«ИНФОРМАЦИОННОЕ ПРОСТРАНСТВО ПРЕДПРИЯТИЯ. МОДЕЛИ. СТАНДАРТЫ» Хорошева Е.Р., профессор кафедры ИСПИ Лекция 4 по дисциплине «Информационные технологии» 1

ИНФОРМАЦИОННЫЕ РЕСУРСЫ ПРЕДПРИЯТИЯ Информационные ресурсы предприятия (источники данных, персонал, методы и средства поиска, обработки и распределения информации) позволяют отобразить реальное состояние бизнеса, выработать адекватную реакцию на изменения в бизнесе и окружающей среде, а также обеспечить поиск наиболее эффективного взаимодействия всех ресурсов предприятии – финансового, материального, интеллектуального и других. Развитие и применение информационных ресурсов предприятия направлено на учет внешних и внутренних факторов деятельности предприятия, которые образуют внутреннюю и внешнюю бизнес- среды предприятия. Если информационные ресурсы охватывают все подразделения и службы предприятия, то можно говорить об информационном пространстве предприятия, понимая под данным определением не только информацию и средства ее обработки, но и географию информационных отношений. 2

ИНФОРМАЦИОННОЕ ПРОСТРАНСТВО Информационное пространство предприятия формируется с помощью технических средств обработки информации, компьютерной и телекоммуникационной технологии. В зависимости от формы взаимодействия и использования каждого из компонентов можно выделить четыре основных уровня реализации информационного пространства предприятия: модель информационного пространства предприятия первого уровня соответствует учетной информационной системе и позволяет получить информацию о соответствующих бизнес-процессах в форме итоговых отчетов в виде таблиц; модель информационного пространства предприятия второго уровня соответствует аналитической информационной системе и позволяет не только выполнять основные операции по обработке фактографической информации и поддерживать все виды учета, но и дать возможность подготовки различных аналитических документов (формируется ЛВС); модель информационного пространства предприятия третьего уровня соответствует интегрированной информационной системе и позволяет объединить отдельные информационные подсистемы в единое информационное пространство, которое предоставляет всю необходимую информацию для управления предприятием (реализация хозяйственной деятельности в Интернет); модель информационного пространства предприятия четвертого уровня соответствует динамической информационной системе и позволяет предоставлять актуальную информацию своим поставщикам, клиентам, партнерам и инвесторам не теряя дополнительное время на доставку (активное внедрение Интернет-технологий в деятельности предприятия). 3

Современные подходы к созданию и функционированию систем управления информационными ресурсами основываются на международных стандартах CobiT, ITIL, ITSM и др. Отличительной чертой данных стандартов является применение процессного подхода к управлению. 4

ITIL (произносится как «айтил», англ. IT Infrastructure Library библиотека инфраструктуры информационных технологий) библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области информационных технологий. Библиотека ITIL появилась около 20 лет назад по заказу британского правительства. В настоящее время она издается британским правительственным агентством Office of Government Commerce и не является собственностью ни одной коммерческой компании (формально библиотека принадлежит королевскому дому Англии, в частности нынешней королеве), в настоящий момент владельцем является американская коммерческая компания APMG. Сейчас существует ITIL 3.0, появившиеся в 2007 году. 1.0 – г, 2.0 –

НАЗНАЧЕНИЕ В семи томах библиотеки описан весь набор процессов, необходимых для того, чтобы обеспечить постоянное высокое качество ИТ-сервисов и повысить степень удовлетворенности пользователей. Следует отметить, что все эти процессы нацелены не просто на обеспечение бесперебойной работы компонент ИТ-инфраструктуры, в гораздо большей степени они нацелены на выполнение требований пользователя и заказчика. В конечном счёте, все процессы ITIL работают на повышение конкурентоспособности, а в наше время даже внутренние ИТ- подразделения компаний не могут чувствовать себя в абсолютной безопасности, так как вынуждены конкурировать с аутсорсинговыми компаниями, сторонними компаниями с которыми подписан договор на оказание услуг. 6

Использованный в библиотеке процессный подход полностью соответствует стандартам серии ISO 9000 (ГОСТ Р ИСО 9000). Процессный подход акцентирует внимание предприятия на достижении поставленных целей, анализе ключевых показателей эффективности (KPI), а также на ресурсах, затраченных на достижение этих целей. Процессный подход не имеет себе равных по обеспечению измеримости и управляемости деятельности предприятия, что, собственно, и сделало его таким популярным. В настоящее время на основе ITIL разработан британский стандарт BSI , который практически без изменений перешёл в категорию международного стандарта под именем ISO На базе рекомендаций ITIL реализован ряд программных средств автоматизации работы служб технической поддержки ИТ. 7

СТРУКТУРА ITIL Вторая редакция ITIL включает в себя семь документов: Поддержка услуг (англ. Service Support) Предоставление услуг (англ. Service Delivery) Планирование внедрения управления услугами (англ. Planning to Implement Service Management) Управление приложениями (англ. Application Management) Управление инфраструктурой информационно-коммуникационных технологий (англ. ICT Infrastructure Management) Управление безопасностью (англ. Security Management) Бизнес-перспектива (англ. The Business Perspective) а также «дополнительную» книгу «Управление конфигурациями ПО» (англ. Software Asset Management). 8

Наиболее известная часть ITIL десять базовых процессов, обеспечивающих поддержку и предоставление ИТ сервисов IT Service Management или ITSM: Процесс управления инцидентами Процесс управления проблемами Процесс управления конфигурациями Процесс управления изменениями Процесс управления релизами Процесс управления уровнем услуг Процесс управления мощностями (емкостью) Процесс управления доступностью Процесс управления непрерывностью Процесс управления финансами Кроме того, в структуре процессов ITSM важную роль играет служба поддержки пользователей Service Desk. 9

ПРИМЕНЕНИЕ ITIL шествует по миру ИТ уже почти десять лет, вышла его третья версия, сформировалась целая сеть профессиональных сообществ и целая армия сертифицированных специалистов, растет осведомленность бизнеса о преимуществах ITSM, принципах и практиках ITIL. И тем не менее масштаб реального применения ITIL в бизнесе оказался не столь велик. По данным Gartner Group лишь 20% компаний крупного бизнеса используют ITIL и 29% планируют его использовать. В среднем бизнесе эти цифры еще меньше: соответственно 7 и 19%. Внедрение процессов ITIL тоже идёт не широким фронтом. Большинство ИТ-служб в первую очередь внедряют их для поддержки ИТ- инфраструктуры, а бизнес-приложения часто откладываются «на потом». 10

Требования к управлению услугами ИТ: ISO/IES :2005 «Information technology Service Management.» Service Management.» 11

Цель разработки этого стандарта заключалась в создании универсальных критериев, с помощью которых любая фирма или служба, предоставляющая ИТ-услуги, сможет оценивать их эффективность и выполнение требований заказчиков с учетом их бизнеса. Стандарт задумывался как «отраслевой» аналог ISO 9001:2000, нацеленный на ИТ-услуги. Такой процессно-отраслевой подход гарантирует решение многих вопросов и бизнес-задач компаний, позволяет им минимизировать затраты на сертификацию. Кроме того, на его основе проверяющий орган по сертификации может проводить интегрированную оценку и сертификацию. 12

Процессы ISO/IEC

Структура процессов 14

Сертификация по стандарту ISO предоставляет компании конкурентные преимущества: она может продемонстрировать партнерам, клиентам, конкурентам, инвесторам и государственным органам, что в ней налажено эффективное управление ИТ-услугами; своевременно выявляются проблемы бизнес-процессов, связанных с управлением ИТ-услугами; появляется возможность выработки рекомендаций, нацеленных на повышение уровня зрелости процессов организации ИТ-сервисов; снижаются риски прямых потерь из-за предоставления некачественных ИТ-услуг 15

16

17

язык моделирования IDEF/0 правила и методика структурированного графического представления описания бизнес-процессов Метод IDEF/0 предназначен для функционального моделирования моделирование выполнения функций объекта, путем создания описательной графической модели, показывающей что, как и кем делается в рамках функционирования системы 18

концептуальные положения методологии IDEF/0 синтаксис и семантика языка IDEF/0 свойства и правила построения диаграмм методика построения функциональных моделей в среде IDEF/0 стандартный бланк методологии IDEF/0 метамодель и функциональная модель предприятия 19

20

21

Каждое действие раскладывается на более мелкие операции по переработке определенной части информационных или материальных ресурсов при определенных условиях с использованием части заданных механизмов. 22

Стандартный бланк методологии IDEF/0 23

метамодель функциональная модель предприятия 24

Используется при разработке функциональной модели процессов управления «как должно быть» Федерального агентства по рыболовству Деятельность Отдела менеджмента качества ФГОУ ВПО «АмГПГУ» регламентируется рядом нормативных документов, в т.ч. и рекомендациями по стандартизации Р Деятельность Отдела менеджмента качества ФГОУ ВПО «АмГПГУ» регламентируется рядом нормативных документов, в т.ч. и рекомендациями по стандартизации Р Моделирование в CA ERwin Process Modeler осуществляется на базе ряда методик, среди которых IDEF/0 25

Название документа: Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий 26

1 Область применения 2 Термины и определения 3 Концепции безопасности и взаимосвязи Принципы безопасности Активы Угрозы Уязвимости Воздействие Риск Защитные меры Ограничения Взаимосвязь компонентов безопасности 4 Цели, стратегии и политика Цели и стратегии безопасности информационно-телекоммуникационных технологии Иерархия политик Элементы политики безопасности информационно-телекоммуникационных технологий организации 5 Организационные аспекты безопасности информационно- телекоммуникационных технологий Служебные обязанности и ответственность Организационные Принципы 6 Функции управления безопасностью Общие вопросы Внешние условия Управление рисками 27

Настоящий стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ),и раскрывает общие вопросы управления, которые важны для успешного планирования реализации и поддержки безопасности ИТТ. Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям. Настоящий стандарт разработан так, что позволяет приспосабливать его положения к потребностям организации и свойственному ей стилю управления. 28

активы (asset): Все, что имеет ценность для организации. конфиденциальность (confidentially): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации риск Потенциальная опасность нанесения ущерба организации в результате реализации и некоторой угрозы с использованием уязвимостей актива или группы активов. анализ риска (risk analysis): Систематический процесс определения величины риска. менеджмент риска (risk management): Полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут сказать влияние на ресурсы информационно- телекоммуникационных технологий 29

материальные активы (например вычислительные средства, средство связи, здания), информацию (данные) (например документы, базы данных): программное обеспечение. способность производить продукт или предоставлять услугу, людей нематериальные ресурсы (например престиж фирмы, репутацию). 30

Угрозы обусловленные человеческими факторами Угрозы окружающей среды целенаправленные Случайные Подслушивание/перехват Модификация информации Атака хакера, на систему Хищения Ошибки и упущения. Удаление файла. Ошибка маршрутизации. Материальные несчастные случаи Землетрясение Молния Наводнение Пожар Угрозы обладают следующими характеристиками, устанавливающими их взаимосвязь с другими компонентами безопасности. источник, внутренний или внешний мотивация, например финансовая выгода, конкурентное преимущество частота возникновения правдоподобие вредоносное воздействие 31

Примером уязвимости является отсутствие контроля доступа, которое может обусловить возникновение угрозы несанкционированного доступа и привести к утрате активов Оценка уязвимостей это проверка слабостей, которые могут быть использованы существующими угрозами. Эта оценка должна учитывать окружающую среду и существующие защитные меры. Мерой уязвимости конкретной системы или актива по отношению к угрозе является степень того, с какой легкостью системе или активу может быть нанесен ущерб. 32

Риск это способность конкретной угрозы использовать уязвимости одного или нескольких видов активов для нанесения ущерба организации. Одна угроза или группа угроз могут использовать одну уязвимость или группу уязвимостей. Сценарий риска описывает, как определенная угроза или группа угроз могут использовать уязвимость или группу уязвимостей подверженного угрозе актива. Риск характеризуется комбинацией двух факторов: вероятностью возникновения инцидента и его разрушительным воздействием. 33

Процесс управления рисками должен быть непрерывным. В новых системах и в системах, находящихся на стадии планирования, управления рисками должно быть частью процесса конструирования и разработки. В уже существующих системах управление рисками должно осуществляться в любой подходящий момент. При процессе планирования значительных изменений в системах управление рисками должно быть частью этого процесса и должно учитывать новое системы при организации, а не применяться только к конкретной изолированной системе. 34

Защитные меры это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов. Порядок выбора защитных мер очень важен для правильного планирования и реализации программы информационной безопасности. Защитная мера может выполнять много функций безопасности и наоборот одна функция безопасности может потребовать нескольких защитных мер. Защитные меры могут выполнять одну или несколько из следующих функций: предотвращение; сдерживание, обнаружение; ограничение. исправление; восстановление; мониторинг, осведомление. 35

менеджмент риска обязательства служебные обязанности и ответственности цели, стратегии и политика управление жизненным циклом 36

Цели (чего необходимо достичь), стратегии (способы достижения цели), политика (правила которые следует соблюдать для реализации стратегий) и процедуры (методы осуществления политики) могут быть определены и раскрыты в соответствующие подразделениях и на соответствующих уровнях организации. Руководящие документы должны отражать организационные требования и учитывать организационные ограничения. Поскольку многие угрозы (например атаки хакеров, удаление файлов, пожар) являются распространенными, важна согласованность между соответствующими документами. 37

38

39

ГОСТ Р ИСО/МЭК ТО Информационная технология РУКОВОДСТВО ПО УПРАВЛЕНИЮ ДОКУМЕНТИРОВАНИЕМ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ 40

Расшифровка аббревиатуры ГОСТ – ГОсударственный СТандарт. Р – стандартизация проводилась в России, а не в СССР. ИСО/МЭК - аббревиатуры аутентичности ГОСТ текстам международных стандартов ИСО, МЭК. ИСО (ISO) - Международная организация по стандартизации ISO (греч. isos – равный). МЭК (IEC) - Международная электротехническая комиссия. ТО – техническое описание. ГОСТ Р ИСО/МЭК ТО

Информация о стандарте ОбозначениеГОСТ Р ИСО/МЭК ТО Статус Действующий Название рус.Информационная технология. Руководство по управлению документированием программного обеспечения Название англ.Information technology. Guidelines for the management of software documentation Дата введения в действие: Дата переиздания:

Где стандарт расположен? ОКС Общероссийский классификатор стандартов o 35 ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ Программное обеспечение *Включая разработку программного обеспечения, документацию, интернет- приложения и их использование КГС Классификатор государственных стандартов o Т Общетехнические и организационно-методические стандарты Т5 Система документации Т55 Система административно-управленческой документации, документооборота, организация архивного дела Тематические сборники o ИТ.ВОС Информационные технологии. Взаимосвязь открытых систем. 43

Используемые термины Документ. Уникально обозначенный блок информации для использования человеком, такой как от- чёт, спецификация, руководство или книга. Документация. Набор из одного или более связанных документов. Программная продукция. Результат процесса разработки программного обеспечения, т. е. программное обеспечение, выпускаемое для использования 44

Область применения Руководители, отвечающее за разработку ПО Эффективное проведение документирования ПС Стратегии Стандарты Процедуры Ресурсы Планы ГОСТ Р ИСО/МЭК ТО

Условия применения - Все типы программных средств -Все типы программной документации, относящейся ко всем стадиям жизненного цикла ПС -Адаптирование для потребностей организации 46

Зачем нужна программная документация? Информация для управления: периодические отчёты Связь между задачами: спецификации требований Обеспечение качества Инструкции и справки: понимание использования Сопровождение ПС: детальное описание для модернизации ПС Историческое описание: перенос ПС в новое окружение 47

Стратегии документирования Определяют главное направление в документировании. Но не дают рекомендаций, что делать и как это делать. Официально утверждается Доводится до каждого исполнителя Устанавливают дисциплину для эффективного документирования ПС: -охват всего ЖЦ ПС, -обеспечение управляемости документирования, -объединение в общий процесс разработки ПС, -определение и использование стандартов, -определение средств поддержки. Стратегии 48

Стандарты документирования Модели ЖЦ ПС Типы и взаимосвязи документов Содержание документа Качество документа Форматы документа Обозначения документа Определяют, как следует выполнять задачи документирования. Обеспечивать критерии для оценки полноты, полезности и соответствия документации. 49

Процедуры документирования Определяют последовательность документирования. Планирование Подготовка Конфигурационное управление Проверка Утверждение Производство Хранение Распространение и модернизация Продажа Определение контрольных пунктов и методов обеспечения качества. 50

Ресурсы Персонал. Должен быть обучен методам документирования, полностью понимать и выполнять свою роль в документировании. Средства. Могут быть применены для повышения эффективности процессов документирования и использования стандартов. Финансирование. Стоимость документирования должна определяться как отдельная статья бюджета. 51

План процесса документирования Определяет, что должно быть сделано, как это должно быть сделано, когда это должно быть сделано и кто это должен сделать. Часть общего проекта или отдельный документ Доводится до каждого исполнителя Структура, содержание, качество, формат, обозначение, комплектность и хранение документов График документирования План + 52

График документирования Планирование документов Проверка плана и принципов документирования Подготовка проектов Проверка на техническую точность, полноту и соответствие Редактирование при внесении изменений, появив-ся при проверке Проведения согласования Перевод Распространение 53

Использование стандарта 54