В последние 20–30 лет влияние информационных технологий на бизнес-процессы компаний самого разного профиля
стало если не определяющим, то как минимум
весьма существенным. Сегодня не осталось
практически ни одной сферы деятельности, где
информационные технологии ни применялись
бы в том или ином виде; мало того, многие виды
человеческой деятельности радикально изменились благодаря их влиянию. Именно поэтому
сейчас весьма модной темой стало обсуждение
как самих IT-услуг, так и их качества — ведь
достижение компаниями своих бизнес-целей
существенно зависит от того, насколько уровень IT-услуг отвечает задачам бизнеса, требованиям и ожиданиям потребителей.
В последнее время все больше внимания уделяется не столько разработке новых IT-решений (например, бизнес-приложений), сколько
управлению услугами по их сопровождению,
так как именно они гарантируют конечным
пользователям высокую доступность решения.
Статистические данные о бюджетах IT-проектов свидетельствуют, что в жизненном цикле
IT-решений только 20–30% времени и средств
расходуется на разработку и внедрение продукта, тогда как на эксплуатацию приходится
от 70 до 80% времени и финансовых средств.
Одной из актуальных проблем взаимодействия
IT-подразделений и обслуживаемых ими компаний является качество оказываемых услуг.
Не секрет, что далеко не всегда IT-проекты
выполняются в рамках заданного срока и предусмотренного бюджета, а низкое качество
послепроектного сопровождения нередко лишает проект всякого смысла. Потребители IT-услуг нередко сталкиваются с такими проблемами, как неудачная организация обработки
запросов пользователей IT-департаментами,
некорректное осуществление изменений в
постоянно эксплуатирующейся инфраструктуре, неэффективное использование ресурсов ITподразделений, не говоря уже о периодических
проблемах, связанных с безопасностью. При
этом руководители компаний нередко полагают, что IT-бюджет расходуется нерационально,
тогда как руководителю IT-подразделения он
зачастую представляется недостаточным для
выполнения пожеланий пользователей и обеспечения должной защиты корпоративных данных и самой инфраструктуры.
Для решения перечисленных проблем используется процессный подход к управлению IT-услугами. В данном случае IT-служба рассматривается как подразделение, ориентированное на
потребности своих пользователей и решение
изменяющихся задач, причем оценивается как
достигнутый уровень качества, так и используемые ресурсы.
Данный подход назван IT Service
Management (ITSM) и применим для компаний
любого масштаба и с любой моделью организации оказания услуг (то есть независимо от
того, является ли IT-служба частью компании
или внешним поставщиком услуг, переданных
ей в аутсорсинг).
Библиотека ITIL
История библиотеки ITIL началась в середине
1980-х годов в Великобритании, которая в то
время испытывала серьезный экономический
спад. Качество IT-услуг, предоставляемых британскому правительству различными поставщиками, было чрезвычайно низким. И тогда
Центральное агентство по вычислительной
технике и телекоммуникациям Великобритании (Central Computer and Telecommunications
Agency — CCTA, в настоящее время именуемое
Office of Government Commerce — OGC) получило от правительства задание разработать
принципы эффективного и рентабельного использования IT-ресурсов в государственных
учреждениях и на их основе формировать подход к оказанию IT-услуг, не зависящий от их
поставщика. Результатом этой работы и стала
библиотека ITIL, объединившая описание лучших процессов и методов, существовавших в
индустрии IT-услуг.
Библиотека ITIL содержит подробное описание наиболее важных процессов и видов деятельности в работе IT-подразделения, а также
полный перечень сфер ответственности, задач,
процедур, описаний процессов и списков действий, которые могут быть адаптированы для
любой организации. Эти описания часто применяются при определении целей совершенствования IT-организаций и IT-подразделений.
Сегодня библиотека ITIL фактически стала
стандартом в описании фундаментальных процессов управления IT-услугами, и на ее основе
многие компании создали свои структурированные подходы к управлению IT-услугами,
например HP ITSM Reference Model (HewlettPackard), IT Process Model (IBM), Microsoft
Operation Framework (Microsoft).
Стандарты ITIL поддерживаются общественным
форумом IT Service Management Forum (ITSMF),
членами которого являются компании и организации, заинтересованные в повышении эффективности оказания IT-услуг.
Книги библиотеки ITIL
Библиотека ITIL определяет цели и виды деятельности поставщиков IT-услуг, а также параметры каждого из процессов управления ITуслугами. При этом она не содержит никаких
конкретных описаний способов осуществления таких процессов, поскольку в разных компаниях они могут быть различны.
Назначение
библиотеки ITIL — способствовать планированию наиболее часто используемых процессов,
ролей и видов деятельности, определяя связи
и необходимые виды взаимодействия между
ними. Частично философия библиотеки ITIL
основана на стандартах качества (например,
серии ISO 9000).
В настоящее время библиотека ITIL существует
в виде нескольких книг. Наиболее популярными из них считаются две книги, посвященные
предоставлению и поддержке услуг, — именно
они содержат наиболее часто применяемые рекомендации по решению первоочередных задач, связанных с внедрением лучших практик
управления IT-услугами.
Предоставление услуг
В книге ITIL по предоставлению услуг (Service
Delivery) описаны требования, необходимые
для оказания IT-услуг, и рассмотрены следующие процессы управления IT-услугами:
- управление уровнем услуг;
- управление финансами IT;
- управление мощностями;
- управление непрерывностью IT-услуг;
- управление доступностью.
Именно в эту книгу был включен и раздел по
управлению информационной безопасностью,
хотя данная область не относится непосредственно к области предоставления услуг.
Цель управления уровнем услуг — достижение
соглашения об IT-услугах между поставщиком
и заказчиком, а также их реализация. Подобные соглашения должны быть основаны в первую очередь на понимании потребностей заказчика и на оценке возможностей имеющихся
у поставщика технических средств и финансовых ресурсов.
Вопросы управления уровнем
услуг отражены в соответствующем договоре,
предусматривающем их оптимизацию, предоставление по доступным ценам, проведение
мониторинга и поддержку с помощью внешних
поставщиков. Следует помнить, что соглашения должны быть взаимно понятными и содержать четко определенную терминологию.
Управление финансами в IT касается экономических вопросов, связанных с предоставлением IT-услуг. К ним относятся вопросы оценки,
прогнозирования и отслеживания возникающих затрат, учета расходов и доходов при изменениях IT-инфраструктуры.
Управление
финансами позволяет оптимизировать составление IT-бюджета и, что более существенно,
обосновать его объем при переговорах с руководством компании относительно дальнейших инвестиций. В этом же разделе описаны
различные методы выставления счетов за ITуслуги и ценообразования, а также различные
аспекты бюджетирования IT.
Цель управления мощностями — планирование
и оптимизация времени приобретения и размещения IT-ресурсов и затрат на них, требующихся для обеспечения необходимого уровня IT-услуг в соответствии с соглашением об их уровне.
Процесс управления мощностями тесно связан
с другими процессами, такими как процесс управления ресурсами, производительностью,
спросом на IT-услуги, управлением нагрузкой и
определением необходимого объема технических средств для работы приложений.
Управление непрерывностью IT-услуг заключается в подготовке и планировании действий
поставщиков IT-услуг в чрезвычайных ситуациях. Этот процесс включает координацию
технических, финансовых и управленческих
ресурсов, предназначенных для обеспечения
непрерывности IT-услуг, и уделяет основное
внимание связям между всеми компонентами,
необходимыми для защиты непрерывности
бизнеса компании при чрезвычайных ситуациях (например, при катастрофах, авариях,
серьезных технических сбоях наподобие отключения электропитания), а также средствам
предотвращения таких ситуаций.
Управление доступностью — это процесс,
обеспечивающий размещение ресурсов способом, позволяющим выполнить договоренности
с заказчиком. К вопросам управления доступностью относятся оптимизация обслуживания
и минимизация числа инцидентов (о которых
будет рассказано ниже).
Поддержка услуг
Говоря о поддержке услуг, нельзя не остановиться на таких важных понятиях, как «инцидент» и «проблема». Инцидентом в ITSM называют единичный случай обращения по поводу
некорректного предоставления услуги или его
отсутствия, который предполагает быстрое
восстановление услуги в конкретном случае.
Проблемой называется ошибка построения IT-инфраструктуры, приводящая к повторяющимся инцидентам и предполагающая проведение
определенной (и не всегда быстрой) работы по
ее устранению. Разграничение этих понятий
стало одним из самых известных вкладов библиотеки ITIL в развитие процессов управления
IT-услугами.
В книге ITIL по поддержке услуг (Service
Support) описывается, как именно потребитель
IT-услуг получает к ним доступ. Эта книга охватывает следующие области:
- служба Service Desk;
- управление инцидентами;
- управление проблемами;
- управление конфигурациями;
- управление изменениями;
- управление релизами.
Служба Service Desk (называемая в некоторых
источниках Help Desk) предназначена для контактов пользователя с поставщиком IT-услуг и
решает такие задачи, как регистрация инцидентов, их решение и отслеживание, получение
запросов на изменения в IT-инфраструктуре.
Процесс управления инцидентами предназначен для устранения и быстрого возобновления
предоставления услуг. Одной из важнейших
составляющих предоставления IT-услуг является регистрация инцидентов службой Service
Desk — полученная информация используется
в других процессах ITIL, и их эффективность
зависит от ее качества.
Процесс управления проблемами заключается
в их определении и устранении. После определения проблемы и установления ее причины
обычно принимается решение о том, стоит ли
вносить изменения в инфраструктуру с целью
предотвращения новых инцидентов, и при положительном решении осуществляется генерация запроса на изменение в инфраструктуре.
Управление конфигурациями представляет
собой контроль изменяющейся IT-инфраструктуры, ее стандартизацию, инвентаризацию, отслеживание ее состояния, верификацию ее составных частей (представляющих собой обычно
набор программного и аппаратного обеспечения и иногда называемых конфигурационными
единицами), управление документацией по ITинфраструктуре, а также предоставление информации об IT-инфраструктуре для всех других процессов управления IT-услугами.
Управление изменениями заключается в определении необходимых изменений в IT-инфраструктуре и способов их проведения с
минимальным негативным воздействием на
оказание IT-услуг. Изменения могут возникать в результате управления проблемами или
выполнения некоторых других процессов управления IT-услугами либо производиться по
запросам заказчика. Внесение изменений производится согласно определенным правилам,
включающим описание, планирование, создание, тестирование, принятие окончательного
решения о проведении изменения, внедрение
и оценку результата.
Главной задачей управления релизами является обеспечение успешного развертывания релизов — наборов составных частей IT-инфраструктуры, которые совместно тестируются и
внедряются. Данный процесс гарантирует использование только протестированных и корректных версий программного и аппаратного
обеспечения. С помощью управления релизами
обычно осуществляется внесение изменений.
Другие книги ITIL
Помимо перечисленных выше книг в состав
ITIL входят книги, посвященные:
- управлению IT-инфраструктурой — книга
содержит общее описание методики организации работы IT-службы;
- управлению приложениями — посвящена
обеспечению соответствия программных
приложений требованиям бизнеса;
бизнес-перспективе — рассматривает ITинфраструктуру с точки зрения влияния ее
на развитие бизнеса;
- планированию внедрения управления услугами — рассматривает IT-инфраструктуру с точки зрения влияния ее на развитие
бизнеса.
В последнее время в книгах библиотеки ITIL
уделяется немало внимания управлению взаимоотношениями с заказчиком IT-услуг. Именно
этот процесс помогает организовать целенаправленное и структурированное взаимодействие между IT-организацией, традиционно
использующей технические подходы к работе,
и потребителями услуг, работающими над решением бизнес-задач своего предприятия.
В библиотеке ITIL имеется также книга (неофициально называемая ITIL Lite), специально
посвященная процессам оказания IT-услуг для
небольших компаний.
ITIL и управление
информационной безопасностью
Процесс управления информационной безопасностью, которому посвящена отдельная
книга библиотеки ITIL, предназначен для защиты IT-инфраструктуры от несанкционированного использования, оценку рисков возникновения подобного события, управления
рисками и противодействия им, а также способам реагирования на инциденты, связанные с
нарушением безопасности.
Не секрет, что безопасность сегодня становится
одной из главных проблем управления IT-услугами. С одной стороны, большинство компаний
уже обладает немалым количеством накопленных данных, являющихся весьма ценным
активом. С другой стороны, активное применение Интернета практически во всех сферах
бизнеса делает IT-структуру многих компаний
до определенной степени доступной извне, а
следовательно, потенциально уязвимой. Это
означает, что в любой компании существуют
определенные риски, связанные с несанкционированным использованием IT-ресурсов и
нарушением сохранности информации, и их
следует анализировать с тем, чтобы принимать
меры по их контролю и устранению наиболее
существенных из них.
Требования бизнеса к информационной безопасности должны присутствовать в соглашениях об уровне обслуживания, заключаемых между потребителем IT-услуг и поставщиком (или
IT-подразделением), а сам процесс управления
информационной безопасностью должен постоянно обеспечивать защиту IT-услуг на согласованном с заказчиком уровне.
Одной из задач управления информационной
безопасностью является обеспечение сохранности информации. Это означает ее защищенность от известных рисков и по возможности
уклонение от неизвестных рисков, а также
соблюдение определенного уровня конфиденциальности (то есть защищенности от несанкционированного доступа и использования),
целостности (то есть точности, полноты и
своевременности) и доступности. Кроме того,
определенное внимание следует уделять возможностям проверки правильного использования информации и эффективности мер безопасности.
Целями данного процесса являются выполнение требований безопасности, закрепленных
в соглашении об уровне услуг и других требованиях (например, в требованиях законодательных актов, документов, определяющих
политику компании в этой области), а также
обеспечение базового уровня безопасности.
Процесс управления информационной безопасностью также получает информацию, относящуюся к проблемам безопасности, из других
процессов (например, об инцидентах, связанных с безопасностью).
В настоящее время многие организации имеют дело с информационной безопасностью на
стратегическом уровне (в информационной политике и информационном планировании) и на
операционном уровне (в частности, при закупке средств обеспечения безопасности). Отметим, что проблемой многих компаний является
разрыв между операционным и стратегическим уровнями управления безопасностью, проявляющийся в том, что значительные средства
вкладываются в уже неактуальные меры безопасности, в то время как должны быть приняты
новые, более эффективные меры. Поэтому еще
одной важной задачей процесса управления
информационной безопасностью становится
обеспечение эффективных мер по информационной безопасности и на стратегическом, и на
операционном уровнях.
Поскольку информационная безопасность не
является самоцелью, а предназначена для обслуживания интересов бизнеса и организации,
ее следует планировать с соблюдением разумного баланса между мерами безопасности,
ценностью информации и существующими угрозами. Кроме того, деятельность, ведущаяся
в рамках управления безопасностью, должна
постоянно пересматриваться в силу того, что
изменяются характер и вероятность возможных
угроз, технические средства их реализации и
защиты от них, а также значимость различных
угроз. Поэтому управление безопасностью реально сводится к никогда не прекращающемуся циклу планов, действий, проверок.
Связь с другими процессами ITIL
Процесс управления информационной безопасностью связан с другими процессами ITIL,
так как некоторые виды деятельности по обеспечению безопасности осуществляются другими процессами ITIL.
В контексте информационной безопасности
наибольшее значение имеет процесс управления конфигурациями, поскольку в его рамках
осуществляется классификация конфигурационных единиц и определяются связи между
конфигурационными единицами и предпринимаемыми мерами или процедурами безопасности для каждого из уровней их классификации
(такие меры или процедуры могут, к примеру,
быть описаны во внутрикорпоративных регламентах).
В ходе управления инцидентами появляется информация о наличии инцидентов,
связанных с безопасностью (к ним могут
относиться инциденты, способные помешать выполнению требований безопасности,
сформулированных в соглашении об уровне
услуг, либо препятствующие достижению базового внутреннего уровня безопасности).
При этом сообщения об инцидентах могут
поступать не только от пользователей, но и
от аппаратного или программного обеспечения (к примеру, от систем внутреннего
аудита). В рамках управления подобными
инцидентами рекомендуется тщательно продумывать и согласовывать процедуру оповещения пользователей об инцидентах, связанных с безопасностью. С одной стороны,
отсутствие своевременного оповещения об
инцидентах по безопасности может привести
к серьезным последствиям для компании, с
другой — паника из-за чрезмерно раздутых
слухов тоже пользы не принесет.
При управлении проблемами осуществляется идентификация и устранение структурных
дефектов, приводящих к возникновению риска
для системы безопасности. В этом случае проверяется IT-инфраструктура, ответственная
за возникновение проблемы, и выполняются
решения по устранению проблемы в соответствии с имеющимся договором и требованиями
внутренней безопасности.
Управление изменениями является одним из
наиболее важных процессов, связанных с управлением безопасностью, — именно в процессе управления изменениями в IT-инфраструктуре вводятся и новые меры безопасности. Так,
предложения по решению вопросов безопасности обычно включаются в запросы на внесение изменений, и любые меры безопасности,
связанные с внесением изменений, должны
реализовываться одновременно с проведением
самих изменений, а также совместно тестироваться. Тесты проверки безопасности отличаются от обычных функциональных тестов: при
обычных тестах проверяется доступность определенных функций, тогда как при тестировании безопасности дополнительно проверяется
отсутствие функций, которые могут снизить
безопасность системы.
В процессе управления релизами осуществляет
контроль и развертывание всех новых версий
программного и аппаратного обеспечения, а
также выполняется процедура приемки, которая должна охватывать аспекты информационной безопасности.
Зачем нужно внедрять
процессы ITIL
Изучение лучших практик, описанных в книгах
библиотеки ITIL, помогает IT-менеджерам, ITспециалистам и IT-директорам понять методы
и процессы, с помощью которых можно повысить качество IT-услуг (то есть предоставлять
IT-сервисы в соответствии с требованиями
бизнеса и потребностями каждого пользователя), предоставляемых IT-подразделением или
внешним поставщиком IT-услуг, и применить
их на практике.
Процессы ITIL внедрены сегодня многими крупными предприятиями, при этом представители
ряда из них заявляют о том, что в целом подобное внедрение позволило существенно снизить затраты на информационные технологии
(известны заявления компаний об экономии
до 10% годового бюджета всего предприятия),
повысить эффективность функционирования
других подразделений, а также вывести предприятие на более высокий уровень взаимоотношений с клиентами. Внедрение процессов
ITIL может осуществляться как самостоятельно,
так и силами сторонних исполнителей — подобные услуги сейчас предлагаются многими
компаниями, работающими в области внедрения процессного подхода и IT-консалтинга.
Книги библиотеки ITIL, которые в случае внедрения процессов ITIL потребуются независимо от того, чьими силами оно осуществляется,
доступны для приобретения в электронном
и бумажном виде (например, по адресу http://www.get-best-practice.biz/itilProducts.aspx).
В настоящее время готовится и русская версия
указанных книг.
Да, побольше бы инфы на русском