Функции управления ИТ-услугами в составе этапов

Назначение MOF

Цель  MOF заключается в предоставлении ИТ-подразделениям руководств,, помогающих создавать, эксплуатировать и поддерживать ИТ-услуги, обеспечивая получение ожидаемых ком­мерческих преимуществ от конкретных инвестиций в ИТ с приемлемым уровнем риска.

Модель MOF предназначена для создания среды, в которой компания и ИТ-подразде­ление смогут совместно работать над совершенствованием деятельности и исполь­зовать при этом проактивную модель, определяющую процессы и стандартные процедуры, направленные на повышение эффективности и продуктивности ИТ услуг. MOF предлагает логический подход к принятию решений и обмену информацией при планировании, разверты­вании и поддержке ИТ-услуг.

Использование MOF

Данное описание модели MOF состоит из серии обзоров этапов (фаз жизненного цикла) и руководств по функциям сервисного управления (SMF), в которых описаны действия по успешному управлению ИТ-услугами, начиная с оценки, предваря­ющейзапуск новой или усовершенствованной услуги, через оптимизацию существующей услуги, вплоть до вывода устаревшей услуги из эксплуатации. 

Руководства написаны для разных целевых аудиторий: Директоров по ИТ, руководителей ИТ-подразделений и ИТ-специалистов.

· Обзорные руководства предназначены для директоров по ИТ, которым необходимо получить «общую картину» модели.

· Функциональные руководства, содержащие обзорную информацию и описание рабочих процессов, помогут руководителям ИТ-подразделений изучить стратегии предоставления ИТ-услуг.

· Функциональные руководства, с подробным перечнем действий, рассчитаны на ИТ-специалистов, занимающихся применением модели MOF на практике.

Руководства MOF см. на веб-узле Microsoft TechNet по адресу http://www.microsoft.com/technet/solutionaccelerators/cits/mo/mof/default.mspx (на английском языке).

 

Жизненный цикл ИТ-услуги

Жизненный цикл ИТ-услуги состоит из последовательных этапов, начиная с планирования и оптимизации для приведения услуги в соответствие с бизнес-стратегией, включая разработку и внедрение ИТ-услуги, с последующей повседневной эксплуатацией и поддержкой. Основополагающими для всех вышеуказанных этапов являются   процессы управления ИТ, управление рисками, обеспечение соответствия нормативным требованиям, управление ИТ персоналом и управление изменениями.

Этапы жизненного цикла

Жизненный цикл ИТ-услуги состоит из трех чередующихся этапов и одного основополагающего уровня, охватывающего все этапы. 

· Этап «Планирование».

· Этап «Внедрение».

· Этап «Эксплуатация».

· Уровень «Управление».

 

Рис. 1. Жизненный цикл ИТ-услуги

Скорее всего, ваше ИТ-подразделение одновременно управляет несколькими услугами, которые находятся на разных этапах своего жизненного цикла. Максимальные преимущества использования методологии  MOF можно получить только при условии полного понимания, как протекают и взаимодействуют этапы жизненного цикла.

· Этап «Планирование», как правило, считается подготовительным. Он предполагает планирование и оптимизацию стратегии предоставления ИТ-услуг для соответствия бизнес-целям и задачам.

· Затем начинается этап «Внедрение». Цель его - удостовериться, что все ИТ-услуги рационально разработаны, успешно внедрены и готовы к эксплуатации.

· Далее следует этап «Эксплуатация», направленный на оптимальное  использование, обслуживание и поддержку ИТ-услуг в соответствии с потребностями и ожиданиями компании.

· Уровень «Управление» — это основа жизненного цикла ИТ-услуги. Он описывает принципы и рекомендованные практики по предоставлению ИТ-услуг, обеспечивающие ожидаемые коммерческие преимущества от инвестиций  в ИТ с приемлемым уровнем риска. Этот уровень оперирует такими понятиями, как управление ИТ, риски, соот­ветствие нормативным требованиям, роли и обязанности, управление изменени­ями и конфигурациями. Процессы данного уровня выполняются на всех этапах жизненного цикла.

Следование рекомендациям MOF помогает решить ряд задач:

· Снизить вероятность возникновения рисков благодаря улучшенной координации работы команд.

· Выявить последствия несоответствия нормативным требованиям при проверке политик.

· Предусмотреть проблемы, связанные с надежностью, и «смягчить» их воздействие.

· Выявить возможные проблемы с интеграцией решения до внедрения его в рабочей среде.

· Предотвратить проблемы с производительностью благодаря установке ее предусмотренных пороговых значений.

· Эффективно адаптироваться к новым бизнес-потребностям.

Первоначальный релиз ИТ-услуги, как правило, есть результат новой инициативы со стороны бизнеса или ИТ. На всем протяжении жизненного цикла услуги,  при внесении в нее изменений (как незначительных, так и кардинальных) необходимо придерживаться этапов жизненного цикла MOF.

Используйте этапы жизненного цикла ИТ-услуги MOF независимо от масштабов изменения и его влияния. Степень формальности, с которой применяется подход к жизненному циклу, соразмерен риску, связанному с внесением изменения. На практике выполняйте только то, что необходимо в каждом конкретном случае: не больше и не меньше. Так, крупная инициатива (например, внедрение новой услуги, от которой зависит исполнение бизнес-функций предприятия) требует тщательного предварительного анализа и проверки на этапе «Планирование», составления полного проектного плана на этапе «Предоставление», а также подготовки к внедрению, под­держке и мониторингу этой услуги ИТ-подразделением на этапе «Эксплуатация».

Незначительное и, следовательно, менее рискованное изменение проходит этапы своего жизненного цикла быстрее. Предположим, необходимо изменить структуру веб-узела ко. Поскольку это нестандартное изменение, нужно использовать жизненный цикл ИТ-услуги MOF. На этапе «Планирование» определяются потребности компании, проверяются политики и выбирается компромиссный, с точки зрения надежности, вариант. На этапе «Предостав­ление» изменения разрабатываются и тестируются. На этапе «Эксплуатация» измене­ние внедряется в рабочую среду, по результатам мониторинга услуги в нее вносятся необходимые корректировки, а пользователям помогают устранить возникшие при этом проблемы. Изменения с минимальным уровнем риска потребуют для этого минимум времени и процессов MOF.

Управленческий анализ

На каждом этапе жизненного цикла управленческий анализ служит для оценки состояния ИТ-услуг и их готовности к переходу на следующий этап. Управленческий анализ — это внутренний контроль, обеспечивающий достижение целей и соблюдение коммерческих приоритетов на всем протя­жении жизненного цикла ИТ-услуги. Управленческий анализ преследует четкие цели на любом этапе жизненного цикла:

· Предоставляет  управленческий контроль для руководства

· Служит в качестве внутреннего контроля на этапах жизненного цикла ИТ-услуги.

· Оценивает состояние текущей деятельности и предотвращает преждевременный переход на следующий этап.

· Консолидирует накопленные внутриорганизационные знания.

· Усовершенствует процессы.

Управленческий анализ сравнивает критерии перехода на следующий этап жизненного цикла с фактически достигнутыми результатами. Это позволяет проверить, достиг­нуты ли поставленные бизнес-цели и будут ли преимущества использования ИТ-услуги соответствовать ожидаемым.

В следующей таблице представлены виды управленческого анализа, их распределение по этапам жизненного цикла ИТ-услуги, входные данные и результаты.

Таблица 1. Виды управленческого анализа MOF

Управленче ­ ский анализ	Этап	Входные данные	Конечный результат
Согласование услуги	Планирование	· Результаты обзора эксплуатационного состояния (Operations Health Review) · Соглашения об уровне обслуживания (SLA) · Информация, полученная от  заказчика	· Возможность инициации нового  проекта или программы усовершенство­вания · Запрос на изменение SLA
Портфолио	Планирование	· Планы проектов	· Формирование рабочей группы · Исходный устав проекта
Утверждение плана проекта	Внедрение	· Бизнес-требования · Формулировка концепции	· Формирование проектной группы · Утвержденный план проекта
Готовность релиза	Внедрение	· Документация, подтверждающая, что релиз отвечает требованиям · Документация, подтверждающая, что релиз стабилен · Документация, подтверждающая, что релиз готов к исполь­зованию	· Решение о готовности/ неготовности релиза
Эксплуатацион­ное состояние	Эксплуатация	· Документы по соглашениям об уровне операцион­ного обслуживания (OLA) · Отчеты о фактических значениях метрик OLA · Руководства по экс­плуатации и специи­фикации решения	· Запрос на изменение OLA · Запрос на изменение ИТ-услуг · Изменение конфигурации ключевых компонентов технологии
Политика и контроль	Управление	· Политики эксплуатации и безопасности · Нарушения политик, инциденты, связанные с несоблюдением соответствия норма­тивным требованиям · Запросы на изменение политик · Изменение норм, стандартов или отраслевых образцов	· Запросы на изменение политик и мер контроля · Запросы на изменение управления политиками и мерами контроля

 

На рис. 3 представлены этапы жизненного цикла ИТ-услуги и связанные с ними виды управленческого анализа.

Рис. 3. Этапы жизненного цикла ИТ-услуги с видами управленческого анализа

Более подробное описание управленческого анализа см. в обзоре отдельных этапов.

Этап «Планирование»

Этап «Планирование» проиллюстрирован на рис. 4.

 

Рис. 4. Этап «Планирование»

На этапе «Планирование» бизнес-подразделения и ИТ совместно определяют, как ИТ-подразделение будет предоставлять услуги, необходимые для достижения успеха работы компании. Для этого требуется следующее:

· Понимание бизнес-стратегии и бизнес-требований, а также того, как текущие ИТ-услуги содействуют бизнесу.

· Понимание значения понятия «надежности» для данной организации, а также способов ее измерения и повышения; анализ текущего состояния и его улучшение при необходимости.

· Понимание требований организационных политик и их влияния на стратегию предоставления ИТ-услуг.

· Финансовая структура для поддержки работы ИТ-специалистов и принятия правильных решений.

· Создание стратегии предоставления ИТ-услуг, учитывающей особенности бизнес-стратегии, и принятие решений в отношении Портфолио услуг.

Цель этапа «Планирование» состоит в принятии правильных решений по поводу страте­гии предоставления ИТ-услуг и портфеля проектов. Услуги должны обладать следую­щими свойствами.

· Ценность и полезность с точки зрения бизнес-целей.

· Прогнозируемость и надежность.

· Экономическая эффективность.

· Соответствие требованиям политик.

· Способность адаптироваться к меняющимся потребностям компании.

Основные действия на этапе «Планирование» поддерживают следующие SMF-функции.

Таблица 2. SMF-функции этапа «Планирование»

SMF-функция	Конечный результат/цель	Следствие
Соответствие ИТ и бизнеса	Конечный результат: стратегия предоставления ИТ-услуг Цель · Предоставление необходимого набора услуг бизнесу	· Портфолио ИТ-услуг, состав­ленный с учетом бизнес-процессов, функций и возмож­ностей · Услуги, обеспечивающие конкретные бизнес-потребности · Информация о спросе на услуги и их использовании · Удовлетворенность заказчика
Надежность	Конечный результат: ИТ-стандарты Цель · Эффективность, доступность и непрерывность ИТ-услуг, а также целостность данных экономически- оправданно согласуются с бизнес-потреб­ностями	· Планы надежности · Отчеты о надежности · Предсказуемые услуги
Политика	Конечный результат: ИТ-политики Цель · Эффективное определение ИТ-политик и управление ими	· Документированные ИТ-поли­тики, сопоставленные бизнес-политикам · ИТ-политики для эффектив­ного управления ИТ · Документированные политики для следующих областей · Безопасность · Конфиденциальность · Надлежащее использование · Управление отношени­ями с партнерами и сто­ронними компаниями · Защита активов
Управление финансами	Конечный результат: планирование и оценка финансирования ИТ Цель · Точное прогнозирование, учет и оптимизация затрат на ресурсы, необходимые для предоставления комплексных ИТ-услуг	· Точный учет расходов на ИТ · Затраты соотносятся с ИТ-услугами · Бюджет, в котором преду­смотрены расходы на ИТ · Модель для определения возможностей инвестирова­ния в ИТ и прогнозирования затрат на жизненный цикл

Этап «Внедрение»

Этап «Внедрение» проиллюстрирован на рис. 5.

 

 

Рис. 5. Этап «Внедрениея»

Имея в своем распоряжении надежную стратегию предоставления ИТ-услуг, можно при­ступать к созданию новых ИТ-услуг или усовершенствованию текущих. Цель этапа «Внедрение» — помочь ИТ-специалистам в сфере управления проектами эффек­тивно разрабатывать, стабилизировать и развертывать ИТ-услуги, приложения и обновления для инфраструктуры.

Жизненный цикл ИТ-услуги — непрерывный процесс, начинающийся с определения необходимых компании услуг и заканчивающийся их применением. На этапе «Внедрение» происходит планированиея, проектирование, разработка и внедрение изме­нения для услуг.

Цели этапа «Внедрение»

Основная цель этапа «Внедрение» в том, чтобы ИТ-услуги, инфраструктурные проекты или разворачивания отдельных продуктов планировались, проектировались, разрабатывались, стабилизировались и развертывались в соответствии с требованиями организации и спецификациями заказчика.

В частности, это означает, что проектная группа выполняет следующие задачи.

· Выявление потребностей и требований бизнеса перед планированием решения.

· Подготовка функциональной спецификации и проекта решения.

· Составление рабочих планов, смет и графиков предоставления конечных результатов.

· Разработка решения согласно спецификации заказчика (все функции имеют законченный вид, а решение готово к внешнему тестированию и стабилизации).

· Выпуск высококачественного решения, включая тщательное тестирование и пилотное развертывание версии-кандидата.

· Развертывание устойчивого решения в рабочей среде и его стабилизация.

· Подготовка групп эксплуатации и поддержки к сопровождению решения и обслужи­ванию заказчиков.

Основные действия на этапе «Предоставление» поддерживают следующие
SMF-функции.

Таблица 3. SMF-функции этапа «Внедрение»

SMF-функция	Конечный результат/цель	Следствие
Предваритель ­ ное планиро ­ вание (Видение)	Конечный результат: документ с описанием концепции проекта Цель · Четкое информирование о концепции, содержании и рисках проекта	· Концепция и область дейст­вия проекта четко докумен­тированы и известны рабо­чей группе и заказчику · Концептуальный план пред­лагаемого решения входит в состав документа с описа­нием концепции · Проектные риски документи­рованы и известны рабочей группе и заказчику
Планирование проекта	Конечный результат: документ с описанием плана проекта Цель · Проектная группа, заказчик и заинтересованные стороны согласны с тем, что все промежуточные конт­рольные точки пройдены, проектные планы отражают потребности заказчика и достаточно реалистичны	· Дизайн и функции решения четко документированы в функциональной специи­фикации · Дизайн и функции решения соответствуют потребностям (бизнес, пользователи, эксплуатация и системы)
Создание	Конечный результат: разработанное решение Цель · Создание решения, отвечаю­щего ожиданиям заказчика и параметрам в функцио­нальной спецификации	· Окончательный вариант, соответствующий всем требованиям (бизнес, поль­зователи, эксплуатация и системы) · Решение, отвечающее ожиданиям заказчика и параметрам в функцио­нальной спецификации
Стабилизация	Конечный результат: протести­рованное стабильное решение Цель · Разрешение всех проблем, обнаруженных в ходе тести­рования и пилотного развер­тывания; выпуск высокока­чественного решения, отвечающего ожиданиям заказчика и параметрам в функциональной специи­фикации	· Устранены все проблемы, обнаруженные в ходе тести­рования и пилотного развертывания · Высококачественное реше­ние, отвечающее ожиданиям заказчика и параметрам в функциональной специи-фикации
Развертыва ­ ние	Конечный результат: услуга в действии Цель · Развертывание стабильного решения, которое удовлетво­ряет заказчика; успешная передача решения от проект­ной группы группам эксплуа­тации и поддержки	· Решение раз­вернуто в рабочей среде · Заказчик доволен развер­нутым решением и прини­мает его · Решение успешно передано от проектной группы группам эксплуатации и поддержки

Этап «Эксплуатация»

Этап «Эксплуатация» проиллюстрирован на рис. 6.

 

Рис. 6. Этап «Эксплуатация»

Этап «Эксплуатация» — это своеобразная кульминация двух предшествующих этапов в составе жизненного цикла ИТ-услуги. Он охватывает действия, выполняемые после успешного внедрения услуги.

Когда ИТ-услуга успешно внедрена, важно, чтобы она функционировала в четком соот­ветствии с бизнес-потребностями и ожиданиями заказчика. Это и есть цель этапа «Эксплуатация», который выполняет четыре основных задачи:

· Эффективное оперативное управление услугой.

· Проактивный и оперативный мониторинг состояния услуги.

· Эффективное и быстрое предоставление помощи при пользовании услугой.

· Восстановление работоспособности услуги в случае необходимости.

Цель этапа «Эксплуатация» в том, чтобы развернутые ИТ-услуги эксплуатировались, обслуживались и поддерживались в соответствии с параметрами соглашений об уровне обслуживания (SLA), согласованными компанией и ИТ-подразделением.

В частности, это означает следующее:

· Доступность ИТ-услуг благодаря более эффективному использованию ИТ-персо­нала и лучшему управлению нагрузкой.

· Мониторинг состояния ИТ-услуг в режиме реального времени; обучение членов команды методам быстрого и эффективного разрешения проблем.

· Быстрое и эффективное восстановление работы ИТ-услуг.

Основные действия на этапе «Эксплуатация» поддерживают следующие SMF-функции:

Таблица 4. SMF-функции этапа «Эксплуатация»

SMF-функция	Конечный результат/предназначение	Следствие
Эксплуатация	Конечный результат: руководство по эксплуатации Цель · Идентификация и описа­ние работ, необходимых для успешной эксплуата­ции ИТ-услуг · Экономия времени за счет уменьшения объема работ реактивного харак­тера, выполняемые  сотрудниками, ответственными за операционные процедуры · Минимизация нарушений и простоев в обслужи­вании · Эффективное и рацио­нальное выполнение текущих эксплуатационных задач	· Повышение эффек­тивности ИТ-персо­нала · Улучшение доступ­ности ИТ-услуги · Улучшенная работа новых и измененных ИТ-услуг · Сокращение объема работ реактивного характера
Мониторинг и контроль услуг	Конечный результат: данные мониторинга состояния ИТ-услуг Цель · Мониторинг состояния ИТ-услуг · Принятие мер для мини­мизации влияния инци­дентов и внутрисистемных событий	· Улучшение общей доступности услуг · Сокращение коли­чества нарушений соглашений SLA и OLA · Улучшенное понима­ние инфраструктурных компонентов, отвечаю­щих за предостав­ление услуги · Повышение уровня удовлетворенности пользователей · Более эффективное и оперативное реаги­рование на события услуг
Обслуживание пользователей	Конечный результат: эффективная поддержка пользователей услуги Цель · Создание удобных условий для пользова­телей услуги · Обработка жалоб и проблемных ситуаций	· Заданный уровень бизнес-продуктивности · Увеличение значимости ИТ-услуги · Повышение функцио­нальности, конкуренто­способности и эффек­тивности бизнеса
Управление проблемами	Конечный результат: эффективное разрешение проблем Цель · Анализ ключевых причин для идентификации проблем · Прогнозирование проблем	· Уменьшение коли­чества инцидентов и проблем, а также их воздействия · Расширение перечня обходных и посто­янных решений для выявленных проблем · Большинство проблем устраняется на ранних стадиях либо свое­временно предотвра­щается

Уровень «Управление»

Уровень «Управление» проиллюстрирован на рис. 7.

Рис. 7. Уровень «Управление»

Уровень «Управление» включает принятие решений, управление рисками и управление изменениями на всех этапах жизненного цикла ИТ-услуги. Кроме того, он охватывает процессы, связанные с определением ответственности и соответствующих ролей.

Уровень «Управление» — это фундамент для всех этапов жизненного цикла. Он обеспечивает согласованное планирование и предоставление ИТ-услуг, а также создает базу для разработки и эксплуатации устойчивой ИТ-среды.

Основная цель уровня «Управление» —интегрированный подход к управлению ИТ-услугами. Такой подход помогает координировать процессы на каждом из трех этапов жизненного цикла («Планирование», «Предоставление» и «Эксплуатация»). Координация улучшается за счет следующих факторов:

· Разработка процессов принятия решений.

· Использование методов управления рисками и соответствующих средств контроля в составе всех процессов.

· Контролируемые изменения и конфигурации.

· Разделение работ на четкие и непересекающиеся сферы ответственности.

Конкретные инструкции предназначены для повышения вероятности достижения следующих преимуществ:

· Инвестиции в ИТ приводят к реализации ожидаемой коммерческой ценности.

· Решения о распределении инвестиций и ресурсов принимаются соответствующими ролями.

· Приемлемый уровень риска.

· Используются контролируемые и документированные процессы.

· Известны сферы ответственности и их владельцы.

· Эффективные и надежные политики и внутренние меры контроля.

Достижению этих целей способствуют следующие факторы:

· Четкие структуры и процессы управления ИТ.

· ИТ-отдел и бизнес-подразделения компании исповедуют единый подход к управлению рисками.

· Регулярный, плановый управленческий анализ политик и внутренних мер контроля.

Основные действия на этапе «Управление» поддерживают следующие SMF-функции.

Таблица 5. SMF-функции уровня «Управление»

SMF-функция	Конечный результат/цель	Следствие
Управление, риск и соответствие нормативным требованиям	Конечный результат: достиг­нуты цели ИТ, изменения и риски контролируются и документируются Цель · Поддержка, укрепление и развитие организации с управлением рисками и ограничениями	ИТ-услуги идеально соот­носятся с бизнес-страте­гией и целями
Изменение и конфигурация	Конечный результат: известные конфигурации и прогнозируемая адаптивность Цель · Изменения планируются, число незапланированных изменений минимально, ИТ-услуги надежны	Прогнозируемые, надеж­ные и заслуживающие доверия ИТ-услуги
Команда	Конечный результат: четкие сферы ответственности, роли и назначение работ Цель · Динамичные, гибкие и мас­штабируемые рабочие группы	ИТ-решения предостав­ляются с соблюдением установленных ограни­чений, без незапланиро­ванного ухудшения качества услуг Надежное предостав­ление услуг бизнесу

Ниже описано, как каждая из SMF-функций уровня «Управление» применяется к этапам жизненного цикла ИТ-услуги.

· Цель этапа «Планирование» в том, чтобы бизнес и ИТ-подразделение продуктивно взаимодействовали. На этом этапе SMF-функция «Управление, риск и соответствие нормативным требованиям» сфокусирована на предоставлении четкой информации о стратегии, участии заинтересованных сторон в принятии решений, а также учете рисков и преимуществ услуг. Управление изменениями ориентируется на вопросы, связанные с изменениями проектных планов и отражающие общие подходы к новым инициативам. В SMF-функции «Команда» для этапа «Планирование» описаны ответственности «Услуга» и «Архитектура».

· Этап «Внедрение» направлен на построение требуемого решения оптимальным способом.. Здесь SMF-функция «Управление, риск и соответствие нормативным требованиям» сфокусирована на определении рамок проекта, вовлечении в проект всех заинтересованных сторон, а также  проектных рисках. Управление изменениями также является проектно-ориентированным и часто инициирует активности по управлению рисками проекта. В SMF-функции «Рабочая группа» для этапа «Предоставление» описана ответст­венность «Решение».

· Этап «Эксплуатация» в основном охватывает повседневное предоставление услуг ИТ-подразделения. На этом этапе SMF-функция «Управление, риск и соответствие нормативным требованиям» обеспечивает сбор информации о работе  процессов и приложений, а также проверку соответствия политикам и нормативным требованиям. Управление изменениями призвано минимизировать количество внеплановых изменений, сохранив при этом приемлемую производительность и доступность услуги, а также беспрепятственное внедрение стандартных изменений. В SMF-функции «Рабочая группа» для этапа «Эксплуатация» описаны ответственности «Работа» и «Поддержка».

SMF-функции уровня «Управление» также связаны друг с другом. SMF-функция «Изменение и конфигурация» предоставляет данные для функции «Управление, риск и соответствие нормативным требованиям». В свою очередь SMF-функция «Управ­ление, риск и соответствие нормативным требованиям» помогает определить участ­ников процесса управления изменениями, устанавливает процедуру идентификации, оценки и управления рисками, связанными с изменением, следит, чтобы изменения соответствовали политике, и надлежащим образом документирует их. В SMF-функции «Рабочая группа» для уровня «Управление» описаны ответственности «Управление» и «Соответствие нормативным требованиям».

Цели, риски и меры контроля

Чтобы гарантировать, что работы на каждом этапе жизненного цикла ИТ-услуги отве­чают основным ее целям, внутренние меры контроля модели MOF сводят к минимуму риск невыполнения этих целей. Меры контроля — это процессы и процедуры в составе этапов, обеспечивающие надлежащее выполнение активностей и достижение управленческих целей. Многие из этих мер формируются на основе управленческого анализа.

Подробные сведения о мерах контроля см. в документе Обзор уровня «Управление» (на английском языке). Конкретные меры контроля, обеспечивающие выполнение работ в соответствии с достигнутыми соглашениями, описаны в документах, посвященных индивидуальным этапам.

Пример применения MOF

Использование модели MOF 4.0 будет проиллюстрировано на примере вымышленного банка Woodgrove. Вы увидите, как ИТ-подразделение банка способствует достижению новой бизнес-цели с помощью отдельных компонентов MOF. Дополнительные сведения о каждом из процессов см. на странице Обзор этапов MOF и SMF-функций (на английском языке).

Woodgrove — это небольшой региональный банк в США, у которого появилась возмож­ность расширить свою деятельность на территорию штата Калифорния. В связи с этим банк вынужден соблюдать законы штата, требующие внесения определенных изме­нений в существующие системы и политики безопасности и конфиденциальности.

Джанет — генеральный директор банка Woodgrove. Ей и другим руководителям, кото­рые будут организовывать деятельность в Калифорнии, нужно определить список работ и оценить риски, не выходя за рамки новых законов штата. Джанет понимает, что нынешняя безопасность данных банка и конфиденциальность личной информации требуют значительного усовершенствования. Поэтому ей нужно изучить законы штата Калифорния, определить меры контроля безопасности и конфиденциальности, оценить риски и влияние изменений, проследить планирование, разработку, тести­рование и развертывание изменений, а также подготовить специалистов по эксплуа­тации и обслуживанию заказчиков.

SMF-функция «Управление, риск и соответствие нормативным требованиям»

Джанет организует серию встреч с руководящими сотрудниками банка, чтобы опреде­лить меры контроля безопасности и конфиденциальности для работы в Калифорнии. Изучив законодательство штата, Джанет определила следующие меры контроля.

· Стандарты, политики и процедуры.

· Контроль доступа к данным, включая шифрование.

· Контроль защиты компьютерных сетей банка.

Конечно, у банка уже есть своя политика управления ИТ, но Джанет считает, что следует оценить риски безопасности и конфиденциальности для нового проекта, и только затем разработать, документировать и внедрить меры контроля. Первым делом банк Woodgrove проанализировал следующие элементы.

· Миссия.

· Границы риска и подход к управлению рисками.

· Портфель ИТ-услуг.

· Карты ИТ-услуг.

· Отчеты об инцидентах и события безопасности.

· Нормативно-правовая среда и предыдущие случаи несоблюдения нормативных требований.

Конечные результаты этой работы вошли в отчет о рисках предоставления ИТ-услуг. Руководствуясь отчетом и знанием угроз для информации банка, рабочая группа классифицирует риски, определяет требуемые меры контроля (в первую очередь шифрование данных), а затем их внедряет. Кроме того, группа рекомендует системы для мониторинга, отслеживания и отчетности рисков и мер контроля.

Рабочей группе известно, что самый важный аспект расширения деятельности — соблюдение норм и законов штата Калифорния. Группа находит все относящиеся к делу директивы, нормативы и законы штата, составляет план мероприятий по их выполнению и проводит аудит соблюдения требований.

SMF-функция «Политика»

Джанет (генеральный директор), Чарльз (ИТ-директор), Кевин (начальник отдела безопасности) и Нейл (начальник ИТ-отдела) должны обновить политики банка с учетом законов штата, а также улучшить безопасность и конфиденциальность данных с помощью шифрования.

Первым делом они определяют аспекты, которые требуют изменения политик, а затем разрабатывают политики безопасности, конфиденциальности и надлежащего исполь­зования. Только после этого анализируются политики и внедряются необходимые изменения.

На следующем этапе рабочая группа определяет механизмы применения политик и корректирующие действия в случае их нарушения, устанавливает систему регистрации нарушений и информирует о политиках сотрудников банка. После опубликования политик группа должна анализировать результаты их применения и оценивать эффек­тивность. С этой целью создают структуру для периодического пересмотра и изменения политик.

SMF-функция «Надежность»

Нейл (начальник ИТ-отдела), Рей (менеджер по инфраструктуре), Линда (начальник отдела разработки) и Джейми (начальник оперативного отдела) должны гарантировать надежность и корректность изменений, вносимых для соблюдения калифорнийских законов.

Анализируя новые законы, внутренние политики банка, риски и параметры надежности, они определяют требования к изменениям с точки зрения бизнеса и обслуживания. Конечным результатом этой работы станет перечень требований к уровню обслужи­вания, классификация данных и политики обработки данных. Затем рабочая группа составляет спецификацию надежности, план проекта и матрицу обязанностей по разработке.

Проверяются и обновляются следующие документы.

· План доступности, в котором описаны мероприятия по обеспечению высокого уровня доступности ИТ-услуги для оборудования, ПО, людей и процессов.

· План мощностей, в котором изложена стратегия оценки производительности ИТ-услуги в целом и отдельных ее компонентов, а также использования этих данных для разработки планов приобретения, конфигурирования и обновления.

· План безопасности данных. В этом документе представлены способы обеспечения приемлемого уровня безопасности ИТ-услуги, включая описание угроз и стандартов безопасности для их нейтрализации. План регулирует такие вопросы, как конфи­денциальность, целостность и доступность данных.

· План аварийного восстановления, содержащий описание действий и мероприятий, принимаемых ИТ-подразделением в случае сбоя. Этот план восстанавливает работоспособность самых важных ИТ-услуг в установленный интервал времени.

· План мониторинга, определяющий процесс, с помощью которого операционный персонал осуществляет мониторинг ИТ-услуги и затребованных данных, а также способы использования результатов и составления отчетов.

Вместе с Джанет (генеральный директор), Чарльзом (ИТ-директор) и Кевином (начальник отдела безопасности) рабочая группа анализирует, при необходимости изменяет и утверждает планы.

SMF-функция «Планирование проекта»

Когда документ с описанием концепции и области действия проекта утвержден, проектная группа может браться за планирование.

Группа документирует проектные требования и сценарии использования, а также составляет функциональную спецификацию.

Кроме того, проектная группа создает проектные документы (концептуальный план, логическая схема, проект физической структуры) на основе результатов проектирования. Эти документы дополняют функциональную спецификацию и содержат описание внутреннего устройства решения.

Теперь группа принимается за подробное планирование проекта. Руководство группы готовит проектные планы по конечным результатам в сфере ответственности и прини­мает участие в семинарах по планированию.

Когда планы проекта завершены и утверждены, проектная группа объединяет индиви­дуальные планы, создавая основной план проекта. Составляются индивидуальные графики выполнения проекта, которые затем сводятся воедино в составе основного графика с датой выпуска решения.

Управленческий анализ «Утверждение плана проекта»

Проектная группа, группа управления и заинтересованные стороны проверяют функцио­нальную спецификацию, основной план и основной график. Их вердикт таков: проектной группе удалось выполнить требования управленческого анализа «Утверждение плана проекта». Группа готова приниматься за разработку решения.

SMF-функция «Создание»

Проектная группа начинает разработку решения (план развертывания технологии IPSec, политики и документация).

Разработчики приступают к составлению плана развертывания IPSec, 

Разработав план развертывания, проектная группа запускает в контрольной среде оснастку «Управление политикой IP-безопасности» и определяет политики IPSec.

Разработчики внедряют политики и правила в состав промежуточных сборок, а тести­ровщики проверяют каждую сборку, предоставляя свои от