Методология Microsoft по эксплуатации ИС

Библиотека передового опыта организации управления ИТ-инфраструктурой предприятия представляет общие рекомендации и различные организации вносят свой вклад в развитие этого направления. Microsoft на основе обобщения документации ITIL, стандарта ISO 15504, описывающего критерии оценки зрелости процессов, опыта заказчиков и партнеров Microsoft, опыта организации эксплуатации во внутренних ИТ-подразделениях Microsoft разработала библиотеку документов Microsoft Operations Framework (MOF) [36].

В состав MOF входят следующие документы и руководства

· модель процессов эксплуатации (MOF Process Model for Operations);

· модель групп эксплуатации (MOF Team Model for Operations);

· дисциплина управления рисками эксплуатации (Risk Management Discipline for Operations);

· функции управления услугами (SMF – Service Management Functions).

Модель процессов эксплуатации и функции управления услугами описывают высокоуровневые операции, выполняемые при эксплуатации информационных систем, и основываются на четырех принципах:

· структуризация;

· быстрый цикл развития, итеративный подход;

· управление посредством периодических контрольных мероприятий;

· интегрированное управление рисками.

Принцип структуризации упрощает интеграцию процессов, управление жизненным циклом информационной системы и сопоставление ролей с выполняемыми функциями.

Принцип быстрого цикла развития способствует повышению качества работы информационной системы предприятия посредством эффективного проведения изменений при всесторонней оценке рисков.

Принцип контрольных мероприятий обеспечивает регулярную оценку оперативной деятельности по эксплуатации ИТ-инфраструктуры и предоставлению ИТ-сервисов, а также результативности и эффективности действий по внесению изменений в информационную систему.

Принцип интегрированного управления рисками предполагает распространение процедур управления рисками во все операционные процессы и роли, а также формирование упреждающей политики управления рисками.

Модель процессов MOF сформирована из четырех категорий-квадрантов [36], в которых объединены ключевые задачи эксплуатации информационных систем (рис. 6.1).

В модели выделены следующие квадранты:

· изменения;

· эксплуатация;

· поддержка;

· оптимизация.

Квадрант "Изменения" (MOF Changing Quadrant) предназначен для формализации и упорядочивания процессов изменения ИТ-инфраструктуры и ИТ-сервисов. В нем описаны следующие процессы:

· управление изменениями;

· управление релизами;

· управление конфигурациями.

Рис. 6.1. Модель процессов MOF

Функциональность квадранта "Изменения" в отличие от аналогичных процессов ITIL отличается более детальной проработкой диаграмм процессов и инструкций по их применению.

Квадрант "Эксплуатация" (MOF Operating Quadrant) описывает процессы технической инфраструктуры информационной системы (рис. 6.2).

Для квадранта "Эксплуатация " выделены два уровня процессов. На верхнем уровне находятся следующие процессы:

· системное администрирование;

· администрирование безопасности;

· мониторинг ИТ-сервисов.

Данные процессы описывают принципы организации процессов эксплуатации технических и программных систем.

Рис. 6.2. Квадрант "Эксплуатация"

На втором уровне находятся следующие процессы:

· управление заданиями;

· сетевое администрирование;

· управление службой каталога;

· управление хранением данных.

Эти процессы описывают процессы эксплуатации конкретных подсистем.

Следует отметить, что процессы квадранта "Эксплуатация" ориентированы на использование продуктов Microsoft.

Квадрант "Поддержка" (MOF Supporting Quadrant) описывает процессы поддержки пользователей и ИС-службы. В нем описаны следующие процессы:

· Service Desk;

· управление инцидентами;

· управление проблемами.

Документация по процессам данного квадранта в целом соответствует содержанию аналогичных процессов ITIL, но в некоторых случаях детализируются диаграммы процессов и рекомендации по их применению.

Квадрант "Оптимизация" (MOF Optimizing Quadrant) описывает процессы предоставления ИТ-сервисов и оптимизации их предоставления. В данном квадранте описаны следующие процессы:

· управление уровнем предоставления ИТ-сервисов;

· финансовый ИТ-менеджмент;

· управление мощностями;

· управление готовностью;

· управление непрерывностью предоставления ИТ-сервисов;

· управление персоналом ИТ-подразделений;

· управление безопасностью;

· оптимизация ИТ-инфраструктуры.

Если первые пять процессов, в основном, соответствуют с небольшими дополнениями процессам ITIL, то процесс "Управление персоналом" базируется на опыте Microsoft по управлению персоналом, мотивации, обучения и удержания квалифицированных кадров. Содержание процессов "Управление безопасностью" и "Оптимизация ИТ-инфраструктуры" содержат описание передового опыта обеспечения безопасности и оптимизации ИТ-инфраструктуры.

Модель групп эксплуатации формализует и описывает распределение ролей между участниками процесса эксплуатации ИС и обеспечение взаимодействия с внешними и внутренними группами проектирования. В модели групп MOF описаны следующие роли:

· группа управления изменениями в ИТ-среде;

· группа управления физической инфраструктурой и инструментами управления инфраструктурой (операциями);

· группа поддержки;

· группа управления портфелем ИТ-сервисов;

· группа управления ИТ-инфраструктурой;

· группа безопасности;

· группа взаимодействия с поставщиками услуг и продуктов (партнеры).

Как правило роли распределяют между подразделениями ИТ-службы предприятия, но иногда они назначаются бизнес-подразделениям, внешним консультантам и партнерам.

Для малых предприятий в рамках организационной структуры ИТ-службы возможны совмещения некоторых ролей сотрудниками. Рекомендации по совмещению ролей приведены в таблица 6.1 [37]. Ячейки таблицы помечены символами, имеющими следующий смысл: Д – допустимо совмещение ролей; Н/Д – не допустимо совмещение ролей; Н/Р – не рекомендуется совмещение ролей.

Дисциплина управления рисками эксплуатации описывает процессы выявления риска и принятия решений по устранению риска. При этом риском считается возможность нарушения предоставления ИТ-сервиса, а управление рисками – это регулярная деятельность, обеспечивающая актуальность мер по минимизации выявленных рисков или предупреждению в каждый момент выполнения операций по эксплуатации.

В дисциплине определены следующие этапы управления рисками:

· выявление;

· анализ и определение приоритетов;

· планирование;

· мониторинг и отчетность;

· управление;

· обучение.

На этапе "Выявление" идентифицируют существующие риски и фиксируют их как можно раньше.

Этап анализа и определения приоритетов определяют потенциальные угрозы от рисков и устанавливают приоритеты с целью выделения ограниченных ресурсов на снижение наиболее существенных рисков.

Этап "Планирование" предполагает разработку плана действий для снижения влияния рисков на эксплуатацию ИС и внесение изменений в другие процессы управления ИТ-инфраструктурой с целью снижения уровня рисков.

Этап "Мониторинг и отчетность" состоит в отслеживании статуса конкретных рисков, исполнении соответствующих им планов, подготовки отчетов для персонала и руководства о статусе наиболее опасных рисков и планов действий по управлению ими.

Этап управления рисками предполагает исполнение плана действий по конкретным рискам и формирование соответствующей отчетности.

На этапе "Обучение" осуществляется накопление и применение опыта управления рисками.

В данной теме были рассмотрены модели уровней зрелости бизнес- процессов предприятия Capability Maturity Model, уровни зрелости ИТ- инфраструктуры, предложенные компанией Gartner, профили предприятий для оптимизации ИТ-инфраструктуры, разработанные компанией IBM, уровни зрелости ИТ-инфраструктуры предприятий, определенные в методологии компании Microsoft, а также библиотеку документов Microsoft Operations Framework, ориентированную на оптимизация процессов эксплуатации информационных систем.

Вопросы для самопроверки

1. Какие уровни зрелости предприятий определены в модели CMM/СММI?

2. Как характеризуется начальный уровень зрелости предприятия по модели CMM/СММI?

3. Как характеризуется повторяемый уровень зрелости предприятия по модели CMM/СММI?

4. Как характеризуется определенный уровень зрелости предприятия по модели CMM/СММI?

5. Как характеризуется управляемый уровень зрелости предприятия по модели CMM/СММI?

6. Как характеризуется оптимизирующий уровень зрелости предприятия по модели CMM/СММI?

7. Какие уровни зрелости ИТ-инфраструктуры предложены компанией Gartner?

8. Какие профили предприятий для оптимизации ИТ-инфраструктуры определены компанией IBM?

9. Как характеризуется профиль commodity в модели IBM?

10. Как характеризуется профиль utility в модели IBM?

11. Как характеризуется профиль partner в модели IBM?

12. Как характеризуется профиль enabler в модели IBM?

13. Какие уровни зрелости ИТ-инфраструктуры предприятия предложены компанией Microsoft?

14. Как характеризуется базовый уровень зрелости ИТ-инфраструктуры в модели Microsoft?

15. Как характеризуется стандартизированный уровень зрелости ИТ-инфраструктуры в модели Microsoft?

16. Как характеризуется рационализированный уровень зрелости ИТ-инфраструктуры в модели Microsoft?

17. Как характеризуется динамический уровень зрелости ИТ-инфраструктуры в модели Microsoft?

18. Какие документы и руководства входят в состав библиотеки документов Microsoft Operations Framework (MOF)?

19. На каких принципах основывается модель процессов эксплуатации и функции управления услугами MOF?

20. Какие категории квадрантов входят в модель процессов MOF?

21. Какие процессы описаны в квадранте "Изменения" модели MOF?

22. Какие процессы описаны в квадранте "Эксплуатация" модели MOF? Какие процессы описаны в квадранте "Поддержка" модели MOF?

23. На какие уровни разделены процессы в квадранте "Эксплуатация"?

24. Какие процессы описаны в квадранте "оптимизация" модели MOF?

25. Какие роли участников процесса эксплуатации ИС определены в модели групп эксплуатации MOF?

ТЕМА 14: ТЕХНОЛОГИЯ MICROSOFT ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Процесс обеспечения безопасности относится к оперативным процессам и соответствии с библиотекой ITIL [6] и входит в блок процессов поддержки ИТ-сервисов. Нарушение безопасности информационной системы предприятия может привести к ряду негативных последствий, влияющих на уровень предоставления ИТ-сервисов:

· снижение уровня доступности вследствие отсутствия доступа или низкой скорости доступа к данным, приложениям или службам;

· полная или частичная потеря данных;

· несанкционированная модификация данных;

· получение доступа посторонних пользователей к конфиденциальной информации.

Анализ причин нарушения информационной безопасности показывает, что основными являются следующие:

· ошибки конфигурирования программных и аппаратных средств ИС;

· случайные или умышленные действия конечных пользователей и сотрудников ИТ-службы;

· сбои в работе программного и аппаратного обеспечения ИС;

· злоумышленные действия посторонних по отношению к информационной системе лиц.

Компания Microsoft разрабатывает стратегию построения защищенных информационных систем (Trustworthy Computing) - это долгосрочная стратегия, направленная на обеспечение более безопасной, защищенной и надежной работы с компьютерами для всех пользователей [38].

Концепция защищенных компьютерных построена на четырех принципах:

· безопасность, которая предполагает создание максимально защищенных ИТ-инфраструктур;

· конфиденциальность, которая подразумевает внедрение в состав и технологий и продуктов средств защиты конфиденциальности на протяжении всего периода их эксплуатации;

· надежность, которая требует повышения уровня надежности процессов и технологий разработки программного обеспечения информационных систем;

· целостность деловых подходов для укрепления доверия клиентов, партнеров, государственных учреждений.

Данные принципы реализуются в программных продуктах Microsoft. Компания Microsoft предлагает обеспечивать безопасность операционных систем семейства Windows с помощью технологии единого каталога (Active Directory) и групповых политик. Использование групповой политики и Active Directory позволяет централизовано управлять параметрами безопасности как для одного пользователя или компьютера, так и для группы пользователей, управлять безопасностью серверов и рабочих станций.

Для решения вопросов обеспечения информационной безопасности компания Microsoft предоставляет следующие технологии [39]:

· Active Directory – единый каталог, позволяющий сократить число паролей, которые должен вводить пользователь;

· двухэтапная аутентификация на основе открытых/закрытых ключей и смарт-карт;

· шифрование трафика на базе встроенных средств операционной системы IPSec (IP Security - это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов);

· создание защищенных беспроводных сетей на основе стандарта IEEE 802.1x;

· шифрование файловой системы;

· защита от вредоносного кода;

· организация безопасного доступа мобильных и удаленных пользователей;

· защита данных на основе кластеризации, резервного копирования и несанкционированного доступа;

· служба сбора событий из системных журналов безопасности.