архив

ITIL и информационная безопасность

Анна Штейн, старший консультант компании IDS Scheer Россия и страны СНГ

2007-03-29

Статья посвящена библиотеке передового опыта оказания IT-услуг - ITIL (IT Infrastructure Library), являющейся общепризнанным стандартом управления техническим обслуживанием информационных систем, включая управление различными аспектами информационной безопасности.

В последние 20–30 лет влияние информационных технологий на бизнес-процессы компаний самого разного профиля стало если не определяющим, то как минимум весьма существенным. Сегодня не осталось практически ни одной сферы деятельности, где информационные технологии ни применялись бы в том или ином виде; мало того, многие виды человеческой деятельности радикально изменились благодаря их влиянию. Именно поэтому сейчас весьма модной темой стало обсуждение как самих IT-услуг, так и их качества — ведь достижение компаниями своих бизнес-целей существенно зависит от того, насколько уровень IT-услуг отвечает задачам бизнеса, требованиям и ожиданиям потребителей.

В последнее время все больше внимания уделяется не столько разработке новых IT-решений (например, бизнес-приложений), сколько управлению услугами по их сопровождению, так как именно они гарантируют конечным пользователям высокую доступность решения.

Статистические данные о бюджетах IT-проектов свидетельствуют, что в жизненном цикле IT-решений только 20–30% времени и средств расходуется на разработку и внедрение продукта, тогда как на эксплуатацию приходится от 70 до 80% времени и финансовых средств.

Одной из актуальных проблем взаимодействия IT-подразделений и обслуживаемых ими компаний является качество оказываемых услуг. Не секрет, что далеко не всегда IT-проекты выполняются в рамках заданного срока и предусмотренного бюджета, а низкое качество послепроектного сопровождения нередко лишает проект всякого смысла. Потребители IT-услуг нередко сталкиваются с такими проблемами, как неудачная организация обработки запросов пользователей IT-департаментами, некорректное осуществление изменений в постоянно эксплуатирующейся инфраструктуре, неэффективное использование ресурсов ITподразделений, не говоря уже о периодических проблемах, связанных с безопасностью. При этом руководители компаний нередко полагают, что IT-бюджет расходуется нерационально, тогда как руководителю IT-подразделения он зачастую представляется недостаточным для выполнения пожеланий пользователей и обеспечения должной защиты корпоративных данных и самой инфраструктуры.

Для решения перечисленных проблем используется процессный подход к управлению IT-услугами. В данном случае IT-служба рассматривается как подразделение, ориентированное на потребности своих пользователей и решение изменяющихся задач, причем оценивается как достигнутый уровень качества, так и используемые ресурсы.

Данный подход назван IT Service Management (ITSM) и применим для компаний любого масштаба и с любой моделью организации оказания услуг (то есть независимо от того, является ли IT-служба частью компании или внешним поставщиком услуг, переданных ей в аутсорсинг).

Библиотека ITIL

История библиотеки ITIL началась в середине 1980-х годов в Великобритании, которая в то время испытывала серьезный экономический спад. Качество IT-услуг, предоставляемых британскому правительству различными поставщиками, было чрезвычайно низким. И тогда Центральное агентство по вычислительной технике и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency — CCTA, в настоящее время именуемое Office of Government Commerce — OGC) получило от правительства задание разработать принципы эффективного и рентабельного использования IT-ресурсов в государственных учреждениях и на их основе формировать подход к оказанию IT-услуг, не зависящий от их поставщика. Результатом этой работы и стала библиотека ITIL, объединившая описание лучших процессов и методов, существовавших в индустрии IT-услуг.

Библиотека ITIL содержит подробное описание наиболее важных процессов и видов деятельности в работе IT-подразделения, а также полный перечень сфер ответственности, задач, процедур, описаний процессов и списков действий, которые могут быть адаптированы для любой организации. Эти описания часто применяются при определении целей совершенствования IT-организаций и IT-подразделений.

Сегодня библиотека ITIL фактически стала стандартом в описании фундаментальных процессов управления IT-услугами, и на ее основе многие компании создали свои структурированные подходы к управлению IT-услугами, например HP ITSM Reference Model (HewlettPackard), IT Process Model (IBM), Microsoft Operation Framework (Microsoft).

Стандарты ITIL поддерживаются общественным форумом IT Service Management Forum (ITSMF), членами которого являются компании и организации, заинтересованные в повышении эффективности оказания IT-услуг.

Книги библиотеки ITIL

Библиотека ITIL определяет цели и виды деятельности поставщиков IT-услуг, а также параметры каждого из процессов управления ITуслугами. При этом она не содержит никаких конкретных описаний способов осуществления таких процессов, поскольку в разных компаниях они могут быть различны.

Назначение библиотеки ITIL — способствовать планированию наиболее часто используемых процессов, ролей и видов деятельности, определяя связи и необходимые виды взаимодействия между ними. Частично философия библиотеки ITIL основана на стандартах качества (например, серии ISO 9000).

В настоящее время библиотека ITIL существует в виде нескольких книг. Наиболее популярными из них считаются две книги, посвященные предоставлению и поддержке услуг, — именно они содержат наиболее часто применяемые рекомендации по решению первоочередных задач, связанных с внедрением лучших практик управления IT-услугами.

Предоставление услуг

В книге ITIL по предоставлению услуг (Service Delivery) описаны требования, необходимые для оказания IT-услуг, и рассмотрены следующие процессы управления IT-услугами:
  • управление уровнем услуг;
  • управление финансами IT;
  • управление мощностями;
  • управление непрерывностью IT-услуг;
  • управление доступностью.

Именно в эту книгу был включен и раздел по управлению информационной безопасностью, хотя данная область не относится непосредственно к области предоставления услуг.

Цель управления уровнем услуг — достижение соглашения об IT-услугах между поставщиком и заказчиком, а также их реализация. Подобные соглашения должны быть основаны в первую очередь на понимании потребностей заказчика и на оценке возможностей имеющихся у поставщика технических средств и финансовых ресурсов.

Вопросы управления уровнем услуг отражены в соответствующем договоре, предусматривающем их оптимизацию, предоставление по доступным ценам, проведение мониторинга и поддержку с помощью внешних поставщиков. Следует помнить, что соглашения должны быть взаимно понятными и содержать четко определенную терминологию.

Управление финансами в IT касается экономических вопросов, связанных с предоставлением IT-услуг. К ним относятся вопросы оценки, прогнозирования и отслеживания возникающих затрат, учета расходов и доходов при изменениях IT-инфраструктуры.

Управление финансами позволяет оптимизировать составление IT-бюджета и, что более существенно, обосновать его объем при переговорах с руководством компании относительно дальнейших инвестиций. В этом же разделе описаны различные методы выставления счетов за ITуслуги и ценообразования, а также различные аспекты бюджетирования IT.

Цель управления мощностями — планирование и оптимизация времени приобретения и размещения IT-ресурсов и затрат на них, требующихся для обеспечения необходимого уровня IT-услуг в соответствии с соглашением об их уровне.

Процесс управления мощностями тесно связан с другими процессами, такими как процесс управления ресурсами, производительностью, спросом на IT-услуги, управлением нагрузкой и определением необходимого объема технических средств для работы приложений.

Управление непрерывностью IT-услуг заключается в подготовке и планировании действий поставщиков IT-услуг в чрезвычайных ситуациях. Этот процесс включает координацию технических, финансовых и управленческих ресурсов, предназначенных для обеспечения непрерывности IT-услуг, и уделяет основное внимание связям между всеми компонентами, необходимыми для защиты непрерывности бизнеса компании при чрезвычайных ситуациях (например, при катастрофах, авариях, серьезных технических сбоях наподобие отключения электропитания), а также средствам предотвращения таких ситуаций.

Управление доступностью — это процесс, обеспечивающий размещение ресурсов способом, позволяющим выполнить договоренности с заказчиком. К вопросам управления доступностью относятся оптимизация обслуживания и минимизация числа инцидентов (о которых будет рассказано ниже).

Поддержка услуг

Говоря о поддержке услуг, нельзя не остановиться на таких важных понятиях, как «инцидент» и «проблема». Инцидентом в ITSM называют единичный случай обращения по поводу некорректного предоставления услуги или его отсутствия, который предполагает быстрое восстановление услуги в конкретном случае.

Проблемой называется ошибка построения IT-инфраструктуры, приводящая к повторяющимся инцидентам и предполагающая проведение определенной (и не всегда быстрой) работы по ее устранению. Разграничение этих понятий стало одним из самых известных вкладов библиотеки ITIL в развитие процессов управления IT-услугами.

В книге ITIL по поддержке услуг (Service Support) описывается, как именно потребитель IT-услуг получает к ним доступ. Эта книга охватывает следующие области:

  • служба Service Desk;
  • управление инцидентами;
  • управление проблемами;
  • управление конфигурациями;
  • управление изменениями;
  • управление релизами.

Служба Service Desk (называемая в некоторых источниках Help Desk) предназначена для контактов пользователя с поставщиком IT-услуг и решает такие задачи, как регистрация инцидентов, их решение и отслеживание, получение запросов на изменения в IT-инфраструктуре.

Процесс управления инцидентами предназначен для устранения и быстрого возобновления предоставления услуг. Одной из важнейших составляющих предоставления IT-услуг является регистрация инцидентов службой Service Desk — полученная информация используется в других процессах ITIL, и их эффективность зависит от ее качества.

Процесс управления проблемами заключается в их определении и устранении. После определения проблемы и установления ее причины обычно принимается решение о том, стоит ли вносить изменения в инфраструктуру с целью предотвращения новых инцидентов, и при положительном решении осуществляется генерация запроса на изменение в инфраструктуре.

Управление конфигурациями представляет собой контроль изменяющейся IT-инфраструктуры, ее стандартизацию, инвентаризацию, отслеживание ее состояния, верификацию ее составных частей (представляющих собой обычно набор программного и аппаратного обеспечения и иногда называемых конфигурационными единицами), управление документацией по ITинфраструктуре, а также предоставление информации об IT-инфраструктуре для всех других процессов управления IT-услугами.

Управление изменениями заключается в определении необходимых изменений в IT-инфраструктуре и способов их проведения с минимальным негативным воздействием на оказание IT-услуг. Изменения могут возникать в результате управления проблемами или выполнения некоторых других процессов управления IT-услугами либо производиться по запросам заказчика. Внесение изменений производится согласно определенным правилам, включающим описание, планирование, создание, тестирование, принятие окончательного решения о проведении изменения, внедрение и оценку результата.

Главной задачей управления релизами является обеспечение успешного развертывания релизов — наборов составных частей IT-инфраструктуры, которые совместно тестируются и внедряются. Данный процесс гарантирует использование только протестированных и корректных версий программного и аппаратного обеспечения. С помощью управления релизами обычно осуществляется внесение изменений.

Другие книги ITIL

Помимо перечисленных выше книг в состав ITIL входят книги, посвященные:
  • управлению IT-инфраструктурой — книга содержит общее описание методики организации работы IT-службы;
  • управлению приложениями — посвящена обеспечению соответствия программных приложений требованиям бизнеса; бизнес-перспективе — рассматривает ITинфраструктуру с точки зрения влияния ее на развитие бизнеса;
  • планированию внедрения управления услугами — рассматривает IT-инфраструктуру с точки зрения влияния ее на развитие бизнеса.

В последнее время в книгах библиотеки ITIL уделяется немало внимания управлению взаимоотношениями с заказчиком IT-услуг. Именно этот процесс помогает организовать целенаправленное и структурированное взаимодействие между IT-организацией, традиционно использующей технические подходы к работе, и потребителями услуг, работающими над решением бизнес-задач своего предприятия.

В библиотеке ITIL имеется также книга (неофициально называемая ITIL Lite), специально посвященная процессам оказания IT-услуг для небольших компаний.

ITIL и управление информационной безопасностью

Процесс управления информационной безопасностью, которому посвящена отдельная книга библиотеки ITIL, предназначен для защиты IT-инфраструктуры от несанкционированного использования, оценку рисков возникновения подобного события, управления рисками и противодействия им, а также способам реагирования на инциденты, связанные с нарушением безопасности.

Не секрет, что безопасность сегодня становится одной из главных проблем управления IT-услугами. С одной стороны, большинство компаний уже обладает немалым количеством накопленных данных, являющихся весьма ценным активом. С другой стороны, активное применение Интернета практически во всех сферах бизнеса делает IT-структуру многих компаний до определенной степени доступной извне, а следовательно, потенциально уязвимой. Это означает, что в любой компании существуют определенные риски, связанные с несанкционированным использованием IT-ресурсов и нарушением сохранности информации, и их следует анализировать с тем, чтобы принимать меры по их контролю и устранению наиболее существенных из них.

Требования бизнеса к информационной безопасности должны присутствовать в соглашениях об уровне обслуживания, заключаемых между потребителем IT-услуг и поставщиком (или IT-подразделением), а сам процесс управления информационной безопасностью должен постоянно обеспечивать защиту IT-услуг на согласованном с заказчиком уровне.

Одной из задач управления информационной безопасностью является обеспечение сохранности информации. Это означает ее защищенность от известных рисков и по возможности уклонение от неизвестных рисков, а также соблюдение определенного уровня конфиденциальности (то есть защищенности от несанкционированного доступа и использования), целостности (то есть точности, полноты и своевременности) и доступности. Кроме того, определенное внимание следует уделять возможностям проверки правильного использования информации и эффективности мер безопасности.

Целями данного процесса являются выполнение требований безопасности, закрепленных в соглашении об уровне услуг и других требованиях (например, в требованиях законодательных актов, документов, определяющих политику компании в этой области), а также обеспечение базового уровня безопасности.

Процесс управления информационной безопасностью также получает информацию, относящуюся к проблемам безопасности, из других процессов (например, об инцидентах, связанных с безопасностью).

В настоящее время многие организации имеют дело с информационной безопасностью на стратегическом уровне (в информационной политике и информационном планировании) и на операционном уровне (в частности, при закупке средств обеспечения безопасности). Отметим, что проблемой многих компаний является разрыв между операционным и стратегическим уровнями управления безопасностью, проявляющийся в том, что значительные средства вкладываются в уже неактуальные меры безопасности, в то время как должны быть приняты новые, более эффективные меры. Поэтому еще одной важной задачей процесса управления информационной безопасностью становится обеспечение эффективных мер по информационной безопасности и на стратегическом, и на операционном уровнях.

Поскольку информационная безопасность не является самоцелью, а предназначена для обслуживания интересов бизнеса и организации, ее следует планировать с соблюдением разумного баланса между мерами безопасности, ценностью информации и существующими угрозами. Кроме того, деятельность, ведущаяся в рамках управления безопасностью, должна постоянно пересматриваться в силу того, что изменяются характер и вероятность возможных угроз, технические средства их реализации и защиты от них, а также значимость различных угроз. Поэтому управление безопасностью реально сводится к никогда не прекращающемуся циклу планов, действий, проверок.

Связь с другими процессами ITIL

Процесс управления информационной безопасностью связан с другими процессами ITIL, так как некоторые виды деятельности по обеспечению безопасности осуществляются другими процессами ITIL.

В контексте информационной безопасности наибольшее значение имеет процесс управления конфигурациями, поскольку в его рамках осуществляется классификация конфигурационных единиц и определяются связи между конфигурационными единицами и предпринимаемыми мерами или процедурами безопасности для каждого из уровней их классификации (такие меры или процедуры могут, к примеру, быть описаны во внутрикорпоративных регламентах).

В ходе управления инцидентами появляется информация о наличии инцидентов, связанных с безопасностью (к ним могут относиться инциденты, способные помешать выполнению требований безопасности, сформулированных в соглашении об уровне услуг, либо препятствующие достижению базового внутреннего уровня безопасности).

При этом сообщения об инцидентах могут поступать не только от пользователей, но и от аппаратного или программного обеспечения (к примеру, от систем внутреннего аудита). В рамках управления подобными инцидентами рекомендуется тщательно продумывать и согласовывать процедуру оповещения пользователей об инцидентах, связанных с безопасностью. С одной стороны, отсутствие своевременного оповещения об инцидентах по безопасности может привести к серьезным последствиям для компании, с другой — паника из-за чрезмерно раздутых слухов тоже пользы не принесет.

При управлении проблемами осуществляется идентификация и устранение структурных дефектов, приводящих к возникновению риска для системы безопасности. В этом случае проверяется IT-инфраструктура, ответственная за возникновение проблемы, и выполняются решения по устранению проблемы в соответствии с имеющимся договором и требованиями внутренней безопасности.

Управление изменениями является одним из наиболее важных процессов, связанных с управлением безопасностью, — именно в процессе управления изменениями в IT-инфраструктуре вводятся и новые меры безопасности. Так, предложения по решению вопросов безопасности обычно включаются в запросы на внесение изменений, и любые меры безопасности, связанные с внесением изменений, должны реализовываться одновременно с проведением самих изменений, а также совместно тестироваться. Тесты проверки безопасности отличаются от обычных функциональных тестов: при обычных тестах проверяется доступность определенных функций, тогда как при тестировании безопасности дополнительно проверяется отсутствие функций, которые могут снизить безопасность системы.

В процессе управления релизами осуществляет контроль и развертывание всех новых версий программного и аппаратного обеспечения, а также выполняется процедура приемки, которая должна охватывать аспекты информационной безопасности.

Зачем нужно внедрять процессы ITIL

Изучение лучших практик, описанных в книгах библиотеки ITIL, помогает IT-менеджерам, ITспециалистам и IT-директорам понять методы и процессы, с помощью которых можно повысить качество IT-услуг (то есть предоставлять IT-сервисы в соответствии с требованиями бизнеса и потребностями каждого пользователя), предоставляемых IT-подразделением или внешним поставщиком IT-услуг, и применить их на практике.

Процессы ITIL внедрены сегодня многими крупными предприятиями, при этом представители ряда из них заявляют о том, что в целом подобное внедрение позволило существенно снизить затраты на информационные технологии (известны заявления компаний об экономии до 10% годового бюджета всего предприятия), повысить эффективность функционирования других подразделений, а также вывести предприятие на более высокий уровень взаимоотношений с клиентами. Внедрение процессов

ITIL может осуществляться как самостоятельно, так и силами сторонних исполнителей — подобные услуги сейчас предлагаются многими компаниями, работающими в области внедрения процессного подхода и IT-консалтинга.

Книги библиотеки ITIL, которые в случае внедрения процессов ITIL потребуются независимо от того, чьими силами оно осуществляется, доступны для приобретения в электронном и бумажном виде (например, по адресу http://www.get-best-practice.biz/itilProducts.aspx). В настоящее время готовится и русская версия указанных книг.