Создание безопасной системы управления ИТ-инфраструктурой предусматривает в первую очередь определение ролей и обязанностей соответствующих служб и разработку корпоративных политик, стандартов и процедур, причем все это должно соответствовать имеющейся законодательной базе. Об одном из таких решений, предлагаемых компанией LANDesk и пойдет речь в данной статье.
Процесс стандартизации управления ИТ-ресурсами и информационной безопасностью сегодня уже необратим, а его основные моменты давно отражены в международных стандартах. Например, серия стандартов ISO дает общее руководство по управлению качеством продукции или услуг и предлагает базу для совершенствования систем и процессов, позволяющее добиться постоянного улучшения качества. Стандарты серии ISO в достаточной степени оставляют руководству компаний пространство для маневра, задавая лишь основные принципы соответствия качества и менеджмента производства открытым критериям. Однако, как показывает практика, одного только соответствия стандарту этого уровня еще недостаточно для того, чтобы не только экспортировать продукты за рубеж, но и участвовать в различных операциях на фондовом рынке. Необходимость соблюдения большого числа законодательных актов привела к тому, что проблема поддержки ИТ-службами предприятий процессов исполнения законодательства стала предметом обсуждения высшего руководства. Оказалось, что осмысленное управление ИТ-инфраструктурой и ее безопасностью позволяет создать корпоративную информационную систему, соответствующую требованиям бизнеса и законодательства, однако для этого требуются унифицированные системы управления, позволяющие описывать и учитывать роли и обязанности соответствующих служб, проводить разработку корпоративных политик, стандартов и процедур. Один из таких инструментариев — комплекс программных продуктов LANDesk, позволяющий управлять ИТ-инфрастуктурой в соответствии с требованиями законодательства и методологий ITIL.
ITIL, COBIT и SOX
Отечественные компании, заинтересованные в повышении эффективности своей работы, начинают использовать методологии ITIL и COBIT, которые хорошо себя зарекомендовали в деле организации ИТ-процессов и контроля соответствия ИТ-процессов требованиям бизнеса. ITIL и COBIT помогают ИТ-службе перейти от традиционного обеспечения работоспособности ресурсов к предоставлению заказчикам сервисов определенного качества. Реализуя рекомендации ITIL или COBIT, можно самостоятельно разработать и внедрить необходимые документы, политики и процедуры. Однако этот путь достаточно трудоемок без использования программных продуктов, позволяющих автоматизировать данный процесс.
ITIL вписывается в международный стандарт качества ISO серии 9000, позволяя совершенствовать системы и процессы для улучшения качества. Основанная на ITIL методология IT Service Management (ITSM) подразумевает организацию десяти основных процессов, образующих ядро ITIL. Первый — обработка инцидентов (Service Desk). Второй — управление проблемами. Третий — управление конфигурациями. ITIL/ITSM не накладывает ограничений на порядок внедрения процессов, однако практика показывает, что внедрение ITIL/ITSM начинается именно с этих трех. Также, согласно ITIL/ITSM, необходимо иметь систему оценки (четвертый процесс) потенциальных изменений ИТ-инфраструктуры. Эта куда более сложная работа однозначно требует внедрения автоматизированных систем, позволяющих в «одной точке» получать полную информацию о состоянии инфраструктуры. Пятый процесс — управление релизами. Шестой — обеспечение управления уровнем обслуживания. Седьмой процесс — управление финансами. Пожалуй, данный вопрос является самым щекотливым для ИТ-директора — сегодня надо одновременно оптимизировать затраты на ИТ и обосновывать текущие бюджеты и необходимые средства для расширения инфраструктуры, а это далеко не так просто, если на предприятии нет единой системы инвентаризации. Следующий процесс — управление мощностями. Последние два процесса представляют собой классические задачи для любой инфраструктуры, обслуживающей крупное предприятие. Первый — обеспечение непрерывности функционирования. Последний, но отнюдь не самый простой процесс — управление доступностью сервиса.
COBIT больше ориентирован на решение бизнес-проблем и охватывает 34 цели контроля, по одной на каждый ИТ-процесс, которые сгруппированы в четыре домена: Планирование и Организация; Комплектация и Внедрение; Эксплуатация и Сопровождение; Мониторинг.
Если соответствие практикам ITIL и COBIT может не быть для компаний обязательным, то несоблюдение положений принятого в США закона Сарбейнса-Оксли (Sarbanes-Oxley, SOX) лишает их возможности выставлять свои акции на североамериканских фондовых рынках. Аналитики считают, что каждой стране мира, заинтересованной в развитии своего фондового рынка, нужен закон, аналогичный этому, и многие уже обзавелись такими нормативными актами, возможно, свой SOX появится и в России. (В соответствии с этим законом создается наблюдательный совет для мониторинга финансовой отчетности, который, в частности, вправе ужесточить наказание для менеджеров, совершающих корпоративные мошенничества.)
SOX не настаивает на реализации ИТ-процессов в соответствии с ITIL/ITSM, однако в данном законе фиксируется обязательная отчетность руководителя, прозрачность финансовых операций и создание эффективной системы управления компанией. Такие требования вынуждают компании перейти на более совершенные системы электронного документооборота, особенно в финансовой сфере. Это касается как возможности создания единого информационного пространства для работы сотрудников, так и решения вопросов безопасности данных и доступности сервисов. И хотя, согласно SOX, никто не требует от компаний мгновенного изменения ИТ-инфраструктуры, высшее руководство должно иметь четкий план развития подразделения на год-два вперед и предвидеть результаты данных действий. А это невозможно сделать без инвентаризационных систем и систем управления конфигурациями.
Следующее требование — улучшение качества и целостности данных, сведение к минимуму ручного труда, в том числе различных изменений данных в процессе согласования, а также модернизации вручную самого программного обеспечения. Цель данного мероприятия — упорядочивание документооборота, что приводит к консолидации данных и созданию единых отчетов, а также уменьшению временных затрат на исправление ошибок и их последствий, требующих заново рассчитывать результат. По данным аналитиков Gartner (Gartner’s Position on Business Process Management. Gartner, February 2006), выигрыш в производительности в результате автоматизации рутинных задач и документооборота, а также от системного усовершенствования процессов, которые ранее не были автоматизированы, варьируется от 15 до 150%. Только совершенные процессы дают организациям возможность выстоять при конкурентном давлении и продемонстрировать свое соответствие нормативным актам. Только совершенное и адаптивное управление процессами может обеспечить оперативность, необходимую для реагирования на изменяющиеся условия.
Международные стандарты и законодательные акты некоторых стран, прямо или косвенно касающиеся управления ИТ-инфраструктурой, так или иначе подталкивают к необходимости создания адекватной системы управления информационными ресурсами компании, рисками, процессами и контроля над ними.
Информационная безопасность
Одними из самых востребованных стандартов в области управления безопасностью в России считаются ISO 17799 и 27001. Первый стандарт, основанный на анализе и управлении рисками, пользуется значительной популярностью в Европе и Азии, став здесь фактическим стандартом в построении систем управления информационной безопасностью. Стандарт ISO 27001 (BS 7799:2) представляет собой перечень обязательных для сертификации требований, не вошедших в ISO 17799. Дополнительно в приложении ISO 27001 приведен перечень основных требований ISO 17799, проверяемых при сертификации. Соответственно, ISO 27001 является стандартом, по которому проводится официальная сертификация системы управления информационной безопасностью. Ряд отечественных компаний уже прошли сертификацию по ISO 17799. Сейчас готовятся к принятию российские версии стандартов ISO 17799 и 27001.
В данных стандартах описываются такие аспекты, как разработка политики безопасности; организационные методы обеспечения информационной безопасности; управление ресурсами; пользователи информационной системы; управление коммуникациями и процессами; контроль доступа; приобретение, разработка и сопровождение информационных систем; управление инцидентами информационной безопасности; управление непрерывностью ведения бизнеса.
Наиболее заметными событиями в области документов по информационной безопасности стали выход стандарта СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» Центрального Банка России и ФЗ-152 «О персональных данных». Не вызывает сомнения, что в скором будущем стандарт Банка России станет обязательным для всех организаций кредитно-финансовой сферы.
Как одно из возможных средств, которые помогают компаниям обеспечить компании соответствие перечисленным международным и российским стандартам, обеспечив необходимый уровень управления ИТ, можно рассмотреть продукты компании LANDesk.
LANDesk Management Suite. Одно из достоинств данного продукта — наличие инструментария для реализации и готовых шаблонов бизнес-процессов, построенных в соответствии с требованиями SOX. Основные пункты, которые выделяются в SOX и поддерживаются в Management Suite, — это возможность инсталлировать и обслуживать различное программное обеспечение удаленно, а также поддерживать технологическую основу самой ИТ-инфраструктуры. Кроме того, Management Suite имеет возможность управлять изменениями в информационной среде благодаря автоматическому обнаружению устройств в сети, гибкой настройке системы предупреждений и оповещений в соответствии с политиками, а также наличию механизмов согласования и реализации планируемых изменений. В частности, Management Suite обеспечивает безопасность за счет управления компьютерами и установки обновлений для различного программного обеспечения, а также поддержки предпочтительной конфигурации рабочих станций и серверов с помощью автоматизированного управления правилами работы приложений. Важно, что Management Suite может обеспечивать мониторинг производительности и работоспособности компьютерной сети в режиме реального времени.
Наличие всех этих средств означает, что ИТ-руководитель имеет возможность проводить инвентаризацию ИТ-ресурсов и выявлять слабые места инфраструктуры и, главное, сделать на базе полученных данных прогнозы для развития сети и планирования бюджетов, опираясь на полученные отчеты.
LANDesk Service Desk и Process Manager. LANDesk Service Desk представляет собой техническое решение по созданию единой службы поддержки пользователей. Продукт позволяет автоматизировать три базовых процесса ITIL: управление инцидентами с учетом уровня обслуживания; управление проблемами и изменениями; управление конфигурациями (частично). В дополнение к другим аналогичным продуктам, Service Desk имеет встроенный дизайнер процессов, обеспечивающий строгое соответствие выполняемых и заданных процессов. Кроме того, интерфейс дизайнера процессов Service Desk позволяет упростить процесс внесения корректив в разработанные процессы, а автоматическая эскалация инцидентов в проблемы позволяет улучшить качество управления проблемами. Возможность соединения действий по согласованию и реализации изменений в единый процесс сокращает время и снижает издержки по управлению инфраструктурой.
Service Desk рассчитан на оперативное управление заявками на обслуживание по ролевому принципу расстановки приоритетов с автоматизацией действий, выдачей заданий и определением уровня обслуживания. Простой интерфейс позволяет провести быструю регистрацию в системе, что в свою очередь дает возможность сразу определить вызывающее лицо, его роль на предприятии или в клиентской базе, используемые на этом предприятии оборудование и услуги, критичность возникшей проблемы. Продукт обеспечивает обработку инцидентов средствами интеллектуального интерфейса службы поддержки, а также автоматизированного контроля уровня обслуживания на любом этапе жизненного цикла инцидентов. Если возникший инцидент или запрос на обслуживание не удается обработать сразу, то в процессе прохождения запроса по его жизненному циклу автоматически выдаются соответствующие задания специалистам с одновременным изменением приоритета обслуживания запроса. Персонал и клиенты уведомляются о необходимости выполнения ими определенных действий с одновременным акцентированием внимания к наиболее срочным проблемам. Непосредственный доступ к информации в режиме реального времени и развитые средства статистической отчетности дают менеджерам возможность постоянно контролировать результативность сервисных функций. В соответствии с ITIL в пакете реализованы функции службы поддержки, управления инцидентами, управления проблемами и формирование уровня обслуживания.
В дополнение к соглашению об уровне обслуживания внешними (Service Level Agreement, SLA) и внутренними (Operational Level Agreement, OLA) ИТ-подразделениями ITIL, как и другие стандарты, вводит понятия политик информационной безопасности, планов и рабочих (операционных) инструкций. Фактически, работа ИТ-службы должна стать более прозрачной и понятной для бизнес-подразделений, так как переводится на язык денег, который бизнес хорошо понимает. С другой стороны, просто выделив средства на внедрение какой-либо системы, трудно сразу ожидать положительного результата: для того чтобы система приносила пользу, она должна быть увязана с бизнес-процессами компании.
Обеспечить прозрачность управления и функционирования структуры ИТ-подразделения поможет продукт LANDesk Process Manager, позволяющий описать документооборот и автоматизировать бизнес-процессы организации, а также оперативно вносить в них изменения. С помощью этого продукта решаются такие задачи, как построение и визуализация процессов в организации, контроль хода выполнения, привязка к технологическим операциям вопросов, связанных с согласованием и документированием. Process Manager дает возможность оптимизировать ИТ-процессы в соответствии с целями организации — эффективное функционирование этого подразделения является критичным для многих компаний. Система управления бизнес-процессами от LANDesk имеет средства получения отчетности и сохранения информации обо всех изменениях в системе. Таким образом, в случае неудачных изменений всегда можно будет узнать, кто их произвел, инициировал и санкционировал. Благодаря наличию механизмов согласования, изменения и создания бизнес-процессов можно обозначить ответственных за изменение той или иной секции бизнес-процессов, с которыми будет необходимо согласовывать любую модификацию процессов, а также любое изменение настроек вплоть до перезагрузки сервера или смены IP-адреса рабочей станции.
Архитектура на базе Web-сервисов предусматривает возможность интеграции с разнообразными приложениями, а интерфейсы с электронной почтой и различными базами данных позволяют конечным пользователям работать с бизнес-процессами. Process Manager поддерживает компонентно-ориентированные инфраструктуры и приложения, согласно Business Process Modeling Notation (BPMN). В состав LPM также входят интуитивно понятные графические инструменты для моделирования, конфигурирования и аудита процессов, генерации и анализа отчетов.
Process Manager может использоваться совместно с другими решениями LANDesk по управлению системами и безопасностью, а также доступен в автономном варианте. C помощью Process Manager руководство предприятия получает контроль за доступом к данным, а также возможность задания критериев предоставления такого доступа и отслеживания движения информации внутри компании.
Security Suite
Самостоятельный программный продукт LANDesk Security Suite позволяет обнаруживать серверы и рабочие станции с программным обеспечением, требующим обновления, контролировать и исправлять настройки безопасности, выявлять и блокировать шпионские программы, контролировать доступ, управлять антивирусным программным обеспечением и персональным межсетевым экраном. С помощью Security Suite можно защитить критически важные данные без потери работоспособности рабочего места путём превентивной защиты от вредоносных атак на уровне клиента, предотвратить подключение инфицированных или незащищенных компьютеров к корпоративной сети, обнаружить, изолировать и восстановить работоспособность уже зараженных компьютеров до момента предоставления им доступа к сетевым ресурсам, управлять процессом применения политик безопасности к рабочим местам сотрудников перед включением в корпоративную сеть. В какой-то степени это позволяет компаниям гарантировать соответствие требованиям стандартов безопасности. Security Suite может быть установлен самостоятельно либо интегрирован в систему управления LANDesk Management Suite, а единая для всех продуктов LANDesk консоль управления облегчает работу с различными компонентами.
Сегодня для ИТ-рынка общей является тенденция к интеграции средств управления системами и решений по информационной безопасности, например интеграция в одном продукте разных средств защиты. В версии LANDesk 8.7 появилась интегрированная антивирусная защита LANDesk Antivirus, в которой из единой консоли можно управлять решениями от Symantec, Sophos, McAfee и Trend Micro.
Наталья Калиманова (Kalimanova@arbyte.ru) — руководитель департамента программного обеспечения, руководитель проекта LANDesk, группа компаний Arbyte (Москва).