Национальная академия наук Беларуси Объединенный институт проблем информатики
Стандартизация в сфере ИТ: текущее состояние и планы
Анищенко В.В. Председатель национального технического комитете по стандартизации ТК BY 22 «Информационные технологии» 29 июня 2012 года Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
1
Национальная академия наук Беларуси Объединенный институт проблем информатики Национальный технический комитет по стандартизации ТК BY 22 «Информационные технологии» образован 11.12.2007 на базе НПРУП «БелГИСС» (приказ №11 Госстандарта от 16.01.2008) БелГИСС СП ЗАО «Международный деловой альянс»
ОАО «Гипросвязь»
ОАО «ЦНИИТУ»
ОАО «КБСП»
ЗАО «БелХард Групп»
ОАО «НИИЭВМ»
ООО «БелХард Девелопмент»
ГП «Центр Систем Идентификации»
ОДО «Вирусблокада» Нацбанк РБ НИИ ППМИ БГУ ЗАО «НПП БЕЛСОФТ»
ОИПИ НАН Беларуси УП «НИИСА» УО «БГУИР» ИП «Топ Софт» ЗАО «СИС ИНЖИНИРИНГ»
ООО «Речевые технологии» СП «Бевалекс» ООО
ГП «НИИ ТЗИ» ИП «ЭПАМ Системз»
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
2
МКК по ИИСТ – постановление СМ РБ от 25 мая 2010 г. № 790
В мае 2010 года по решению Совета Министров Республики Беларусь создана: Межведомственная комиссия по координации работы республиканских органов государственного управления по вопросам создания и внедрения современных интегрированных информационных систем и технологий.
Секретариат комиссии возглавляет Басько В.В.
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
3
COBIT, ITIL, ISO, СТБ и другие стандарты Организации используют различные модели ИТ, стандарты и лучшие практики. Данный слайд демонстрирует возможное совместное использование различных стандартов, при этом COBIT выступает в качестве консолидирующего (‘зонтичного’) стандарта. COSO
COSO – Рекомендации по управлению, финансовой и управлению рисками. CobiT (Control Objectives for Information and Related Technology) – Задачи информационных и смежных технологий
ISO 9000 - Система менеджмента качества.
COBIT ISO 27000 ISO 9000
ITIL ЧТО
ISO 15408 (СТБ)
КАК
ISO 20000
ISO 27000 - Система менеджмента ИБ. ISO 250хх
СТБ 34.101 (ISO 15408) Критерии оценки безопасности ИТ.
ISO 20000 - Система менеджмента ИТ сервисов.
ОБЛАСТЬ ПРИМЕНЕНИЯ ISO 250хх – Требования к качеству и оценке ПО.
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
4
Результаты анализа организованного Секретариатом МКК
Наличие гармонизированных с международными национальных СТБ: - ISO 9000 - Система менеджмента - СТБ 34.101 (ISO 15408) - Критерии оценки безопасности ИТ. Необходима локализация лучших международных практик и стандартов: - CobiT – методология для корпоративного управления ИТ; - ITSM/ITIL – приемы и методы управления IT-отделом компании на основе решений из библиотеки передового опыта в области управления ИТ; - ISO 20000 – Система менеджмента ИТ сервисов; - ISO 27000 – Система менеджмента информационной безопасности; - ISO 25000 – Требования к качеству и оценке ПО. Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
5
Важность Корпоративного управления ИТ
Безопасность Соответствие ИТ целям бизнеса
Цена/Качество
Непрерывность ИТ сервисов Управление комплексной средой
Соответствие регуляторным требованиям
Организациям и предприятиям необходим структурированный подход для управления этими и другими проблемами. Такой подход позволит гарантировать согласованность целей бизнеса и ИТ, внедрение мер контроля в соответствие с лучшей практикой, а также мониторинга эффективности ИТ. Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
6
Важность корпоративного управления ИТ Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством, с целью: • Определения стратегического направления
Корпоративное управление ИТ:
• Обеспечения достижения целей • Адекватного управления рисками
• Ответственность Директоров и высшего руководства
• Надлежащего использования корпоративных ресурсов
www.itgi.org www.itgi.org
RESOURCE MANAGEMENT
• Неотъемлемая часть корпоративного управления, состоящая из руководства, организационных структур и процессов, обеспечивающих соответствие ИТ текущим и стратегическим целям организации
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
7
Корпоративное управление ИТ – Заинтересованные стороны
Совет Директоров и высшее руководство
Определение направлений развития ИТ, оценка результатов и требования по исправлению недостатков
Руководители бизнесподразделений
Определение бизнес-требований к ИТ, обеспечение достижения пользы от ИТ и управление рисками
Руководство ИТ Служб
Обеспечение и совершенствование ИТ сервисов в соответствие с требованиями бизнеса
ИТ Аудит
Обеспечение независимой оценки, что ИТ предоставляет требуемые сервисы
Управление Рисками и Соответствия
Оценка соответствия нормативным документам с учетом новых рисков
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
8
COBIT предоставляет методологию для корпоративного управления ИТ
COBIT помогает заполнить разрывы между бизнес-рисками, требуемыми мерами контроля и техническими проблемами. Он приводит лучшие практики в различных областях и процессах, а также перечень требуемых задач для ИТ в стройной логической системе. COBIT: Основывается на требованиях бизнеса Процессно-ориентированный, структурирующий задачи ИТ в общепринятую процессную модель Идентифицирует основные необходимые ИТ ресурсы Определяет необходимые цели контроля
Инкорпорирует основные международные стандарты Стал де факто стандартом в области управления и контроля ИТ
ИТ ресурсы должны управляться в рамках естественным образом сгруппированных процессов. COBIT предоставляет методику для достижения этой цели. Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
9
Структура COBIT Бизнес цели и цели корпоративного управления
C ME1 ME2 ME3 ME4
Мониторинг и оценка эффективности ИТ Мониторинг и оценка системы внутреннего контроля Обеспечение соответствия внешним требованиям Обеспечение корпоративного управления ИТ
O B I
T
Эффективность Результативность
Целостность
Соответствие требованиям
Доступность Конфиденциальность Достоверность
DS1 DS2 DS3
DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12
DS13
Определение и управление уровнем обслуживания Управление услугами сторонних организаций Управление производительностью и мощностями Обеспечение непрерывности ИТ сервисов Обеспечение безопасности систем Определение и распределение затрат Обучение и подготовка пользователей Управление службой технической поддержки и инцидентами Управление конфигурацией Управление проблемами Управление данными Управление физической безопасностью и и защитой от воздействия окружающей среды Управление операциями по эксплуатации систем
Планирование и Организация
Мониторинг и Оценка
ИТ ресурсы
Приложения Информация Инфраструктура Персонал Эксплуатация и Сопровождение
Разработка стратегического плана развития ИТ PO2 Определение информационной архитектуры PO3 Определение направления технологического развития PO4 Определение организационной структуры и взаимосвязей PO5 Управление ИТ инвестициями PO6 Информирование о целях и направлениях развития ИТ PO7 Управление персоналом PO8 Управление качеством PO9 Оценка и управление ИТ рисками PO10 Управление проектами PO1
Информация
AI1 AI2 Приобретение и Внедрение
AI3
AI4 AI5 AI6 AI7
Выбор решений по автоматизации Приобретение и поддержка программных приложений Приобретение и обслуживание технологической инфраструктуры Обеспечение выполнения операций Поставки ИТ ресурсов Управление внесением изменений Внедрение и приемка решений и изменений
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
10
COBIT 5 (10 апреля 2012) – новые и модифицированные процессы
COBIT 5 уточнил процессы на уровнях управления и интегрировал содержание COBIT 4.1, Val IT (методология управления ценностью ИТ на базе COBIT) и Risk IT (методология управления рисками, связанными с ИТ на базе COBIT) в одну справочную модель
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
11
11
ISO 9000 ISO 9000 — серия международных стандартов, описывающих требования к системе менеджмента качества организаций и предприятий. В основе стандартов лежат идеи и положения теории всеобщего менеджмента качества (TQM). Цель серии стандартов ISO 9000 — стабильное функционирование документированной системы менеджмента качества продукции предприятияпоставщика.
Исходная направленность стандартов серии ISO 9000 была именно на отношения между компаниями в форме потребитель/поставщик. С 3 версией ISO 9000 (2000) большее внимание уделяется способностям организации удовлетворять требования всех заинтересованных сторон: собственников, сотрудников, общества, потребителей, поставщиков. Стандарты помогают предприятиям формализовать их систему менеджмента, вводя такие системообразующие понятия, как внутренний аудит, процессный подход, корректирующие и предупреждающие действия. Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
12
ISO/IEC 27000
ISO/IEC 27000 — серия международных стандартов, содержит лучшие практики и рекомендации в области информационной безопасности для создания, развития и поддержания Системы Менеджмента Информационной Безопасности. ISO/IEC 27000 — глоссарий для стандартов СМИБ ISO/IEC 27001 — Системы управления информационной безопасностью. Требования ISO/IEC 27002 — Практические правила управления информационной безопасностью (ISO/IEC 17799) ISO/IEC 27003 — Руководство по внедрению Системы Менеджмента ИБ ISO/IEC 27004 — Измерение эффективности системы управления ИБ ISO/IEC 27005 — Управление рисками информационной безопасности (BS7799-3) ISO/IEC 27006 — Требования к органам аудита и сертификации систем управления ИБ ISO/IEC 27007 — стандарт для аудита СМИБ; ISO/IEC 27011 — руководство по телекоммуникациям в СМИБ; ISO/IEC 27799 — руководство по реализации ISO/IEC 27002 в медицинской отрасли … Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
13
ISO 20000
ISO 20000 - первый международный стандарт для управления и обслуживания IT сервисов (2005, заменил ISO 15000). ISO 20000-1 представляет описание требований к системе менеджмента ИТ сервисов и ответственность за инициирование, выполнение и поддержку в организациях в 5 группах: 1) Процессы предоставления сервисов (Service delivery process): в группу входят управление
2) 3) 4)
5)
уровнем сервисов, управление непрерывностью и доступностью, управление мощностями, отчѐтность по предоставлению сервисов, управление информационной безопасностью, бюджетирование и учѐт затрат. Процессы управления взаимодействием (Relationship processes): эта область включает в себя управление взаимодействием с бизнесом, управление поставщиками. Процессы разрешения (Resolution processes): разработчики стандарта фокусируются на инцидентах, которые удалось предотвратить или успешно разрешить – управление проблемами, управление инцидентами. Процессы контроля (Control processes): в данном разделе рассматриваются процессы управления изменениями и конфигурациями. Процессы управления релизами (Release process): речь идѐт о выработке новых и коррекции уже имеющихся решений.
ISO 20000 «Information technology — Service management. Part 2: Code of Practice» - это практические рекомендации по процессам, требования к которым сформулированы в первой части. Является руководством для аудиторов и компаний, намеренных пройти сертификацию. Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
14
COBIT, ITIL и другие стандарты Организации используют различные модели ИТ, стандарты и лучшие практики. Данный слайд демонстрирует возможное совместное использование различных стандартов, при этом COBIT выступает в качестве консолидирующего (‘зонтичного’) стандарта. COSO
COSO – Рекомендации по управлению, финансовой и управлению рисками. CobiT (Control Objectives for Information and Related Technology) – Задачи информационных и смежных технологий
ISO 9000 - Система менеджмента качества.
COBIT ISO 27000 ISO 9000
ITIL
КАК
ЧТО ISO 15408 (СТБ)
ISO 20000
ISO 27000 - Система менеджмента ИБ. ISO 250хх
СТБ 34.101 (ISO 15408) Критерии оценки безопасности ИТ.
ISO 20000 - Система менеджмента ИТ сервисов.
ОБЛАСТЬ ПРИМЕНЕНИЯ ISO 250хх – Требования к качеству и оценке ПО.
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
15
COBIT, ITIL и другие стандарты
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
16
ITIL: Основные проблемы IT-отделов компаний
• Высокие затраты • Неочевидные выгоды Некоторые из типовых задач IT-отделов компаний
• Диспетчирование ИТ-систем • Обновление ИТ-систем • Финишная обработка распечаток (сортировка, брошюровка, доставка) • Диспетчирование локальных данных и систем Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
17
ITIL: Понятия
ITIL – IT Infrastructure Library «Библиотека передового опыта в области управления ИТ» Суть ITIL •
Использование процессного подхода для управления информационными технологиями (ИТ) в компании: вся деятельность IT-отдела описывается с помощью совокупности услуг, которые предоставляются ИТ внутренним и внешним потребителям
Суть внедрения ITIL •
Разработка и внедрение приемов и методов управления IT-отделом компании на основе решений из Библиотеки передового опыта в области управления ИТ
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
18
ITIL: Понятия
Стандарты • Использованный в ITIL процессный подход полностью соответствует стандартам серии ISO 9000. Их суть – стандартизированный контроль процессов • На основе ITIL/ITSM разработан британский стандарт BSI 15 000 (Standard for IT Service Management), разработанный BSI (British Standards Institution) Британским Институтом по Стандартизации. Суть этого стандарта – стандартизация производственных процессов • На основе стандарта BSI 15000 практически без изменений был разработан стандарт ISO 20000, разработанный ISO (International Standard Organization) – Международной организацией по стандартизации Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
19
ITIL: Понятия
Пример: 10 процессов ITSM, обеспечивающих предоставление и поддержку IT-сервисов • • • • • • • • • •
Процесс управления инцидентами Процесс управления проблемами Процесс управления конфигурациями Процесс управления изменениями Процесс управления релизами Процесс управления уровнем услуг Процесс управления возможностями ИВС Процесс управления доступностью Процесс управления рисками Процесс управления финансами Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
20
Стандартизация в сфере ИТ: текущее состояние и планы
Нужны ли IT стандарты: - Госстандарту? - IT бизнесу ? - IT отделу ? - IT институтам ? Спасибо за внимание. тел. +375 (17) 284 09 85 anishch@newman.bas-net.by Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года
21