В настоящее время информационные технологии оказывают существенное влияние на производственные процессы предприятий. Это очевидно. Почему же в одних компаниях информационные системы обеспечивают оптимальную организацию процессов производства, повышают эффективность управления, осуществляют планирование и прогнозирование, анализ рисков и т. д., а в других компьютер все еще остается усложненным калькулятором и инструментом подготовки документов?
Проблемы анализа эффективности использования ИТ второй группы предприятий представляют определенный интерес, поэтому есть резон исследовать их. К этой группе относятся крупные государственные учреждения, министерства, ведомства — все те организации, ошибки в развитии информационных систем которых не имеют на первый взгляд критических последствий, в отличие, скажем, от коммерческих учреждений, чьи позиции на рынке напрямую связаны с эффективным управлением.
Почему вся активность в области ИТ в данной группе носит не регулярный, а периодический характер, в значительной степени зависящий от волевых решений руководства («срочно внедряем новую систему!»), а ИТ-подразделение оторвано от производственных потребностей («мы сами лучше знаем, что надо нашим пользователям»)? Собственно, ответ содержится в вопросе. Потому что ИТ построены таким образом, что не подразумевают соответствия бизнес-потребностям предприятия, скорее всего наследуя схему вычислительных центров советского периода. Все новые процессы в данной области сводятся к приобретению следующего поколения рабочих станций, а корпоративная сеть всего лишь изменила способ доставки информации: вместо дискет используются каталоги совместного доступа, в лучшем случае электронная почта. Возможно, ИТ-подразделение производит закупку мощных серверов, систем управления базами данных и т. д., но контролирует ли руководство инвестиции и соотносит их с достигнутыми результатами или приобретения осуществляются только потому, что так надо, что у соседей такое уже закуплено?
Так как же произвести кардинальную перестройку ИТ и с чего начать, чтобы этот процесс происходил не революционно, а эволюционно, чтобы его последствия не сказались отрицательно на производстве и вместе с тем завершен он был в разумные сроки? Решение смогут предложить только профессионалы, а основным инструментом в выработке решения будет аудит информационных систем и технологий предприятия.
По поводу аудита информационных систем (далее аудит) в мире накоплен колоссальный опыт. Он обобщен известной организаций ISACA (Information Systems and Control Associations, www.isaca.org) и сформирован в виде соответствующих нормативов и методик под общим названием COBIT (Control Objectives for Information and related Technologies — Задачи управления для информационных и связанных с ними технологий). Собственно же аудит заключается в:
1) изучении текущего состояния и планов развития информационных технологий на конкретном предприятии;
2) сравнении результатов с тем, как должны работать информационные системы в идеальном (оптимальном) состоянии (то есть с соответствующими стандартами в данной области);
3) выработке рекомендаций для данного предприятия — что необходимо сделать, чтобы максимально приблизиться к указанным стандартам.
Казалось бы, все просто — начать и закончить, но на пути постоянно возникают сложности.
Первая и самая главная — стоимость работ. Действительно, трудно предположить, что будет дешевой работа группы высокопрофессиональных ИТ-специалистов, которые проведут:
- анкетирование специалистов по отдельным направлениям;
- интервью с ключевыми работниками;
- изучение имеющейся нормативной документации, организационной структуры, принципов управления ИТ;
- выборочное или массовое тестирование аппаратного обеспечения, производительности сети;
- анализ накопленной информации;
- выработку соответствующих экспертных оценок и рекомендаций;
- подготовку развернутого отчета по результатам работ;
Соответственно, когда руководство предприятия-заказчика плохо представляет себе конкретные результаты работ, платить значительные суммы никто не захочет. Дополнительный негатив вносят специалисты по аудиту, которые формируют отчет в виде типового рапорта, слепо следуя имеющимся методикам. Приведем пример.
- Нет классификации данных — необходимо произвести классификацию данных;
- отсутствует политика NN — следует разработать политику NN;
- не произведена оценка рисков — провести оценку рисков.
В рассматриваемой группе предприятий с высокой степенью вероятности будет отсутствовать большинство из требуемых стандартами пунктов. При получении отчета с простой констатацией отсутствия и рекомендациями о том, что необходима дальнейшая работа (без детальной приоритизации, развернутого плана действий, проектов требуемых нормативов, выписок из используемых стандартов и методик), у руководителя организации сложится весьма негативное мнение об аудите. Если окажется, что итоговый отчет представлен в виде двух-трех томов по 500 страниц, основную часть которых занимают рассуждения о преимуществе трехзвенной архитектуры перед файл-сервером и о перспективах развития беспроводных технологий, то, скорее всего, отчет окажется в пыльном шкафу, изученным и использованным процентов на десять.
Пример из жизни. Эксперт со стороны
Организация с сетью в 50 рабочих станций стала испытывать затруднения с производительностью сети. Решение, предлагаемое начальником ИТ-подразделения, сводилось к приобретению более производительных компьютеров и активного сетевого оборудования. Руководитель предприятия пригласил стороннего эксперта в области сетевых технологий, который запустил монитор производительности и ряд других сетевых анализаторов на трех рабочих станциях, потратив на это три дня по 3-4 часа. В результате он порекомендовал переставить два сервера на другие сетевые сегменты и перенести несколько сетевых служб на различные серверы. Сеть заработала бесперебойно. Работа стоила около 150 долл. Начальник ИТ-подразделения вскоре был уволен.
Эту работу нельзя назвать полноценным аудитом информационной системы, но его частью — можно, поскольку она имела четко сформулированную цель и соответствующий результат.
Таким образом, для предприятия, собирающегося производить аудит, необходимо четко представлять требуемые результаты и формулировать их аудиторам, внося соответствующим образом в техническое задание на проведение работ.
Если учесть, что типовые случаи проведения аудита информационных систем — это качественное изменение статуса компании (подготовка к сертификации ISO, выход на международный рынок и т. д., но это не в текущей теме), внедрение новой крупной информационной системы либо плановая проверка, то и его цели должны быть сформулированы соответственно. В данном случае это могут быть:
- проект реорганизации ИТ-службы;
- разработка необходимых нормативов (политик, правил, корпоративных стандартов);
- корректировка планов развития, в том числе приобретения техники, проектирования сети, регламентов гарантийного и сервисного обслуживания;
- рекомендации по процессу внедрения/эксплуатации конкретной информационной системы;
- консалтинг по организации/реорганизации службы информационной безопасности.
Причем консалтинг — это отдельное направление, но во многих организациях указанной группы до сих пор считают, что информационной безопасностью должен заниматься Первый отдел (отдел режима), а термины «аварийный план», «план по продолжению деятельности предприятия при сбоях и катастрофах» остаются пустым звуком. Это при том, что многие такие организации играют существенную роль в отраслевой или даже государственной инфраструктуре. Видимо, подобная беспечность связана с отсутствием в прошлом реальных угроз, обусловленных тем, что такие организации почти не работали в публичных сетях, Internet. Однако вряд ли современная тенденция развития корпоративных сетей и информационных систем будет способствовать тому, что такая ситуация продлится долго.
Вторая сложность — нежелание пускать в святая святых своей организации посторонних людей, которые будут серьезно ее изучать, в том числе вскрывать недостатки. Обычный аргумент в этом случае у директора по ИТ: «Я проработал здесь 20 лет, еще с ЕСок начинал, а вы тут меня учить будете», а у руководителя предприятия: «Наши специалисты и так все знают лучше вас».
Обе эти позиции необходимо рассмотреть отдельно.
Давняя работа в области информационных технологий, к сожалению, не подразумевает высокий уровень профессионализма. Заблуждения по поводу информационной безопасности были указаны выше. Кроме того, руководитель старой закалки может с удивлением узнать, что ИТ-служба является вспомогательной по отношению к производству. Для него также может стать откровением, что самостоятельно решать, разрабатывать ли, приобретать ли, внедрять что-либо, неправильно. Ему трудно согласиться с тем, что он, замотанный постоянными производственными совещаниями и ворохом неформализованных заявок от пользователей на срочные требования автоматизации очередного отчета, пропустил многие современные стандарты ИТ, к примеру Help Desk, контроль качества разработок и изменений в конфигурациях, ведение статистики аварий и сбоев, строгую регламентацию процедур резервного копирования, и что набор ИТ-нормативов должен занимать (в твердых копиях) минимум одну полку.
На первый взгляд такой ИТ-директор не будет заинтересован в проведении аудита. Однако в результатах аудита можно найти немало полезного, нужно только рассматривать аудитора не как врага, а как партнера. Если такой директор по ИТ действительно болеет душой за свое предприятие, у него наверняка накопилось немало идей, выслушивать которые руководитель предприятия уже не хочет. В этом случае, обсудив их с аудитором, определив реально работающие и соответствующие стандартам, можно включить их в итоговый отчет.
С другой стороны, развитие информационной инфраструктуры в свете рекомендаций, выработанных аудиторами, приведет к тому, что управлять информационными системами станет проще, а само значение информационных технологий для предприятия повысится, что определит и рост статуса ИТ-директора на предприятии. Как минимум это выразится в росте ИТ-бюджета, при условии, конечно, что вложения в эту область принесут организации реальную выгоду.
Позиция руководителя предприятия, указанная выше, тоже имеет свою слабую сторону, ведь случается, что директор по ИТ (как впрочем, и любой руководитель подразделения предприятия) скрывает ошибки или проблемы в работе своего направления. Учитывая, что, скорее всего, других квалифицированных ИТ-специалистов, кроме подчиненных ИТ-директора, на предприятии нет, единственным альтернативным источником информации о состоянии дел может стать независимый аудитор.
Пример из жизни. Не забываем о собственных ресурсах
Процесс аудита на крупном предприятии проходил одновременно с обычными работами ИТ-подразделения, в том числе с разработкой и подготовкой к внедрению новой информационной системы в одном из специфических подразделений компании (подразделение П). В ходе обследования аудиторы выяснили, что в подразделении П присутствует собственный разработчик, который был автором предыдущей версии информационной системы для своего подразделения и осуществлял его поддержку и сопровождение до настоящего времени. Однако при разработке новой версии информационной системы он не был востребован, несмотря на то что остальные разработчики не имели соответствующего опыта по работе подразделения П. Более того, по его оценке, техническое задание на новую версию имело ряд критических недоработок, сообщения о которых были проигнорированы ИТ-директором.
Данная ситуация была отражена в отчете аудиторов. К сожалению, о принятых решениях ничего не известно. Однако можно предположить, что, если соответствующая корректировка в процессе разработки не была принята, процесс внедрения системы может столкнуться с определенными трудностями, что повлечет дополнительные расходы.
Кроме отмеченной ситуации, ИТ-служба предприятия обычно загружена текущими задачами и не всегда возможно практически выделить группу специалистов для проведения аудита. Даже если они будут освобождены от своих ежедневных обязанностей приказом по предприятию, с высокой степенью вероятности через некоторое время им придется вернуться к своей работе и процесс аудита будет скомкан или выполнен формально.
Следует принять во внимание и то, что собственные специалисты обычно, выслушав мнение пользователей о производственном процессе, накладывают его на свое представление о том, как это должно быть. Нетрудно догадаться, какое мнение попадет в итоговый отчет.
Добавив сюда нежелание информировать непосредственное начальство об имеющихся недостатках, можно оценить качество полученного результата.
Негативно оценив качество собственного аудита, тем не менее хотелось бы помочь организациям, которые по той или иной причине не могут заказать проведение аудита у независимых экспертов. Оценить текущее состояние информационных систем сможет простой сбор и структурированное представление данных об имеющихся информационных системах, аппаратном обеспечении, структуре сети и т. д. Для этого в рамках данной статьи на сайте www.cio.osp.ru публикуются опросные листы (анкеты) для подготовки таких данных.
Заполнение анкет и особенно представление их в структурированном электронном виде даст возможность их упрощенной группировки, выборки данных, обнаружения корреляций и т. д., поможет руководителям предприятия и ИТ-службы произвести предварительный анализ состояния собственных информационных технологий и, возможно, принять решение о заказе профессионального аудита информационных систем.
Искандер Конеев — CISSP, руководитель проектов, компания «МЦФЭР-консалтинг», ikoneev@mcfr.ru
Рекомендации по заполнению анкет
Для оценки текущего состояния информационных систем на сайте www.cio.osp.ru публикуются опросные листы (анкеты) по подготовке структурированного представления данных об имеющихся информационных системах, аппаратном обеспечении, структуре сети и т. д. Ниже приводим их содержание и назначение.
- Список ответственных лиц по различным направлениям ИТ.
Данная анкета должна быть заполнена в первую очередь. По результатам ее заполнения станет ясно, к кому обращаться с вопросами заполнения остальных анкет. Кроме того, она позволяет выявить, например, направления, за которые не отвечает никто, либо ответственность распределена между сотрудниками, число которых недопустимо велико, а также установить, не сконцентрировано ли слишком много критически важных направлений одних руках.
Заполнение анкеты должно производиться по фактическому состоянию дел, а не по штатному расписанию, так как специалисты с одной и той же должностью, скажем «системный администратор», могут отвечать за совершенно разные участки работ.
- Список аппаратного обеспечения.
В том или ином виде этот список ведется практически в любой организации. Данная анкета позволит структурировать его и проанализировать дополнительную информацию, такую как связь оборудования с поставщиками и качество гарантии по договорам, место единицы оборудования в локальной сети, привязка основного оборудования к периферии и т. д.
- Структура сети организации (локальной, корпоративной, внешней).
Анкета позволит провести инвентаризацию и проанализировать принципы организации сети, отдельных сетевых служб и ряд других немаловажных аспектов, таких как учет самостоятельных выходов во внешнее информационное пространство (модемов у пользователей) и оснащение критически важных помещений.
- Описание отдельных информационных систем.
Анкету не следует использовать для описания мелких приложений офисного уровня, в частности электронных таблиц, снабженных макросами. Она предназначена для крупных систем масштаба предприятия или группы подразделений, того, что сейчас называют ERP-системами или АСУТП (автоматизированная система управления технологическим процессом).
Данный опросный лист поможет понять, как организована работа по обеспечению нормального (или оптимального, в зависимости от задачи исследования) функционирования системы.
Потратив дополнительное время, можно накопить примеры отчетов, вырабатываемых системой, с тем чтобы оценить наличие дублированности и, например, снять часть требований к модификации системы, если они направлены на получение/обработку данных, присутствующих в имеющихся отчетах.
- Описание данных предприятия.
Анкета предназначена для общего, принципиального описания наборов данных, которыми владеет предприятие. Она позволяет оценить первичный источник происхождения данных, наличие дублированности данных либо потенциальную возможность возникновения расхождений в сходных данных. Анализ материала может послужить основой для проектирования информационных систем, например, единого хранилища данных, если таковое еще отсутствует на данном предприятии.
- Описание критически важных параметров предприятия.
Эта анкета связана с предыдущей (описание данных) и следующей (информационная безопасность) и служит основой для планирования и построения целостной системы информационной безопасности предприятия (если такой системы нет) или материалом для регулярного анализа функционирующей системы безопасности.
Материал анкеты зможно использовать для построения схемы анализа и управления информационными рисками и на ее основе проводить планирование приобретения или разработки информационных систем или их отдельных элементов.
- Структура функционирования информационной безопасности.
Анкета отражает состояние различных аспектов информационной безопасности предприятия — от технических до организационных, в том числе: квалификацию сотрудников, отвечающих за информационную безопасность, а также уже выполненные службой безопасности работы (инвентаризация, классификация, разработка нормативов) и их актуальность.
При отсутствии на предприятии службы информационной безопасности анкету можно рассматривать как схематичный план основных задач, возлагаемых на эту службу, и использовать при построении службы.
- Описание нормативных документов предприятия.
По ряду параметров данная анкета пересекается с другими анкетами, поэтому при ее заполнении можно использовать материал других опросных листов либо заполнять их параллельно, а по завершении сверить общие данные для выявления возможных расхождений и соответствий в определении реальных данных. Анкета рассматривает объем существующего нормативного пространства ИТ предприятия, включая обязанности и квалификацию пользователей и администраторов, отдельные информационные политики, качество поддержки информационных систем, состояние аварийного плана.
- Описание производственных (бизнес-) функций предприятия.
На первый взгляд анкета слабо связана собственно с информационными технологиями. Однако именно она позволяет оценить качество покрытия производственных потребностей предприятия автоматизированными (информационными) средствами, что является одной из важных задач аудита информационных систем. Соответственно анкета может использоваться для планирования развития информационных систем предприятия.
- Описание планируемых к автоматизации задач.
Анкета составляется для определения нагрузки на подразделение, ответственное за разработку программного обеспечения, либо для формирования планов на приобретение сторонних программных продуктов. Также позволяет выявить наиболее приоритетные задачи для автоматизации (если множество подразделений испытывают потребность в автоматизации отдельного направления) либо дублированности (если одному подразделению необходимо автоматизировать то, что уже сделано в другом).
Работать вместе
Николай Дмитрик
Между директором правовой службы и директором информационной службы много общего: тот и другой не ведут основную деятельность компании, а лишь обеспечивают ее; тот и другой редко являются полноценными членами управленческой команды (отчего, кстати, страдает качество принимаемых решений); деятельность главы юридической службы, как и главного ИТ-специалиста, направлена на обеспечение безопасности и эффективности основной деятельности компании.
С этой точки зрения аудит информационных систем — очень хороший пример. Повысить эффективность информационной системы предприятия означает не просто дать пользователям необходимые им инструменты, а еще и заставить эти инструменты работать.
Задача ИТ-службы — оптимизировать обработку информационных потоков в организации. Задача юристов — оптимизировать права и обязанности в отношениях внутри организации и в отношениях с контрагентами. Юридическая работа не сводится только к тому, чтобы оформить предпринимаемые меры по приглашению аудитора, обновлению информационной системы и соблюсти при этом требования законодательства. Задача юридической службы — закрепить правовыми средствами ту модель общественных отношений в организации, при которой использование, в частности, информационных систем будет проходить оптимальным образом. Иными словами, опосредование отношений на технологическом уровне (построение и развитие информационных систем) должно быть тесно связано с опосредованием отношений правовыми мерами (разработка внутренней юридической документации).
Это означает, что юристы и ИТ-консультанты (как корпоративные, так и сторонние) должны работать вместе с самого начала. Аудит должен касаться не только информационных систем, но также прав и обязанностей сотрудников: должностные инструкции, как и аппаратно-программное обеспечение, должны предоставлять сотруднику ровно тот объем возможностей, который нужен для исполнения им своих обязанностей. Планирование развития сети должно сочетаться с планированием принятия внутренних документов компании, разработкой новых типовых договоров с контрагентами, учитывающих новые возможности информационной системы. Наконец, при обращении к услугам стороннего консультанта в составлении договора с ним должны участвовать как ИТ-специалист, так и юрист. Первый должен поставить задачи, второй — предложить механизмы, обеспечивающие надлежащее выполнение консультантом своих обязанностей, механизмы контроля его деятельности. Не надо забывать, что приглашение сторонних консультантов — это всегда риск для информационной безопасности предприятия: необходимо принять правовые меры для устранения этого риска.
Возможные меры здесь достаточно разнообразны: установление обязанности консультанта предоставлять промежуточные отчеты о своей деятельности, определение правил подсчета убытков от конкретных нарушений договора консультантом либо закрепление штрафов в твердом размере, установление запретов на работу в условиях конфликта интересов, запретов на определенные действия сотрудников компании. Особое внимание необходимо обращать на два момента: во-первых, на обеспечение конфиденциальности информации (правил получения доступа к информации, работы с ней, использования такой информации впоследствии) и, во-вторых, на возможность расторжения договора или отказа от его исполнения в одностороннем порядке. В частности, консультант не должен иметь возможность неожиданно отказаться от договора и уйти со всей собранной им информацией. В качестве обеспечительных мер по договору можно использовать и страхование.
Николай Дмитрик, юрист, Park Media Consulting, dmitric@parkmedia.ru