Лекция 4 по дисциплине «Информационные технологии» «ИНФОРМАЦИОННОЕ ПРОСТРАНСТВО ПРЕДПРИЯТИЯ. МОДЕЛИ. СТАНДАРТЫ» Хорошева Е.Р., профессор кафедры ИСПИ 1 ИНФОРМАЦИОННЫЕ РЕСУРСЫ ПРЕДПРИЯТИЯ Информационные ресурсы предприятия (источники данных, персонал, методы и средства поиска, обработки и распределения информации) позволяют отобразить реальное состояние бизнеса, выработать адекватную реакцию на изменения в бизнесе и окружающей среде, а также обеспечить поиск наиболее эффективного взаимодействия всех ресурсов предприятии – финансового, материального, интеллектуального и других. Развитие и применение информационных ресурсов предприятия направлено на учет внешних и внутренних факторов деятельности предприятия, которые образуют внутреннюю и внешнюю бизнессреды предприятия. Если информационные ресурсы охватывают все подразделения и службы предприятия, то можно говорить об информационном пространстве предприятия, понимая под данным определением не только информацию и средства ее обработки, но и географию информационных отношений. 2 ИНФОРМАЦИОННОЕ ПРОСТРАНСТВО Информационное пространство предприятия формируется с помощью технических средств обработки информации, компьютерной и телекоммуникационной технологии. В зависимости от формы взаимодействия и использования каждого из компонентов можно выделить четыре основных уровня реализации информационного пространства предприятия: модель информационного пространства предприятия первого уровня соответствует учетной информационной системе и позволяет получить информацию о соответствующих бизнес-процессах в форме итоговых отчетов в виде таблиц; модель информационного пространства предприятия второго уровня соответствует аналитической информационной системе и позволяет не только выполнять основные операции по обработке фактографической информации и поддерживать все виды учета, но и дать возможность подготовки различных аналитических документов (формируется ЛВС); модель информационного пространства предприятия третьего уровня соответствует интегрированной информационной системе и позволяет объединить отдельные информационные подсистемы в единое информационное пространство, которое предоставляет всю необходимую информацию для управления предприятием (реализация хозяйственной деятельности в Интернет); модель информационного пространства предприятия четвертого уровня соответствует динамической информационной системе и позволяет предоставлять актуальную информацию своим поставщикам, клиентам, партнерам и инвесторам не теряя дополнительное время на доставку (активное внедрение Интернет-технологий в деятельности предприятия). 3 Современные подходы к созданию и функционированию систем управления информационными ресурсами основываются на международных стандартах CobiT, ITIL, ITSM и др. Отличительной чертой данных стандартов является применение процессного подхода к управлению. 4 ITIL ITIL (произносится как «айти́л», англ. IT Infrastructure Library — библиотека инфраструктуры информационных технологий) — библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области информационных технологий. Библиотека ITIL появилась около 20 лет назад по заказу британского правительства. В настоящее время она издается британским правительственным агентством Office of Government Commerce и не является собственностью ни одной коммерческой компании (формально библиотека принадлежит королевскому дому Англии, в частности — нынешней королеве), в настоящий момент владельцем является американская коммерческая компания APMG. Сейчас существует ITIL 3.0, появившиеся в 2007 году. 1.0 – 20002004г, 2.0 – 2004-2007. 5 НАЗНАЧЕНИЕ В семи томах библиотеки описан весь набор процессов, необходимых для того, чтобы обеспечить постоянное высокое качество ИТ-сервисов и повысить степень удовлетворенности пользователей. Следует отметить, что все эти процессы нацелены не просто на обеспечение бесперебойной работы компонент ИТ-инфраструктуры, в гораздо большей степени они нацелены на выполнение требований пользователя и заказчика. В конечном счёте, все процессы ITIL работают на повышение конкурентоспособности, а в наше время даже внутренние ИТподразделения компаний не могут чувствовать себя в абсолютной безопасности, так как вынуждены конкурировать с аутсорсинговыми компаниями, сторонними компаниями с которыми подписан договор на оказание услуг. 6 Использованный в библиотеке процессный подход полностью соответствует стандартам серии ISO 9000 (ГОСТ Р ИСО 9000). Процессный подход акцентирует внимание предприятия на достижении поставленных целей, анализе ключевых показателей эффективности (KPI), а также на ресурсах, затраченных на достижение этих целей. Процессный подход не имеет себе равных по обеспечению измеримости и управляемости деятельности предприятия, что, собственно, и сделало его таким популярным. В настоящее время на основе ITIL разработан британский стандарт BSI 15 000, который практически без изменений перешёл в категорию международного стандарта под именем ISO 20000. На базе рекомендаций ITIL реализован ряд программных средств автоматизации работы служб технической поддержки ИТ. 7 СТРУКТУРА ITIL Вторая редакция ITIL включает в себя семь документов: Поддержка услуг (англ. Service Support) Предоставление услуг (англ. Service Delivery) Планирование внедрения управления услугами (англ. Planning to Implement Service Management) Управление приложениями (англ. Application Management) Управление инфраструктурой информационно-коммуникационных технологий (англ. ICT Infrastructure Management) Управление безопасностью (англ. Security Management) Бизнес-перспектива (англ. The Business Perspective) а также «дополнительную» книгу — «Управление конфигурациями ПО» (англ. Software Asset Management). 8 Наиболее известная часть ITIL — десять базовых процессов, обеспечивающих поддержку и предоставление ИТ сервисов — IT Service Management или ITSM: Процесс управления инцидентами Процесс управления проблемами Процесс управления конфигурациями Процесс управления изменениями Процесс управления релизами Процесс управления уровнем услуг Процесс управления мощностями (емкостью) Процесс управления доступностью Процесс управления непрерывностью Процесс управления финансами Кроме того, в структуре процессов ITSM важную роль играет служба поддержки пользователей — Service Desk. 9 ПРИМЕНЕНИЕ ITIL шествует по миру ИТ уже почти десять лет, вышла его третья версия, сформировалась целая сеть профессиональных сообществ и целая армия сертифицированных специалистов, растет осведомленность бизнеса о преимуществах ITSM, принципах и практиках ITIL. И тем не менее масштаб реального применения ITIL в бизнесе оказался не столь велик. По данным Gartner Group лишь 20% компаний крупного бизнеса используют ITIL и 29% планируют его использовать. В среднем бизнесе эти цифры еще меньше: соответственно 7 и 19%. Внедрение процессов ITIL тоже идёт не широким фронтом. Большинство ИТ-служб в первую очередь внедряют их для поддержки ИТинфраструктуры, а бизнес-приложения часто откладываются «на потом». 10 Требования к управлению услугами ИТ: ISO/IES 20000-1:2005 «Information technology — Service Management.» 11 Цель разработки этого стандарта заключалась в создании универсальных критериев, с помощью которых любая фирма или служба, предоставляющая ИТ-услуги, сможет оценивать их эффективность и выполнение требований заказчиков с учетом их бизнеса. Стандарт задумывался как «отраслевой» аналог ISO 9001:2000, нацеленный на ИТ-услуги. Такой процессно-отраслевой подход гарантирует решение многих вопросов и бизнес-задач компаний, позволяет им минимизировать затраты на сертификацию. Кроме того, на его основе проверяющий орган по сертификации может проводить интегрированную оценку и сертификацию. 12 Процессы ISO/IEC 20000 13 Структура процессов 14 Сертификация по стандарту ISO 20000-1 предоставляет компании конкурентные преимущества: •она может продемонстрировать партнерам, клиентам, конкурентам, инвесторам и государственным органам, что в ней налажено эффективное управление ИТ-услугами; •своевременно выявляются проблемы бизнес-процессов, связанных с управлением ИТ-услугами; •появляется возможность выработки рекомендаций, нацеленных на повышение уровня зрелости процессов организации ИТ-сервисов; •снижаются риски прямых потерь из-за предоставления некачественных ИТ-услуг 15 Р50.1.028-2001 16 ГОССТАНДАРТ Р50.1.028-2001 ИСПОЛЬЗУЕТСЯ ПРИ АНАЛИЗЕ И СИНТЕЗЕ ПРОИЗВОДСТВЕННО – ТЕХНИЧЕСКИХ И ОРГАНИЗАЦИОННО – ЭКОНОМИЧЕСКИХ СИСТЕМ МЕТОДАМИ ФУНКЦИОНАЛЬНОГО МОДЕЛИРОВАНИЯ СОДЕРЖИТ ОПИСАНИЕ КОМПЛЕКСА СРЕДСТВ ДЛЯ НАГЛЯДНОГО ПРЕДСТАВЛЕНИЯ ШИРОКОГО СПЕКТРА ДЕЛОВЫХ, ПРОИЗВОДСТВЕННЫХ И ДРУГИХ ПРОЦЕССОВ И ОПЕРАЦИЙ ПРЕДПРИЯТИЯ НА ЛЮБОМ УРОВНЕ ДЕТАЛИЗАЦИИ, А ТАКЖЕ ОРГАНИЗАЦИОННЫЕ И МЕТОДИЧЕСКИЕ ПРИЕМЫ ПРИМЕНЕНИЯ ЭТИХ СРЕДСТВ 17 НАЗНАЧЕНИЕ ГОССТАНДАРТА Р50.1.028-2001 язык моделирования IDEF/0 правила и методика структурированного графического представления описания бизнесс-процессов Метод IDEF/0 предназначен для функционального моделирования моделирование выполнения функций объекта, путем создания описательной графической модели, показывающей что, как и кем делается в рамках функционирования системы 18 СОДЕРЖАНИЕ ГОССТАНДАРТА Р50.1.028-2001 концептуальные положения методологии IDEF/0 синтаксис и семантика языка IDEF/0 свойства и правила построения диаграмм методика построения функциональных моделей в среде IDEF/0 стандартный бланк методологии IDEF/0 метамодель и функциональная модель предприятия 19 ФУНКЦИОНАЛЬНАЯ МОДЕЛЬ ПРЕДСТАВЛЯЕТ СОБОЙ СТРУКТУРИРОВАННОЕ ИЗОБРАЖЕНИЕ ФУНКЦИЙ ПРОИЗВОДСТВЕННОЙ СИСТЕМЫ ИЛИ СРЕДЫ, ИНФОРМАЦИИ И ОБЪЕКТОВ, СВЯЗЫВАЮЩИХ ЭТИ ФУНКЦИИ. 20 МОДЕЛЬ СТРОИТСЯ МЕТОДОМ ДЕКОМПОЗИЦИИ: ОТ КРУПНЫХ СОСТАВНЫХ СТРУКТУР К БОЛЕЕ МЕЛКИМ, ПРОСТЫМ. 21 Каждое действие раскладывается на более мелкие операции по переработке определенной части информационных или материальных ресурсов при определенных условиях с использованием части заданных механизмов. 22 Стандартный бланк методологии IDEF/0 23 метамодель функциональная модель предприятия 24 ПРИМЕРЫ ИСПОЛЬЗОВАНИЯ Деятельность Отдела менеджмента качества ФГОУ ВПО «АмГПГУ» регламентируется рядом нормативных документов, в т.ч. и рекомендациями по стандартизации Р50.1.028-2001. Используется при разработке функциональной модели процессов управления «как должно быть» Федерального агентства по рыболовству Моделирование в CA ERwin Process Modeler осуществляется на базе ряда методик , среди которых IDEF/0 25 ГОСТ Р ИСО/МЭК 13335 -1-2006 Название документа: Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий 26 СОДЕРЖАНИЕ 1 Область применения 2 Термины и определения 3 Концепции безопасности и взаимосвязи Принципы безопасности Активы Угрозы Уязвимости Воздействие Риск Защитные меры Ограничения Взаимосвязь компонентов безопасности 4 Цели, стратегии и политика Цели и стратегии безопасности информационно-телекоммуникационных технологии Иерархия политик Элементы политики безопасности информационно-телекоммуникационных технологий организации 5 Организационные аспекты безопасности информационно- телекоммуникационных технологий Служебные обязанности и ответственность Организационные Принципы 6 Функции управления безопасностью Общие вопросы Внешние условия Управление рисками 27 ОБЛАСТЬ ПРИМЕНЕНИЯ Настоящий стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ),и раскрывает общие вопросы управления, которые важны для успешного планирования реализации и поддержки безопасности ИТТ. Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям. Настоящий стандарт разработан так, что позволяет приспосабливать его положения к потребностям организации и свойственному ей стилю управления. 28 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ активы (asset): Все, что имеет ценность для организации. конфиденциальность (confidentially): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации риск Потенциальная опасность нанесения ущерба организации в результате реализации и некоторой угрозы с использованием уязвимостей актива или группы активов. анализ риска (risk analysis): Систематический процесс определения величины риска. менеджмент риска (risk management): Полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут сказать влияние на ресурсы информационнотелекоммуникационных технологий 29 АКТИВЫ ВКЛЮЧАЮТ В СЕБЯ (НО НЕ ОГРАНИЧИВАЮТСЯ): материальные активы (например вычислительные средства, средство связи, здания), информацию (данные) (например документы, базы данных): программное обеспечение. способность производить продукт или предоставлять услугу, людей нематериальные ресурсы (например престиж фирмы, репутацию). 30 УГРОЗЫ Угрозы окружающей Угрозы обусловленные человеческими факторами целенаправленные Подслушивание/перехват Модификация информации Случайные Ошибки и упущения. Удаление файла. Ошибка маршрутизации. Атака хакера, на систему Материальные несчастные Хищения среды Землетрясение Молния Наводнение Пожар случаи Угрозы обладают следующими характеристиками, устанавливающими их взаимосвязь с другими компонентами безопасности. • источник, внутренний или внешний • мотивация, например финансовая выгода, конкурентное преимущество • частота возникновения • правдоподобие • вредоносное воздействие 31 УЯЗВИМОСТИ Примером уязвимости является отсутствие контроля доступа, которое может обусловить возникновение угрозы несанкционированного доступа и привести к утрате активов Оценка уязвимостей —это проверка слабостей, которые могут быть использованы существующими угрозами. Эта оценка должна учитывать окружающую среду и существующие защитные меры. Мерой уязвимости конкретной системы или актива по отношению к угрозе является степень того, с какой легкостью системе или активу может быть нанесен ущерб. 32 РИСК Риск — это способность конкретной угрозы использовать уязвимости одного или нескольких видов активов для нанесения ущерба организации. Одна угроза или группа угроз могут использовать одну уязвимость или группу уязвимостей. Сценарий риска описывает, как определенная угроза или группа угроз могут использовать уязвимость или группу уязвимостей подверженного угрозе актива. Риск характеризуется комбинацией двух факторов: вероятностью возникновения инцидента и его разрушительным воздействием. 33 УПРАВЛЕНИЕ РИСКАМИ Процесс управления рисками должен быть непрерывным. В новых системах и в системах, находящихся на стадии планирования, управления рисками должно быть частью процесса конструирования и разработки. В уже существующих системах управление рисками должно осуществляться в любой подходящий момент. При процессе планирования значительных изменений в системах управление рисками должно быть частью этого процесса и должно учитывать новое системы при организации, а не применяться только к конкретной изолированной системе. 34 ЗАЩИТНЫЕ МЕРЫ Защитные меры — это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов. Порядок выбора защитных мер очень важен для правильного планирования и реализации программы информационной безопасности. Защитная мера может выполнять много функций безопасности и наоборот одна функция безопасности может потребовать нескольких защитных мер. Защитные меры могут выполнять одну или несколько из следующих функций: предотвращение; сдерживание, обнаружение; ограничение. исправление; восстановление; мониторинг, осведомление. 35 ПРИНЦИПЫ БЕЗОПАСНОСТИ менеджмент риска обязательства служебные обязанности и ответственности цели, стратегии и политика управление жизненным циклом 36 ЦЕЛИ, СТРАТЕГИИ И ПОЛИТИКА Цели (чего необходимо достичь), стратегии (способы достижения цели), политика (правила которые следует соблюдать для реализации стратегий) и процедуры (методы осуществления политики) могут быть определены и раскрыты в соответствующие подразделениях и на соответствующих уровнях организации. Руководящие документы должны отражать организационные требования и учитывать организационные ограничения. Поскольку многие угрозы (например атаки хакеров, удаление файлов, пожар) являются распространенными, важна согласованность между соответствующими документами. 37 ИЕРАРХИЯ ПОЛИТИК БЕЗОПАСНОСТИ 38 ПРИМЕР РАЗГРАНИЧЕНИЯ БЕЗОПАСНОСТИ 39 ГОСТ Р ИСО/МЭК ТО 9294-93 Информационная технология РУКОВОДСТВО ПО УПРАВЛЕНИЮ ДОКУМЕНТИРОВАНИЕМ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ 40 Расшифровка аббревиатуры ГОСТ Р ИСО/МЭК ТО 9294-93 ГОСТ – ГОсударственный СТандарт. Р – стандартизация проводилась в России, а не в СССР. ИСО/МЭК - аббревиатуры аутентичности ГОСТ текстам международных стандартов ИСО, МЭК. ИСО (ISO) - Международная организация по стандартизации ISO (греч. isos – равный). МЭК (IEC) - Международная электротехническая комиссия. ТО – техническое описание. 41 Информация о стандарте Обозначение ГОСТ Р ИСО/МЭК ТО 9294-93 Статус Действующий Название рус. Информационная технология. Руководство по управлению документированием программного обеспечения Название англ. Information technology. Guidelines for the management of software documentation Дата введения в действие: 01.07.1994 Дата переиздания: 01.07.2008 42 Где стандарт расположен? • ОКС Общероссийский классификатор стандартов o 35 ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ 35.080 Программное обеспечение *Включая разработку программного обеспечения, документацию, интернетприложения и их использование • КГС Классификатор государственных стандартов o Т Общетехнические и организационно-методические стандарты Т5 Система документации Т55 Система административно-управленческой документации, документооборота, организация архивного дела • Тематические сборники o ИТ.ВОС Информационные технологии. Взаимосвязь открытых систем. 43 Используемые термины Документ. Уникально обозначенный блок информации для использования человеком, такой как отчёт, спецификация, руководство или книга. Документация. Набор из одного или более связанных документов. Программная продукция. Результат процесса разработки программного обеспечения, т. е. программное обеспечение, выпускаемое для использования 44 Область применения Руководители, отвечающее за разработку ПО ГОСТ Р ИСО/МЭК ТО 9294-93 Эффективное проведение документирования ПС Стратегии Стандарты П р о ц е д ур ы Ре с ур с ы Планы 45 Условия применения - Все типы программных средств - Все типы программной документации, относящейся ко всем стадиям жизненного цикла ПС - Адаптирование для потребностей организации 46 Зачем нужна программная документация? Информация для управления: периодические отчёты Инструкции и справки: понимание использования Связь между задачами: спецификации требований Обеспечение качества Сопровождение Историческое ПС: детальное описание: перенос описание для ПС в новое модернизации ПС окружение 47 Стратегии документирования Определяют главное направление в документировании. Но не дают рекомендаций, что делать и как это делать. Стратегии Официально утверждается Доводится до каждого исполнителя Устанавливают дисциплину для эффективного документирования ПС: - охват всего ЖЦ ПС, - обеспечение управляемости документирования, - объединение в общий процесс разработки ПС, - определение и использование стандартов, - определение средств поддержки. 48 Стандарты документирования Определяют, как следует выполнять задачи документирования. Обеспечивать критерии для оценки полноты, полезности и соответствия документации. Модели ЖЦ ПС Типы и взаимосвязи документов Качество документа Форматы документа Содержание документа Обозначения документа 49 Процедуры документирования Определяют последовательность документирования. • Планирование • Подготовка • Конфигурационное управление • Проверка • Утверждение • Производство • Хранение • Распространение и модернизация • Продажа Определение контрольных пунктов и методов обеспечения качества. 50 Ресурсы Персонал. Должен быть обучен методам документирования, полностью понимать и выполнять свою роль в документировании. Средства. Могут быть применены для повышения эффективности процессов документирования и использования стандартов. Финансирование. Стоимость документирования должна определяться как отдельная статья бюджета. 51 План процесса документирования Определяет, что должно быть сделано, как это должно быть сделано, когда это должно быть сделано и кто это должен сделать. План Доводится до каждого исполнителя Часть общего проекта или отдельный документ Структура, содержание, качество, формат, обозначение, комплектность и хранение документов + График документирования 52 График документирования Планирование документов Проверка плана и принципов документирования Подготовка проектов Проверка на техническую точность, полноту и соответствие Редактирование при внесении изменений, появив-ся при проверке Проведения согласования Перевод Распространение 53 Использование стандарта 54
