Книги библиотеки ITIL

Первоначально библиотека ITIL состояла из нескольких комплектов книг, в каждом из которых описывалось отдельное направление в сфере информаци­онной инфраструктуры. Основой ITIL считались десять книг, посвященных под­держке и предоставлению услуг.

Сейчас библиотека ITIL состоит из восьми томов:

□ Service Support;

□ Service Delivery;

□ Planning to Implement Service Management;

□ Application Management;

□ ICT Infrastructure Management;

□ Security Management;

□ Software Asset Management;

□ The Business Perspective: The IS View on Delivering Services to the Business.

Основные принципы ITIL

Организация деятельности ИТ-службы осуществляется с использованием процессного подхода. Задачей ИТ-службы является предоставление основному бизнесу полного набора информационных услуг.

ИТ-сервисы поставляются на основании соглашения об уровне предоставления сервисов (service level agreement), которое является согласованным и утвержден­ным документом.

Качество предоставления ИТ-сервиса является измеряемой величиной.

Преимущества ITIL

Преимущества ITIL заключаются в следующем:

□ использование передового опыта и проверенных знаний;

□ направленность деятельности ИТ на решение задач бизнеса;

□ использование ИТ-служб поставщиками ИТ-услуг для бизнес-подразделений;

□ регламентирование деятельности ИТ соглашением об уровне услуг;

□ стандартизация работы ИТ-персонала;

□ направленность на обеспечение оптимального качества ИТ-услуг для потре- . бителей;

□ использование подходов менеджмента качества в управлении ИТ-сервисами;

□ возможность подтверждения стоимости ИТ-сервиса на основании соглашения об уровне обслуживания.

Библиотека ITIL постоянно пополняется и дорабатывается с учетом нового опыта и знаний, полученных в индустрии оказания ИТ-услуг. Передовые методы ITIL, позволяющие повысить эффективность управления ИТ-инфраструктурой, на сегодняшний день используются большинством крупных мировых компаний.

Процессы ITSM

Управление ИТ-услугами (IT Service Management, ITSM) объединяет 10 про­цессов, описанных в книгах Service Support и Service Delivery библиотеки ITIL (табл. 9.1).

9.3.2. Стандарт CobiT

Стандарт CobiT (Control Objectives for Informatfon and Related Technology — контрольные цели для технологии обработки информации и смежной технологии) представляет собой набор документов, в которых изложены международные стан­дарты управления, контроля и аудита информационных систем любого масштаба и сложности.

Открытый стандарт CobiT разрабатывается фондом ISACF (Information Systems Audit and Control Foundation — фонд аудита и контроля информационных систем) и поддерживается ассоциацией ISACA (Information Systems Audit and Control Association — ассоциации аудита и контроля информационных систем).

CobiT и ITIL

ITIL и CobiT являются открытыми стандартами и не зависят от конкретных производителей, платформ и технологий. Данные стандарты описывают часто используемые ИТ-процессы. Однако библиотека ITIL направлена в основном на управление ИТ-процесами, а стандарт CobiT в первую очередь предназначен для контроля и аудита информационных систем компаний. Еще несколько принципиальных отличий:

□ CobiT предоставляет инструменты управления ИТ-процессами более высокого уровня по сравнению с ITIL. В ITIL приводится подробное описание процедур, направленных на внедрение ИТ-процессов на уровне взаимодействия «дирек­тор по ИТ — руководители подразделений». Стандарт CobiT ориентирован на уровень взаимодействия «куратор ИТ от бизнеса — директор по ИТ».

□ CobiT рекомендует стандартные механизмы управления и аудита в сфере ИТ, а стандарт ITIL основан на лучшем практическом опыте построения и совер­шенствования ИТ-процессов.

□ Рекомендации ITIL в основном используются для управления процессом по­строения информационной системы, а рекомендации CobiT — для комплексного управления ИТ-процессами и для их аудита.

Структура CobiT

Объекты контроля CobiT строго структурированы, выделяется четыре базовые группы (домена): Планирование и организация, Проектирование и внедрение, Экс­плуатация и сопровождение, Мониторинг и оценка. Домены подразделяются на 34 подгруппы, которые, в свою очередь, делятся на 318 объектов контроля. Стандарт CobiT изложен в шести книгах:

□ Резюме для руководителя. Краткое описание стандарта CobiT для топ-менед­жеров организации, принимающих решения об использовании стандарта в ор­ганизации.

□ Описание структуры. В книге приводится подробное описание структуры стандарта, высокоуровневых целей контроля и комментарии, необходимые для эффективной работы со стандартом.

□ Объекты контроля. Книга подробно описывает объекты контроля, предлагаемые стандартом CobiT.

□ Принципы управления. Книга предназначена для руководителей ИТ-служб и рассматривает вопросы ИТ-менеджмента, включая определение целей и спо­собов их достижения.

□ Принципы аудита. В книге изложены правила проведения ИТ-аудита и даны рекомендации о том, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать. Книга адресована внутренним и внешним ИТ-аудиторам, а также консультантам в сфере ИТ.

□ Набор инструментов внедрения стандарта. Книга содержит практические сове­ты по использованию стандарта в ИТ-управлении и ИТ-аудите. Ориентирована на внутренних и внешних ИТ-аудиторов, а также ИТ-консультантов.

Преимущества CobiT

Стандарт CobiT предлагает единый подход к сбору и анализу информации, подготовке выводов и заключений на всех этапах управления, контроля и аудита в сфере ИТ. CobiT позволяет использовать лучший опыт аудита и контроля в этой сфере с учетом существующих ИТ-процессов.

Перечислим преимущества модели процессов управления и аудита в сфере ИТ, построенной на основе CobiT.

□ В основе модели лежат бизнес-процессы организации, методики и стандарты аудита производителей программно-аппаратных средств.

□ Процесс — это действие, которое направлено на достижение результата при оп­тимальном использовании ресурсов и которое может корректироваться в ходе выполнения. Все ресурсы, задействованные в процессе, структурируются таким образом, чтобы максимально эффективно выполнять данный процесс.

□ В подавляющем большинстве организаций процессы, а особенно их цели, ста­бильны и по сравнению с организационными объектами (сотрудники, отделы, департаменты и пр.) меняются не часто.

□ Внедрение информационных технологий, как правило, не ограничивается рам­ками одного отдела или департамента, а затрагивает всю структуру организации и ИТ-службу. Прикладное программное обеспечение является неотъемлемым объектом контроля CobiT и стандартно оценивается в рамках единой структуры с применением единых метрик.

9.3.3. Стандарт MOF

Методология и соответствующий ей стандарт MOF (Microsoft® Operations Framework) разработаны корпорацией Microsoft.

MOF состоит из набора взаимосвязанных «рекомендованных практик», осново­полагающих принципов и процедур, которые вместе представляют собой полные руководства по обеспечению надежности решений и услуг в сфере ИТ. В составе MOF вы найдете инструкции в форме вопросов, помогающие определить, что необходимо вашему ИТ-подразделению сегодня, а также мероприятия, которые позволят ему эффективно и результативно работать в будущем.

Инструкции в MOF охватывают все действия и процессы управления ИТ- услугами, включая планирование, разработку, использование, обслуживание и в конечном счете вывод из эксплуатации. В модели MOF эти действия и про­цессы упорядочены в виде функций управления ИТ-услугами (так называемых SMF-функций), которые группируются по этапам, отражающим жизненный цикл ИТ-услуги. Каждая SMF-функция относится к определенному этапу жизненного цикла и обладает уникальным набором целей и результатов, отвечающих предна­значению этого этапа. Готовность ИТ-услуги к переходу на следующий этап опре­деляет управленческий анализ, призванный убедиться, что цели были достигнуты надлежащим образом, а цели ИТ-услуги соответствуют целям организации.

Цель MOF заключается в предоставлении ИТ-подразделениям руководств, помогающих создавать, эксплуатировать и поддерживать ИТ-услуги, обеспечивая получение ожидаемых коммерческих преимуществ от конкретных инвестиций в ИТ с приемлемым уровнем риска.

Модель MOF предназначена для создания среды, в которой компания и ее ИТ- подразделение смогут совместно работать над совершенствованием деятельности и использовать при этом модель, описывающую процессы и стандартные проце­дуры, направленные на повышение эффективности и продуктивности ИТ-услуг. MOF предлагает логический подход к принятию решений и обмену информацией при планировании, развертывании и поддержке ИТ-услуг.

Описание модели MOF состоит из серии обзоров этапов (фаз жизненного цикла) и руководств по функциям сервисного управления (Service Management Function, SMF), в которых описываются действия по успешному управлению ИТ- услугами. Эти действия начинаются с оценки, предваряющей запуск новой или усовершенствованной услуги, проходят через оптимизацию существующей услуги и заканчиваются выводом устаревшей услуги из эксплуатации.

Руководства написаны для разных целевых аудиторий: ИТ-директоров, руко­водителей ИТ-подразделений и ИТ-специалистов.

□ Обзорные руководства предназначены для ИТ-директоров, которым необходй- мо получить «общую картину» модели.

□ Функциональные руководства, содержащие обзорную информацию и описание рабочих процессов, помогут руководителям ИТ-подразделений изучить стра­тегии предоставления ИТ-услуг.

□ Функциональные руководства с подробным перечнем действий рассчитаны на ИТ-специалистов, занимающихся применением модели MOF на практике.

9.3.4. Стандарт ISO 20000:2005 и его отечественная адаптация - ГОСТ P ИСО/МЭК 20000

Международный стандарт ISO/IEC 20000:2005, основанный на стандар­те BS 15000:2002, разработанном британским институтом стандартов (British Standards Institution, BSI), является обобщением мирового опыта в организации управления ИТ-сервисами и применим к Любой организации вне зависимости от отрасли и размеров, в деятельности которой ИТ-сервисы играют важную роль.

Стандарт определяет требования и взаимосвязанные процессы, необходимые для создания и эффективного применения системы менеджмента. В нем пред­лагаются универсальные критерии, по которым можно объективно оценивать возможности компании при выполнении требований пользователей с учетом особенностей бизнеса.

Стандарт состоит из двух частей:

□ ISO 20000-1:2005 «Information technology — Service management. Part 1: Spe­cification»;

□ ISO 20000-2:2005 «Information technology — Service management. Part 2: Code of Practice».

Первая часть представляет собой подробное описание требований к системе менеджмента ИТ-сервисов и ответственности за инициирование, выполнение и поддержку в организациях. Эта часть состоит из 10 разделов и 13 процессов, со­бранных в 5 ключевых групп:

□ Процессы предоставления сервисов (service delivery process). В эту группу входят управление уровнем сервисов, управление непрерывностью и доступностью, управление мощностями, отчетность по предоставлению сервисов, управление информационной безопасностью, ведение бюджета и учет затрат.

□ Процессы управления взаимодействием (relationship processes). Эта группа вклю­чает в себя управление взаимодействием с бизнесом, управление поставщиками.

□ Процессы разрешения (resolution processes). В этой группе разработчики стан­дарта фокусируются на инцидентах, которые удалось предотвратить или успеш­но разрешить. Она касается управления проблемами и инцидентами.

□ Процессы контроля (control processes). В данной группе рассматриваются про­цессы управления изменениями и конфигурациями.

□ Процессы управления релизами (release process). Здесь речь идет о выработке новых и коррекции уже имеющихся решений.

Вторая часть представляет собой практические рекомендации по процессам, тре­бования к которым сформулированы в первой части. Она является руководством для аудиторов и компаний, намеренных пройти сертификацию, и содержит 10 разделов.

Оценка соответствия ИТ-сервисов требованиям ISO 20000-1:2005 позволяет представить объем нереализованных требований. Кроме того, удается запланиро­вать их выполнение с учетом рекомендаций ISO 20000-2:2005, библиотеки ITIL или любой другой методологии. Внедрение ISO 20000-2:2005 или ITIL не явля­ется обязательным требованием для соответствия стандарту ISO 20000-1:2005, но использование практик, упоминаемых в ISO 20000-2:2005 или ITIL, делает этот процесс гораздо более простым и ясным.

Стандарт ISO 20000:2005 предлагает модель улучшения процессов — цикл PDCA (более известен как цикл Деминга):

□ PLAN — спроектируйте или измените процесс для улучшения результатов;

□ DO — осуществляйте выполнение;

□ CHECK — проведите измерение и подготовьте отчет о работе;

□ ACT — решите, какие изменения необходимы для улучшения процесса.

Кроме того, в стандарте выдвигаются требования к мере ответственности ру­ководителей компании, предоставляющей ИТ-сервисы, а также к управлению до­кументацией, к компетенции, осведомленности и подготовке персонала.

Чтобы обеспечить интегрированный подход к оказанию высококачественных и эффективных ИТ-услуг, стандарт ISO 20000:2005 предлагает переход к сервис­ной модели ИТ, который реализуется путем разработки и внедрения формальной системы управления ИТ-сервисами (СУИС). СУИС позволяет повысить уровень капитализации предприятия и способствует его признанию на международном уровне.

После внедрения СУИС предприятие вплотную подходит к сертификации. В ^оде сертификации по стандарту ISO 20000 проверяются политика и цели компа­нии, система оценки рисков ИТ-сервисов, используемые процедуры и соответствие требованиям стандарта.

Варианты сертификации:

□ Расширение области регистрации. Компания после завершения сертификации по ISO 9001:2000 проверяется на соответствие требованиям ISO 20000 и, таким образом, расширяет область регистрации ISO 9001.

□ Получение сертификата на соответствие стандарту ISO 20000. В данном случае компания проходит сертификацию на соответствие стандарту ISO 20000 отдельно. Представители сертифицирующей организации посещают предпри­ятие с целью установить соответствие его системы управления ИТ-сервисами требованиям ISO 20000. При положительных результатах аудита выдается сертификат на систему, включающий в себя информацию о соответствии этой системы требованиям ISO 20000-1:2005.

Таким образом, ISO 20000:2005 предоставляет, во-первых, средства для оценки и измерения эффективности деятельности ИТ внутри организации. Во-вторых, стандарт направлен на реализацию задач, связанных с проведением тендеров при выборе внешнего поставщика ИТ-сервисов. Независимая сертификация по этому стандарту позволяет организациям продемонстрировать своим клиентам соответ­ствие качества оказываемых услуг лучшим мировым практикам.

9.3.5. Стандарт ISO/IEC 38500:2008

При помощи стандарта ISO/IEC 38500:2008 любое учреждение может модерни­зировать рабочий процесс посредством эффективного ИТ-менеджмента. Стандарт предназначен в первую очередь высшему руководству организаций, чтобы они мог­ли понимать и выполнять свои правовые, этические и нормативные обязательства в отношении ИТ.

Основная цель стандарта состоит в достижении эффективного, результативного и доступного применения ИТ любыми организациями и учреждениями. ISO/IEC 38500:2008 по ИТ-менеджменту предназначен для использования организациями всех видов и размеров, от небольших коммерческих предприятий и некоммерче­ских организаций до крупных госучреждений.

Большинство организаций использует ИТ в качестве основного бизнес-сред- ства. Все составляемые на будущее бизнес-планы не обходятся без ИТ-разработок. Неточная информация может помешать добиться конкурентоспособности или под­вергнуть организацию риску несоблюдения законов. Для решения данных проблем был разработан и опубликован стандарт ISO/IEC 38500, в котором представлены подробные разъяснения и инструкции по ИТ-менеджменту.

Стандарт ISO/IEC 38500 способствует проведению политики развития деятель­ности организации в соответствии со всеми обязательствами (законодательством, общим правом, нормативными актами и контрактными соглашениями) относи­тельно допустимого использования ИТ.

Посредством применения данного стандарта создается инфраструктура эффек­тивного ИТ-менеджмента, и тем самым оказывается реальная помощь в реализации организациями юридических, нормативно-правовых и моральных обязательств в сфере использования ИТ, соответствующих также и стандартам ITIL.

Структура стандарта ISO/IEC 38500 включает в себя определения, принципы и модели. В тексте стандарта описаны шесть наиболее эффективных принципов управления ИТ, в которых указаны основные аспекты принятия решений:

□ ответственность;

□ стратегия;

□ приобретение;

□ реализация;

□ соответствие;

□ человеческое поведение.

Посредством стандарта руководство может объективно оценить существующую ИТ-инфраструктуру своей организации, направить и проконтролировать исполь­зование информационных технологий и в итоге наладить четкую и продуктивную систему ИТ-менеджмента.