Бесспорный факт: в повседневной практике ИТ-департамента везде и всюду используются стандарты. К их числу можно отнести нормативные акты, регулирующие деятельность в отдельных областях; рекомендации, выдаваемые авторитетными организациями; правила, негласно принятые на практике в данной отрасли. Стандарты призваны обеспечить всестороннюю эффективность деятельности и качество производимой продукции.

Существует достаточное количество документов, как российских, так и зарубежных, описывающих работу службы ИТ с различных точек зрения.

Большое число стандартов - это одна из особенностей растущего мирового рынка информационных технологий. Чтобы разобраться в том, какую роль играют основные стандарты, необходимо, на мой взгляд, провести их классификацию. В качестве классифицирующего признака можно взять, например, целевое воздействие (требования к персоналу, к оборудованию, к условиям работы и т. д.) или область применения (системы хранения, информационная безопасность и т. д.).

Можно оценить, например, жизненный цикл изделия (в соответствии со стандартом ISO/IEC TR 15504), описав последовательность процессов его разработки. Но в этой статье деятельность ИТ-департамента будет представлена с помощью системного анализа в виде процессов, направленных на достижение бизнес-целей организации.

Для рассмотрения подходов к созданию и функционированию информационной системы, включающей в себя не только программно-аппаратные средства, но и персонал, технологии и т. п., можно выделить два стандарта: CobiT и ITIL. Они заслуженно пользуются популярностью и авторитетом во многих странах мира, так как созданы на основе многолетней практики и опыта специалистов в области управления ИТ.

Процессный подход - отличительная черта CobiT и ITIL. Тем не менее между этими двумя стандартами тоже есть различия, которые заключаются в принципах организации работы ИТ-департамента. В случае использования методологий CobiT информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Другими словами, CobiT описывает бизнес-ориентированный подход к созданию информационной среды: ИТ рассматриваются в виде инструмента бизнеса, а стандарт определяет принципы построения и организации работы ИТ-департамента. Использование ITIL предполагает эффективное предоставление ИТ-услуг конечному пользователю. Другими словами, взаимодействие основной организации и ИТ-департамента строится на договорной основе, и, кроме того, четко определены качественные и количественные требования к ИТ-услугам. Такой подход предполагает дифференциацию функций и децентрализацию управления в организации. В частности, ИТ-департамент должен обладать как широкими полномочиями в своей области, так и ответственностью за предоставление качественных услуг. Таким образом, стандарт ITIL регулирует взаимодействие ИТ-департамента и потребителей ИТ-услуг.

Стандарт управления и контроля информационных систем

Стандарт разработан Фондом аудита и контроля информационных систем (ISACA) с целью создания рекомендаций для построения и контроля информационной среды.

Основная идея CobiT состоит в том, что организация работы ИТ-департамента должна быть основана на отдельных процессах, а не на функциях. В отечественной практике в большинстве случаев существует функциональное разделение обязанностей и ответственности, что может привести к появлению бесконтрольных областей (например, при назначении группы администраторов локальной сети, ответственных за эксплуатацию нового сегмента сети, возникновение нештатной ситуации на границе сетей иногда провоцирует конфликт, связанный с распределением ответственности за граничный участок). Описание деятельности ИТ-департамента посредством процессов позволяет определить оптимальное соотношение между возможностями ИС и требованиями, возникающими в ходе деятельности организации. Следует подчеркнуть, что любой процесс имеет определенную достижимую цель. Поэтому работа ИТ-департамента в целом должна рассматриваться как процесс, направленный на поддержание основной деятельности организации и на обеспечение пользователей необходимой информацией (см. рис. 1).

Рис.1. Общая схема управления деятельностью департамента

У каждого процесса есть входные (ресурсы) и выходные (конечный продукт) данные, а также параметры работы (требования, ограничения и т. п.). Общая модель использования ресурсов, ограничений и требований, разделенная на процессы, позволяет оптимизировать работу ИТ-департамента. Кроме того, такое разделение на процессы помогает четко распределить ответственность. Для простоты восприятия стандарт CobiT описывает все внутренние процессы ИТ-департамента в виде иерархической структуры.

На первом уровне выделены четыре базовых процесса (домена), заключающих в себе основные виды деятельности ИТ-департамента:

  • планирование и организация;
  • приобретение и внедрение;
  • поставка и поддержка;
  • контроль.

Второй уровень иерархической структуры содержит более 30 процессов, каждый из которых детализирован и рассмотрен подробно на третьем уровне. Для всех процессов описаны методы управления и контроля, что позволяет использовать стандарт CobiT на всех жизненных стадиях информационной системы, начиная с построения ее эффективной модели и заканчивая управлением, контролем и аудитом.

В CobiT следует выделить три основополагающих этапа построения эффективной модели ИТ-департамента, которые надо выполнять последовательно.

Первый этап заключается в сопоставлении возможностей информационной системы (ее ресурсов) с требованиями, возникающими в ходе деятельности организации (так называемые требования бизнес-процессов). Возможности системы рассматриваются как совокупный эффект от использования имеющихся ресурсов: квалифицированного персонала, программных и аппаратных средств, технологий. Для определения требований бизнес-процессов необходимо дать качественную оценку требований к информации на основе следующих критериев:

  • эффективность;
  • оперативность;
  • конфиденциальность;
  • целостность;
  • доступность;
  • соответствие;
  • надежность.

Исходя из требований к информации последовательно реализуется второй этап, который определяет использование целевых ресурсов, входные и выходные данные для каждого процесса, направленного на достижение целей бизнеса. Все целевые ресурсы подразделяются на пять категорий: кадры, приложения, технологии, средства информатизации, данные.

Рис. 2. Схема построения взаимосвязанных ИТ-процессов

И наконец, после определения процессов на втором этапе сравнивается их совокупный конечный продукт с требованиями бизнес-процессов. Таким образом, круг замыкается (см. рис. 2). Соответствие между целями организации и деятельностью ИТ-департамента сохраняется постоянно.

Таким образом, стандарт CobiT позволяет оценивать текущую деятельность ИТ-департамента с трех сторон: с точки зрения процессов, ресурсов и бизнес-требований к информации.

С практической точки зрения стандарт CobiT является руководством по управлению инвестициями, оценке рисков и аудиту информационных систем. Для российского бизнеса этот стандарт особенно актуален, так как по мере роста ИТ-департаментов довольно остро встает кадровая проблема. Кроме того, резкая смена отношения российских организаций к информационным технологиям заставляет руководителей ИТ-департаментов ориентироваться в быстро меняющейся среде, предугадывая перспективы того или иного продукта. Но время идет, бурный и хаотичный рост сменяется целенаправленным движением в сторону экономии и повышения качества предоставляемых услуг. Очевидно, что на российском рынке акценты уже смещаются от тотальной автоматизации различных бизнес-функций в сторону поддержки бизнес-процессов.

Рис. 3. Модель процесса "Управление инфраструктурой"

И эта тенденция отражена в стандарте CobiT, так как предпосылками разработки стандарта стала потребность оценки эффективности ИТ в организациях с точки зрения процессов. Таким образом, этот стандарт можно рассматривать не только как инструмент для оптимизации работы ИТ-департамента, но и как целевую модель развития организации.

Проиллюстрируем этот тезис на примере. Предположим, что в крупной компании планируется использование системы управления ИТ-инфраструктурой. В соответствии с принципами построения модели ИТ-процессов (см. рис. 3) выделим основные критерии для этой системы.

  • Требования бизнес-процессов: создать физическую среду, устойчивую к возникновению человеческих ошибок и сбоев оборудования и программного обеспечения.
  • Возможности ИТ-ресурсов: обеспечение постоянного физического контроля с целью анализа работы оборудования и выявления отклонения в его работе.
  • Критерии оценки требований к информации: целостность и доступность.

При управлении инфраструктурой основным целевым ресурсом являются средства информатизации.

В иерархической структуре стандарта CobiT процесс управления инфраструктурой представлен в домене "Поставка и поддержка" и подробно детализирован с выделением следующих основных процессов:

  • доступ к устройствам;
  • идентификация взаимодействующих сторон;
  • физическая безопасность;
  • обследование;
  • непрерывное планирование и управление кризисными ситуациями;
  • защищенность персонала;
  • предотвращение сбоев в эксплуатации;
  • защита от возможных сбоев;
  • оперативный автоматический мониторинг.

В каждом конкретном случае в этот перечень могут добавляться (или удаляться) детализированные требования, помогающие полнее отразить особые, специфические требования или описать дополнительный функционал.

С точки зрения стандарта CobiT использование всех перечисленных ресурсов и выполнение требований - необходимое условие нормальной работы системы управления инфраструктурой.

Итогом дальнейшего проектирования стала модель взаимосвязанных процессов, реализующих все функции управления инфраструктурой. При этом в техническом проекте остается лишь определить те конкретные программно-аппаратные средства, которые будут соответствовать выдвинутым требованиям модели.

Описанные в стандарте CobiT процессы охватывают очень широкий диапазон деятельности ИТ-департамента, поэтому применение стандарта требует достаточного опыта и квалификации. Как правило, этой работой занимаются профессиональные консультанты - специалисты в области ИТ-аудита.

CobiT имеет и ряд безусловных преимуществ. Его использование, например, помогает установить полный контроль над инвестициями в ИТ. Кроме того, он дает возможность управлять информационной системой проактивно, то есть не допускать возникновения сбоев, а уменьшать риски и предотвращать их появление. Подчеркнем и другие преимущества CobiT.

  • Стандарт не зависит от конкретных технологий и программно-аппаратных средств (стандарт обеспечивает эффективную работу ИТ-инфраструктуры на уровне процессов, оставляя руководителю ИТ-департамента выбор решений, которые содержат требуемый функционал).
  • Он универсален и годится для разных информационных систем.
  • В стандарте содержится опыт, накопленный в мире ведущими специалистами в области построения эффективных ИС и управления ими.

Отличие CobiT от других стандартов заключается в подходе к организации работы ИТ-департамента. В случае использования методологий CobiT информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Другими словами, CobiT описывает бизнес-ориентированный подход к созданию информационной среды. ИТ рассматривается в виде инструмента бизнеса, а стандарт определяет принципы построения и организации работы ИТ-департамента.

Стандарт взаимодействия с потребителями ИТ-услуг и управления обслуживанием информационных систем

Среди стандартов, использующих процессный подход, можно выделить британский стандарт ITIL, созданный в конце 1980 года Центральным компьютерным и телекоммуникационным агентством (ССТА).

В стандарте ITIL описываются принципы управления обслуживанием информационных систем, а также уделено особое внимание организации предоставления ИТ-услуг. В этом случае ИТ-департамент удобно рассматривать в качестве самостоятельной структуры, которая ведет деятельность по всестороннему обеспечению головной организации ИТ-услугами.

Создание стандарта ITIL было обусловлено тем, что требования к информационным системам стремительно возрастали в условиях ограниченности ресурсов. Такое положение дел обусловливало необходимость сокращения издержек при обслуживании и модернизации.

Как и в CobiT, в стандарте ITIL деятельность по обеспечению ИТ-услуг представляется в виде отдельных процессов, имеющих входные/выходные параметры и четко определенные цели. Все процессы разделены на две большие категории.

  • Предоставление услуг (Service Delivery). В эту категорию входят такие функции, как управление уровнем услуг (Service Management), производительностью (Capacity Management), доступностью (Availability Management), управление затратами (Cost Management) и непрерывностью (Contingency Management).
  • Поддержка услуг (Service Support). В эту категорию попадают такие функции, как управление конфигурациями (Configuration Management), проблемами (Problem Management), изменениями (Change Management), разработкой и распространением программного обеспечения (Software Control & Distribution), а также взаимодействие с пользователями (Service Desk).

В первой категории подробно рассматриваются процессы, обеспечивающие эффективное взаимодействие с клиентами (потребителями) ИТ-услуг и удовлетворение возрастающих требований на взаимовыгодных условиях. В ITIL основой для взаимодействия между ИТ-департаментом и потребителем ИТ-услуг служит соглашение об их уровне (Service Level Agreement, SLA). В нем перечисляются все предоставляемые услуги, четко описываются их количественные и качественные показатели, и кроме того, оговариваются права, обязанности и ответственность сторон. Для поддержания необходимого уровня услуг в ITIL описаны процессы, контролирующие производительность, доступность и непрерывность сервисов и обеспечивающие предоставление новых услуг.

Во второй категории деятельность ИТ-департамента рассматривается в виде процессов поддержки услуг в соответствии с соглашением об уровне услуг. Эти процессы направлены на обеспечение контроля над изменениями существующей информационной системы, а также на проактивное управление кризисными ситуациями. Проактивность заключается в оценке рисков и анализе причин возникновения той или иной нештатной ситуации в работе системы, что позволяет заранее укрепить наиболее слабые места и избежать повторения сбоя.

Стандарт ITIL обладает рядом характерных недостатков и преимуществ. К недостаткам можно отнести тот факт, что в стандарте предполагается информатизация уже хорошо отлаженной и эффективной деятельности организации. При этом не секрет, что, автоматизируя хаос, мы получим автоматизированный хаос и не добьемся каких-либо существенных улучшений в работе. Но ITIL обладает и таким уникальным преимуществом, как ориентация на результативную деятельность. Это означает, что ИТ-департамент может приобрести в организации иной статус, который позволит самостоятельно решать определенный круг вопросов в соответствии со своей компетенцией и выступать в роли поставщика ИТ-услуг. Кроме этого, ITIL не зависит от конкретных технологий и программно-аппаратных средств, обобщая мировой опыт организации и предоставления ИТ-услуг.

В российской практике ИТ-департамент часто выступает в роли функциональной единицы, а не самостоятельного подразделения. Однако есть (хотя и редки) противоположные примеры, когда компания концентрируется на основной деятельности, а службу, занимающуюся информационными технологиями, выделяет в самостоятельную организацию. В результате осуществление всех ИТ-проектов возлагается уже на стороннюю организацию, с которой заключается соответствующий договор. Выделение ИТ-департамента из общей структуры позволяет:

  • выполнять весь объем заказов для головной организации-подрядчиков при выполнении специфических, разовых работ;
  • добиться большего уровня специализации, а следовательно, квалификации и эффективности работы;
  • принести дополнительную прибыль организации при выполнении проектов для других компаний;
  • использовать собственные ресурсы с максимальной отдачей.

Отсюда можно сделать вывод, что методики и подходы стандарта ITIL могут способствовать разделению функций и повышению специализации организаций, а также соответствуют стратегии децентрализации управления.

Невозможно в рамках одной статьи рассмотреть все преимущества и недостатки использования стандартов CobiT и ITIL. Тем не менее понимание деятельности ИТ-департамента в виде системы процессов наверняка окажется очень полезным. Не всегда руководители крупных ИТ-департаментов могут четко представлять, как выполняются те или иные задания на местах. По этим причинам структура департамента строится на основе функционального разделения. Таким образом на уровне исполнителей могут проявляться проблемы неэффективной организации работ и чрезмерного использования ресурсов. Системный подход позволяет решить подобные проблемы и получить целостную картину информационной системы, включающей в себя не только аппаратные и программные средства, но и персонал, знания, внешние ограничения и т. д.

Павел Рудаков - консультант по аналитике и маркетингу компании NV Consulting. С ним можно связаться по электронной почте: pr@nvconsulting.net.