12 Марта, 2014

Процессы управления ИТ глазами безопасника

Andrey Prozorov
Стало доступно довольно интересное исследование, посвященное процессам управления ИТ и использованию идей ITSM в России. Я говорю про документ " Результаты всероссийского исследования IT Service Management 2013 ". В опросе приняли участие 262 респондента: 141 ИТ-руководитель и 121 ИТ-специалист.

К сожалению, вынужден признать, что процессы управления ИТ, а точнее подходы и методологии управления процессами ИТ, намного опережают аналогичные процессы управления информационной безопасностью. Поэтому ориентироваться стоит именно на ИТ-шников, а процессы ИБ не выдумывать самостоятельно, а встраивать в ИТ-шные. Это я говорю про "управление инцидентами", "управление доступом", "управление изменениями" и другие. ИТ-шники умеют с ними обращаться лучше ИБ-шников. 

Выбрал несколько важных для информационной безопасности итогов исследования.

ITSM чаще всего используется для повышения качества и эффективности ИТ-услуг, на втором месте - решение конкретных операционных задач ИТ.

Основные преимущество использования  ITSM: повышение качества услуг, предоставляемых пользователям, обеспечение непрерывности бизнесс-процессов и услуг, сокращение затрат на ИТ.
Обычно в организациях уже дольше всех внедрены и работают процесы "управление инцидентами", "управление запросами на обслуживание", "управление доступом", "управление финансами", "управление изменениями" и "управление проблемами". 
Именно эти процессы и имеют высокий уровень зрелости в организациях: они исполняются, формализованы и контролируются.
Процессы управления инцидентами, запросами, проблемами, изменениями и доступом максимально автоматизированы по сравнению с остальными.

ИТ специалисты идут своим путем и не сильно ориентируются на мнение "безопасников" и их стандарты ( 27001  не в моде). 

Но, судя по приведенным данным, у них прекрасно получается.

Итого, призываю специалистов по информационной безопасности ориентироваться на опыт и методологии ИТ, на подходы ITSM. Не для всех процессов, но общих. И, в первую очередь, это касается "управления инцидентами", про который в последнее время говорят все чаще и чаще. В ITIL и COBIT  есть много полезного по теме, не надо "выдумывать велосипед" и "перетягивать одеяло" в сторону ИБ...
или введите имя

CAPTCHA
Алексей Лукацкий
11 Марта, 2014
А какова цель управления инцидентами в ИТ? И какова она в ИБ?
0 |
Andrey Prozorov
11 Марта, 2014
Да. Подход другой. Но у ИТ толковее, на мой взгляд, особенно если возьмем и управление инцидентами и управление проблемами
0 |
ыва
12 Марта, 2014
Очепятка: "уже дольше все всех внедрены"
0 |
12 Марта, 2014
спасибо, в оригинальном посте поправил
0 |
mike
12 Марта, 2014
Уж сколько раз твердили миру- ИТ вышло из ИБ а не наоборот, натягивать на зайца штаны и требовать танцев по меньшей мере глупо. ИТ- на данный момент средство производства, ИБ- средство сохранения данного производства, при другом подходе это уже не ИБ а прочие новомодные слова. Хотите защиты своего бизнеса разворачивайте ИБ, не хотите не разворачивайте. ИТ разворачивается вне зависимости от потребностей.
0 |
12 Марта, 2014
я полагаю, что ни что не вышло из другого. ИТ и ИБ развивались параллельно.
0 |
Александр Бодрик
12 Марта, 2014
Спорно, у ИТ инцидентов и вход понятнее (логи, жалобы юзеров) и выход - все работает и хорошо. У нас принципиально другой уровень абстракции и сложности процесса
0 |
Алексей Беседин
13 Марта, 2014
если рассматривать с методологической точки зрения, то ИТ инциденты работают по той же схеме управления, что и ИБ. Целеполагание как процесс определенных действий ведь и там и там один и тот же, а вектор направленности разный, вот и средства реализации расходятся.
0 |
Andrey Prozorov
13 Марта, 2014
Что вход и выход понятнее - это вопрос методологический;)))) разобрались и хорошо прописали. Отдельно плюсом к удобству добавляют параллельные и поддерживающие процессы, например управление конфигурацией с базой конфигурационных единиц (cmdb).
0 |
Andrey Prozorov
13 Марта, 2014
Не совсем, у ИТ и ИБ принципиально отличаются понимание "событий" и "инцидентов", и отличаются цели процессов. Например, для ИТ цель - скорейшее восстановление нормальной работы системы, причины и выводы скорее рассматривают в другом процессе - "управление проблемами". Получается довольно логично и удобно. Также у ИТ с процессом управления инцидентами еще завязаны минимум 2 процесса: управление конфигурацией и управление изменениями. Без них устранить инциденты не удобно...
0 |
Алексей Беседин
13 Марта, 2014
Управление инцидентами в ИБ - сложный процесс, в нем полно подпроцессов. можно было и каждый подпроцесс выделить отдельно, но все равно все взаимосвязанно... да и управление инцидентами - подпроцесс СУИБ., наряду с процессами упраления непрерывности бизнеса, управлениями изменениями и т.д. Согласен, семантика понятийного аппарата различна. Но почему? Может потому что в ИТ уже научилось слушать бизнес и говорить с ним на общем языке (практический результат лучших практик - тот же COBIT!!). Может пора уточнить понятийный аппарат (от руководства)...))) По мне, уже хорошо, что с COBIT многое переходит в ИБ: та же Модель SSE-CMM перетекла в ГОСТ Р ИСО/МЭК 21827–2010 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса»
0 |
mike
13 Марта, 2014
Ясное дело паралельно, Простите у Вас какое образование? Вообще это входит в изучение в введение в специальность для безопасников.
0 |
14 Марта, 2014
ОиТЗИ, не нас этому не обучали. Может сейчас лучше, хотя не уверен. В прошлом году рецензировал для одного ВУЗа программу обучения ,был в шоке
0 |
14 Марта, 2014
хотя история развития ЗИ и ЗИ в Мире было. )))
0 |
Anthony Zaytsev
17 Марта, 2014
Смотрю, без маркетинга не обошлось, и свою рекламную сертификацию ITIL Master они сюда впихнули
0 |
Егор Кишкилев
18 Марта, 2014
Андрей, не подскажете, существует ли возможность изучить ITIL foundation самостоятельно, не посещая курсов, и без покупки материалов. Я просто хочу ознакомиться, для общего развития. Егор, e-mail - kisamd@gmail.com
0 |
28 Марта, 2014
Можно, я делал именно так. В интернете много материалов по теме ITIL, можно найти и книги ITIL
0 |
Николай
22 Марта, 2014
поддержу MIKE
ИТ должно ориентироваться на ИБ, а не наоборот. Это лиса должна догонять зайца, а не заяц бежать в пасть лисе. к сожалению (сам выходец из ИТ и в настоящее время веду направление ИБ в своей организации)) это понимание на корню рубится во многих организациях, т.е. понимания этого вопроса нет. Внедрение новых технологий, обеспечение настройки сервисов и служб должно соответствовать требованиям стандарта ИБ организации, только в этом случае достигается определенный уровень ИБ. В остальном это профанация и формальность.
0 |