Аудит ИТ-процессов

Процессы управления информационными технологиями целесообразно рассматривать с точки зрения применения методов лучшего мирового опыта. С данных позиций наибольшее распространение получили следующие подходы к управлению ИТ: COBIT и ITIL/ITSM. Оба подхода ориентированы на удовлетворение потребностей бизнес-подразделений ИТ-службой, базируются на процессном подходе и оперируют измеримыми показателями деятельности.

Стандарт COBIT охватывает 34 ИТ-процесса, сгруппированных по следующим направлениям:

  1. планирование и организация (10 процессов);
  2. проектирование и внедрение (7 процессов);
  3. эксплуатация и сопровождение (13 процессов);
  4. мониторинг (4 процесса).

В совокупности перечисленные 4 группы содержат 302 объекта контроля. Все ресурсы, используемые объектами контроля, оцениваются с точки зрения их соответствия критериям, которые логически вытекают из бизнес-задач организации. Перечень этих критериев (эффективность, технический уровень, безопасность, целостность, пригодность, согласованность, надежность) совпадает с критериями оценки деятельности организации в целом. Для количественной и качественной оценки по критериям широко используется сравнение с лучшими мировыми показателями (на основании модели зрелости). Все это в совокупности обеспечивает полную, объективную и актуальную информацию о текущем состоянии ИТ, возможных решениях по изменению ситуации, перспективах и рисках их реализации.

В современных условиях происходит смещение акцентов в управлении ИТ, связанное с тем, что, фактически, подразделения организации потребляют не информационные системы, а ИТ-услуги, оценка которых должна производится не только по предоставляемой функциональности, но и по качеству обслуживания. При этом серьезно меняется модель управления ИТ, объектом управления становится услуга (а не информационная система), целью – решение бизнес-задачи (а не обеспечение технических возможностей использования ИС).

Основные идеи этого подхода были воплощены в типовой модели бизнес-процессов ИТ-службы ITIL/ITSM (IT Infrastructure Library / IT Service Management). Инициированный правительством Великобритании проект ITIL воплощает в себе основные принципы передовой практики организации ИТ-процессов, сформированные на основе анализа успешных решений (результаты этого анализа издаются в виде постоянно обновляемой библиотеки обобщенных ИТ-процессов). Разработанная компанией Hewlett-Packard на основе принципов ITIL модель ITSM представляет собой описание целостной системы взаимосвязанных ИТ-процессов.

Основные отличия управления ИТ-услугами от управления информационными системами заключаются в следующем:

  1. бизнес формулирует требования к ИТ-услугам, а ИТ-служба обеспечивает их реализацию;
  2. информационные системы для ИТ-службы имеют статус ресурса;
  3. финансовый результат ИТ-службы определяется традиционным для бизнес-единицы образом: доходы за счет предоставления услуг минус расходы по их разработке, внедрению и сопровождению;
  4. контроль деятельности ИТ-службы осуществляется на основе показателей, имеющих ценность с позиций клиента;
  5. прозрачность деятельности ИТ-службы обеспечивается за счет формализации управленческих процедур в виде пакета документов, являющихся нормативной базой для всех ИТ-процессов.

Модель ITSM группирует ИТ-процессы в 5 тематических блоков:

  1. Блок стратегического управления включает в себя следующие процессы:
    1. процесс анализа потребностей бизнеса, основной задачей которого является согласование целей и приоритетов между подразделениями предприятия и ИТ-службой;
    2. процесс управления клиентами, определяющий и согласовывающий требования по конкретным услугам, необходимым подразделениям;
    3. процесс разработки стратегии развития ИТ, организующий интегрированный корпоративный процесс по развитию информационных технологий для обеспечения их соответствия основным целям и потребностям бизнеса предприятия.
  2. Блок планирования и управления услугами включает в себя следующие процессы:
    1. процесс планирования услуг, основной задачей которого является проектирование спецификаций услуг;
    2. процесс управления качеством сервиса, согласующий спецификации по составу и параметрам услуг и предоставляемые ИТ-службой ресурсы, а также создающий и согласующий регламентирующий взаимоотношения документ (договор) - Соглашение об уровне сервиса;
    3. процесс управления инфраструктурой, включающий управление безопасностью, управление устойчивостью (способностью поддерживать услуги в чрезвычайных ситуациях), а также управление пропускной способностью;
    4. процесс управления затратами, осуществляющий расчет издержек, пользовательских цен, а также поиск путей снижения затрат.
  3. Блок разработки и внедрения услуг включает в себя следующие процессы:
    1. процесс разработки и тестирования, основной задачей которого является реализация услуги в соответствии с ее спецификациями;
    2. процесс ввода в эксплуатацию, обеспечивающий инфраструктуру функционирования новой услуги, осуществляющий подготовку справочных руководств и обучение специалистов по технической поддержки сервиса.
  4. Блок оперативного управления включает в себя следующие процессы:
    1. процесс управления операциями, осуществляющий регламентные работы по поддержанию ИТ-инфраструктуры предприятия (функции системного администратора);
    2. процесс управления инцидентами, обеспечивающий восстановление услуги путем обработки инцидентов – событий, не являющихся частью нормального ее функционирования, приводящих (потенциально) к отказу услуги или снижению ее качества;
    3. процесс управления проблемами, предназначенный для устранения причин возникновения инцидентов.
  5. Блок управления изменениями и конфигурациями включает в себя следующие процессы:
    1. процесс управления изменениями, задачами которого являются регистрация изменений, разрешение и отсев изменений, оценка воздействия изменений на ИТ-среду и т.п.;
    2. процесс управления конфигурацией, поддерживающий в актуальном состоянии данные по конфигурации информационных систем.

Переход к сервисной модели ИТ в 2002 году был отражен в стандарте BS 15000 "Управление ИТ-сервисом", недавно получившем официальный международный статус ISO 20000. Стандарт ISO 20000 конкретизирует процессный подход, развиваемый в ITIL, применительно к менеджменту ИТ-услуг. Он определяет требования и взаимосвязанные процессы, необходимые для создания и эффективного использования системы менеджмента. Стандарт состоит из двух частей:

  1. ISO 20000-1 "Information technology — Service management. Part 1: Specification" представляет собой описание требований к системе менеджмента ИТ-услуг и состоит из 10 разделов: Область применения, Термины и определения, Требования к системе управления, Планирование и применение управления услугой, Планирование и внедрение новых или измененных услуг, Процесс оказания услуг, Процессы взаимосвязей, Процессы разрешения проблем, Процессы контроля, Процесс управления релизом.
  2. ISO 20000-2 "Information technology — Service management. Part 2: Code of Practice" воплощает практические рекомендации по процессам, требования к которым сформулированы в первой части.

В конце 2000 года международный институт стандартов ISO на базе первой части британского BS 7799 "Управление информационной безопасностью. Практические рекомендации по управлению информационной безопасностью" (Information Security Management – Code of Practice for information Security Management) разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799 "Информационные технологии. Управление информационной безопасностью" (Information Technology – Information Security Management). Стандарт является совокупностью практических правил по управлению информационной безопасностью, разработанных на основе передового мирового опыта и описывает:

  1. требования к политике информационной безопасности;
  2. организационные меры безопасности;
  3. классификация и контроль информационных ресурсов;
  4. кадровые аспекты информационной безопасности;
  5. физическую защиту информационных ресурсов;
  6. управление технологическим процессом;
  7. управление доступом;
  8. требования к безопасности компонентов систем в ходе их разработки, эксплуатации и сопровождения;
  9. правила обеспечения непрерывности работы и восстановления;
  10. требования к соответствию систем информационной безопасности нормативным и руководящим документам.

Следует отметить, что ISO 17799 не является техническим стандартом и не зависит от конкретного средства защиты или технологии. Он описывает концептуальные основы управления информационной безопасностью.

Кроме того, в международной практике широко применяется вторая часть стандарта BS 7799 – "Управление информационной безопасностью. Технические требования" (Information Security Management – Requirements Specification). Она определяет возможные меры по обеспечению защиты в соответствии с требованиями первой части стандарта и по предотвращению реализации угроз информационной безопасности (так называемое управление рисками информационной безопасности).

3.2. Цель проведения стратегического ИТ – аудита и его результаты

В предыдущем разделе были рассмотрены два вида ИТ – аудита:

  1. аудит ИТ-процессов, направленный на оценку уровня зрелости ИТ-деятельности в организации;
  2. аудит состояния информационных систем, направленный на инвентаризацию действующих ИТ–решений, степени их документированности, уровня обученности конечных пользователей и качества сопровождения.

Кроме перечисленных видов ИТ-аудита также активно применяются следующие его виды:

  1. аудит ИТ – инфраструктуры, который нацелен на выявление сильных и слабых сторон конфигурации оборудования и сетевой архитектуры, определение ее надежностных и пропускных характеристик (его рассмотрение выходит за рамки настоящей книги);
  2. тотальный аудит состояния ИТ в организации, направленный на осуществление перехода к их внешнему обслуживанию – ИТ–аутсорсингу.

Принципиальным отличием стратегического ИТ – аудита от вышеперечисленных видов является его нацеленность на идентификацию причин дискомфорта высшего руководства организации в связи с использованием ИТ. То есть, стратегический ИТ – аудит осуществляется в интересах высшего руководства, которое не интересуют ни платформенные, ни программные решения, оно заинтересовано исключительно в степени удовлетворения своих информационных потребностей, информационных потребностей персонала, а также влияния инвестиций в ИТ на стоимость бизнеса и сохранение конкурентных преимуществ.

В связи с этим возникают три основных вопроса:

  1. Что вызывает дискомфорт? - идентификация причин его возникновения.
  2. Что можно сделать для его преодоления? - исследование возможных действий, направленных на преодоление проблемной ситуации.
  3. Что нужно сделать для его преодоления? - принятие решения о выборе наиболее оптимальных действий.

В конечном счете стратегический ИТ – аудит нацелен на:

  1. получение адекватной картины текущего состояния ИТ;
  2. идентификацию проблемных областей в части ИТ-поддержки основной деятельности организации.

Стратегический ИТ-аудит закладывает основу для:

  1. повышения показателей отдачи от инвестиций (ROI) в информационные технологии;
  2. снижения совокупной стоимости владения (TCO) средствами ИТ;
  3. повышения качества принятия стратегических решений, касающихся информационно-технологической поддержки бизнеса и дальнейших инвестиций в ИТ и инженерные системы;
  4. сокращения сроков внедрения новых средств ИТ, получение быстрых и распространяемых результатов.

Хотя сам по себе стратегический ИТ–аудит не решает перечисленные задачи, он является необходимым этапом разработки ИТ–стратегии, которая приводит к их решению в процессе своей реализации.

Основными результатами стратегического ИТ–аудита являются:

  1. отчет о текущем состоянии исследуемых областей;
  2. выводы о необходимости развития или модернизации существующих информационных систем;
  3. рекомендации о возможных направлениях развития, технологических или организационных решениях.

В процессе стратегического ИТ–аудита большое внимание должно уделяться таким аспектам, как:

  1. роль ИТ в основном бизнесе или основной деятельности;
  2. организация управления службой ИТ организации;
  3. оценка отдачи от эксплуатации действующих информационных систем;
  4. оценка влияния действующих информационных систем на взаимоотношения с внешней бизнес-средой.