1 2
2.1.2. Организационно-правовые и программно-аппаратные средства
обеспечения информационной безопасности и защиты информации
Информационная безопасность предполагает отсутствие угроз, направленных на целостность; конфиденциальность; доступность; защита человека от информации [26].
Целостность информации — предполагает отсутствие модификации, изменения или уничтожения информации.
Конфиденциальность информации — это защита информации от несанкционированного доступа.
Доступность (отсутствие потери информации) — это доступность информации со стороны всех заинтересованных лиц, которые имеют право на эту информацию.
Угроза информации — это потенциально возможное событие, которое приводит к последствиям нарушения целостности, доступности и конфиденциальности информации.
Нарушение безопасности — называется реализация данной угрозы безопасности.
Угроза безопасности бывает объективная — не зависящая от человека, и субъективная — преднамеренная и не преднамеренная.
Не преднамеренные субъективные (искусственные) угрозы:
1. Искусственные, не умышленные действия людей, персонала, которые приводят к частичному или полному выводу компьютерных систем из строя.
2. Не правомерное использование оборудования или изменения режимов работ этого оборудования.
3. Не умышленная порча носителей информации.
4. Запуск технологически не правомочных программ (не лицензионных программ).
5. Это не легальное использование не учтённых программ (не лицензионное оборудование).
6. Заражение ПК или системы вирусами.
7. Не осторожное разглашение конфиденциальной информации, делающей её общедоступной для не санкционированного круга пользователей.
8. Нарушение атрибутов, правил, разграничений и т.д.
9. Это изначально не правильное проектирование архитектуры системы, в которую заранее заложены «люки», «лазы» и «дырки» для постороннего нарушителя. Игнорирование посторонних нарушений.
10. Вход в компьютерную систему в обход установленных правил.
11. Не компетентность в использовании КС и установление правил разграничения доступа.
12. Это ошибочная пересылка данных по не санкционированному адресу абонента.
13. Ввод ошибочных данных.
14. Не умышленное повреждение каналов передачи данных.
Основные преднамеренные искусственные угрозы:
1. Физическое разрушение системы.
2. Вывод из строя обеспечивающих систему.
3. Дезорганизация компьютерной или вычислительной системы.
4. Внедрение в число персонала «заинтересованного» человека.
5. Преднамеренная искусственная угроза: шантаж, угроза персонала компьютерной системы.
6. Применение средств технических разведок: фотографирование, подслушивание и т.д.
7. Перехват побочных электромагнитных излучений и наводок (ПЭМИН).
8. Перехват передаваемых данных по каналу связи и т.д.
9. Хищение носителей информации.
10. Не законное получение правил и атрибутов разграничения доступа (паролей, логинов и т.д.).
11. Не законное воспользование терминалами законных пользователей с целью проникновения в систему под именем санкционированного пользователя.
12. Вскрытие шифров криптозащиты санкционированных пользователей.
13. Внедрение закладок типа «троянских коней», «жучков», «ловушек» и т.д. с целью внедрения не декларированного программного обеспечения санкционированных пользователей.
14. Не законное подключение к линиям передачи данных с целью работы между строк, выдавая себя за законного пользователя.
Информационная безопасность — это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации. Рассматривая информацию как товар можно сказать, что нанесение ущерба информации в целом приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и, как следствие, владелец технологии, а может быть и автор, потеряют часть рынка и т. д. С другой стороны, рассматривая информацию как субъект управления (технология производства, расписание движения транспорта и т. д.), можно утверждать, что изменение ее может привести к катастрофическим последствиям в объекте управления — производстве, транспорте и др. Именно поэтому при определении понятия «информационная безопасность» на первое место ставится защита информации от различных воздействий. Поэтому под защитой информации понимается комплекс мероприятий, направленных на обеспечение информационной безопасности. Согласно ГОСТу 350922-96 защита информации — это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Решение проблемы информационной безопасности, как правило, начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Это обусловлено тем, что для разных категорий субъектов характер решаемых задач может существенно различаться. Например, задачи, решаемые администратором локальной сети по обеспечению информационной безопасности, в значительной степени отличаются от задач, решаемых пользователем на домашнем компьютере, не связанном сетью. Исходя из этого, отметим следующие важные выводы:
задачи по обеспечению информационной безопасности для разных категорий субъектов могут существенно различаться;
информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации — это принципиально более широкое понятие.
При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий — области, развивающейся беспрецедентно высокими темпами. В области информационной безопасности важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие, как минимум, адекватно реагировать на угрозы информационной безопасности или предвидеть новые угрозы и уметь им противостоять. В ряде случаев понятие «информационная безопасность» подменяется термином «компьютерная безопасность». В этом случае информационная безопасность рассматривается очень узко, поскольку компьютеры только одна из составляющих информационных систем.
Выделим три основные уровня формирования режима информационной безопасности в банке:
законодательно-правовой;
административный (организационный);
программно-технический.
Законодательно-правовой уровень включает комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов информационных отношений, субъектов и объектов защиты, методы, формы и способы защиты, их правовой статус. Кроме того, к этому уровню относятся стандарты и спецификации в области информационной безопасности. Система законодательных актов и разработанных на их базе нормативных и организационно-распорядительных документов должна обеспечивать организацию эффективного надзора за их исполнением со стороны правоохранительных органов и реализацию мер судебной защиты и ответственности субъектов информационных отношений. К этому уровню можно отнести и морально-этические нормы поведения, которые сложились традиционно или складываются по мере распространения вычислительных средств в обществе. Морально-этические нормы могут быть регламентированными в законодательном порядке, т. е. в виде свода правил и предписаний. Наиболее характерным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США. Тем не менее, эти нормы большей частью не являются обязательными, как законодательные меры [27].
Административный уровень включает комплекс взаимокоординируемых мероприятий и технических мер, реализующих практические механизмы защиты в процессе создания и эксплуатации систем защиты информации. Организационный уровень должен охватывать все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.
Программно-технический уровень включает три подуровня: физический, технический (аппаратный) и программный. Физический подуровень решает задачи с ограничением физического доступа к информации и информационным системам, соответственно к нему относятся технические средства, реализуемые в виде автономных устройств и систем, не связанных с обработкой, хранением и передачей информации: система охранной сигнализации, система наблюдения, средства физического воспрепятствования доступу (замки, ограждения, решетки и т. д.). Средства защиты аппаратного и программного подуровней непосредственно связаны с системой обработки информации. Эти средства либо встроены в аппаратные средства обработки, либо сопряжены с ними по стандартному интерфейсу [28].
К аппаратным средствам относятся схемы контроля информации по четности, схемы доступа по ключу и т. д. К программным средствам защиты, образующим программный подуровень, относятся специальное программное обеспечение, используемое для защиты информации, например, антивирусный пакет и т. д. Программы защиты могут быть как отдельные, так и встроенные. Так, шифрование данных можно выполнить встроенной в операционную систему файловой шифрующей системой EFS (Windows) или специальной программой шифрования. Подчеркнем, что формирование режима информационной безопасности является сложной системной задачей, решение которой в разных странах отличается по содержанию и зависит от таких факторов, как научный потенциал страны, степень внедрения средств информатизации в жизнь общества и экономику, развитие производственной базы, общей культуры общества и, наконец, традиций и норм поведения [29].
Несмотря на то, что возможностей взломать и забрать информацию всегда много, обеспечение безопасности банковских данных — процедура вполне реальная.
Благодаря наличию современных методов теперь усовершенствована система криптографии, а также реализована такая мера, как электронная цифровая подпись (ЭЦП). Она так называемый аналог и заменяет собственноручную подпись. Также она обладает непосредственной привязкой к электронному ключу, хранящемуся у владельца подписи. У этого ключа две части: открытая и закрытая, а также есть защита — наличие специального кода.
Система безопасности, в общем, является непрерывным процессом идентификации, анализа и контроля.
Основные принципы, согласно которым обеспечивается информационная безопасность банка:
1. Проблемы своевременно устанавливаются и обнаруживаются.
2. Можно спрогнозировать развитие.
3. Предпринятые меры должны быть актуальными и эффективными.
Также стоит отдельно выделить, насколько важна тщательная и регулярная работа с персоналом, так как обеспечение безопасности информации зависит и от того, насколько качественно и аккуратно выполняются требования службы безопасности [30, 31].
Рассмотрим основные угрозы информационной безопасности банка [26].
Человеческий фактор — основная и главная угроза информационной безопасности, напрямую зависящий от человеческих отношений. Утечка информации чаще всего происходит во вине банковского персонала.
Как показывает статистика, примерно 80% правонарушений происходит из-за банковских сотрудников — из-за тех, кто обладает доступом к данным.
При этом обеспечение внутренней информационной безопасности банка, является крайне необходимой мерой как для того, чтобы защитить конфиденциальность данных от обычной халатности, так и для того, чтобы исключить намеренный взлом баз данных.
Есть не только внутренний фактор — но и наличие технической угрозы информационной безопасности, как банковских организаций, так и компаний. Технические угрозы — это взломы информационных систем, лицами, не имеющими прямого доступа к системе. Это могут быть криминальные или конкурирующие организации.
Снимают и получают информацию в этом случае с помощью особенной аудио или видео аппаратуры. Современная популярная форма взлома — когда применяются электрические и электромагнитные излучения. Злоумышленники за это время получают конфиденциальную информацию, ЭЦП.
Опасность и угроза для программного обеспечения исходит и от различных вредоносных для носителя информации компьютерных вирусов, программных закладок, способных привести к разрушению введенных кодов.
Самый известный способ решения подобных компьютерных проблем — установка лицензионных антивирусных программ, успешно справляющихся с данной проблемой.
В защите банковской информации от внутренних и внешних утечек может помочь поможет грамотный специалист в этой области и программное обеспечение, которое будет заниматься отслеживанием и блокировкой передачи информации на съемные носители (например, флешки).
2.2. Описание существующих ITSM-систем управления IT сервисов
На рынке существует множество ITSM-систем, которые можно разбить на две группы [32]:
Open—source решения (бесплатное решение с открытым кодом).
Коммерческие решения.
Рассмотрим особенности и функциональные возможности некоторых ITSM-систем. Для анализа отберем наиболее популярные решения, предлагаемые на российском рынке, с которыми автор настоящей работы имеет практический опыт работы: Bpm`online; OTRS; Naumen SD; Omnitracker.
Анализ этих систем проводится по следующим критериям:
сложность внедрения;
соответствие ITIL;
удобство работы и дизайн.
Поэтому в дальнейшем все решения будут анализироваться с точки зрения «коробочных» решений
Bpm`online Service
В начале немного расскажу по системам. И первая в очереди bpm`online. Система для нашей компании новая и только запускается на одном из проектов. Но уже сейчас можно поделиться своими впечатлениями.
Это система от украинско-российского разработчика. Всего вендор предлагает три решения: Marketing, Sales и Service Enterprise. Как раз последнее и отвечает за автоматизацию процессов ITIL, но не ограничивается ей.
В систему также уже включены надстройки Контакт центра и часть функционала CRM, что расширяет возможности системы ITSM, нет «толстого» клиента и всё взаимодействие происходит через веб-интерфейс, что в свою очередь дает возможность доступа к личному кабинету с любого устройства. Интерфейс очень дружелюбный как для пользователя, так и для специалистов. Система позволяет подавать заявки не только через портал самообслуживания, но и через чат-боты. Благодаря простой и гибкой настройке решения новый не сложный бизнес-процесс можно построить буквально за два часа. Из «коробки» уже поддерживает восемь процессов ITIL:
1) управление инцидентами и запросами на обслуживание;
2) управление изменениями;
3) управление уровнем сервиса;
4) управления проблемами;
5) управление знаниями;
6) управление релизами;
7) управление конфигурациями;
8) управление портфелем услуг.
Omnitracker
Второе решение — детище немецкого разработчика Omninet. Система появилась на российском рынке в 2009 году. У ITSM есть как «толстый», так и «тонкий». Систему можно полностью настроить под себя, как самостоятельно, так и через вендора, но, если это делать самим, потребуются высококвалифицированные специалисты и, соответственно, дополнительные затраты на внедрение. Под свои внутренние нужды мы как раз используем Omnitracker, но настроенный нашими специалистами, под наши процесс и полностью под себя. Мы же рассмотрим готовое решение ITSM Center, что не мало важно, сертифицированное по ITIL v3. В данной сборке реализованы 15 основных процессов ITIL:
1) управление инцидентами;
2) управление проблемами;
3) управление изменениями;
4) управление запросами на обслуживание;
5) управление событиями;
6) управление активами и конфигурациями;
7) идентификация и управление доступом;
8) управление релизами и развертыванием;
9) управление уровнем услуг;
10) управление каталогом услуг;
11) управление мощностями;
12) управление доступностью;
13) управление знаниями;
14) управление справочными данными и адресами;
15) возможность интеграции процесса оплаты услуг.
Система отчетности здесь внешняя Crystal report, что опять же влечет за собой дополнительные расходы на приобретение данного продукта. Нет мобильной версии, имеется адаптированный веб-интерфейс, что с одной стороны можно посчитать плюсом, т.к. не требуется установка, но и минусом из-за невозможности работать в офлайн-режиме или с нестабильным интернетом.
Naumen Service Desk
Третья система снова российская. Naumen — довольно интересная отечественная разработка, на рынке с 2001 года.
Имеет так же только веб-интерфейс, как и bpm`online service. На данный момент считается лидером на российском рынке ITSM-систем по отзывам клиентов. Гибкий интерфейс системы позволяет настроить из коробки 12 ITIL процессов:
1) управление инцидентами;
2) управление запросами на обслуживание;
3) управление проблемами;
4) управление сервисными активами и конфигурациями;
5) управление изменениями;
6) управление каталогом услуг;
7) управление уровнем услуг;
8) управление событиями;
9) управление знаниями;
10) управление согласованиями и доступом;
11) управление задачами/нарядами;
12) управление финансами.
OTRS
И последний представитель — бесплатная open—source система OTRS. И опять у системы есть только «тонкий» клиент. В коробочном решении представлены основные ITIL-процессы, в данной версии их шесть:
1) управление инцидентами;
2) управление проблемами;
3) управление активами и конфигурациями;
4) управление изменениями;
5) управление запросами на обслуживание;
6) управление знаниями.
Это «коробочное» решение не бесплатное в отличие от самой системы и поставляется пока единственным интегратором на территории России.
Сравнительная характеристика основных показателей распространенных ITSM-систем сведены в таблице 2.2.
Таблица 2.2
Сравнительная характеристика показателей распространенных ITSM-систем
| Показатель | Bpm`online Service | OTRS | Naumen SD | Omnitracker |
| Готовый функционал | Высокий | Высокий | Средний | Средний |
| Гибкость продукта | Высокий | Высокий | Высокий | Высокий |
| Бренд | Средний | Высокий | Высокий | Средний |
| Компания-разработчик | Creatio | OTRS AG | Naumen | Omni |
| Примерная стоимость внедрения, млн руб. | 1 | 5,5 | 6 | 0,95 |
Список процессов можно расширить самостоятельно путем доработки, благо оболочка позволяет кастомизировать систему под свои нужды, как угодно.
В заключении следует отметить, что специалисты могут развернуть любое из этих решений практически за два часа. Но есть один большой минус — нужны высококвалифицированные программисты для поддержки и развития.
2.3. Этапы внедрения ITSM
Переход к сервисному управлению информационными технологиями (Information Technology Service Management, ITSM) предполагает реинжиниринг действующих в организации бизнес-процессов, которые пока принято считать вспомогательными [33]. При этом предусматривается создание новой или модернизация существующей системы автоматизации ITSM.
Реинжиниринг действующих процессов управления ИТ не должен нарушить повседневную деятельность организации. Его следует проводить с учетом корпоративной культуры конкретной компании и уровня зрелости всех ее бизнес-процессов. Требуется определить порядок реализации нового процесса, спроектировать и внедрить систему его автоматизации. Наконец, необходимо обучить сотрудников ИТ-подразделения способам исполнения нового процесса с использованием системы автоматизации — без нарушения деятельности ИТ-подразделения и всей организации. Таким образом, внедрение ITSM представляет собой достаточно сложный проект, который должен реализовываться по определенной технологии.
В России растет количество компаний, которые предлагают услуги внедрения ITSM и реализуют собственные технологии, основанные на общем походе к ITSM. Многообразие приводит к тому, что заказчикам приходится выбирать ту технологию и того исполнителя проекта, которые соответствуют его требованиям к стоимости и срокам внедрения. Немаловажным фактором является удовлетворенность заказчика результатами внедрения, то есть их качеством. А последнее зависит не только от соответствия организации-исполнителя стандартам ISO 20000, ИСО 9000 и от функционала системы автоматизации, но и от выполнения корпоративных стандартов и других нормативных документов заказчика.
Более подробно рассмотрим особенности внедрения ITSM [33].
Многообразие технологий внедрения ITSM является следствием комплексности соответствующих проектов, включающих в себя три взаимосвязанных, но разноплановых вида услуг — реинжиниринг процесса, создание системы автоматизации процесса, обучение участников процесса. Реинжиниринг процесса, согласно общепринятой классификации, относится к услугам, основанным на обработке информации и направленным на нематериальные активы. Создание системы автоматизации процесса является услугой, нацеленной на объекты собственности. Наконец, обучение участников процесса — это услуга, направленная на человека.
Порядок реализации каждой из этих консалтинговых услуг хорошо известен. Так, для предоставления услуги реинжиниринга процесса необходимо создать команду проекта, в которую войдут консультанты компании-исполнителя и сотрудники заказчика. Консультанты должны иметь практический опыт реализации таких проектов. Со стороны заказчика в команду рекомендуется включить менеджеров среднего звена, не находящихся друг у друга в подчинении. Они хорошо знают детали и способны увидеть картину в целом [7]. Для оказания услуги создания системы автоматизации в команду проекта должны быть включены консультанты исполнителя, имеющие практический опыт организации подобных систем. Со стороны заказчика в команду рекомендуется включить специалистов, которые будут администрировать создаваемую систему, а также сотрудников, занимающихся системами, которые намечено с ней интегрировать. Для реализации услуги обучения исполнитель должен ввести в состав команды консультанта-преподавателя.
В материалах ITIL (Information Technology Infrastructure Library) отсутствует детальное описание порядка комплексной реализации этих относительно простых консалтинговых услуг, что приводит к различиям «составляющих» этапов внедрения ITSM разными исполнителями.
Используемые сегодня в России технологии внедрения ITSM можно разделить на три вида: технологии с акцентом на реинжиниринг процесса, на создание системы автоматизации и технологии сбалансированного типа
Технологии реинжиниринга базируются на мировых практиках успешных бизнес-процессов и включают в себя следующие шаги:
1. Обследование. Согласно практикам реинжиниринга бизнес-процессов, в начале проекта внедрения ITSM консультанты исполнителя могут не проводить обследование действующего процесса и не разрабатывать его модель («как есть»), а сразу приступить к проектированию будущего процесса.
2. Проектирование. Работа консультантов на этапе логического проектирования заключается в организации совещаний и семинаров с сотрудниками заказчика. Задачи консультантов — объяснить сотрудникам заказчика, какими должны быть проектируемый процесс (согласно рекомендациям ITIL) и роли его участников, как нужно реализовать подпроцессы, другие действия и процедуры проектируемого процесса. Чаще всего у большинства сотрудников заказчика отсутствуют практические навыки проектирования бизнес-процессов. В такой ситуации есть риск, что не весь накопленный опыт реализации действующего процесса будет учтен в процессе проектируемом.
Далее сотрудники заказчика, включенные в команду проекта, разрабатывают документы с описанием процесса, ролей его участников, зон их ответственности и основных обязанностей по реализации спроектированного процесса. Продолжительность разработки документации и ее качество (во многом определяемое степенью соответствия требованиям стандартов ISO 20000 и ИСО 9001) зависят от наличия соответствующих навыков у сотрудников заказчика. Разработанную документацию проверяют консультанты исполнителя.
Физическое проектирование проходит аналогично логическому проектированию процесса. После семинаров, организованных консультантами, сотрудники заказчика детально проектируют процесс. Документы с результатами физического проектирования процесса, разработанные сотрудниками заказчика, как и на этапе логического проектирования, проверяются консультантами. При такой организации проектирования весьма непростым вопросом является обеспечение необходимого качества документации на спроектированный процесс. Оно определяется соответствием документации требованиям стандартов (в первую очередь, ISO 20000 и ИСО 9001), уровнем детализации, стилем изложения и другими характеристиками.
На этапе физического проектирования консультанты обычно настраивают прототип (опытный образец) системы автоматизации, обучают сотрудников заказчика работе с системой, разрабатывают план ввода решения (процесса и системы его автоматизации) в эксплуатацию. Настройка прототипа системы автоматизации проводится на стенде заказчика. Далее, как правило, прототип тестируется на соответствие разработанному процессу, корректируется ранее созданная документация на процесс и демонстрируется работоспособность прототипа сотрудникам заказчика. Обучение последних обычно представляет собой инструктаж по основным правилам работы с создаваемой системой.
3. Опытная эксплуатация. План ввода решения (процесса и системы его автоматизации) в эксплуатацию разрабатывается на совместных совещаниях консультантов с сотрудниками заказчика. Эти сотрудники реализуют план ввода решения в эксплуатацию, осуществляют полномасштабное развертывание системы автоматизации и проводят, при необходимости, ее опытную эксплуатацию. Консультанты могут периодически проверять ход внедрения. Для данной традиционной технологии с акцентом на реинжиниринг бизнес-процесса характерно то, что ответственность за соблюдение сроков реализации проекта, качество документации на спроектированный процесс и за полноту использования функциональности системы (за качество реализации) полностью лежит на заказчике. В России имеются консалтинговые компании, уже реализовавшие проекты в соответствии с этой технологией, которые были оценены в СМИ как успешные. Однако по ряду причин получить объективную, критическую оценку таких проектов не представляется возможным.
Для исполнения проекта в соответствии с традиционной технологией приходится отвлекать сотрудников заказчика, вошедших в команду проекта, от исполнения их основных должностных обязанностей. Как правило, эти «дорогостоящие» сотрудники не являются специалистами по работам, проводимым в рамках проекта. Их участие в проектной деятельности является временным и имеет специфический характер. Им приходится получать множество нетипичных для постоянной деятельности знаний и навыков. Опыт их участия в проекте, как правило, в дальнейшем не находит применения. Привлечение же к проектной деятельности новых или менее «дорогих», а, следовательно, менее подготовленных сотрудников чревато низкой результативностью реинжиниринга бизнес-процесса.
Технологии, основанные на создании системы автоматизации базируются на российском опыте создания автоматизированных систем, основные положения которого изложены в ГОСТ 34-й серии. Использование данных технологий характеризуется следующими основными моментами:
1. Обследование. Обследование выполняется консультантами исполнителя с целью сбора данных, необходимых для ввода создаваемой системы в эксплуатацию и для обеспечения ее интеграции с другими системами. Обследование действующего процесса осуществляется при необходимости его «подгонки» под функциональность создаваемой системы автоматизации.
2. Проектирование. Логический и физический этапы проектирования процесса, как и обследование, осуществляются консультантами. В целом проектирование сводится к одному из двух вариантов:
«подгонка» (изменение) действующего процесса ITSM под функциональные возможности программного продукта, на основе которого создается система автоматизации процесса;
выбор и использование одного из наиболее подходящих шаблонов процесса, который заложен разработчиком программного продукта либо создан и реализован консультантами в предыдущих проектах.
Первый вариант проектирования связан с наибольшими рисками. В наихудшем случае, при неопытности консультантов, он даже может привести к ситуации, известной как «автоматизация хаоса». Как показывает опыт, у организаций, реализовавших проектирование по первому варианту, но решивших внедрить ITSM, возникает необходимость в дополнительных работах (которые проводятся в рамках второго варианта проектирования) или в использовании других технологий внедрения ITSM.
Второй вариант проектирования дает положительные результаты при удачном выборе консультантами шаблона процесса ITSM. Процесс управления инцидентами и система его автоматизации были адаптированы и внедрены в макрорегионах с центрами в Екатеринбурге, Твери, Самаре, Нижнем Новгороде. Обучение сотрудников было проведено на основе практической отработки ими разных сценариев реализации этого процесса с использованием системы автоматизации.
3. Опытная эксплуатация. В упомянутом выше проекте развертывание системы и ее ввод в опытную эксплуатацию были осуществлены преимущественно силами консультантов. Затем сотрудники заказчика провели в макрорегионах опытную эксплуатацию решения (процесса и системы его автоматизации). Проект был реализован в относительно короткие сроки и признан руководством ПАО «Московский кредитным банком» успешным.
При использовании технологии с акцентом на создание системы автоматизации ответственность за соблюдение сроков реализации проекта, качество документации на спроектированный процесс и за полноту использования функциональности системы (за качество реализации) практически полностью лежит на исполнителе. При умелом выборе шаблона процесса такая технология позволяет получить положительные результаты в относительно короткие сроки.
Технология сбалансированного типа хотя и является относительно новой, но уже опробована при внедрении разных процессов ITSM. Например, по этой технологии мы реализовали проекты «Внедрение процесса управления инцидентами в Основное отличие такой технологии заключается в высоком качестве результатов проекта, которое определяется соответствием проектной документации требованиям стандартов ISO 20000, ИСО 9001 и реализованной функциональностью системы автоматизации.
Данная технология базируется на учете взаимосвязей результатов, получаемых от трех указанных типов консалтинговых услуг.
Сложность взаимосвязей результатов как услуг, так и проекта в целом свидетельствует о том, что основными условиями для достижения положительных результатов при внедрении ITSM являются: привлечение для оказания консалтинговых услуг квалифицированных консультантов, имеющих нужные навыки и опыт практической реализации таких проектов, а также качественное проведение обследования:
1. Обследование. При реинжиниринге любого бизнес-процесса обследование принято проводить два-три месяца с помощью двух-трех квалифицированных аналитиков. Они выполняют следующие работы:
подготовка и планирование обследования;
сбор информации;
анализ полученной информации;
корректировка плана обследования (при необходимости);
оформление результатов обследования, в том числе разработка модели действующего бизнес-процесса.
В отечественных условиях в большинстве проектов внедрения ITSM реализовать обследование таким образом не представляется возможным в силу следующих причин. Среди них недостаток квалифицированных специалистов по ITSM с практическим опытом внедрения этого процесса, ограниченность времени, выделяемого на обследование (как правило, не более одного месяца), большие масштабы проектов (до нескольких десятков офисов одной организации, которые могут располагаться в разных городах), большая сложность проектов внедрения ITSM, связанная с их комплексностью.
В результате требуется изменить порядок обследования так, чтобы работы, связанные с организацией и проведением обследования, были распределены между консультантами на основе ролевого принципа и с учетом общепринятого порядка реализации трех консалтинговых услуг. Организация обследования по ролевому принципу заключается в том, что все задействованные в обследовании консультанты распределяются по ролям: аналитик-планировщик, бизнес-аналитик, аналитик-системотехник, ассистент. Каждой из ролей соответствуют свои состав работ, область ответственности и требования к уровню квалификации специалистов.
Аналитик-планировщик подготавливает и планирует обследование, собирает информацию, анализирует ее, при необходимости корректирует план обследования, участвует в оформлении его результатов. Бизнес-аналитик собирает информацию о действующем процессе ITSM, его взаимосвязях с другими бизнес-процессами, в том числе ITSM, анализирует собранную информацию, при необходимости формирует предложения по корректировке плана обследования, оформляет документацию с его результатами. Аналитик-системотехник собирает информацию об имеющихся системах, средствах автоматизации действующего процесса ITSM и других автоматизированных системах, которые могут быть использованы как источники информации для системы автоматизации внедряемого процесса ITSM. Он анализирует собранную информацию, при необходимости формирует предложения по корректировке плана обследования, оформляет документацию с его результатами. Ассистент собирает информацию о действующем процессе ITSM, имеющихся системах или средствах его автоматизации, о других автоматизированных системах, помогает бизнес-аналитикам и аналитикам-системотехникам оформлять документацию с результатами обследования.
Порядок обследования по ролевому принципу предусматривает те же основные работы, которые проводятся при общепринятом порядке обследования. При подготовке и планировании обследования нужно получить исходную информацию для обследования, уточнить состав сотрудников организации и вопросы для проведения опроса, разделить объект обследования (то есть действующий процесс ITSM, автоматизированные системы и средства автоматизации, используемые при его реализации) на логические секторы. Такое разделение и распределение секторов между консультантами нужно осуществлять исходя из особенностей предметной области и состава привлекаемых к обследованию консультантов. Планирование работ предполагает составление плана обследования и его согласование с руководством ИТ-подразделения организации.
Сбор информации включает в себя сбор документов по действующему процессу ITSM, автоматизированным системам и средствам автоматизации, используемым при его реализации, опрос сотрудников ИТ-подразделения и документирование его результатов. Анализ полученной информации подразумевает рассмотрение данных с точки зрения основных составляющих действующего процесса ITSM (подпроцессов, функций, действий и т.п.), описание источников данных для системы автоматизации внедряемого процесса, при необходимости — составление списков уточняющих вопросов и запрашиваемой документации.
В процессе корректировки плана обследования нужно уточнить перечень сотрудников ИТ-подразделения, подлежащих опросу, сроки и объем опроса (с учетом возможности появления дополнительных, уточняющих вопросов и, соответственно, увеличения времени опроса). При оформлении результатов обследования должны быть разработаны документы с описанием модели действующего процесса ITSM, автоматизированных систем и средств автоматизации, которые используются при реализации действующего процесса и могут служить источниками данных для внедряемого процесса. Кроме того, учитываются пожелания сотрудников ИТ-подразделения по поводу внедряемого процесса ITSM и системы его автоматизации.
Такой порядок организации и проведения обследования позволил нам в упомянутых проектах осуществить обследования с требуемым качеством. Были привлечены консультанты с разными уровнями квалификации. Сроки обследования, по сравнению с общепринятыми, сократились. Повысилась эффективность работы квалифицированных консультантов по ITSM (они могли быть задействованы одновременно в нескольких проектах), повысилась заинтересованность консультантов в профессиональном росте. По ролевому принципу строится работа консультантов исполнителя и на других этапах внедрения ITSM.
2. Проектирование. Работа консультантов на этапе проектирования заключается не только в проведении семинаров и совещаний с сотрудниками заказчика, но и в подготовке документов с результатами проектирования процесса, в обсуждении и согласовании результатов проектирования с сотрудниками заказчика. Такие обсуждение и согласование проводятся как на совместных семинарах и совещаниях, так и в рабочем порядке, то есть с отдельными сотрудниками исполнителя.
На этапе физического проектирования консультанты настраивают прототип (опытный образец) системы автоматизации на стенде заказчика, тестируют и демонстрируют работоспособность прототипа сотрудникам заказчика. С участием последних система развертывается и подготавливается к опытной эксплуатации. Перед ее началом консультанты проводят углубленное обучение, подразумевающее практическую отработку участниками процесса разных сценариев реализации спроектированного процесса с использованием системы его автоматизации.
3. Опытная эксплуатация. Опытную эксплуатацию решения (процесса и системы его автоматизации) проводит заказчик. При этом присутствуют консультанты, которые при необходимости помогают сотрудникам заказчика и обучают некоторых из них на рабочих местах.
При использовании технологии сбалансированного типа ответственность за соблюдение сроков проекта делится поровну между исполнителем и заказчиком проекта, а ответственность за качество проектной документации и полноту использования функциональности системы (за качество реализации) принимает на себя исполнитель. Данная технология позволяет заказчику получить проектную документацию, в полной мере соответствующую требованиям ISO 20000 и ИСО 9001, а также полнофункциональную систему автоматизации внедряемого процесса ITSM.
2.4. «OMNITRACKER ITSM Center»
как оптимальный программный продукт для внедрения в организацию
В разделе 2.2 был произведен сравнительный анализ текущих ITSM систем, представленных на Российском рынке, в результате ПАО «Московский кредитный Банк», было принято решение о внедрении OMNITRACKER ITSM Center, который отвечает поставленным задачам в банке.
OMNITRACKER ITSM Center является сертифицированным инструментом для автоматизации процессов ITSM, основанным на стандарте де-факто «IT Infrastructure Library» (ITIL). Он обеспечивает не только управление ИТ услугами (IT Service Management), но также структуризацию и оптимизацию других процессов ИТ организаций [34]. Процессы систематизируются, их основные показатели контролируются для обеспечения качества. Благодаря своей масштабируемости и гибкости OMNITRACKER ITSM Center может быть использован для реализации процессов ITSM в ИТ организациях самого разного масштаба — от внутреннего отдела ИТ небольшой компании до крупных международных концернов с необходимостью управления как внутренними, так и внешними поставщиками ИТ услуг (рис. 2.1).
Рис. 2.1. Взаимодействие в omnitraker
Являясь инструментом для автоматизации процессов ITIL/ITSM, сертифицированным компанией Pink Elephant, OMNITRACKER ITSM Center объединяет все основные процессы IT Service Management в одном приложении и допускает расширение функционала в соответствии с требованиями поставщика ИТ услуг. Тем самым, он обеспечивает поэтапное внедрение и миграцию процессов ITSM на предприятии — от управления инцидентами (Incident Management) до полноценной реализации остальных процессов ITSM. Благодаря прозрачности всех процессов внедрение OMNITRACKER ITSM Center повышает эффективность исполнения и контроля процессов ITSM. Консолидированные отчёты для оценки показателей производительности (KPI) помогают добиться постоянного совершенствования процессов и повышения качества ИТ услуг.
Рассмотрим общий вид пользовательский интерфейса (рис. 2.2):
Рис 2.2. Пользовательский интерфейс
1. Строка меню обеспечивает быстрый доступ к основным настройкам OMNITRACKER, которые могут быть кастомизированы при необходимости.
2. Панель инструментов обеспечивает быстрый доступ к важным функциям.
3. Панель быстрого запуска позволяет получить доступ к сохраненным функциям, таким как объекты, папки, задачи и файлы. Она может быть свободно изменена и расширена авторизованным пользователем.
4. Дерево папок содержит папки, которые отображаются в базе данных OMNITRACKER виде структуры дерева. В дереве папок также используется навигация.
5. Программа может открывать несколько объектов параллельно как вкладка/вкладки. Открытая в данный момент вкладка будет выделена.
6. При помощи поля поиска можно легко найти объекты OMNITRACKER (поиск по категориям и полнотекстовый поиск).
7. Форма поиска предлагает широкие возможности различных типов поисковых запросов:
фильтры (выберите существующие фильтры или создайте новые);
полнотекстовый поиск (поиск по индексированным полям или файлам);
поле поиска.
8. В списке объектов отображаются только те объекты, которые находятся в выбранной папке и доступны для просмотра текущему пользователю. При помощи настройки вида может быть выбрано не только отображение списком, но и другие варианты вида (например, календарь или временная шкала).
Наряду с процессами IT Service Management OMNITRACKER обеспечивает возможность реализации процессов ERP и их интеграции с процессами ITSM, такими как:
управление лицензиями;
управление заказами;
управление проектами;
управление продажами.
Основные характеристики OMNITRACKER ITSM Center представлены в таблице 2.3
Таблица 2.3
Характеристики OMNITRACKER ITSM Center
| Общее | Планирование и управление | Обработка и контроль | Представление и отображение |
| Сертификация Pink Verify Service Support Enhanced (ITIL v2) Быстрый ввод сбоев, запросов и заказов Эффективная командная работа и коммуникации Управление и совершенствование процессов ITSM Эффективное использование ресурсов | ИТ услуги создаются в соответствии с требованиями клиентов и предоставляются на основании контрактов Структурированное управление и администрирование данных о клиентах Стандартизированное планирование, внедрение и контроль изменений CMDB для управления всеми компонентами, их взаимосвязями и зависимостями База знаний с функцией полнотекстового поиска | Планирование, сборка, тестирование и развертывание релизов в соответствии с ITIL Единая точка контакта по вопросам поддержки с возможностью обращения по телефону, электронной почте или через Web-портал Учёт затрат в разрезе задач Объединение взаимосвязанных обращений Администрирование предоставляемых сервисов Определение требований к времени исполнения задач и восстановления ИТ услуг Учет любых типов CI (Configuration Item) Мониторинг предоставляемых ИТ услуг Контроль и оптимизация прямых расходов | Встроенные отчеты для измерения KPI и гибкая подсистем формирования отчетов Процессные показатели в режиме реального времени (Dashboards) Отображение зависимостей и взаимосвязей Прозрачность всех процессов |
Процессы ITSM в продукте OMNITRACKER ITSM Center: управление инцидентами, управление проблемами, управление конфигурациями, управление изменениями, управление релизами, управление уровнем ИТ услуг
Данные об организациях и пользователях очень важны для взаимодействия между поставщиками ИТ услуг и их клиентами. OMNITRACKER ITSM Center обеспечивает полноценное управление данными о клиентах, включая учет компаний, стран, адресов, центров затрат и отдельных пользователей.
Задачей процесса управления инцидентами является максимально быстрое восстановление согласованного уровня ИТ услуг после сбоя. Влияние инцидентов на бизнес-процессы должно быть сведено к минимуму. OMNITRACKER ITSM Center обеспечивает быстрый ввод инцидентов и обращений пользователей, которые классифицируются, обрабатываются, контролируются и закрываются службой Service Desk. Обращения могут приниматься по телефону, SMS, электронной почте, факсу или через Web. В зависимости от способа передачи, обработка обращений осуществляется автоматически или вручную.
Процесс управление проблемами позволяет предотвратить или, как минимум, ограничить негативное влияние ошибок, инцидентов и проблем на ИТ услуги. Для этого требуются как проактивные, так и реактивные меры. Проблема — это корневая причина, лежащая в основе одного или нескольких инцидентов. После определения причины и обходного решения вызванных ей инцидентов (Workaround) или нахождения постоянного решения, проблема становится известной ошибкой (Known error). OMNITRACKER ITSM Center организует обработку проблем в два этапа: контроль проблем (Problem control) и контроль ошибок (Error control). В процессе обработки сначала выполняется регистрация проблем, в большинстве случаев на основании инцидентов. При этом проблема создается не посредством эскалации существующего инцидента, а как отдельный объект с целью определения причины инцидентов. OMNITRACKER ITSM Center интегрирует процессы управления инцидентами и проблемами, позволяя связывать проблемы и инциденты между собой, включая возможность контролировать статус обработки инцидентов, связанных с данной проблемой и наоборот.
База знаний OMNITRACKER ITSM Center поддерживает процессы ITSM, предоставляя и обеспечивая поиск информации: о стандартных решениях для управления инцидентами об известных ошибках для управления проблем набор описаний, статей, предложений и документов, позволяющий быстро находить ответы на вопросы пользователей. Поиск необходимых данных обеспечивает высокопроизводительная система полнотекстового поиска.
Процесс управления конфигурациями контролирует все конфигурационные единицы (CI, Configuration Item) — ИТ услуги, системы и приложения, компоненты. При этом должны регистрироваться, определяться, описываться и проверяться все CI с их взаимосвязями и зависимостями. Учет информации выполняется в единой базе данных всех управляемых компонентов (CMDB, Configuration Management Database). Важным условием результативности управления конфигурациями является гарантированное предоставление другим процессам ITSM — процессу управления инцидентами, процессу управления изменениями и другим — точной информации об ИТ инфраструктуре. CMDB в OMNITRACKER ITSM Center обеспечивает единый подход для описания любых CI с настраиваемым набором характерных атрибутов. Описание CI может в любой момент свободно расширяться, обеспечивая реализацию текущих и будущих потребностей. Для отображения физических и логических связей элементов ИТ инфраструктуры используются связи между CI в CMDB. Существующие связи представляются графически и в виде детальных перечней (рис. 2.3).
В связи с быстрым развитием информационных технологий управление изменениями становится критическим фактором успеха. Требования бизнеса, новые технологии, потребности пользователей должны быстро и контролируемо внедряться в жизнь. Процесс управления изменениями определяет единые процедуры внесения изменений эффективно и с минимальными последствиями для бизнеса. В OMNITRACKER ITSM Center могут автоматически регистрироваться все поступающие из различных источников запросы на изменения RFC (Request For Change), например, требования из процессов управления инцидентами или проблем, а также требования, поступающие непосредственно от заказчиков. Запросы на изменения регистрируются в стандартной форме и одобряются или отклоняются в рамках процесса управления изменениями. Принятый запрос на изменение классифицируется по приоритетности, поступает на разработку, а затем на тестирование. В случае успешного тестирования изменение внедряется в эксплуатацию. После реализации изменения выполняется заключительная оценка его результативности и эффективности. OMNITRACKER ITSM Center поддерживает все типы запросов на изменение:
базовое изменение (Basic change);
стандартное изменение (Standard change);
срочное изменение (Urgent change)
Рис. 2.3. Физические и логические связи элементов ИТ инфраструктуры
В зависимости от типа выбирается соответствующая процедура обработки. В случае стандартного изменения — например, замена клавиатуры — изменение может быть реализовано немедленно и, в целях оптимизации ресурсов, без сложных согласований.
Аналогично процессу управления изменениями, процесс управления релизами направлен на качественное предоставление ИТ услуг. Растущее число отдельных изменений должно оставаться под контролем. Это обеспечивается точным планированием. В то время, как процесс управления изменениями планирует и контролирует внедрение новых элементов, управление релизами обеспечивает оперативное внедрение. Так как изменения касаются CI, необходима интеграция с процессом управления конфигурациями. Управление релизами получает детальную информацию о подлежащих изменению CI из CMDB. После внесения изменений (Rollout) необходимо выполнить обновление данных CMDB. OMNITRACKER ITSM Center поддерживает планирование, компоновку, тестирование и развертывание различных типов релизов — Full, Delta и Package. После успешного выпуска планируемые изменения автоматически вносятся в CMDB. Если в результате серьезной ошибки потребуется прекращение работы над релизом и возврат в исходное состояние, все изменения в CI автоматически аннулируются.
В рамках процесса управления уровнем услуг выполняется учет и обработка запросов на новые услуги, подготовка предложений новых или измененных ИТ услуг, определение состава услуг и заключение с клиентами соглашений о уровне услуг (SLA). Одной из задач этого процесса является также контроль и оценка качества — соответствия фактического уровня предоставляемых услуг согласованным SLA. OMNITRACKER ITSM Center поддерживает учет предложений услуг в Каталоге услуг. На основе записей в каталоге услуг ведутся переговоры и заключаются контракты. Обеспечивается управление следующими типами контрактов: соглашения об уровне услуг (SLA), договоры об операционном уровне (OLA) и внешние контракты (UC). В зависимости от типа объекта (инцидент, проблема, RFC) и его приоритета в OMNITRACKER ITSM Center могут устанавливаться и контролироваться определенные контрактом сроки реагирования, прибытия на место работ, выполнения работ. Для оценки качества услуг в отчёты о предоставлении ИТ услуг включаются необходимые значения и контрольные показатели.
Управление работами в рамках процессов ITSM обеспечивает эффективное использование имеющихся ресурсов путём планирования работ с учетом приоритетов, времени и персонала. Для управления работами OMNITRACKER ITSM Center позволяет регистрировать задания и вести детальный учёт трудозатрат и расходов на их выполнение.
Качество предоставляемых ИТ услуг наглядно оценивается по показателям качества и метрикам (KPI). Отчеты по KPI являются основой для оценки возможностей поставщика услуг и помогают выявить способы улучшения работы. OMNITRACKER ITSM Center предлагает большой выбор готовых форм отчетов по KPI процессов ITSM. Готовые отчеты могут очень просто и гибко адаптироваться к специфическим требованиям организаций. Наряду с формированием отчетов за произвольные периоды времени OMNITRACKER ITSM Center может предоставлять отчеты о работе процессов управления ИТ сервисами в режиме реального времени.
III. ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА
Проведем расчёт показателей экономической эффективности ITSM.
После проведенного исследования, было установлено, что 45% инцидентов, происходящих на рабочих местах пользователей, требуют выхода инженера на место инцидента для сбора информации об оборудовании, установленном ПО, сети и т.п. Возможность получить такую информацию непосредственно с рабочего места инженера позволяет снизить затраты на устранение инцидента в среднем на 25% [35].
Таким образом за счет экономии рабочего времени пользователей и технических специалистов внедрение ITSM позволило ощутимо сократить как издержки, связанные с устранением инцидентов, так и прямые затраты на восстановление работоспособности ИТ-инфраструктуры благодаря своевременному выявлению потенциальных источников инцидентов[36].
Рассмотрим расчеты до внедрения ITSM и после внедрения.
До внедрения:
В штате ИТ-службы поддержки Банка работает 20 человек.
Средняя заработная плата специалиста ИТ-службы поддержки составляет 25 000 рублей.
Количество пользовательских рабочих мест в компании — 1000.
Среднее количество инцидентов в месяц — 750.
Среднее время, которое специалист тратит на решение одного инцидента: 4 часа.
В таком случае мы получаем (рис. 3.1):
Стоимость обслуживания 1 рабочего места в месяц: (20×25 000)/1000 = 500 рублей.
количество заявок, требующих выхода на место инцидента: 750×0,45 = 337 ед.
Суммарное время на решение инцидентов (до внедрения): 337×4 = 1348 часов.
Экономия времени при внедрении на решение одного инцидента: 4×0,25 = 1 час.
Экономия времени по всем инцидентам за месяц: 337×1 = 337 часов.
Один час работы специалиста стоит 25000/176 = 142 рублей.
Стоимость устранения инцидентов (до внедрения): 1348×142 = 191 416 рублей в месяц, и 2 296 992 рублей в год соответственно.
Сокращение затрат за счет внедрения ITSM: 142×337 = 47 854 рублей в месяц, что за год составит 47 854×12 = 574 248 рублей.
Рис. 3.1. Сокращение затрат на устранение инцидентов при внедрении ITSM
Из проделанных вычислений можно сделать вывод, что экономический эффект достигается за счет высвобождения части трудовых и финансовых ресурсов, получаемых от:
1. Снижения трудозатрат на устранение инцидентов.
2. Снижения времени на решение инцидентов.
3. Снижения стоимости устранения инцидентов.
ЗАКЛЮЧЕНИЕ
В рамках впускной квалификационной работы бы ли достигнуты следующие результаты согласно поставленным задачам:
проведён организационно-экономический анализ деятельности ПАО «Московский кредитный Банк»;
проанализирована степень эффективности внедрения;
произведено описание существующих средств управления ITSM;
приведено организационно-экономическое обоснование внедрения ITSM.
По результатам работы можно сделать вывод:
ITSM — это непрерывный процесс, который пронизывает все направления бизнеса и работы, над которым не останавливаются никогда, единожды начавшись. Правильный подход к внедрению, выбор платформы и компании консультанта-интегратора, позволят достичь поставленного результат и организовать эффективное и удобное управление ИТ.
В отличие от более традиционного технологического подхода, ITSM рекомендует сосредоточиться на клиенте и его потребностях, на услугах, предоставляемых пользователю информационными технологиями, а не на них самих. При этом процессная организация предоставления услуг и наличие заранее оговоренных в «Соглашениях об уровне услуг» параметров эффективности позволяет IT-подразделениям предоставлять качественные услуги, измерять и улучшать их качество.
Неотъемлемой частью процессной организации по ITSM является Service Desk — подразделение (в терминологии ITIL «функция»), обеспечивающее единую и единственную точку входа для всех запросов конечных пользователей и унифицированную процедуру обработки запросов. Зачастую внедрение процессного подхода к предоставлению услуг начинается именно с внедрения функции Service Desk.
Приоритетными направлениями в управлении ИТ в банках, являются поддержка критично важных для банков бизнес-процессов, обеспечиваемых средствами ИT; оптимизация и повышение эффективности банковской ИT-инфраструктуры; разумные инвестиции в технологии и решения, непосредственно ориентированные на получение прибыли от клиентов и развитие бизнеса в среднесрочной перспективе.
Управление работами в рамках процессов ITSM обеспечивает эффективное использование имеющихся ресурсов путём планирования работ с учетом приоритетов, времени и персонала.
Внедрение ITSM — это сравнительно дорогостоящий процесс, в нем задействовано большое число человеческих и материальных ресурсов. Полагаться в этом только на внутренние резервы ИТ-подразделения ошибочно, необходимо четко обосновать перед бизнесом финансовую целесообразность и окупаемость проекта, чтобы получить бюджет на внедрение.
Основными преимуществами внедрения ITSM для ПАО «Московский кредитный Банк» стало: организация эффективной деятельности ИТ-подразделения за счет использования процессов, описанных в ITIL (управление инцидентами, конфигурациями, проблемами, изменениями, уровнем обслуживания); повышение надежности и стабильности услуг ИТ (управление мощностью и доступностью); финансовая прозрачность деятельности ИТ (управление финансами ИТ).
Внедрение ITSM нужно не только ИТ, но и бизнесу. С внедрением процессной модели работа ИТ-подразделения становится прозрачной и понятной бизнесу. Когда руководство видит, какие услуги оказывает ИТ-отдел, становится проще оценивать эффективность его работы и планировать бюджет на его содержание. Для рядовых сотрудников компании внедрение ITSM обеспечивает более высокое качество предоставления услуг, быструю реакцию на возникающие проблемы, работу без простоев и гарантированные сроки исполнения запросов.
Таким образом поставленные в работе цели и задаче поставленные в работе были выполнены в полном объеме.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. «Банк России» //
URL: https://cbr.ru/banking_sector/credit/coinfo/?id=450000226
2. «МОСКОВСКИЙ КРЕДИТНЫЙ БАНК» (официальный сайт) //
URL: https://mkb.ru/about
3. Википедия Публичное акционерное общество «Московский кредитный банк» // URL: https://ru.wikipedia.org/wiki/Московский_кредитный_банк
4 Консультант Плюс ГК РФ ПАО статья 97 // URL: https://www.consultant.ru/document/cons_doc_LAW_5142/6c23b984e7fc78fbe96d6ed767f0ae3795005169/.
5. Коммерческая структура Банка //
URL: https://brobank.ru/kommercheskij-bank/
6. Управление Банком и его структура // URL: https://spravochnick.ru/bankovskoe_delo/upravlenie_bankom_i_ego_struktura/
7. Принципы деятельности в управлении Банком // URL: https://www.sinref.ru/000_uchebniki/00800economica/000_lekcii_bank_01_raznoe_/784.htm
8.Банки ру. Московский кредитный Банк //
URL: https://www.banki.ru/banks/bank/mkb/tver~/
9.Банки ру финансовая отчётность ПАО «Московский кредитный Банк» // URL: https://www.banki.ru/banks/ratings/?BANK_ID=7292&date1=2022-02-01&date2=2022-01-01
10. SWOT анализ //
URL: https://studbooks.net/1395803/menedzhment/swot_analiz
11. SWOT анализ на примере организации //
URL: https://neiros.ru/blog/marketing/swot—analiz—ehlementy—strategii—primery/
12. ITSM система подход к внедрению // URL:https://www.azone-it.ru/itsm
13. Никишин М.Е. Обоснование использования методологии ITIL/ITSM в управлении ИТ-службы коммерческого банка // URL:https://journal.itmane.ru/node/411
14. Чеботарева, Г. С. Организация деятельности коммерческого банка: учеб. пособие / Г. С. Чеботарева ; М-во образования и науки Рос. Федерации, Урал. федер. ун-т. — Екатеринбург : Изд-во Урал. ун-та, 2018. — 120 с.
15. Способы приобретения ИС// URL: https://knigi.studio/tehnologii-menedjmente-informatsionnyie/kakie-suschestvuyut-sposobyi-156461.html
16. Обоснование проектных решении //
URL: https://prog.bobrodobro.ru/75328
17. Сидорова, Н.П. Информационное обеспечение и базы данных: практикум по дисциплине «Информационное обеспечение, базы данных» / Н.П. Сидорова, Г.Н. Исаева, Ю.Ю. Сидоров; Технологический университет. — Москва; Берлин: Директ-Медиа, 2019. — 85 с.
18. Басыня, Е.А. Системное администрирование и информационная безопасность : учебное пособие : / Е.А. Басыня ; Новосибирский государственный технический университет. — Новосибирск : Новосибирский государственный технический университет, 2018. — 79 с.
19. ITSM // Свободная энциклопедия «Википедия» //
URL: https://ru.wikipedia.org/wiki/ITSM
20. ITIL // Свободная энциклопедия «Википедия» //
URL: https://ru.wikipedia.org/wiki/ITIL
21. Книги библиотеки ITIL // URL: https://helpiks.org/7-85258.html
22. ГОСТ Р ИСО/МЭК 20000 «Информационная технология. Менеджмент услуг».
23. Жиляев А.Ю. Управление IT проектами в банковской сфере // Гуманитарные научные исследования. — 2020. — № 9 [Электронный ресурс].
URL: http://human.snauka.ru/2020/09/28444
24. Артюшина, Л.А. Управление ИТ-сервисами и контентом : учеб. пособие / Л А. Артюшина, Е.А. Троицкая; Владим. гос. ун-т им. А.Г. и Н.Г. Столетовых. — Владимир: Изд-во ВлГУ, 2021. — 280 c.
25. Как не надо внедрять ITSM// URL: https://it—guild.com/info/blog/kak—ne—nado—vnedryat—itsm—v—kompanii-2/
26. Информационная банковская безопасность и ее необходимость // URL:https://finexpert24.ru/poleznye—materialy/articles/bankovskaya deyatelnost/informatsionnaya—bankovskaya—bezopasnost—i—ee—neobhodimost/
27. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.06 № 149-ФЗ.
28. ГОСТ Р ИСО/МЭК 15408–1–2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
29. ГОСТ Р ИСО/МЭК 15408–2–2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
30. ГОСТ Р ИСО/МЭК 15408–3–2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
31. Филиппов, Б.И. Информационная безопасность. Основы надежности средств связи: учебник / Б.И. Филиппов, О.Г. Шерстнева. — Москва; Берлин: Директ-Медиа, 2019. — 241 с.
32. Сравнение ITSM систем //
URL: https://habr.com/ru/companies/icl_services/articles/352196/
33. Внедрение ITSM для начинающего //
URL: http://alib.spb.ru/blog/page/article-135
34. ITSM centr omnitracer// URL: https://www.omnitracker.com/ru/produkty/prilozheniya/it-service-management-center/#
35. Градусов, Д. А. Управление информационными системами в экономике : учеб.-практ. пособие / Д.А. Градусов, А.В. Шутов; Владим. гос. ун-т им. А.Г. и Н.Г. Столетовых. — Владимир: Изд-во ВлГУ, 2019. — 99 с.
36. Экономическое обоснование внедрения ITSM // URL: https://www.inframanager.ru/library/about-methodology/feasibility-study-implementation-itsm/
1 2