые/регулярные работы;

· единовременные затраты на покупку внешних услуг, материалов, лицензий и т.д.;

· регулярные затраты на покупку внешних услуг, материалов, лицензий и т.д.;

· прогнозирование времени собственных сотрудников на устранение сбоев.

По методологии ITIL, целями управления информационной безопасностью являются:

· выполнение требований SLA, законодательных актов и правил;

· обеспечение базового уровня безопасности, независимо от внешних требований иправил.

Мы уже упоминали сущность, цели и задачи политики безопасности. Следует отметить,

78/98

что разработка плана действий на случай непредвиденных обстоятельств являетсянеотъемлемой частью любой политики безопасности. Для базового уровня безопасностидостаточно проведения следующих мероприятий:

· классификации ИТ-ресурсов компании с точки зрения безопасности по стандартуISO 17999;

· обеспечения целостности и сохранности информации (это должно быть прописанов том числе и в SLA);

· обеспечения контроля прав доступа пользователей, их идентификации, правилработы с паролями;

· организации защиты от вредоносных программ (антивирусной защиты).

Заключение

Эффективное использование информационных технологий (ИТ) становится одним изключевых факторов достижения и удержания конкурентного преимущества. Развитиеинформационных технологий определяется ИТ-стратегией. Ее цели зависят от целейбизнеса, которые могут достигаться за счет запуска новых информационных сервисовили изменения требований к существующим. Все, что влияет на бизнес-процессы,становится элементом системы бизнес-менеджмента, а потому необходима интеграция,формализация, стандартизация и сертификация всех бизнес-процессов, в том числе иИТ-процессов. Для предоставления качественных ИТ-услуг в компании должна бытьсоздана соответствующая система ИТ-бизнес-менеджмента, которая определяеторганизационную структуру, области ответственности, политики, процедуры, стандарты иресурсы. Специальные методологии, такие как IDEF0 и ARIS, позволяют провестимоделирование бизнес процессов. С помощью этих методологий можно также оценитьфункционирование и возможности развития всего бизнеса в целом, со всеми еговнутренними взаимосвязями. Помимо технологической конвергенции, существуют такжеконвергенция организационная и архитектурная, основанные на сервисном подходе.

Изучив курс, мы познакомились с основными концепциями построения ИТ-стратегии,стандартизации в области ИТ, бизнес-моделирования, обозначили ключевые областиприменения ИТ в бизнесе, связанные с безопасностью, ИТ-аудитом и экономическойэффективностью, и подробно разобрали одну из самых современных и перспективныхверсий построения взаимоотношений между бизнесом и ИТ – организацию сервисногоподхода к построению информационной инфраструктуры компании/предприятия порекомендациям методологии ITIL.

79/98

ПРИЛОЖЕНИЕ

Рекомендуемый порядок внедрения процессов для существующих ИТ-сервисов

Стратегии внедрения ITIL-процессов в компании могут быть разными – в зависимости оттого, внедряются ли процессы в первую очередь для существующих ИТ-сервисов илиодновременно с новыми ИТ-сервисами.

Группапроцессов Процессы Рекомендации по

очередности внедренияРеактивныепроцессы

Управление инцидентами,Service Desk ,управление уровнем сервиса

Внедрять в первую очередь.Полученные улучшенияпозволят освободить время дляпроактивных процессов.

Изменения Управление изменениями,управление конфигурациями,управление релизами

Рекомендуется внедрятьсовместно – из-за большойвзаимозависимости.

Проактивныепроцессы

Управление проблемами,управление доступностью,управление мощностями

Внедрять совместно – из-забольшой взаимозависимости.

Стратегические Управление уровнем сервиса,управление финансами,управление непрерывностью

Внедрять в любое время –ввиду независимости от другихпроцессов.

Рекомендуемый порядок внедрения процессов для новых ИТ-сервисов

Группапроцессов Процессы Рекомендации по

очередности внедренияСтратегические Управление уровнем сервиса,

управление финансами,управление непрерывностью

Внедрять в первую очередь.

Изменения Управление изменениями,управление конфигурациями,управление релизами

Внедрять одновременно.

Реактивныепроцессы

Управление инцидентами, ServiceDesk

Внедрять реактивные процессыжелательно после внедренияуправления изменениями дляфиксации результатов данныхпроцессов.

Проактивныепроцессы

Управление проблемами,управление доступностью,управление мощностью

Внедрять в последнююочередь. Это способствуетросту качества услуг.

80/98

Взаимосвязь между типичными проблемами в работе ИТ-подразделения ипроцессами ITIL

Проблема РешениеПользователь не контролирует процесс решениясвоей задачи, не знает, к кому обращаться. Скоростьрешения задачи зависит от ИТ-сотрудника,принявшего заявку; на решение типовых проблемпользователей тратится лишнее время.

Процесс управленияинцидентами, единая точкавхода (контакта)

Повторяются одни и те же сбои. Процессы управленияпроблемами и доступностью

Сбои в работе из-за не согласованных сруководством действий ИТ-сотрудников.

Процессы управленияизменениями и конфигурациями

Неудовлетворительная скорость решения ИТ-задач. Процесс управления уровнемуслуг

ИТ-служба регулярно не готова к новым задачамбизнеса.

Процесс управлениямощностями

ИТ-служба не готова к форс-мажорным ситуациям. Процесс управлениянепрерывностью услуг

Возможные KPI-метрики

Метрики показывают, насколько адекватно ИТ-служба поддерживает важные для бизнесапараметры сервиса. Примерами таких показателей могут быть:

· общее количество инцидентов;· среднее время разрешения инцидентов;· среднее время разрешения инцидентов по приоритетам;· среднее число инцидентов, разрешенных в рамках соглашений (SLA);· средняя стоимость поддержки на инцидент;· число разрешенных инцидентов на одно рабочее место или на одного сотрудника

службы Service Desk;· процент инцидентов, разрешенных первой линией поддержки;· число инцидентов, разрешенных без посещения пользователя (удаленно);· количество пропущенных звонков, оценка числа инцидентов , не

зарегистрированных службой;· количество замечаний по эскалации инцидента от менеджеров функциональных

подразделений и сотрудников 2 и 3 линии;· количество верно (с первой попытки) классифицированных оператором

обращений и др.

81/98

Вопросник для пошаговой методики внедрения ITIL-процессов

Вопросы для менеджера и «айтишника » Ответ, комментарий

Стадия: Подготовка технического задания

Кто заказчики проекта (перечислить всех)?Кто ключевые пользователи?Будет ли в системе один уровень обслуживания (например, одно времяустранения сбоев) для всех пользователей? Какой уровень обслуживаниянеобходим?Каковы требования по доступности системы ?Какой будет скорость прироста информации?За какой период необходимо восстановление информации?Можно ли проектируемую систему заменить на покупку услуги (не покупаяПО , оборудование)? Если нет, то почему?Какие ИТ-сервисы и как изменит внедрение новой системы?Знаком ли проектный персонал с требованиями организации по управлениюИТ-сервисом ( управлению изменениями , релизами, инцидентами ипроблемами ?)

Есть ли требования по поставщикам услуг(можно ли передать обслуживание другой организации или делать всесвоими силами )?

Как овы требования к поставщику услуг по взаимодействию (процедуреобработки заявок на сопровождение , ответам и т.д.)?Предусмотрены ли в системе средства диагностики, необходимые дляобслуживания? Есть ли система алертов ( предупреждений, сигналовтревоги)?Какой предполагается процедура установки релизов? Если есть удаленныерабочие места, каковы особенности их установки и есть ли системаконтроля версий?Какие новые ИТ-технологии, незнакомые ИТ-персоналу, могут появиться напредприятии?

Стадия: Разработка и внедрение системы

Как планируется обслуживать систему?Какие затраты на ИТ-сервис предусмотрены , с кем согласованы ичем объясняются?Какая запланирована схема управления релизами? Где тестоваязона? Каков порядок нумерации релизов и их установки?Есть ли инструкция по установке нового релиза?Когда будет обучаться персонал ИТ-поддержки?Пользователи?Кем и по какой процедуре будут согласовываться запросы наизменение функций системы?Если планируется установка ПО на удаленные рабочие места, какаяпроцедура обслуживания там предполагается?Знаем ли мы ИТ-технологии, используемые новой системой?

82/98

Стадия: Передача в промышленную эксплуатацию

Принимал ли тестировщик компанииучастие в приемке системы (процесс управления релизами)?Установка проводилась с учетом требований процесса управлениярелизами?Получена ли в полном объеме эксплуатационная документация?Есть ли описание сервиса системы с требуемой детализацией?Есть ли рекомендации по типовым инцидентам для службы ServiceDesk ? Есть ли список ошибок системы и описание обходных путейрешения?Есть ли обоснование стоимости затрат на ИТ-сервис ?Включены ли затраты на ИТ-сервис в бюджет предприятия?Каков плановый срок работы системы?Все ли документы на систему оформлены в бухгалтерии и как будутотражаться в бюджете работы по изменению системы?

Пример формирования каталога услуг на основе методологии ITIL

Рассмотрим пример формирования каталога услуг на основе методологии ITIL напримере ИТ-отдела холдинга «Аконит » (IEMAG №2 (178), 11.02.08).

Существуют внешние и внутренние по отношению к деятельности холдинга предпосылки,связанные с необходимостью оценки обслуживания ИТ. Внешние связаны сресурсоемкостью и стоимостью ИТ, неудовлетворенностью бизнеса качествомобслуживания ИТ-сервисов. Внутренние связаны с определением объектовобслуживания, то есть с построением эффективной поддержки ИТ-инфраструктуры припомощи перечня ИТ-сервисов. Целями создания каталога услуг являются переход насервисно-ориентированную модель управления, обеспечение прозрачностипредоставления ИТ-услуг, улучшение взаимодействия с потребителями услуг,построение долгосрочных отношений между ИТ-службой и бизнесом, подготовкатребований к аутсорсинговым услугам, управление издержками на обслуживание.

Процесс создания КУ включал интервьюирование бизнес-пользователей исотрудников ИТ-службы, сбор информации о функционирующих системах,изучение различных документов и опыта , в том числе внешнего, сопровожденияпрошлых лет, разработку шаблона описания сервисов и их описание «как есть »,заполнение характеристик сервисов и представление бизнесу .

При создании каталога можно выделить три этапа.

Первый – создание каталога как внутреннего документа, «для себя ». Составлениеперечня сервисов и определение того, на что ИТ-служба тратит время. Затем описаниеключевых сервисов, наиболее критичных для бизнеса, по которым требуетсязафиксировать показатели нормального функционирования системы.

Второй этап – создание каталога «для бизнеса ». Цель – не составить SLA, адоговориться и на минимальном уровне обосновать указанные параметры по времениподдержки услуги, восстановления и т. д.

83/98

Наконец, третий этап – создание каталога «для пользователей ».

Кроме короткого описания сервиса и его характеристик, в КУ для пользователейнеобходимо создать регламенты с описанием правил использования сервисов, того, какпредоставляется и сопровождается каждый сервис. Кроме регламентов, описывающихпроцедуры выполнения работ и взаимодействия ИТ-службы и бизнеса, создавалисьинструкции . Инструкция – это список операций с объектом ИТ-инфраструктуры, которыевыполняются при использовании или сопровождении того или иного сервиса. Причем регламенты и инструкции для пользователей и для сотрудников ИТ-службы разделилина, соответственно, внешние и внутренние. Пользовательские регламенты и инструкциинаписаны более простым языком, их суть – описание сервиса и его функций, того, как онпредоставляется и как поддерживается. Внутренние документы ИТ-службы – этотехнические описания сервисов, установки и настройки объектов ИТ-инфраструктуры,регламенты сопровождения и т. д.

Итак, каталог – это не просто дерево сервисов, а набор определенной документации,которая является не формальным перечнем, а инструментом обучения процессамиспользования ИТ и управления ими. Поэтому логично на третьем этапе создавать базузнаний по каждому сервису. База знаний является не дополнительным описанием, аосновой каталога. Она представляет собой набор решений, который существует всистеме, то есть знания – капитал бизнеса. Каталог услуг и база знаний – это неконечные документы, а лишь набор хороших решений и инструментов, который всевремя надо пополнять и улучшать.

Над созданием каталога должна работать вся ИТ-служба. Администраторы описываютвсе технические тонкости организации ИТ-инфраструктуры и предоставления сервисов ,попутно проводится аудит каждого сервиса, при котором решаются многие проблемы.Также задействуется руководство компании, внешние консультанты.

Структура описания сервиса включала в себя характеристики услуги в каталоге:

· предназначение и краткое описание услуги;· время предоставления услуги;· время сопровождения услуги;· гарантированное время восстановления услуги после сбоя;· условия, обязательные для предоставления услуги;· условия, невыполнение которых приводит к ограничению функциональности

услуги;· действия, связанные с предоставлением услуги или отказом от нее;· иные услуги, которые входят в услугу;· документы, регламентирующие работу с услугой.

Необходимо помнить, что время предоставления услуги может отличаться от времени еесопровождения. Еще важнее выделять гарантированное время восстановления услугипосле сбоя.

84/98

Структура самого каталога состоит из двух частей. Первая – это перечень того, чемвладеет бизнес . В данный раздел входят все бизнес-приложения, включаяспецифические системы, а также ИТ-инфраструктура и приобретенные услуги внешнихпоставщиков. А вторая часть – это то, за что отвечает ИТ-служба. Причем эти услуги, всвою очередь, подразделяются на обеспечивающие и дополнительные.Обеспечивающие услуги – это непосредственное обслуживание ПО и оборудованиякомпании (оборудование рабочего места, установка ПО и т. д.). А дополнительныеуслуги – это работа с внешними провайдерами, бюджетирование ИТ, учет ТМЦ, контрольработы ИТ-службы и ИТ-инфраструктуры. Как правило, сложно аргументировать бизнесунеобходимость финансирования сервисов второй части. Но в связи с тем, что, согласноКУ, их отсутствие ограничивает или делает невозможной работу основных сервисов,доказать, что вспомогательные сервисы нужны, становится очень легко.

Глоссарий

А

АРМ (автоматизированное рабочее место)

программно-технический комплекс, предназначенный для автоматизации деятельностиопределенного вида. Определяет совокупность операций, выполняемых для решения задач врамках отдельной функциональной области предприятия, права доступа и интерфейспользователя

Аудит информационной системы

процесс получения и оценки объективных данных о текущем состоянии системы,устанавливающий уровень ее соответствия определенному критерию и позволяющийпредоставить результаты этого исследования заказчику. По сути дела, ИТ-аудит — это анализсети, компьютеров, программного обеспечения и работы оргтехники, выявление проблемных меств информационной базе компании.

Архитектура информационной системы

концепция, определяющая модель, структуру, выполняемые функции и взаимосвязь компонентовинформационной системы. "Описание (модель) основного расположения и взаимосвязей частейсистемы (физического либо концептуального объекта или сущности)."

Архитектура предприятия Enterprise Architecture (EA)

стратегический информационный базовый ресурс данного конкретного предприятия, которыйопределяет бизнес предприятия, информацию, необходимую для его осуществления, технологии,необходимые для поддержки бизнес-операций, а также переходные процессы, необходимые дляреализации новых технологий, соответствующих изменяющимся потребностям бизнеса.Архитектура предприятия может иметь вид четко представленного документа либо наметок.

Аудит

систематический, независимый и документированный процесс получения свидетельств аудита иих объективного оценивания для определения степени соответствия критериям аудита.

85/98

Аудитор

лицо, обладающее компетентностью для проведения аудита

Аудит (Audit)

проверка, выполняемая компетентным органом (лицом) с целью обеспечения независимой оценкистепени соответствия программных продуктов или процессов установленным требованиям.

Б

Безопасность системы System Security

– защищенность системы от несанкционированного использования ее функциональныхвозможностей, а также от возможных нарушений ее функционирования, вызванных различнымипредсказуемыми и непредсказуемыми обстоятельствами.

Бизнес-моделирование

это как собственно моделирование бизнес-процессов, так и создание с помощью прикладныхинформационных систем некой имитационной модели функционирования бизнеса.

Бизнес-процесс (деловой процесс)

это множество внутренних шагов (видов) деятельности, начинающихся с одного или более входови заканчивающихся созданием продукции или услуги, необходимой потребителю. Потребителимогут быть как внешними, так и внутренними. Таким образом, это серия логическивзаимосвязанных действий, при которых ресурсы предприятий или организаций используются длясоздания или получения полезного для потребителя продукта или услуги в фиксированныйпромежуток времени. Т.е. это поток работы, переходящий от одного работника другому (от одногоотдела другому). Процессы всегда имеют начало, определенное число шагов и четко очерченныйконец.

Бот-нет (bot network — сеть роботов)

множество компьютерных систем, находящихся под одинаковым управлением без ведомавладельца компьютера.

В

Владелец бизнес-процесса

лицо, имеющее полномочия, необходимые для организации работ по процессу и отвечающее зарезультат его выполнения

Внутренний аудит

аудит, проводимый самой организацией

Внешняя среда

86/98

субъекты, воздействующие на финансово-хозяйственную деятельность организацииопосредованно. Как правило, к таким субъектам относят собственников, государство, рынкипокупателей и продавцов, социальные и экономические факторы.

Внутренняя среда

субъекты, непосредственно воздействующие на объекты управления в организации, а также самиобъекты

Вход

поток, преобразующийся в выход бизнес-процесса

Выход

поток, представляющий собой результат выполнения бизнес-процесса

Д

Действие

неделимая операция над документом (создание, изменение, передача и т.п.), информационнымобъектом и/или потоками в рамках описываемой процедуры

Декомпозиция

детализация, разбиение процессов деятельности на более мелкие подпроцессы.

Делопроизводство

комплекс мероприятий по организации документооборота предприятия или организации

Дерево целей

иерархическое и взаимосвязанное представление целей предприятия

Децентрализованная организация

организационная структура, в рамках которой право принимать решения распределяется вплотьдо нижестоящих управленческих структур.

Диспетчерская служба (Service Desk)

организационная единица, представляющая единую точку контакта для всех пользователей услугИТ, нацеленная обеспечивать оперативную первичную поддержку предоставляемых им услуг ИТ

Ж

Жизненный цикл предприятия (Enterprise Life Cycle)

динамический, итерационный процесс изменения предприятия в течение определенного времени,

87/98

выражающийся во включении новых бизнес-процессов, новых технологий, новых возможностей, атакже новых принципов технического обслуживания и передислокации существующих элементовпредприятия. В большинстве случаев жизненный цикл предприятия охватывает три главныхаспекта: жизненный цикл систем, человеческие ресурсы и управление безопасностью. В пределахэтих трех внешних аспектов рассматривается динамическое развитие следующих элементов,определяющих деятельность предприятия:- производственная деятельность предприятия и программы управления;- процессы формирования архитектуры предприятия;- процессы перспективного планирование капиталовложений и инвестиционного управления.

Жизненный цикл системы

конечное множество фаз и шагов определенных видов, которые система может проходить напротяжении полной истории своей жизни. Жизненный цикл системы – это множество состояний,которые система не потенциально, а реально проходит на протяжении полной истории своейжизни.

З

Защита информации (Information Security)

сохранение информации и данных так, чтобы не допущенные к ним лица или системы не могли ихчитать или изменять, а допущенные лица или системы не ограничивались в доступе к ним.

Защита информационной инфраструктуры Information Infrastructure Protection

функция организации, направленная на обеспечение: а) гарантий эффективного и безопасногофункционирования систем, с адекватным уровнем конфиденциальности, целостности идоступности, б) информационной безопасности с адекватным уровнем риска и затрат. Защитеподлежат такие элементы информационной инфраструктуры, как информация, конкретныесистемы (главные приложения, обеспечивающие системы, жизненно-важные системы), группысистем для поддержки конкретных операционных программ или сами такие программы (например,контроль авиационного трафика, медицинское страхование и др.).

Защищенность информационной системы

способность системы противостоять несанкционированному доступу к конфиденциальнойинформации, ее искажению или разрушению. Различают два аспекта защищенности: техническуюзащиту (свойство недоступности) и социальную защищенность (свойство конфиденциальности).

И

Инцидент

это любое событие, не являющееся частью стандартных операций по предоставлению услуги,которое привело или может привести к нарушению или снижению качества этой услуги.

ИТ-инфраструктура

система объектов, оборудования и обеспечивающих служб, необходимых для ИТ-деятельностиорганизации.

88/98

ИТ-архитектура “как будет”

- целевое состояние архитектуры предприятия.

ИТ-архитектура “как должна быть”

-целевое состояние архитектуры предприятия.

ИТ-архитектура “как есть”

- базовая архитектура, существующая архитектура, Baseline Architecture. 1. Совокупностьпродуктов, которые представляют существующее предприятие, существующую практику бизнеса итехническую инфраструктуру. 2. Существующее состояние архитектуры предприятия. Базоваяархитектура состоит из двух частей: существующей бизнес-архитектуры, которая определяеттекущие потребности бизнеса, удовлетворяемые существующей технологией; существующегосостояния конструируемой архитектуры, которое определяет реализованные данные, приложенияи технологии, используемые для поддержки существующих потребностей бизнеса.

ИТ-менеджмент - IT Management

Подход, используемый менеджерами ИТ-проектов для управления, контроля, администрированияи регулирования деятельности команды проекта, создающей активы ИТ таким образом, чтобырезультирующий продукт удовлетворял требованиям по поставке.

ИТ-проект - IT Project

Организационная инициатива, обеспечивающая или продуцирующая ИТ либо связанные с ИТактивы. Каждый проект вызвал или вызовет впоследствии затраты на соответствующуюинициативу, предполагал или уже принес выгоды, являющиеся результатом данной инициативы,предусматривает расписание работ и контрольные сроки, подвергался или подвергнется рискам,связанным с участием в этой инициативе.

ИТ-процесс - IT Process

Один из центральных субъектов спецификации стандарта CobiT. В стандарте идентифицируется ирассматривается 34 ИТ-процесса, предлагается высокоуровневый подход к их классификации иконтролю, определяется 318 детализированных объектов контроля и основы аудита для оценкиэтих процессов.

ИТ-ресурс - IT Resource

ресурс, используемый в ИТ-процессе. Ресурсы, рассматриваемые в стандарте CobiT, включают:данные, прикладные системы, технологии, средства обслуживания и персонал.

ИТ-стратегия

это документ, который должен дать ответ на вопрос, каким образом можно использоватьинформационные технологии для бизнеса, и какие ресурсы для этого нужны. ИТ-стратегию можнорассматривать в качестве согласованного замысла, в котором описывается представление оцелевой ИТ-архитектуре предприятия (её компонентах, взаимосвязях) в совокупности с планоммероприятий по её реализации.

89/98

К

Качество

продукта или услуги по определению международных стандартов – это совокупностьхарактеристик, которые формируют способность продукта или услуги (сервиса) удовлетворятьсформулированные или подразумеваемые потребности.

Ключевые индикаторы эффективности - КРI (Кеу Performance indicators)

показатели, которые могут быть использованы для оценки результативности и эффективностидействий, процессов и функций управления.

Контекстная диаграмма

– диаграмма, отображающая информационные потоки между системой и внешними сущностями, скоторыми она должна быть связана.

Контроллинг

функция управления бизнесом для анализа, подготовки и выполнения управленческих решений:планирования, мониторинга, составления отчетов, совещательной функции, информирования.

Конфиденциальность - Confidentiality

один из аспектов информационной безопасности, заключающийся в обеспечении защитыуязвимой информации от неавторизованного раскрытия. Эта защита должна охватывать хранение,обработку и передачу информации.

Конфигурационная база данных (СMDB - Configuration Management Database)

«бэк-офис», хранилище актуальной информации об ИТ инфраструктуре, необходимые другимпроцессам. Важнейшим моментом является то, что процесс хранит информацию не только обэлементах ИТ инфраструктуры, о так называемых конфигурационных элементах или учетныхэлементах, но и информацию о связях этих элементов между собой.

Корпоративная архитектура

фундаментальная организационная структура компании, воплощенная в компонентах, ихвзаимоотношениях между собой и с окружением, а также принципы, управляющие ее построениеми эволюцией. Иными словами, под понятием корпоративной архитектуры понимаются, как единоецелое, все организационные и технические аспекты деятельности корпорации.

Косвенные затраты

затраты, которые нельзя непосредственно отнести на конечный продукт

Л

Линейная структура управления

90/98

отношения между руководителями и подчиненными им органами в многоуровневых системахуправления, при которых вышестоящее звено концентрирует все функции управления, а объектуправления выполняет управляющие команды только своего субъекта управления.

Линейно-функциональная структура управления

структура органов управления, состоящая из: линейных подразделений, осуществляющих ворганизации основную работу; и обслуживающих функциональных подразделений. При линейно-функциональном управлении линейные звенья принимают решения, а функциональныеподразделения информируют и помогают линейному руководителю вырабатывать и приниматьконкретные решения.

Лицензионное соглашение (лицензия)

договор между производителем программного продукта и пользователем программногообеспечения, в котором указаны условия использования программного продукта. Каждыйпользователь программного продукта должен иметь лицензию на него. Лицензия должна бытьзакуплена для каждого компьютера, на котором установлен или используется загружаемый черезсеть программный продукт.

М

Метамодель ИТ-стратегии

набор организационных шаблонов, настраиваемых на реальные ситуации, и правил для ихприменения. Созданием подобных метамоделей обычно занимаются консультанты.

Методология

система принципов и способов построения организации теоретической и практическойдеятельности людей.

Модель бизнес-процессов (бизнес-модель)

схематическое отображение деятельности организации в рамках выбранной нотации (системыусловных обозначений)

Н

Нотация

система условных обозначений, принятая в какой-либо области

О

Объекты контроля для информационных и смежных технологий - Control Objectivesfor Information and Related Technologies (COBIT)

стандарт ассоциации ISACA, цель которого состоит в том, чтобы специфицировать системуобъектов контроля ИТ для использования бизнес-менеджерами, а также практиками в области

91/98

безопасности, контроля и аудита.

Отчет

бумажный носитель информации или часть информационной системы (программы), посредствомкоторой осуществляется вывод данных

Ошибка (Error)

проблема, у которой определена корневая причина, но не определен ни один способ ееустранения.

П

Платформа

это комплекс аппаратных и программных средств, на котором функционирует программноеобеспечение пользователя ЭВМ, другими словами, это тип процессора и операционной системы,на которых можно установить программный продукт. Платформа - совокупность подходов ипрограммных средств, предназначенных для построения информационной системы

Показатель - Indicator

сигнал, который показывает наличие прогресса (или отсутствие такового) в достижении целейпроекта. Средство измерения того, что фактически произошло при выполнении проекта, втерминах количества, качества и графика работ. Это количественная или качественнаяпеременная, которая обеспечивает простую и надежную основу для оценки достижений,изменений или интенсивности работ. Индикаторы должны предоставлять точную и надёжнуюинформацию, которую легко собрать и можно использовать для принятия административныхрешений.

Поток (в экономике)

экономическая величина, которая измеряется в движении, с учетом того периода времени, длякоторого делается расчет: например, годовые капиталовложения.

Проблема

неизвестная причина возникновения инцидентов.

Проект

это уникальная деятельность, имеющая начало и конец во времени, направленная на достижениеопределённого результата, создание определённого, уникального продукта или услуги. Терминпроект происходит от латинского слова projectus, что в переводе означает "брошенный вперед"

Проектирование и разработка

совокупность процессов, преобразующих требования в заданные характеристики или втехнические условия на продукцию, процесс или систему.

92/98

Процедура

установленный способ осуществления деятельности или процесса.

Процесс ( Process 1)

связанная последовательность действий , активностей, изменений, осуществляемая длядостижений поставленных целей или удовлетворения потребностей.

Процесс (Process 2)

набор взаимосвязанных работ, которые преобразуют исходные данные в выходные результаты.

Р

Разработчик (Developer )

организация, выполняющая работы по разработке (включая анализ требований, проектирование,приемочные испытания) в процессе жизненного цикла программных средств.

Регламент

правила, описывающие выполнение выделенного процесса деятельности.

Результативность (Effectiveness)

степень достижения цели управления, ожидаемого состояния объекта управления.Результативность определяется значениями выходных показателей объекта управления.

Результат бизнес-процесса

объект управления (деятельности) в заданном состоянии на выходе бизнес-процесса.

Реинжиниринг бизнес-процессов

это создание новых и более эффективных бизнес-процессов без учета предшествующегоразвития.

Риск, связанный с ИТ - IT-Related Risk

возможное воздействие на миссию предприятия в связи с вероятностью того, что некоторыйисточник угрозы воздействует на уязвимость информационной системы и окажет на нее некотороерезультирующее влияние. Риски, связанные с ИТ возникают из-за юридической ответственностиили ущерба, нанесенного миссии в связи с: 1.Несанкционированным раскрытием, модификациейили разрушением информации. 2. Непреднамеренными ошибками и упущениями. 3. Срывами ИТ всвязи с естественными или рукотворными бедствиями. 4. Отказами при выполнении надлежащихобязанностей в части реализации и функционирования информационной системы.

С

93/98

Сервис

ассоциируется с понятием услуга, то есть с совершёнными одним (человеком) в интересах другого(человека) действиями или деятельностью.

Сигнатура

метод работы антивирусов и систем обнаружения вторжений, при котором программа,просматривая файл или пакет, обращается к словарю с известными атаками, составленномуавторами программы и в случае соответствия какого либо участка кода просматриваемойпрограммы известному коду (сигнатуре) вируса в словаре, программа антивирус может занятьсявыполнением одного из следующих действий: удалить инфицированный файл; отправить файл в«карантин» (то есть сделать его недоступным для выполнения, с целью недопущениядальнейшего распространения вируса); попытаться восстановить файл, удалив сам вирус из телафайла

ССП (система сбалансированных показателей, BSC — balanced scorecard)

технология управления, предполагающая выделение нескольких групп важнейших показателейдеятельности организации и их «проекцию» на деятельность сотрудников и подразделений.

Стандарт

это способ управлять слабо связанными структурами, когда между ними нет прямого подчинения,но должна быть координация. Установление и применение правил с целью упорядочениядеятельности в определенной области на пользу и при участии всех заинтересованных сторон, вчастности, для достижения всеобщей оптимальной экономии при соблюдении функциональныхусловий и требований техники безопасности.

Стратегия организации

взаимосвязанный комплекс долгосрочных мер или подходов во имя укрепления жизнеспособностии мощи организации по отношению к ее конкурентам. По существу, это набор правил для принятиярешений, которыми организация руководствуется в своей деятельности.

Структура управления организацией

совокупность специализированных функциональных подразделений, взаимосвязанных в процессеобоснования, выработки, принятия и реализации управленческих решений. Основнымиэлементами организационной структуры являются: уровни управления; подразделения и звеньяуправления; управленческие связи.

Стратегический план

перечень и показатели мероприятий для достижения стратегических целей.

Стратегия

комбинация методов конкуренции, организация бизнеса и проектов, направленных наудовлетворение потребностей клиентов и достижении организационных целей.

94/98

Стратегия корпоративная

стратегия, определяющая общие принципы развития организации.

Стратегия функциональная

стратегия развития выделенной подсистемы (функции) управления.

Стандарт качества

описание основных положений системы менеджмента качества.

СУБД (Система Управления Базами Данных)

система управления базами данных. Программное обеспечение, которое обеспечивает ввод,хранение и обработку больших объемов информации (баз данных).

Субъект управления

должность или подразделение на предприятии; тот, кто напрямую воздействует на объектыуправления.

Т

Туннелирование

запрет отображения стрелки на диаграмме более высокого или более низкого уровня.

У

Управление проектами (англ. project management)

область деятельности, в ходе которой определяются и достигаются определённые цели, а такжеоптимизируется использование ресурсов (таких как время, деньги, труд, материалы, энергия,пространство и др.) в рамках некоторого проекта (определяющего конечный результат иограничение по времени и/или другим ресурсам).

Управление процессом (Process Control)

Развитие действий по планированию и регулированию с целью исполнения процесса наиболееправильным и эффективным способом.

Управленческий учет

учет информации о хозяйственных операциях в организации, предназначенный для принятияуправленческих решений.

Управление производительностью (Performance Management)

деятельность, предусматривающая измерение показателей работы, их оценку, принятие

95/98

управленческих решений и осуществление соответствующих действий с тем, чтобыпроизводительность достигла уровня, необходимого для успеха проекта.

Управление по результатам

технология управления, заключающаяся в том, что в зависимости от степени достижениязапланированных результатов на предыдущей фазе, происходит уточнение последующихуправленческих действий.

Управление рисками - Risk Management

подход, который позволяет иметь дело с рисками, связанными с инвестированием. Управлениерисками включает выявление рисков, их анализ, установление приоритетов и контрольвыявленных рисков. Особенно важными являются методы, которые помогают определятьизмерения в профилактических целях, позволяющие уменьшить вероятность возникновенияфакторов риска и выявить контрмеры для успешного их преодоления, если они развиваются. 2)Общий процесс выявления, контроля и снижение рисков, связанных с информационной системой.Этот процесс включает оценку рисков, анализ затраты-выгоды, а также выбор, реализацию,тестирование и оценку безопасности мер предотвращения. При таком общем подходе кбезопасности системы рассматриваются как характеристики выполненной работы, так ипроизводительности. в том числе влияние на миссию предприятия и ограничения, связанных сполитикой, регуляцией и законодательством.

Управление рисками, связанными с ИТ - Management of IT Related Risks

одна из ключевых составных частей руководства предприятиями, в которой должны учитыватьсяспецифические особенности рисков, связанных с ИТ - рисков нарушения информационнойбезопасности, доступности информации, ее целостности.

Услуга ИТ (ИТ сервис) (Service IT)

действия ИТ специалистов, с использованием ИТ средств в интересах потребителей.

Ц

Целостность (в информационных технологиях) (Integrity)

сохранение точности и полноты соответствующей информации и программного обеспечения.

Целостность информации - Information Integrity

обеспечение точности и полноты информации, а также ее достоверности в соответствии сценностями и ожиданиями бизнеса

Цикл Деминга

планирование — выполнение — контроль — корректирующее воздействие — цикл постоянногоотслеживания и улучшения качества в организации.

Э

96/98

Эффективность - Effectiveness

обеспечение своевременного предоставления бизнес-процессу актуальной, релевантной,корректной и непротиворечивой информации, представленной в удобной для использованияформе.

Эффективность (Efficiency)

результативность деятельности, мероприятий и программ, характеризуемая отношениемполученного экономического эффекта, результата к затратам факторов, ресурсов, обусловившимполучение этого результата. Эффективность системы в широком смысле — это комплекснаяхарактеристика системы, отражающая степень ее соответствия потребностям и интересам еезаказчиков, пользователей, других заинтересованных лиц.

C

CALS (Continuous Acquisition and Life Cycle Support)

"непрерывность поставок продукции и поддержки ее жизненного цикла". Целью применения CALS-технологий, как инструмента организации и информационной поддержки всех участниковсоздания, производства и пользования продуктом, является повышение эффективности ихдеятельности за счет ускорения процессов исследования и разработки продукции, приданияизделию новых свойств, сокращения издержек в процессах производства и эксплуатациипродукции, повышения уровня сервиса в процессах ее эксплуатации и технического обслуживания."Непрерывность поставок" требует и подразумевает оптимизацию процессов взаимодействия"заказчика и поставщика" в ходе разработки, проектирования и производства сложной продукции,срок жизни которой, с учетом различных модернизаций, составляет десятки лет. Для обеспеченияэффективности, а также сокращения затрат средств и времени, процесс взаимодействия заказчикаи поставщика должен быть действительно непрерывным.

Cross-functional FlowChart

(Кросс-функциональная диаграмма) диаграмма, описывающая взаимодействие сотрудников входе выполнения одной процедуры.

D

DFD (Data Flow Diagram)

диаграмма потоков данных. Описывает движения информационных объектов.

I

IDEF0/ARIS

нотации функционального моделирования систем. Основные компоненты: процесс (блок), потоки(стрелки) входа, выхода, управления и механизма.

ITIL (Information Technology Infrastructure Library)

97/98

это тщательное описание модели жизненного цикла ИТ — организации, примеров реализации икомментариев специалистов — предложенное Британским агентством правительственной связи(CCTA), которое вело работы по формализации и стандартизации методов внедрения иэксплуатации множества ИТ — систем в различных правительственных ведомствах в рамкахнекоммерческой программы. Подход ITIL заключается в разделении процесса управления ИТ нанесколько дисциплин. Каждая дисциплина направлена на решение определённых функций, но вовзаимодействии с остальными. Они включают в себя такие области, как управление изменениями,управление проблемами, управление конфигурацией, управление уровнем сервиса, управлениепланированием, управление стоимостью и др. Ключевой концепцией является понятие управлениясервисом, на котором сфокусирована вся методология, и которое объединяет остальныекомпоненты для достижения цели выполнения сервисных соглашений с пользователями.Управление сервисом включает множество процедур, позволяющих быстро и эффективноформулировать, изменять и контролировать определённые для каждого пользователя уровнисервиса по заранее определённым критериям и параметрам функционирования системы.

R

ROI (Return On Investment)

"возврат инвестиций" - один из основных экономических показателей, влияющий наинвестиционную привлекательность и, следовательно, на соответствующий статус предприятия.Для исчисления возврата инвестиций используется несколько методов, в том числе добавленнаястоимость, внутренняя норма окупаемости, чистая стоимость, приведенная к настоящему времени,окупаемость, а также условные качественные измерения.

S

SLA (Service Level Agreements)

соглашения об уровне предоставляемых услуг.

SWOT-анализ

анализ сильных и слабых сторон организации, а также возможностей и угроз со стороны внешнегоокружения. Данный инструмент позволяет выработать стратегию развития исходя из особенностейвнешней и внутренней среды.

Список литературы и Интернет-ресурсов

Список рекомендуемой литературы

1. Данилин А. Архитектура и стратегия: «Инь» и «Янь» информационных технологийпредприятия. – М.: 2005.

2. Каплан Р.С. Нортон Д.П. Сбалансированная система показателей. От стратегии кдействию. – М.: 2003.

3. Методология функционального моделирования IDEFO. Госстандарт России. – М.:2000.

4. Метрики для управления ИТ-услугами – М.: 20085. Тронин Ю.Н. Информационные системы и технологии в бизнесе. – М.: 2005.6. IDEF0 госстандарт России – М.: 2000.

98/98

Список рекомедуемых Интернет-ресурсов

www.iemag.ru«Intelligent Enterprise/Корпоративные системы» – деловой ИТ-журнал, ориентированныйна CIO (Chief Information Officer), ИТ-директоров и высший ИТ-менеджмент компаний.www.raexpert.ruРейтинговое Агентство «Эксперт». Стратегическая цель Агентства – оказаниевсесторонней информационно-аналитической поддержки компаниям, работающим нароссийском рынке.www.businessrulesgroup.orgнекоммерческая организация ИТ-профессионалов.www.opengroup.org/architectureМеждународный консорциум по ИТ-технологиям с открытой архитектурой. На сайтепредставлены статьи и аналитические отчеты.www.isaca.orgАссоциация аудита и контроля информационных систем (ISACA), представляющаямеждународный стандарт управления ИТ-процессами Control Objectives for IT and relatedTechnology (CobiT).www.itgi.orgАмериканский государственный институт по ИТ.www.i-teco.ru/articles.htmlподборка статей по ИТ-тематике.www.itil-officialsite.comофициальный сайт библиотеки ITIL.www.itilium.ruкомпания, разработавшая «Итилиум»: программу, созданную на основе ITIL (InformationTechnology Infrastructure Library) – тщательного описания модели жизненного цикла ИТ.