УПРАВЛЕНИЕ ИТ-СЕРВИСАМИ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ (ИТС) М.Б. Букреев, А.Е. Заславский Российский электро...
59 downloads
203 Views
504KB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
УПРАВЛЕНИЕ ИТ-СЕРВИСАМИ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ (ИТС) М.Б. Букреев, А.Е. Заславский Российский электротехнический концерн РУСЭЛПРОМ 109029, г. Москва, ул. Нижегородская, д. 32, корп. 15. ЗАО «Ай-Теко» 125009, г. Москва, ул. Б. Никитская, д. 24, стр. 5.
Аннотация. Актуальность для России сервисного управления ИТ (ITSM) подтверждается большим количеством его внедрений в ИТС крупнейших публичных компаний телекоммуникационной, добывающей, металлургической и др. отраслей, а также в ИТС федеральных структур (МЧС, пожарной охраны). Основная цель при этом -
повышение
эффективности
использования
ИТ
и
снижение
рисков
ИТ-
инфраструктуры, обеспечивающей основные бизнес-процессы. Данная
обзорно-аналитическая
статья
дает
представление
о
целях,
существующих подходах и стандартах ITSM. Она содержит описания технологий внедрения ITSM в России, а также рассматривает вопросы управления непрерывностью работы ИТС, их безопасности и устойчивости функционирования при внешних дестабилизирующих факторах. Проекты по внедрению ITSM, которые приводятся в статье в качестве примеров, реализованы российской компанией «Ай-Теко».
Annotation. The urgency for Russia IT Service Management (ITSM) proves to be true a lot of its introductions in Information Telecommunication Systems (ITS) the largest public companies telecommunication, extracting, metallurgical, etc. branches, and also in ITS federal structures (the Ministry of Emergency Measures, Fire protection, etc). The basic purpose thus is increase of efficiency of use IT and decrease in risks of the IT-infrastructure, providing the cores business-processes.
1
Review gives representation about the purposes, existing approaches and standards ITSM. It contains descriptions of technologies of introduction ITSM in Russia, and also considers questions of management of a continuity of work ITS, their safety and stability of functioning at external destabilizing factors. Projects on introduction ITSM which are resulted in review as examples, are realized by I-Teco Russian company.
2
1. ITSM и «традиционные» подходы к ИТ ITSM базируется на организации процессного подхода и управления качеством предоставления услуг. Под ITSM понимается область управления информационными технологиями связанная с предоставлением и поддержкой ИТ-услуг. Недостаточная
зрелость
процессов
предоставления
ИТ-услуг
вызывает
необходимость формализовать качество услуг с целью их последующего измерения и управления. В настоящее время ITSM, как подход к управлению ИТ, является признанным стандартом «де-факто», не имеющим адекватной альтернативы для ИТС. 1.1. Определение ИТ-услуги Стандарт ГОСТ Р ИСО 9000-2001 определяет услугу как одну из возможных общих категорий продукции, наряду с программными средствами, техническими средствами и перерабатываемыми материалами, отмечая при этом, что «услуга является
результатом,
по
меньшей
мере,
одного
действия,
обязательно
осуществленного при взаимодействии поставщика и потребителя» и она, как правило, нематериальна. Под термином ИТ-услуга (IT service) обычно понимается предоставление потребителям некоторой совокупности технических и организационных решений, которые обеспечивают поддержку одной или нескольких бизнес-функций (бизнеспроцессов) потребителей и воспринимается ими как единое целое. Например, «классическая» ИТ-услуга – это предоставление доступа в Интернет. Большинством потребителей (пользователей) данная услуга воспринимается как единое целое. Однако, для обеспечения предоставления этой услуги поставщику ИТ-услуг необходимы: - аппаратное обеспечение (рабочие станции, серверы, каналы связи); - программное обеспечение (серверное программное обеспечение для настройки доступа в Интернет, интернет-браузеры на рабочих местах пользователей, антивирусы и файлволы для обеспечения безопасности);
3
- договоры с провайдерами услуг Интернет, аренда магистрального канала доступа в Интернет и т.д.; - настройки данного программного и аппаратного обеспечения; - поддержание оборудования и программного обеспечения в работоспособном состоянии, быстрое обнаружение и устранение неисправностей, консультации пользователей и др. 1.2. Управление качеством ИТ-услуг Критический уровень зависимости деятельности современной организации от используемых ИТ диктует жесткие требований к их качеству. Качество Качество имеет несколько определений как, философская категория, объект управления и т.д. Одно и из наиболее распространенных определений дано в [1]: Качество - степень соответствия присущих характеристик требованиям. Требование - потребность или ожидание, которое установлено, является обязательным или обычно предполагается, т.е. является общепринятой практикой организации, ее потребителей и других заинтересованных сторон. Характеристика - отличительное свойство. Характеристика качества - присущая характеристика продукции (услуги), процесса или системы, вытекающая из требования. Примечание. "Присущая" означает имеющаяся в чем-то. Прежде всего, это относится к постоянной характеристике. Присвоенные характеристики продукции, процесса или системы (например, цена продукции, владелец продукции) не являются характеристиками качества. Существует шесть основных групп факторов оценки/выбора поставщика ИТуслуг: 1) ассортимент услуг; 2) уровень цен; 3) имидж (бренд) компании;
4
4) техническое качество услуги - это собственно качество исполнения ИТуслуги, ключевые выгоды, полученные от услуги; 5) функциональное качество услуги – это качество того, как компаниейпровайдером предоставляется услуга; 6) качество обратной связи – это качество взаимодействия провайдера с клиентом. Как мы видим, три группы факторов из шести напрямую связаны с качеством услуг. Безусловно, что роли функционального качества и качества обратной связи сильно возрастают, если мы говорим о сфере ИТ-услуг (см. врезку). Воспринимаемое качество ИТ-услуг Техническое качество -
качество оборудования и приспособлений
-
время исполнения услуги
-
надежность (в течение гарантийного срока ремонт или услуга не потребуются вновь)
-
безопасность (услуга не навредит клиенту, его оборудованию, ПО, базам данных и др.)
-
полнота услуги – предоставление услуги в полном объеме (как в контракте)
Функциональное качество -
своевременность услуги (приемлемое время ожидания услуги)
-
доступность (получение услуги без дополнительных затрат)
-
возможность выбора (тарифных планов, условий платежа, дополнительного сервиса и пр.)
-
получение полной информации обо всех услугах
-
комфорт (удобство заказа, оплаты, получения, продления услуг и др.)
Качество обратной связи -
качество коммуникаций, взаимодействия и понимания клиента
-
пропускная способность «горячей линии» 5
-
решение проблем клиентам с первого раза (first contact resolution, FCR)
-
минимальное время реакции на жалобу, вопрос или предложение клиента
-
доступность руководства компании-провайдера при возникновении конфликтов
-
обеспечение прав клиента (возмещение морального и физического ущерба)
Менеджмент качества ИТ-услуг включает в себя разработку политики и целей в области качества, планирование и управление качеством, обеспечение и улучшение качества. ИТ-услуга является сложной и многокомпонентной, поэтому контролировать ее качество «традиционно», как качество «выходной продукции», неэффективно. Желаемый результат – услуга требуемого уровня качества - достигается, когда деятельностью и соответствующими ресурсами управляют как процессом. Поэтому, современные подходы к управлению качеством ИТ сфокусированы на управлении качеством процессов жизненного цикла ИТ-услуги и систематическом подходе к управлению деятельностью организации в целом (см. табл. 1). Таблица 1. ITSM и традиционный подход к ИТ Традиционный подход
Подход ITSM
Управление и внедрение технологий
Управление и внедрение процессов
Неформальные практики
Формализованные процессы
и разовые решения
и методология решений
«Точечные» решения
Масштабируемые решения
Реактивный подход к решению проблем
Проактивный подход к проблемам
Внутренние централизованные
ИТ-аутсорсинг
и локальные ИТ-службы
и клиентоориентированность
Локальные планы подразделений
ИТ-стратегия организации
по развитию ИТ
по обеспечению развития бизнеса
Это полностью согласуется с восьмью принципами систем менеджмента качества, изложенными в ГОСТ Р ИСО 9000-2001.
6
зчик
Восемь принципов менеджмента качества 1. Ориентация на потребителя
5. Системный подход к менеджменту
2. Лидерство руководителя
6. Постоянное улучшение
3. Вовлечение работников
7. Принятие решений, основанное на фактах
4. Процессный подход
8. Взаимовыгодные отношения с поставщиками
Следует иметь в виду, что построение изолированной системы менеджмента качества ИТ-услуг не будет способствовать повышению эффективности менеджмента компании-провайдера. Выход заключается в максимальном встраивании процессов управления качеством ИТ-услуг в уже существующие системы менеджмента предприятия. ИТ-услуга – это целый комплекс технических и организационных решений, направленных на удовлетворение потребности бизнеса в ИТ (рис. 1.). Результат предоставления услуги имеет явно выраженную ценность для заказчика. При этом предоставление услуг может происходить на инцидентной и/или абонементной основе.
Каталог услуг
Владелец
Услуга
Результат
ИТ-сервисы Вспомогательные (не ИТ) сервисы Прикладные системы ИТ инфраструктура
Сервисы ИТ-активы
Коммуникации и связь
Организация
АСУТП
Метрики
Инженерные системы
Стоимость
доступность производительность емкость уровень безопасности время восстановления
Рис. 1. Состав ИТ-услуги Под инцидентом подразумевается любой сбой или событие, способное оказать негативное влияние на предоставление услуг (ухудшение работы ИТ-сервиса или его остановка). Под инцидентом также понимается зафиксированное обращение в службу
7
технической поддержки по поводу сбоя или недоступности сервиса. Основная цель процесса управления инцидентами заключается в восстановлении нормальной работоспособности в максимально короткие сроки и минимизация отрицательного влияния на работоспособность служб заказчика и всего бизнеса в целом. Под «нормальной
работоспособностью»
понимаются
условия,
зафиксированные
в
соглашении об уровне обслуживания SLA (Service Level Agreement). Типовая структура Соглашения об уровне сервиса (SLA): - описание сервиса и характеристик производительности - договоренность о времени доступности сервиса - времена реакции на запрос и времена выполнения запроса - правила обработки инцидентов - требования по доступности в рабочее и нерабочее время - требования по безопасности и защищенности - требования по регистрации инцидентов и запросов - обязательства клиента и поставщиков услуг - описание рабочих часов и исключительные ситуации К инцидентам не относятся события, не касающиеся качества ИТ-услуг, а также события, которые, не выводят качество за оговоренные рамки. Время устранения инцидентов зависит от приоритета, присвоенного запросу, и также фиксируется в SLA. Пример иерархии устранения инцидентов приведен в табл. 2. От уровня приоритета зависит быстрота реакции на запрос и время его выполнения. Таблица 2. Соотношение времени реакции и устранения инцидента (пример) Приоритет
Характер инцидента
инцидента 1 - Критический
2 -Существенный
Нарушение работы объекта Нарушение работы отдела или группы лиц
8
Время
Время восстановления
реакции
работоспособности
10-30 минут
2-4 часа
30 - 1час
4-6 часов
Нарушение работы
3 - Стандартный
отдельного специалиста
4 - Штатный
Запрос на обслуживание
1-2 часа
4-8 часов
1-4 часа
4-72 часов
Таким образом, управление качеством ИТ-услуг происходит при помощи Соглашения об уровне сервиса, условия и содержание которого соответствуют существующей системе менеджмента компании-потребителя. Указанные в табл. 1. подходы ITSM позволяют государственным и бизнесструктурам построить сервис ИТС, эффективный с точки зрения достижения основных целей организации. Внедрение ITSM обуславливает прозрачность работы ИТ-службы для принятия управленческих решений. Кроме того, менеджеры получают возможность оценить
эффективность
контролируемость работающих
работы
всей
ИТ-инфраструктуры
ИТ-системах,
ИТ-службы. и
процессов
оптимизируется
Одновременно проведения
загрузка
повышается изменений
персонала
и
в
растет
производительность ИТС. Таким
образом,
внедрение
ITSM
позволяет
конкурентоспособность бизнеса любой организации.
9
в
целом
повысить
2. Современные подходы и стандарты по управлению ИТ Бурный рост и широкое использование ИТ в деятельности компаний по всему миру остро поставил вопрос о необходимости эффективного управления ими на разных уровнях
«абстракции»
руководство ИТ и т.д.)
приложения,
(инфраструктура,
услуги,
стратегическое
и попыток применения и адаптации уже существующих
методологий управления к деятельности ИТ-подразделений - управление проектами, процессный подход и др. Помимо проектного опыта самым важным в сотрудничестве российских ИТкомпаний с транснациональными корпорациями стало внедрение новой модели ИТсервиса, основанной на разделении уровней ответственности в зависимости от услуги и ее сложности. Так, например, в розничной торговле с приходом в Россию западных сетей рынок ИТ-услуг стал осваивать современные технологии сервиса и систему взаимоотношений между заказчиками и ИТ-аутсорсерами, принятую во всем мире. В начале 2003 г. прошло первое внедрение ITSM в российской розничной сети (сеть магазинов «Перекресток»). Существующие подходы к управлению ИТ можно условно разделить на две группы «лучшие практики» и стандарты (международные, национальные, отраслевые и специализированные стандарты в области ИТ). «Лучшие практики» («best practice») и методологии различных подходов к управлению ИТ разработаны крупными компаниями-вендорами. Наиболее известными представителями этой группы являются методологии управления ИТ-услугами (ITIL, MOF, HP References model), подходы к руководству ИТ (IT Governance), а также, частично, методологии управления проектами (IPMA, PMI, PRINCE2) в части управления проектами в области ИТ. Ко второй группе относятся первый в мире международный стандарт по управлению услугами ISO 20000, стандарты в области управления информационной безопасностью ISO 27001, стандарты в области разработки программного обеспечения ISO 12207, ISO 15288, ISO15504 и другие.
10
2.1. ITIL [2] Наиболее известным из существующих подходов к управлению ИТ-услугами является Библиотека передового опыта в области управления ИТ-услугами (IT Infrastructure Library). Данная библиотека представляет собой сборник «лучших практик» («best practice») и является признанным стандартом «де-факто». В
80-е
годы
Центральное
агентство
по
вычислительной
технике
и
телекоммуникациям (Central Computer and Telecommunications Agency — CCTA), по заказу британского правительства начало разработку подхода, нацеленного на результативное и эффективное использование ИТ-ресурсов в министерствах и других госучреждениях. Результатом усилий стала Библиотека передового опыта организации ИТ (IT Infrastructure Library — ITIL), которая вобрала в себя лучшие подходы, существовавшие в индустрии ИТ-услуг. За время своего существования библиотека ITIL пережила несколько серьезных изменений в своей структуре. На данный момент доступна вторая версия библиотеки и готовится к изданию третья версия. Библиотека предлагает полный, последовательный и согласованный набор лучших практических методов для процессов Управления ИТуслугами. Основные принципы, на которых построена ITIL: - ориентация на Потребителя; - процессный подход к описанию деятельности ИТ-подразделений; - услуга как конечный продукт ИТ-подразделения; - отношения Поставщик-Потребитель; - взаимовыгодные отношения с Поставщиками; - ориентация на качество услуг. Библиотека ITIL описывает схему организации управления ИТ. Типовые модели описывают цели, основные действия, а также входные и выходные параметры различных процессов, которые могут быть внедрены в ИТ-подразделениях. В библиотеке не расписываются подробно все действия, которые следует выполнять в повседневной работе, так как в этом у каждой организации есть свои особенности. Вместо этого основное внимание уделяется лучшим практическим управленческим 11
методам, которые могут применяться в различных областях в зависимости от потребностей организации. Библиотека ITIL включает в себя пять основных взаимосвязанных разделов (отдельных книг), каждый из которых частично перекрывает четыре других: - Бизнес-перспектива (The Business Perspective); - Управление приложениями (Application Management); - Предоставление ИТ-услуг (Service Delivery); - Поддержка ИТ-услуг (Service Support); - Управление инфраструктурой (Infrastructure Management). В книге «Бизнес-перспектива» рассматривается ряд вопросов, касающихся понимания
и
потребностей
совершенствования бизнеса
в
ИТ-услуг
как
высококачественном
неотъемлемой управлении
части
ИС:
общих
управление
непрерывностью бизнеса; партнерство и аутсорсинг; выживание в условиях изменений; преобразование бизнеса посредством радикальных изменений. Книга
«Управление
приложениями»
охватывает
вопросы
управления
жизненным циклом программного обеспечения. В книге «Управление информационными и коммуникационными технологиями» (ICT Infrastracture Management) рассматриваются управление сетевыми сервисами, операционное управление, управление локальными устройствами, инсталляция и приемка компьютеров, управление системами. В книге «Предоставление услуг» рассматриваются услуги, которые организация должна
требовать
от
поставщика
для
обеспечения
адекватной
поддержки
потребителей: управление мощностями, управление финансами для ИТ-услуг, управление доступом, управление уровнем обслуживания, управление непрерывностью предоставления ИТ-услуг. В книге «Поддержка услуг» рассматриваются вопросы обеспечения доступа потребителей к услугам, она включает описание следующих процессов: управление инцидентами, управление проблемами, управление конфигурациями, управление изменениями, управление релизами, а также описание службы Service Desk как организационного подразделения.
12
Их всей библиотеки наибольшую популярность и распространение получили книги «Поддержка услуг» и «Предоставление услуг», обеспечив ITIL признание в качестве «стандарта де-факто». Именно эти книги составляют ядро описания управления услугами информационных технологий - ITSM (IT Service Management). Библиотека ITIL представляет собой обобщенный набор «лучших практик» в области управления ИТ. Авторы ITIL стремились создать универсальный подход, независящий от конкретных технологий и специфики организаций. Этот подход не является научной методологией или требованиями каких-либо стандартов. Поэтому, описания ITIL имеют рекомендательный, но не предписывающий характер.
2.2. MOF [3] Ряд ведущих мировых компаний – вендоров, производителей программного и аппаратного
обеспечения
разработали
на
основе
ITIL
и
опубликовали
ряд
структурированных подходов (frameworks), отображающих точку зрения данной компании на управление ИТ и рассчитанные, как правило, на использование технологий и решений именно этой компании. Наиболее заслуживающей внимания «надстройкой над ITIL» является Microsoft Operations Framework (MOF). MOF представляет собой собрание лучших решений, принципов и моделей. Это технические руководства для достижения надежности, доступности и управляемости производственных систем, основанных на продуктах и технологиях Microsoft. Руководства представлены в форме статей и описаний по управлению службами, средствами контроля и эксплуатации, в форме описаний конкретных решений и инструментов поддержки, охватывающими людей, процессы и технологии для эффективного управления производственными системами в условиях сложных и распределенных ИТ-сред. MOF состоит из набора статей (white papers), руководств (operations guides), служб, обучающих материалов и включает в себя три основные модели: процессов (MOF Process Model); команды (MOF Team Model); управления рисками (MOF Risk Model). Каждая из моделей фокусируется на внедрении лучшего практического опыта в своей области. 13
Модель Процессов MOF поддерживает успешное оказание ИТ-услуг при помощи следующих важнейших принципов: - структурированная архитектура; - быстрый жизненный цикл, итеративное улучшение; - управление, основанное на оценке; - встроенное управление рисками. Применяя эти 4 принципа, Модель Процессов MOF разделяется на 4 взаимосвязанных квадранта операционной активности: изменение, эксплуатация, поддержка и оптимизация. Каждый из квадрантов применяется на определенном аспекте жизненного цикла ИТ. Задача каждого из квадрантов решается путем исполнения соответствующих функций управления услугами (см. рис. 2). К недостаткам MOF можно отнести тот факт, что MOF является переложением ITIL через подходы Microsoft к управлению ИТ-услугами, через использование продуктов и технологий Microsoft, и, следовательно, не является универсальным.
Рис. 2. Структура MOF
14
2.3. Стандарт COBIT [4] Control Objectives for Information and related Technology (CobiT) представляет собой стандарт, определяющий набор универсальных задач управления ИТ. Его ценность заключается в том, что он предлагает модель, обеспечивающую взаимосвязь между бизнес-целями и ИТ-процессами. CobiT позиционируется его разработчиками как результат обобщения мирового опыта в области управления ИТ, аудита и информационной безопасности. CobiT выпущен Институтом управления ИТ (IT Governance Institute, США), учрежденным Ассоциацией Аудита и Контроля ИС (Information Systems Audit and Control Association - ISACA). На данный момент выпущена уже 4-я версия стандарта. Необходимо отметить, что в данном случае термин «стандарт» предложен самими разработчиками и не является каким-либо международным или национальным стандартом «де-юре». Это набор структурированных требований, описанных как стандарт разработчиками данного документа. В
основу стандарта
CobiT
положено
следующее
утверждение
-
для
предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно сгруппированных процессов. ИТ-ресурсы, согласно CobiT, описываются через четыре составляющие: Приложения (Applications), Данные (Information), Инфраструктура (Infrastructure), Люди (People). CobiT содержит верхнеуровневое описание 34-х ИТ-процессов различных аспектах корпоративного управления ИТ. Все процессы сгруппированы в четыре домена: - Планирование и организация (Plan and organize); - Приобретение и внедрение (Acquire and implement); - Предоставление и поддержка (Deliver and support); - Мониторинг и оценка (Monitor and evaluate). Согласно CobiT, каждый процесс нуждается в контроле. Контроль определен как политика, процедуры, методы и организационные структуры, обеспечивающие разумную гарантию, что бизнес-требования будут достигнуты, и нежелательные события будут предотвращены или обнаружены и исправлены. 15
К достоинствам CobiT следует отнести четкую структуру механизмов контроля процессов и возможности проведения аудита ИТ-процессов на соответствие требованиям CobiT. Проведению аудита посвящен отдельный раздел, при этом в CobiT детально не рассматриваются вопросы как внедрить данные процессы, как и с помощью каких механизмов осуществлять деятельность (включая управление) в рамках данных процессов, с помощью каких механизмов и мер необходимо совершенствовать процессы ИТ.
2.4. ISO 20000 [5] Необходимость наличия формальных требований к управлению услугами в виде стандарта быстрее всего осознали и смогли воплотить в жизнь на родине ITIL – в Великобритании. Британский институт Стандартизации (British Standard Institute) официально разработал первый в мире стандарт в области управления услугами – BS 15000. Первая редакция BS 15000 была опубликована в ноябре 2000 года и базировалась на более ранних публикациях DISC PD 0005:1998 – «The Code of Practice for IT Service Management». В 2002 году была опубликована вторая редакция стандарта. В конце 2005 года Международная организация по стандартизации (ISO) выпустила первый стандарт «де-юре» в области Управления услугами – ISO/IEC 20000:2005, в основу которого был положен британский стандарт BS 15000. Стандарт ISO/IEC 20000 «определяет требования к поставщику услуг по предоставлению потребителю управляемых услуг приемлемого качества» и «должен способствовать принятию в повседневной практике процессного комплексного подхода к эффективному предоставлению управляемых услуг». ISO/IEC 20000 состоит из двух частей: - Information Technology - Specification for Service management (ISO/IEC 20000-1: 2005). Это набор формальных требований для организации предоставления ИТ-услуг с требуемым качеством; - Information Technology - Code of Practice for Service management (ISO/IEC 20000-2:2005). Это практическое руководство по управлению ИТ-услугами. В нем
16
более подробно, в форме рекомендаций раскрываются подходы к достижению формальных требований, изложенных в первой части стандарта.
Рис. 3. ИТ-процессы в стандарте ISO/IEC 20000 Стандарт ISO/IEC 20000 основан на парадигме процессного подхода и содержит ряд требований к процессам Управления ИТ-услугами. В стандарте описаны процессы управления услугами (см. рис. 3.), но не отображены взаимосвязи между процессами. Обе части стандарта имеют схожую структуру: - Область применения, термины и определения; - Требования к системе управления услугами; - Планирование и внедрение новых или измененных услуг; - Описания пяти групп ИТ-процессов (см. табл. 3). Согласно
стандарту,
необходимо
обеспечить
«систему
управления,
включающую политики и организацию управления, позволяющую реализовывать внедрение всех услуг ИТ и эффективное управление ими». Планирование и реализация управления услугами реализуется через цикл Деминга «Plan-Do-Check-Act» (PDCA). 17
При этом описание цикла и действий, которые должны быть осуществлены на каждом этапе, практически полностью совпадает с описанием цикла PDCA, приведенного в стандарте ISO/IEC 9000 с учетом специфики ИТ-услуг: - Планирование (plan) – установка целей управления услугами и определения процессов
управления
услугами,
необходимых
для
получения
результатов,
соответствующих требованиям потребителей и политикам поставщика услуг; - Реализация (do) – внедрение процессов управления услугами; - Проверка (check) – контроль и измерение процессов управления услугами и самих услуг. Предметом контроля и измерения должно быть соответствие этих процессов и услуг политикам поставщика услуг, целям управления услугами и требованиям потребителей услуг; - Действие (act) – выполнение действий по постоянному улучшению показателей процессов. Таблица 3. Группы ИТ - процессов в стандарте ISO/IEC 20000 Управление уровнями обслуживания (Service level management); Подготовка отчетности по услугам (Service reporting); 1. Процессы
Управление бесперебойностью и доступностью услуг
предоставления услуг
(Service Continuity and Availability Management);
(Service delivery process)
Бюджетирование и учѐт затрат на услуги ИТ (Budgeting and Accountings for IT services); Управление мощностями (Capacity Management); Управление обеспечением информационной безопасности (Information Security Management).
2. Процессы отношений
Управление отношениями с потребителями
(Relationship processes)
(Business relationship management); Управление подрядчиками (Supplier management).
3. Процессы решения
Управление инцидентами (Incident management);
(Resolution processes)
Управление проблемами (Problem management).
18
4. Процессы
Управление конфигурациями (Configuration management);
регулирования
Управление изменениями (Change management).
(Control processes) 5. Процессы релиза
Управление релизами (Release process).
(Release process)
19
3. Технологии внедрения ITSM Переход
к
сервисному
управлению
ИТС
предполагает
как
минимум
реинжиниринг бизнес-процессов, которые до этого считались вспомогательными. Используемые сегодня в России технологии внедрения ITSM можно разделить на три вида: технологии с акцентом на реинжиниринг процесса, на создание системы автоматизации и технологии сбалансированного типа [6]. Связи между услугами на рис. 4 задействованы в случае технологии сбалансированного типа (см. рис. 4). В материалах ITIL отсутствует детальное описание комплексной реализации этих услуг, что приводит к различиям «составляющих» этапов внедрения ITSM разными исполнителями.
Рис. 4. Реинжиниринг, автоматизация и обучение при внедрении ITSM [6] Технологии создания системы автоматизации базируются на российском опыте создания автоматизированных систем, основные положения которого изложены в ГОСТ 34-й серии. В целом проектирование сводится к одному из двух вариантов: -
изменение
(«подгонока»)
существующих
процессов
ITSM
под
функциональные возможности программного продукта, на основе которого создается система автоматизации; - выбор и использование одного из наиболее подходящих шаблонов процесса, который заложен разработчиком программного продукта.
20
Первый вариант проектирования связан с наибольшими рисками. В наихудшем случае, он даже может привести к ситуации, известной как «автоматизация хаоса». Нарушение технологии внедрения процессов
управления ИТ-сервисами,
например, такое характерное, как внедрение системы автоматизации процессов управления ИТ-сервисами без проведения реинжиниринга, как правило, не приводит к получению положительных результатов, а в отдельных случаях может привести к снижению эффективности данных процессов. В силу специфики выполняемых задач руководители ИТ-подразделений, обычно имея хорошую техническую подготовку, не обладают достаточным пониманием проблематики бизнеса, и формулируемые ими цели и задачи развития ИТ малоубедительны в глазах акционеров и бизнесменеджеров. Причиной тому является ошибочное представление ИТ-руководителей, что современной компании нужны новые высокотехнологичные решения сами по себе. Они часто забывают, что при неразумном использовании ИТ не предоставляют конкурентных преимуществ и что, государственной или бизнес-структуре необходимы не технологии как таковые, а положительный эффект, который может быть получен с их помощью. Технология сбалансированного типа является относительно новой, но она уже опробована при внедрении разных процессов ITSM. Данная технология базируется на учете взаимосвязей результатов, получаемых от трех указанных типов консалтинговых услуг. Основные результаты, получаемые от таких услуг на разных этапах внедрения ITSM, и их взаимосвязи показаны на рис. 4. Например, по этой технологии был внедрены проекты по управлению инцидентами в Корпоративном центре МТС и по управлению конфигурациями и изменениями в компании ТНК-ВР. Основное отличие технологии заключается в высоком качестве результатов проекта, которое определяется соответствием проектной документации требованиям стандартов ISO 20000, ИСО 9001 и реализованной функциональностью системы автоматизации. В ходе реинжиниринга формируются предложения по выбору оборудования и программного обеспечения, интеграции программно-технических средств. Правильный выбор системы автоматизации предполагает оценку ее функциональности (то есть соответствие реализуемых системой функций набору действий в рамках процесса 21
управления ИТ-сервисами ИТС, подлежащего автоматизации), гибкости (наличие и глубина возможностей по модификации), стоимости. Оптимальное соотношение этих параметров определяет правильный выбор системы автоматизации, отвечающей основным потребностям внедряемого процесса управления ИТ-сервисами ИТС. Также учитывается ряд других характеристик базового программного продукта, к которым относятся высокая степень адаптивности к требованиям бизнеса, масштабируемость
и
высокая
производительность
системы,
надежность
и
эффективность, оптимальное соотношение цены и качества и сроки внедрения. Передовой опыт, изложенный в ITIL, вводит следующие требования к средствам автоматизации ITSM: - поддержка учета конфигурационных единиц (или возможности глубокой интеграции со средствами учета); - учет пользователей (с указанием территориального расположения и места в организационной структуре); - учет большого количества параметров запросов (с возможностью настройки приоритетов и обязательности заполнения); - удобный поиск необходимой информации в накопленных данных; - автоматизированное информирование пользователей и сотрудников ИТподразделений; - возможности анализа накопленных данных. При этом как применяемые программные продукты, так и подход исполнителя проекта к реализации проекта по внедрению ITSM должны позволять при создании крупных, территориально-распределенных сетей разбивать систему на функционально законченные части. При таком подходе эффективно могут быть реализованы механизмы поэтапного развертывания и функционального наращивания системы автоматизации. На завершающих этапах возможно проектирование и внедрение интегрирующих решений наивысшего уровня, объединяющих все ранее внедренные проектные решения в единую комплексную систему. Системой автоматизации может быть охвачена вся совокупность компьютерного оборудования и программного обеспечения,
22
которая дает возможность тем или иным процессам предоставлять услуги для бизнесподразделений организации. Перечень проектной документации в соответствии с рекомендациями ITIL по внедрению ITSM и требованиями ГОСТ Р ИСО 9001:2000 выглядит следующим образом: 1)
«Описание
комплекса
программно-технических
средств
системы
автоматизации процесса управления»; 2) «Описание настроек системы автоматизации процесса управления»; 3) «Описание порядка внесения изменений в настройки системы автоматизации процесса управления»; 4) «Описание интерфейса системы автоматизации процесса управления»; 5) «Методика комплексного тестирования системы автоматизации процесса управления»; 6) «Ролевые инструкции для участников процесса управления».
23
4. Управление непрерывностью сервисов ИТС С развитием и ростом современных ИТС многократно возрастает опасность техногенных и природных катастроф, выводящих из строя ИТ-инфраструктуру. Как показывает статистика рынка ИТ, а также техногенных и природных катастроф, применение процесса управления непрерывностью ИТ-услуг переходит в разряд обоснованной необходимости. Цель процесса управления непрерывностью предоставления ИТ-услуг (IT Service Continuity Management, ITSCM) - поддержка непрерывности бизнеса в целом. Такая поддержка означает, что, во-первых, инфраструктура ИТС и ИТ-услуги, в том числе услуги по поддержке, должны быть восстановлены за заданный период времени после возникновения чрезвычайной ситуации [6]. Во-вторых, на время восстановления функционал ИТС должен поддерживаться на "аварийном" уровне, приемлемом для ведения бизнеса, то есть на уровне, минимально необходимом для функционирования бизнеса. Поскольку целью процесса является поддержка бизнеса, то сфера действия процесса должна определяться в первую очередь исходя из целей бизнеса. Согласно ITIL процесс отвечает за решение следующих основных задач: - оценку воздействия нарушений в предоставлении ИТ-услуг при возникновении чрезвычайной ситуации; -
определение
дополнительных
критичных
превентивных
для мер
бизнеса по
ИТ-услуг,
обеспечению
которые
требуют
непрерывности
их
предоставления; - определение периода, в течение которого предоставление ИТ-услуги должно быть восстановлено; - определение общего подхода к восстановлению ИТ-услуги; - разработку, тестирование и поддержку плана восстановления ИТ-услуги с достаточным уровнем детализации, который поможет пережить чрезвычайную ситуацию и восстановить нормальную работу за заданный промежуток времени. В рамках ITIL процесс управления непрерывностью ИТ-услуг неразрывно связан с процессом управления непрерывностью бизнеса (Business Continuity 24
Management - BCM), который обеспечивает анализ и управление рисками и позволяет организации постоянно поддерживать функционирование минимально допустимых производственных мощностей. Он помогает уменьшить степень риска до приемлемого уровня и разработать планы восстановления бизнес-процессов на случай их повреждения во время чрезвычайной ситуации. Например, компании, территориально расположенной в районе частого скопления грозовых облаков, для уменьшения вероятности повреждения инфраструктуры ИТС необходимо сконцентрировать внимание на превентивной защите от удара молнией и только затем разрабатывать планы обслуживания потребителей во время сбоя и план восстановления всей инфраструктуры. Ключевая цель анализа воздействия на бизнес - определение стоимости простоев, вызванных сбоем и скорости распространения сбоя по инфраструктуре ИТС. В рамках анализа, во-первых, из всего перечня бизнес-процессов выделяются критичные процессы, которые должны быть доступны в любом случае, даже при наступлении чрезвычайной ситуации и ИТ-услуги, связанные с этими процессами. Вовторых,
определяются
потенциальное
воздействие
и
потери
от
сбоев
в
функционировании этих процессов с учетом расположения и специфики работы предприятия, а также его клиентов и поставщиков. Анализ инфраструктуры предприятия должен показать зависимость между ИТ-услугами и ИТС, т.е. степень критичности ИТ-сервисов для поддержки ИТС. При выполнении анализа важно понять, как изменяется степень влияния сбоя на ИТС с течением времени. В некоторых случаях при возникновении чрезвычайной ситуации компания первое время еще может функционировать, и тогда основное внимание необходимо уделить быстрому восстановлению ИТС. В других случаях бизнес не может работать без ИТС, и здесь главное - предотвратить чрезвычайные ситуации и обеспечить предоставление услуг во время сбоя. Для некоторых ИТС могут быть достигнуты договоренности о предоставлении экстренного сервиса, аналогичного возможностями
и
доступностью.
утраченной Например,
на
услуге, но с случай
сбоя
ограниченными электропитания
устанавливаются резервные источники питания, которые обеспечивают работу только основной инфраструктуры ИТС. 25
Анализ рисков в рамках реализации процесса управления непрерывностью ИТуслуг включает в себя определение вовлеченных в процесс компонентов (активов), таких как здания, системы, данные и т.д. Идентификация требует определения владельцев активов и их назначения. Одновременно с этим анализируются угрозы и оценивается
вероятность
возникновения
чрезвычайной
ситуации,
а
также
идентифицируются и классифицируются уязвимости. На последнем этапе все это привязывается к конкретным компонентам инфраструктуры ИТС. Анализ рисков инфраструктуры ИТС выявляет вероятные угрозы и позволяет заранее предусмотреть некоторые превентивные меры. Поскольку создание, поддержка и применение плана восстановления ИТС после чрезвычайной ситуации - мероприятия дорогостоящие, то для сокращения затрат применяют превентивные меры против наиболее серьезных и вероятных рисков. Необходимо также оценить остальные риски по статистике всех произошедших в прошлом сбоев, по сбоям, характерным для данного бизнеса, данной местности и т.п. При комплексном внедрении нескольких процессов ITIL следует учитывать и разделять области действия процессов. Некоторые риски можно нивелировать с помощью мер, принимаемых другими процессами, такими как, например, процесс управления доступностью. Сценарии восстановления сервисов ИТС 1) Возврат к «ручной» системе. Немногие компании могут отказаться от быстрого восстановления. Это компании с низким уровнем развития ИТС и низкой зависимостью от ИТС.
2)
Взаимные
соглашения.
Способ
подразумевает
договоренность
с
другой
организацией о взаимном предоставлении ИТ-услуг, инфраструктуры ИТС в случае чрезвычайного происшествия в одной из них. 3) Поэтапное восстановление ("холодный" резервный центр). Используется в сферах бизнеса, в которых можно обойтись без ИТ-услуг в течение некоторого промежутка времени. За это время предоставляется зарезервированный заранее ИТ-центр или 26
доставляется необходимое оборудование для развертывания такого центра на территории компании. 4) Промежуточное восстановление ("теплый" резерв). Позволяет восстановить работу в течение короткого промежутка времени (от 24 до 72 часов). Для реализации такого подхода используют, например, среду тестирования как рабочую среду или мобильный компьютерный центр. 5) Немедленное восстановление ("горячий" старт). Данный способ позволяет менее чем за 24 часа, восстановить работу путем предоставления идентичной рабочей среды. 6) Комбинация способов. Использование только одного способа восстановления практически
не
встречается.
На
практике
обычно
применяется
комбинация
представленных способов восстановления. Например, применение дорогостоящего "горячего" старта, но только до момента развертывания "холодного" резервного центра. При проведении анализа рисков выявляются также выгоды для бизнеса, которые можно получить при реализации процесса. Когда определен возможный риск для бизнеса, а не только для конкретной ИТС, появляется возможность обосновать необходимые средства для принятия превентивных мер и мер по борьбе с чрезвычайными происшествиями, например, плана восстановления после катастрофы. При возникновении чрезвычайной ситуации использование процесса ITSCM дает организации
дополнительные
преимущества:
возможность
управления
восстановлением своих систем, уменьшение простоев в работе, сведение к минимуму перерывов в своей деятельности. Подход многих российских компаний к реализации процесса управления непрерывностью ИТ-услуг обычно отличается от западных стандартов. Основное отличие в том, что владельцем процесса является не ИТ-служба компании, а служба безопасности. Для оценки важности каждой конкретной ИТ-услуги необходимо иметь в составе
службы
безопасности
квалифицированных
ИТ-специалистов,
что
нерационально и нерентабельно. У такого подхода есть и достоинства. Среди них 27
четкое разделение обязанностей и ответственности. В повседневной деятельности заняты только специалисты ИТ-службы, а в реализации процесса непрерывности (восстановления) ИТС - только специалисты службы безопасности.
28
Литература 1. Стандарты ГОСТ Р ИСО 9000-2001, 9001-2001, 9004-2001. 2. ITIL Planning to implementation, London, OGC, 2002; ITIL Service Delivery, London, London, OGC, 2002; ITIL Service Support, London, London, OGC, 2002; ITIL Application Management, London, OGC, 2002; ITIL ICT Infrastructure Management, London, OGC, 2002; ITIL The Business Perspective, London, OGC, 2006; ITIL Quality Management for IT Services. Brian, CCTA, 1999. 3. MOF. Executive Overview, Microsoft, 2002; MOF. Process Model for Operations, Microsoft, 2002; MOF. Executive Overview, Microsoft, 2002; MOF. Process Model for Operations, Microsoft, 2002, http://www.microsoft.com/mof. 4. Control Objectives for Information and related Technology (CobiT) 4.0., IT Governance Institute, USA, 2005. 5. Стандарты ISO/IEC 20000-1:2005, 20000-2:2005, 27001-1:2005. 6. ITIL в России: теория и практика, Ай-Теко, 2007.
29