Описание стандартов управления и контроля информационных систем

БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАТИКИ И РАДИОЭЛЕКТРОНИКИ

КАФЕДРА ЗАЩИТЫ ИНФОРМАЦИИ

РЕФЕРАТ НА ТЕМУ:

«Описание стандартов управления и контроля информационных систем»

Минск, 2009

Введение

Бесспорный факт: в повседневной практике ИТ-департамента везде и всюду используются стандарты. К их числу можно отнести нормативные акты, регулирующие деятельность в отдельных областях; рекомендации, выдаваемые авторитетными организациями; правила, негласно принятые на практике в данной отрасли. Стандарты призваны обеспечить всестороннюю эффективность деятельности и качество производимой продукции.

Существует достаточное количество документов, как российских, так и зарубежных, описывающих работу службы ИТ с различных точек зрения.

Большое число стандартов - это одна из особенностей растущего мирового рынка информационных технологий. Чтобы разобраться в том, какую роль играют основные стандарты, необходимо, на мой взгляд, провести их классификацию. В качестве классифицирующего признака можно взять, например, целевое воздействие (требования к персоналу, к оборудованию, к условиям работы и т. д.) или область применения (системы хранения, информационная безопасность и т. д.).

Можно оценить, например, жизненный цикл изделия (в соответствии со стандартом ISO/IEC TR 15504), описав последовательность процессов его разработки. Но в этой статье деятельность ИТ-департамента будет представлена с помощью системного анализа в виде процессов, направленных на достижение бизнес-целей организации.

Для рассмотрения подходов к созданию и функционированию информационной системы, включающей в себя не только программно-аппаратные средства, но и персонал, технологии и т. п., можно выделить два стандарта: CobiT и ITIL. Они заслуженно пользуются популярностью и авторитетом во многих странах мира, так как созданы на основе многолетней практики и опыта специалистов в области управления ИТ.

Процессный подход - отличительная черта CobiT и ITIL. Тем не менее между этими двумя стандартами тоже есть различия, которые заключаются в принципах организации работы ИТ-департамента. В случае использования методологий CobiT информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Другими словами, CobiT описывает бизнес-ориентированный подход к созданию информационной среды: ИТ рассматриваются в виде инструмента бизнеса, а стандарт определяет принципы построения и организации работы ИТ-департамента. Использование ITIL предполагает эффективное предоставление ИТ-услуг конечному пользователю. Другими словами, взаимодействие основной организации и ИТ-департамента строится на договорной основе, и, кроме того, четко определены качественные и количественные требования к ИТ-услугам. Такой подход предполагает дифференциацию функций и децентрализацию управления в организации. В частности, ИТ-департамент должен обладать как широкими полномочиями в своей области, так и ответственностью за предоставление качественных услуг. Таким образом, стандарт ITIL регулирует взаимодействие ИТ-департамента и потребителей ИТ-услуг.

Стандарт управления и контроля информационных систем

Стандарт разработан Фондом аудита и контроля информационных систем (ISACA) с целью создания рекомендаций для построения и контроля информационной среды.

Основная идея CobiT состоит в том, что организация работы ИТ-департамента должна быть основана на отдельных процессах, а не на функциях. В отечественной практике в большинстве случаев существует функциональное разделение обязанностей и ответственности, что может привести к появлению бесконтрольных областей (например, при назначении группы администраторов локальной сети, ответственных за эксплуатацию нового сегмента сети, возникновение нештатной ситуации на границе сетей иногда провоцирует конфликт, связанный с распределением ответственности за граничный участок). Описание деятельности ИТ-департамента посредством процессов позволяет определить оптимальное соотношение между возможностями ИС и требованиями, возникающими в ходе деятельности организации. Следует подчеркнуть, что любой процесс имеет определенную достижимую цель. Поэтому работа ИТ-департамента в целом должна рассматриваться как процесс, направленный на поддержание основной деятельности организации и на обеспечение пользователей необходимой информацией.

У каждого процесса есть входные (ресурсы) и выходные (конечный продукт) данные, а также параметры работы (требования, ограничения и т. п.). Общая модель использования ресурсов, ограничений и требований, разделенная на процессы, позволяет оптимизировать работу ИТ-департамента. Кроме того, такое разделение на процессы помогает четко распределить ответственность. Для простоты восприятия стандарт CobiT описывает все внутренние процессы ИТ-департамента в виде иерархической структуры.

На первом уровне выделены четыре базовых процесса (домена), заключающих в себе основные виды деятельности ИТ-департамента:

планирование и организация;

приобретение и внедрение;

поставка и поддержка;

контроль.

Второй уровень иерархической структуры содержит более 30 процессов, каждый из которых детализирован и рассмотрен подробно на третьем уровне. Для всех процессов описаны методы управления и контроля, что позволяет использовать стандарт CobiT на всех жизненных стадиях информационной системы, начиная с построения ее эффективной модели и заканчивая управлением, контролем и аудитом.

В CobiT следует выделить три основополагающих этапа построения эффективной модели ИТ-департамента, которые надо выполнять последовательно.

Первый этап заключается в сопоставлении возможностей информационной системы (ее ресурсов) с требованиями, возникающими в ходе деятельности организации (так называемые требования бизнес-процессов). Возможности системы рассматриваются как совокупный эффект от использования имеющихся ресурсов: квалифицированного персонала, программных и аппаратных средств, технологий. Для определения требований бизнес-процессов необходимо дать качественную оценку требований к информации на основе следующих критериев:

эффективность;

оперативность;

конфиденциальность;

целостность;

доступность;

соответствие;

надежность.

Исходя из требований к информации последовательно реализуется второй этап, который определяет использование целевых ресурсов, входные и выходные данные для каждого процесса, направленного на достижение целей бизнеса. Все целевые ресурсы подразделяются на пять категорий: кадры, приложения, технологии, средства информатизации, данные.

Рис. 1. Схема построения взаимосвязанных ИТ-процессов

И наконец, после определения процессов на втором этапе сравнивается их совокупный конечный продукт с требованиями бизнес-процессов. Таким образом, круг замыкается (см. рис. 1). Соответствие между целями организации и деятельностью ИТ-департамента сохраняется постоянно.

Таким образом, стандарт CobiT позволяет оценивать текущую деятельность ИТ-департамента с трех сторон: с точки зрения процессов, ресурсов и бизнес-требований к информации.

С практической точки зрения стандарт CobiT является руководством по управлению инвестициями, оценке рисков и аудиту информационных систем. Для российского бизнеса этот стандарт особенно актуален, так как по мере роста ИТ-департаментов довольно остро встает кадровая проблема. Кроме того, резкая смена отношения российских организаций к информационным технологиям заставляет руководителей ИТ-департаментов ориентироваться в быстро меняющейся среде, предугадывая перспективы того или иного продукта. Но время идет, бурный и хаотичный рост сменяется целенаправленным движением в сторону экономии и повышения качества предоставляемых услуг. Очевидно, что на российском рынке акценты уже смещаются от тотальной автоматизации различных бизнес-функций в сторону поддержки бизнес-процессов.

И эта тенденция отражена в стандарте CobiT, так как предпосылками разработки стандарта стала потребность оценки эффективности ИТ в организациях с точки зрения процессов. Таким образом, этот стандарт можно рассматривать не только как инструмент для оптимизации работы ИТ-департамента, но и как целевую модель развития организации.

Проиллюстрируем этот тезис на примере. Предположим, что в крупной компании планируется использование системы управления ИТ-инфраструктурой. В соответствии с принципами построения модели ИТ-процессов выделим основные критерии для этой системы:

Требования бизнес-процессов: создать физическую среду, устойчивую к возникновению человеческих ошибок и сбоев оборудования и программного обеспечения.

Возможности ИТ-ресурсов: обеспечение постоянного физического контроля с целью анализа работы оборудования и выявления отклонения в его работе.

Критерии оценки требований к информации: целостность и доступность.

При управлении инфраструктурой основным целевым ресурсом являются средства информатизации.

В иерархической структуре стандарта CobiT процесс управления инфраструктурой представлен в домене "Поставка и поддержка" и подробно детализирован с выделением следующих основных процессов:

доступ к устройствам;

идентификация взаимодействующих сторон;

физическая безопасность;

обследование;

непрерывное планирование и управление кризисными ситуациями;

защищенность персонала;

предотвращение сбоев в эксплуатации;

защита от возможных сбоев;

оперативный автоматический мониторинг.

В каждом конкретном случае в этот перечень могут добавляться (или удаляться) детализированные требования, помогающие полнее отразить особые, специфические требования или описать дополнительный функционал.

С точки зрения стандарта CobiT использование всех перечисленных ресурсов и выполнение требований - необходимое условие нормальной работы системы управления инфраструктурой.

Итогом дальнейшего проектирования стала модель взаимосвязанных процессов, реализующих все функции управления инфраструктурой. При этом в техническом проекте остается лишь определить те конкретные программно-аппаратные средства, которые будут соответствовать выдвинутым требованиям модели.

Описанные в стандарте CobiT процессы охватывают очень широкий диапазон деятельности ИТ-департамента, поэтому применение стандарта требует достаточного опыта и квалификации. Как правило, этой работой занимаются профессиональные консультанты - специалисты в области ИТ-аудита.

Автоматизация управления - продукты (системы) управления

Информационная инфраструктура современного предприятия - это сложнейший сплав разномасштабных, разнородных сетей и систем. Чтобы они работали слаженно и эффективно, необходима управляющая платформа корпоративного масштаба с интегрированными инструментальными средствами. Однако до недавнего времени производители систем управления распределенными корпорациями в стремлении к лидерству выпускали продукты с ограниченными возможностями, несовместимые с системами других поставщиков. Сегодня ситуация изменилась к лучшему - появились открытые продукты, претендующие на универсальность управления всем разнообразием корпоративных информационных ресурсов, от настольных систем до мэйнфреймов, от локальных сетей до Internet. По данным аналитиков, в число производителей платформ управления распределенными корпоративными системами входят компании Hewlett-Packard (44,4%), SunSoft (15,2%), Cabletron (14,4%), IBM (12,9%) и ряд других, не менее известных фирм. Управление корпорацией, как ее понимает большинство производителей подобных систем, включает в себя управление компьютерными системами, сетями и информационными потоками.

Что должна уметь система управления распределенной корпорацией?

автоматически вести штат обслуживающих информационную технологию администраторов (сетевых, системных, баз данных);

обеспечивать бесперебойное функционирование критических бизнес- и информационных приложений корпорации: осуществляя управляющие воздействия типа "щелчка" мыши по пиктограмме, обозначающей тот или иной узел технологии, принятой на корпорации; автоматически разрешая все возникающие проблемы; обеспечивая общий интерфейс для всех возможных случаев; предлагая необходимые возможности масштабирования;

управлять настольными системами и устройствами: автоматически конфигурировать вновь подключаемые приложения, серверы, клиенты; автоматически распространять новые версии используемых программ; управлять принтерами в системе;

оптимизировать нагрузку на серверы в общей технологии: отслеживать уровень допустимого превышения основных рабочих параметров; анализировать тенденции изменения этих параметров; предвидеть критические состояния;

обслуживать базы данных и системы хранения информации, осуществляя резервное копирование "всего" и "всегда", высокоскоростное резервное копирование баз данных в режиме on-line и быстрое восстановление без потери работоспособности;

оптимизировать производительность локальных сетей, управляя распределенной производительностью и защитой от помех, анализируя трафик в сети; профилируя использование различных участков сети, определяя статус и длительность сеансов в связи;

управлять Internet- сервисом корпорации с помощью проактивного управления WEB приложениями и транзакциями, обеспечения безопасности средствами брандмауэров с уведомлением администраторов о возникновении критических ситуаций.

При выборе базовых средств предпочтительно использовать и учитывать существующие международные стандарты и рекомендации в данной области. Эти рекомендации суммируют накопленный опыт управления сетями различных уровней, выделяют основные функциональные области сетевого управления, определяют архитектуру, информационную базу и протоколы сетевого управления. Использование стандартных методов и средств управления позволяет обеспечивать совместимость аппаратно-программных средств от разных производителей.

Международные рекомендации определяют пять основных областей сетевого управления:

управление неисправностями: обнаружение неисправностей в работе системы, их изоляция и устранение, регистрация ошибок, их идентификация и диагностическое тестирование;

управление учетом: контроль использования системных ресурсов и определение их стоимости, оповещение пользователей о потребляемых ими ресурсах, тарификация, ведение счетов и установление лимитов на использование тех или иных ресурсов;

управление конфигурацией: регистрация всех сетевых устройств, их местоположения, адресов и идентификаторов, учет, сбор и подготовка данных о состоянии сетевых ресурсов с целью их инициализации, запуска в работу, обеспечения непрерывного функционирования, завершения работы;

управление эффективностью: оценка эффективности функционирования системных ресурсов, сбор статистической информации о функционировании сетевых объектов, ее анализ и обработка, прогнозирование эффективности системы и планирование ее развития. Качество работы системы тесно связано с управлением неисправностями - для эффективного функционирования требуется если не полностью устранить отказы, то, во всяком случае, уметь прогнозировать и сводить к минимуму их последствия;

* управление безопасностью: управление аутентификацией, полномочиями, доступом, засекречиванием и обеспечением целостности передаваемой, обрабатываемой и хранимой информации.

В агрегированном виде можно выделить два класса задач, решаемых системой управления:

сетевое управление: мониторинг сетевых устройств и управление ими;

системное управление: управление пользователями, их средствами и ресурсами, включая ПО и пользовательские процессы.

Сегодня большинство производителей базовых средств корпоративного управления стараются учитывать международные рекомендации и стандарты. Только этот путь позволяет эффективно внедрять их продукты в уже работающие системы и не ограничивать пользователя рамками систем управления.

К наиболее развитым базовым средствам построения систем управления сегодня можно отнести HP OpenView+IT operation /administration, Sun Connect SunNet Manager, IBM Tivoli, SNI TransView, BMC Patrol и MS SMS. Каждый из этих продуктов является прекрасным средством построения систем управления, имеющим широкий спектр применения. Однако, на наш взгляд, первые два ориентированы, в основном, на сетевое управление и в меньшей степени затрагивают вопросы системного управления, а последние два, предназначенные для решения задач как сетевого, так и системного управления, ограничены достаточно жесткими рамками либо области применения, либо используемых платформ (операционные системы, СУБД, технические средства).

Литература

Галкин Г. Управление в свободном полете. Сетевой журнал. 2007, №2, 32-39.

Финогенов Е., Бойченко А. Высоко сижу, далеко гляжу! Сетевой журнал. 2007, №2, 40-45.

Горшков В. Управляемые компьютеры. Сетевой журнал. 2007, №2, 46-51.

Гринько Д., Саякин В. Управление гетерогенными сетями связи. Журнал "LAN", 2001, №11

Дубова Н., Кутукова Е. Unicenter TNG - управление распределенной корпорацией. Журнал "Открытые системы", 1998, №2.

Петренко С.А., Петренко А.А. Аудит безопасности Intranet. М.: ДМК Пресс, 2007. - 416 с.: ил.

ГОСТ Р ИСО/МЭК 7498-2 - 99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.

ГОСТ Р ИСО/МЭК 7498-4 - 99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 4. Основы административного управления.

СТБ П ИСО/МЭК 17799-2000/2004 Информационные технологии и безопасность. Правила управления информационной безопасностью.

Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. - М.: «КомпанияАйТи», «ДМИ Пресс», 2004 г.