Upload
-
View
227
Download
2
Embed Size (px)
DESCRIPTION
Анищенко В.В., Председатель национального технического комитете по стандартизации ТК «Информационные технологии» 29 июня 2012 года
Citation preview
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 1
Стандартизация в сфере ИТ:
текущее состояние и планы
Анищенко В.В.
Председатель национального технического
комитете по стандартизации ТК BY 22
«Информационные технологии»
29 июня 2012 года
Национальная академия наук Беларуси
Объединенный институт проблем информатики
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 2
Национальный технический комитет по стандартизации ТК BY 22
«Информационные технологии» образован 11.12.2007 на базе НПРУП
«БелГИСС» (приказ №11 Госстандарта от 16.01.2008)
БелГИСС
СП ЗАО «Международный деловой альянс»
ОАО «ЦНИИТУ»
ЗАО «БелХард Групп»
ООО «БелХард Девелопмент»
ОДО «Вирусблокада»
Нацбанк РБ
НИИ ППМИ БГУ
ОАО «Гипросвязь»
ОАО «КБСП»
ОАО «НИИЭВМ»
ГП «Центр Систем Идентификации»
ОИПИ НАН Беларуси
УП «НИИСА»
УО «БГУИР»
ИП «Топ Софт»
ЗАО «СИС ИНЖИНИРИНГ»
ГП «НИИ ТЗИ»
ИП «ЭПАМ Системз»
ЗАО «НПП БЕЛСОФТ»
ООО «Речевые технологии»
СП «Бевалекс» ООО
Национальная академия наук Беларуси
Объединенный институт проблем информатики
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 3
В мае 2010 года по решению Совета Министров
Республики Беларусь создана:
Межведомственная комиссия по
координации работы республиканских
органов государственного управления по
вопросам создания и внедрения
современных интегрированных
информационных систем и технологий.
Секретариат комиссии возглавляет Басько В.В.
МКК по ИИСТ – постановление СМ РБ
от 25 мая 2010 г. № 790
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 4
Организации используют различные модели ИТ, стандарты и лучшие практики.
Данный слайд демонстрирует возможное совместное использование различных
стандартов, при этом COBIT выступает в качестве консолидирующего
(‘зонтичного’) стандарта.
COBIT
ISO 9000
ISO 27000
ITIL
ЧТО
КАК
COBIT, ITIL, ISO, СТБ и другие стандарты
ОБЛАСТЬ ПРИМЕНЕНИЯ
ISO 15408 (СТБ)
ISO 20000
ISO 250хх
ISO 9000 - Система
менеджмента качества.
ISO 20000 - Система
менеджмента ИТ сервисов.
COSO – Рекомендации по
управлению, финансовой и
управлению рисками.
CobiT
(Control Objectives for
Information and Related
Technology) – Задачи
информационных и
смежных технологий
СТБ 34.101 (ISO 15408) Критерии
оценки безопасности ИТ. ISO 250хх – Требования к
качеству и оценке ПО.
COSO
ISO 27000 - Система
менеджмента ИБ.
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 5
Результаты анализа организованного Секретариатом МКК
Наличие гармонизированных с международными
национальных СТБ:
- ISO 9000 - Система менеджмента
- СТБ 34.101 (ISO 15408) - Критерии оценки безопасности ИТ.
Необходима локализация лучших международных практик и стандартов: - CobiT – методология для корпоративного управления ИТ; - ITSM/ITIL – приемы и методы управления IT-отделом компании на основе решений из библиотеки передового опыта в области управления ИТ; - ISO 20000 – Система менеджмента ИТ сервисов; - ISO 27000 – Система менеджмента информационной безопасности; - ISO 25000 – Требования к качеству и оценке ПО.
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 6
Организациям и предприятиям необходим структурированный подход
для управления этими и другими проблемами.
Такой подход позволит гарантировать согласованность целей бизнеса и
ИТ, внедрение мер контроля в соответствие с лучшей практикой, а
также мониторинга эффективности ИТ.
Важность Корпоративного управления ИТ
Непрерывность
ИТ сервисов
Безопасность
Цена/Качество
Управление
комплексной средой
Соответствие ИТ
целям бизнеса
Соответствие
регуляторным требованиям
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 7
Корпоративное управление –
комплекс управленческих решений и
практик, применяемых высшим
руководством, с целью:
• Определения стратегического
направления
• Обеспечения достижения целей
• Адекватного управления рисками
• Надлежащего использования
корпоративных ресурсов
Важность корпоративного управления ИТ
RESOURCE
MANAGEMENT
www.itgi.org www.itgi.org
Корпоративное
управление ИТ:
• Ответственность Директоров
и высшего руководства
• Неотъемлемая часть
корпоративного управления,
состоящая из руководства,
организационных структур и
процессов, обеспечивающих
соответствие ИТ текущим
и стратегическим целям
организации
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 8
Корпоративное управление ИТ –
Заинтересованные стороны
Руководители бизнес-
подразделений
Определение направлений развития ИТ, оценка результатов и требования по исправлению недостатков
Определение бизнес-требований к ИТ, обеспечение
достижения пользы от ИТ и управление рисками
Обеспечение и совершенствование ИТ сервисов в соответствие с требованиями бизнеса
Обеспечение независимой оценки, что ИТ предоставляет требуемые сервисы
Оценка соответствия нормативным документам с
учетом новых рисков
Управление Рисками и
Соответствия
ИТ Аудит
Руководство ИТ Служб
Совет Директоров и
высшее руководство
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 9
COBIT:
Основывается на требованиях бизнеса
Процессно-ориентированный, структурирующий задачи
ИТ в общепринятую процессную модель
Идентифицирует основные необходимые ИТ ресурсы
Определяет необходимые цели контроля
Инкорпорирует основные международные стандарты
Стал де факто стандартом в области управления и
контроля ИТ
COBIT помогает заполнить разрывы между бизнес-рисками, требуемыми мерами
контроля и техническими проблемами. Он приводит лучшие практики в
различных областях и процессах, а также перечень требуемых задач для ИТ в
стройной логической системе.
ИТ ресурсы должны управляться в рамках естественным образом сгруппированных процессов. COBIT
предоставляет методику для достижения этой цели.
COBIT предоставляет методологию для корпоративного
управления ИТ
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 10
Бизнес цели и цели
корпоративного управления
Эффективность
Приложения
Информация
Инфраструктура
Персонал
Эксплуатация
и Сопровождение
Мониторинг
и Оценка
Приобретение
и Внедрение
Информация
ИТ ресурсы
C O B I T
Результативность
Конфиденциальность
Целостность
Доступность Соответствие
требованиям
DS1 Определение и управление
уровнем обслуживания
DS2 Управление услугами сторонних
организаций
DS3 Управление
производительностью и
мощностями
DS4 Обеспечение непрерывности ИТ
сервисов
DS5 Обеспечение безопасности
систем
DS6 Определение и распределение
затрат
DS7 Обучение и подготовка
пользователей
DS8 Управление службой технической
поддержки и инцидентами
DS9 Управление конфигурацией
DS10 Управление проблемами
DS11 Управление данными
DS12 Управление физической
безопасностью и и защитой от
воздействия окружающей среды
DS13 Управление операциями по
эксплуатации систем
ME1 Мониторинг и оценка
эффективности ИТ
ME2 Мониторинг и оценка системы
внутреннего контроля
ME3 Обеспечение соответствия
внешним требованиям
ME4 Обеспечение корпоративного
управления ИТ
PO1 Разработка стратегического
плана развития ИТ
PO2 Определение информационной
архитектуры
PO3 Определение направления
технологического развития
PO4 Определение организационной
структуры и взаимосвязей
PO5 Управление ИТ инвестициями
PO6 Информирование о целях и
направлениях развития ИТ
PO7 Управление персоналом
PO8 Управление качеством
PO9 Оценка и управление ИТ
рисками
PO10 Управление проектами
AI1 Выбор решений по
автоматизации
AI2 Приобретение и поддержка
программных приложений
AI3 Приобретение и обслуживание
технологической
инфраструктуры
AI4 Обеспечение выполнения
операций
AI5 Поставки ИТ ресурсов
AI6 Управление внесением
изменений
AI7 Внедрение и приемка решений
и изменений
Планирование
и Организация
Достоверность
Структура COBIT
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 11
COBIT 5 уточнил процессы на уровнях управления и интегрировал содержание COBIT 4.1, Val IT (методология управления ценностью ИТ на базе COBIT) и Risk IT (методология управления рисками, связанными с ИТ на базе COBIT) в одну справочную модель
11
COBIT 5 (10 апреля 2012) – новые и модифицированные процессы
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 12
ISO 9000
ISO 9000 — серия международных стандартов, описывающих требования
к системе менеджмента качества организаций и предприятий.
В основе стандартов лежат идеи и положения теории всеобщего менеджмента
качества (TQM).
Цель серии стандартов ISO 9000 — стабильное функционирование
документированной системы менеджмента качества продукции предприятия-
поставщика.
Исходная направленность стандартов серии ISO 9000 была именно на
отношения между компаниями в форме потребитель/поставщик.
С 3 версией ISO 9000 (2000) большее внимание уделяется способностям
организации удовлетворять требования всех заинтересованных сторон:
собственников, сотрудников, общества, потребителей, поставщиков.
Стандарты помогают предприятиям формализовать их систему менеджмента,
вводя такие системообразующие понятия, как внутренний аудит, процессный
подход, корректирующие и предупреждающие действия.
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 13
ISO/IEC 27000
ISO/IEC 27000 — серия международных стандартов, содержит лучшие практики
и рекомендации в области информационной безопасности для создания, развития
и поддержания Системы Менеджмента Информационной Безопасности.
ISO/IEC 27000 — глоссарий для стандартов СМИБ
ISO/IEC 27001 — Системы управления информационной безопасностью.
Требования
ISO/IEC 27002 — Практические правила управления информационной
безопасностью (ISO/IEC 17799)
ISO/IEC 27003 — Руководство по внедрению Системы Менеджмента ИБ
ISO/IEC 27004 — Измерение эффективности системы управления ИБ
ISO/IEC 27005 — Управление рисками информационной безопасности (BS7799-3)
ISO/IEC 27006 — Требования к органам аудита и сертификации систем
управления ИБ
ISO/IEC 27007 — стандарт для аудита СМИБ;
ISO/IEC 27011 — руководство по телекоммуникациям в СМИБ;
ISO/IEC 27799 — руководство по реализации ISO/IEC 27002 в медицинской
отрасли
…
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 14
ISO 20000
ISO 20000 - первый международный стандарт для управления и
обслуживания IT сервисов (2005, заменил ISO 15000).
ISO 20000-1 представляет описание требований к системе менеджмента ИТ
сервисов и ответственность за инициирование, выполнение и поддержку в
организациях в 5 группах:
1) Процессы предоставления сервисов (Service delivery process): в группу входят управление
уровнем сервисов, управление непрерывностью и доступностью, управление мощностями,
отчѐтность по предоставлению сервисов, управление информационной безопасностью,
бюджетирование и учѐт затрат.
2) Процессы управления взаимодействием (Relationship processes): эта область включает в себя
управление взаимодействием с бизнесом, управление поставщиками.
3) Процессы разрешения (Resolution processes): разработчики стандарта фокусируются на
инцидентах, которые удалось предотвратить или успешно разрешить – управление проблемами,
управление инцидентами.
4) Процессы контроля (Control processes): в данном разделе рассматриваются процессы
управления изменениями и конфигурациями.
5) Процессы управления релизами (Release process): речь идѐт о выработке новых и коррекции
уже имеющихся решений.
ISO 20000 «Information technology — Service management. Part 2: Code of
Practice» - это практические рекомендации по процессам, требования к
которым сформулированы в первой части. Является руководством для аудиторов и
компаний, намеренных пройти сертификацию.
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 15
Организации используют различные модели ИТ, стандарты и лучшие практики.
Данный слайд демонстрирует возможное совместное использование различных
стандартов, при этом COBIT выступает в качестве консолидирующего
(‘зонтичного’) стандарта.
COBIT
ISO 9000
ISO 27000
ITIL ЧТО
КАК
COBIT, ITIL и другие стандарты
ОБЛАСТЬ ПРИМЕНЕНИЯ
ISO 15408 (СТБ)
ISO 20000
ISO 250хх
ISO 9000 - Система
менеджмента качества.
ISO 20000 - Система
менеджмента ИТ сервисов. СТБ 34.101 (ISO 15408) Критерии
оценки безопасности ИТ. ISO 250хх – Требования к
качеству и оценке ПО.
COSO
ISO 27000 - Система
менеджмента ИБ.
COSO – Рекомендации по
управлению, финансовой и
управлению рисками.
CobiT
(Control Objectives for
Information and Related
Technology) – Задачи
информационных и
смежных технологий
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 16
COBIT, ITIL и другие стандарты
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 17
• Высокие затраты
• Неочевидные выгоды
ITIL: Основные проблемы IT-отделов компаний
• Диспетчирование ИТ-систем
• Обновление ИТ-систем
• Финишная обработка распечаток (сортировка,
брошюровка, доставка)
• Диспетчирование локальных данных и систем
Некоторые из типовых задач IT-отделов компаний
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 18
ITIL – IT Infrastructure Library
«Библиотека передового опыта в области
управления ИТ»
ITIL: Понятия
Суть ITIL • Использование процессного подхода для управления информационными
технологиями (ИТ) в компании: вся деятельность IT-отдела описывается с помощью совокупности услуг, которые предоставляются ИТ внутренним и внешним потребителям
Суть внедрения ITIL • Разработка и внедрение приемов и методов управления IT-отделом компании на
основе решений из Библиотеки передового опыта в области управления ИТ
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 19
Стандарты
• Использованный в ITIL процессный подход полностью соответствует стандартам серии ISO 9000. Их суть – стандартизированный контроль процессов
• На основе ITIL/ITSM разработан британский стандарт BSI 15 000 (Standard for IT Service Management), разработанный BSI (British Standards Institution) - Британским Институтом по Стандартизации. Суть этого стандарта – стандартизация производственных процессов
• На основе стандарта BSI 15000 практически без изменений был разработан стандарт ISO 20000, разработанный ISO (International Standard Organization) – Международной организацией по стандартизации
ITIL: Понятия
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 20
Пример: 10 процессов ITSM, обеспечивающих
предоставление и поддержку IT-сервисов
• Процесс управления инцидентами
• Процесс управления проблемами
• Процесс управления конфигурациями
• Процесс управления изменениями
• Процесс управления релизами
• Процесс управления уровнем услуг
• Процесс управления возможностями ИВС
• Процесс управления доступностью
• Процесс управления рисками
• Процесс управления финансами
ITIL: Понятия
Семинар «Лучшие практики управления ИТ» ”, Минск, 29.06.2012 года 21
Спасибо за внимание. тел. +375 (17) 284 09 85
Нужны ли IT стандарты:
- Госстандарту?
- IT бизнесу ?
- IT отделу ?
- IT институтам ?
Стандартизация в сфере ИТ: текущее состояние и
планы