ИТ-архитектура от А до Я: Шаблоны документов. Первое издание

© Вадим Алджанов, 2018

ISBN 978-5-4493-3763-4

Создано в интеллектуальной издательской системе Ridero

ПРЕДИСЛОВИЕ

Вадим Алджанов

Об авторе

Вадим Алджанов (англ. Vadim Aldzhanov) [Microsoft MCP, MCSA Security, MCSE Security, MCTS, MCITP, MCITP SQL Database Administrator, Cisco CCNA, VMware VCP4, CompTIA A+, Network+, Security+, EC-Council CEH и ECSA, SNIA Certified Storage Professional SCSP, Wireless Technology CWTS, CWNA, CWSP, IT Management ITILv3, Apple Certified Associate – Integration | Management].

В серии книг «ИТ Архитектура от А до Я» собраны и обобщены знания и опыт за более чем 17+ лет работы в ИТ. В течении 14 лет проработал в банковской сфере, большую часть времени на позиции руководителя ИТ департамента. На данный момент являюсь ИТ Архитектором в одном из крупных холдингов страны. Имею степень бакалавра по специальности «Радиотехника» и степень магистра по направлению «Компьютерные Информационные Системы (CIS)». На данный момент продолжаю образование на получение докторской степени по направлению «Менеджмент Информационных Систем (MIS)». Кроме этого имеется порядка тысячи часов обучения на специализированных курсах по направлениям системное администрирование, компьютерные сети, беспроводные сети, системы хранения, системы виртуализации, информационная безопасность, управление ИТ сервисами, управление проектами, банковское дело, пластиковые карты, стратегическое планирование, проведение аудита и прочие. Профиль в LinkedIn: https://www.linkedin.com/in/vadim-aldzhanov-623a7b44/

Введение

Серия книг «ИТ Архитектура от А до Я» является попыткой автора собрать, обобщить и систематизировать накопленный опыт и знания в ИТ области.

Серия книг «ИТ Архитектура от А до Я» – Зеленая книга

Издание «ИТ Архитектура от А до Я: Теоретические основы». Первая книга серии «ИТ Архитектура от А до Я» содержит теоретические основы планирования, построения и сопровождения ИТ архитектуры, управления Проектами, ИТ сервисами и т п. В качестве источника используются как проверенные на практике материалы, так и рекомендации стандартов и практик. Является переработанным, исправленным и дополненным издания «ИТ Архитектура: практическое руководство от А до Я».

Серия книг «ИТ Архитектура от А до Я» – Синяя книга

Издание «ИТ Архитектура от А до Я: Комплексное решение». Вторая книга серии «ИТ Архитектура от А до Я» содержит детальную техническую информацию и практические примеры реализации ИТ решений на основе основ теории, описанной в первой книге. В качестве примеров рассмотрены решения, на базе Windows 10/2016, комплексного решения по мониторингу, управлению и конфигурированию Microsoft System Center 2016, портал Microsoft SharePoint Server 2016, решения по управлению проектами Microsoft Project Server 2016, почтовый сервер Exchange 2016, решение Skype for Business 2015, функциональные возможности Direct Access 2016, Hyper-V, DFS и File Server, RDS и т п. Представлены детальные требования и примеры расчетов по системам обеспечения. Приведены расчёты мощности и стоимости решений. В качестве примеров используются решения, которые выбраны автором как наиболее подходящие для выполнения поставленных задач, популярные или с которыми автор знаком на практике. Является переработанным, исправленным и дополненным издания «ИТ Архитектура: практическое руководство от А до Я».

Серия книг «ИТ Архитектура от А до Я» – Серая книга

Издание «ИТ Архитектура от А до Я: Шаблоны документов». Сборник содержит набор шаблонов и примеров документации, необходимой в повседневной деятельности ИТ. В качестве источника используются как проверенные на практике материалы, так и рекомендации стандартов и практик.

Серия книг «ИТ Архитектура от А до Я» – Желтая книга

Издание «ИТ Архитектура от А до Я: Каталог решений». Сборник содержит описание возможностей различных ИТ решений, анализ и сравнения функциональных возможностей. На текущий момент протестированы или использованы на опыте более сотни решений.

Серия книг «ИТ Архитектура от А до Я» – Красная книга

Издание «ИТ Архитектура от А до Я: Альтернативное решения». Книга серии «ИТ Архитектура от А до Я» содержит детальную техническую информацию и практические примеры реализации ИТ решений на основе теории, описанной в книге «ИТ Архитектура от А до Я: Теоретические основы». В качестве примеров используются решения, приоритетный критерий выбора которых является «нулевая стоимость». В качестве базового решения принимается ИТ инфраструктура и компоненты, описанные в «Синей книги».

Серия книг «ИТ Архитектура от А до Я» – Черная книга

Издание «ИТ Архитектура от А до Я: Облачное решение». Книга содержит детальную техническую информацию и практические примеры реализации ИТ решений на основе теории, описанной в книге «ИТ Архитектура от А до Я: Теоретические основы». В качестве примеров используются по возможности «облачные» решения.

Цели книги

Книга представляет из себя набор шаблонов и документов необходимых и достаточных для организации деятельности ИТ департамента. В ней содержатся шаблоны и примеры по построению и сопровождению ИТ архитектуры предприятия, организации процессов управления ИТ сервисами и проектами, примеры должностных инструкций, различные формы, акты и типовые отчеты.

Цель книги помочь специалистам и руководителям ИТ разработать необходимый набор ИТ документов. Надлежащее документирование помогает организовать коммуникацию между представителями бизнеса и техническими специалистами, а также сотрудниками организации. Кроме этого позволит подготовить организацию к прохождению ИТ аудита.

Книга не является обязательным руководством по выбору того или иного продукта или решения, а выражает точку зрения автора.

Материал изложен в логической последовательности и снабжен наглядными примерами реализации. Это дает возможность использования данного руководства для методичного изучения аспектов деятельности ИТ, наряду с использованием его в качестве справочного пособия.

Сферы, охваченные книгой

Книга является третьей в серии «ИТ Архитектура от А до Я» и представляет собой руководство на русском языке, в котором собраны шаблоны и примеры документов в области построения Архитектуры Предприятия, Управления Проектами, Информационной Безопасности, Организации и Управления ИТ сервисами и ИТ аудита, позволяющие полностью обеспечить потребности организации в процессе создания и управления ИТ архитектурой и инфраструктурой.

Книга предназначена для широкого круга читателей и будет полезна:

Топ-менеджерам, кураторам ИТ, ИТ директорам крупных и средних компаний так как позволит лучше понимать Архитектуру Предприятия (Enterprise Architecture) на базе подхода (TOGAF), роль и вовлеченность ИТ в бизнес. Показатели распределения финансовых инвестиций на ИТ сервисы. Представители бизнеса смогут понять общие аспекты по функционированию ИТ инфраструктуры, технические термины, принципиальные отличия различных архитектурных решений, принципы построения и сопровождения технических решений. Позволяет сформировать понимаемые обоими сторонами метрики и отчеты по оценке эффективности и результативности функционирования ИТ инфраструктуры.

Руководителям ИТ подразделений, ИТ архитекторам, менеджеров среднего звена ИТ департамента, а также менеджерам проектов книга предоставляет теоретические основы управления ИТ сервисами (ITSM) с применением рекомендаций практик ITIL, интеграцию методики Управление Проектами (PMI) в ИТ, вопросы аудита ИТ (CobiT) и Информационной Безопасности.

Книга не предназначена для малых ИТ инфраструктур т.к. стоимость бумаги выше чем требования, предъявляемые к ИТ. Так же будет мало эффективна для крупных предприятий с корпоративным управлением т.к. по каждому направлению деятельности скорее всего имеются узко направленные эксперты.

Благодарность

Выражаю благодарность друзьям, учителям, руководителям и коллегам за помощь в написании книги, а также бесценный опыт и знания полученный от общения с такими людьми как Александр Буслаев («AIG Group»), Иршад Гулиев («SINAM»), Фазиль Маммедов («ROTABANK»), Яна Хмельницкая и Karsten Stellner («LFS Financial Systems GmbH»), Thomas Engelhardt («Microfinance Bank of Azerbaijan»), Andrew Pospielovsky («ACCESSBANK») и Alan Crompton («Baku European Games Operation Committee BEGOC 2015»).

Юридическое уведомление

Информация, содержащаяся в книге, не несет в себе никакой коммерческой тайны или иной конфиденциальной информации. Материалы собраны из открытых источников, переработаны автором, используя имеющийся опыт и знания. Некоторые рассмотренные примеры приведены только для справки и являются вымышленными. Любое сходство с реально существующими людьми или организациями является случайным. Все упоминающийся в книге названия компаний и продуктов могут быть торговыми марками, принадлежащими соответствующим владельцам.

Авторские права

Информация, указанная в книге не может воспроизводиться, дублироваться, копироваться, передаваться, распространяться, храниться или использоваться иным образом для любого коммерческого и не коммерческого использования без письменного согласия автора.

Отказ от ответственности

Автор не дает никаких гарантий или заявлений о точности, пригодности или полноте информации, ссылок или других предметов, которые содержатся в настоящем документе. Книга доступна всем читателям «как есть» без каких-либо заявлений или гарантий любого рода, явных или подразумеваемых, включая гарантии в отношении товарности или пригодности для определенной цели. Документ может содержать неточности или орфографические ошибки.

Автор не несет никакой ответственности за прямые, косвенные, случайные или прочие убытки при использовании данного руководства. Читатель данного руководства проинформирован.

Посвящается моим родителям, любящей жене и двум прекрасным дочерям.

ГЛАВЫ КНИГИ

Книга включает в себя шаблоны и примеры документов, используемых для построения и сопровождения ИТ Архитектуры Предприятия. Содержание книги:

Раздел I: Управление ИТ Сервисами;

•Глава 1: Стратегические ИТ документы;

•Глава 2: Политики и Положения ИТ;

•Глава 3: ИТ Стандарты;

•Глава 4: ИТ Процедуры;

•Глава 5: Должностные Инструкции;

•Глава 6: Сервисные Соглашения;

•Глава 7: Прочие документы ИТ;

Раздел II: Информационная Безопасность;

•Глава 1: Стратегические документы ИБ;

•Глава 2: Политики и Положения ИБ;

•Глава 3: Стандарты ИБ;

•Глава 4: Процедуры ИБ;

•Глава 5: Должностные Инструкции;

•Глава 6: Прочие документы ИБ;

Раздел III: Управление Проектами;

УПРАВЛЕНИЕ ИТ СЕРВИСАМИ

ОБЩАЯ ИНФОРМАЦИЯ

Перечень необходимых документов сформирован на основе зеленной книги серии. Руководящие документы по управлению ИТ, для удобства, можно разделить по следующим категориям:

•Политики и положения – высокоуровневые документы, определяющие общие положения, методы достижения целей, задачи и т п. Определяют высокоуровневые значения (например, … длинна пароля должна быть регламентирована …) Как правило содержит общее описание процедур и принципов.

•План – это заранее намеченная система мероприятий, предусматривающая порядок, последовательность и сроки выполнения работ. Как правило хорошо проработанный документ с высоким уровнем детализации.

•Стандарт – документы промежуточного уровня, определяющие метрики для методов, определённых в политиках (например, … длина пароля восемь символов…). Наиболее часто изменяемый документ ввиду непрерывности и изменчевости бизнес требований и возможностей организации.

•Процедуры – документы промежуточного уровня, определяющие пошаговый регламент работ для применения политик с использованием метрик стандартов, инструменты, исполнителей, инструкций и т п. как правило глубоко детализированный документ с блок схемами, примерами выполнения действий с конкретной информационной системой. Например, «Процедура Управления Инцидентами» построенная на базе решения Microsoft System Center 2016 Service Manager.

•Стандартные Операционные Процедуры (СОП) – документы промежуточного уровня, определяющие пошаговые действия для рутинных работ, указанных в регламенте работ по сервису. К таким работам можно отнести установку сервиса, создание резервной копии, восстановление и т п.

•Инструкции, акты и формы – низкоуровневые документы, определяющие действия сотрудников внутри ИТ департамента, конечных пользователей, факты выполнения действий и т п.

В нашем случае, для каждого процесса управления ИТ сервисом, по умолчанию используются три документа: политика, стандарт и процедура. Для идентичных действий, например, порядок разработки, внедрение, утверждение, нумерации и т п, можно использовать отдельный документ по данному под-процессу, и соответственно исключить данную секцию из прочих документов. Для удобства организации работы ИТ и снижения административной нагрузки можно принять за правило, что, все высокоуровневые и промежуточные документы необходимо подтверждать на ИТ комитете, а низкоуровневые документы могут быть разработаны и утверждены директором ИТ департамента.

Кроме этого, в зависимости от структуры организации некоторые документы могут быть сгруппированы по ролевому принципу. Так для примера, если в организации имеется выделенная роль «Оператора Резервного Копирования», чья задача состоит в создании резервных копий всех ИТ сервисов, то есть смысл сгруппировать процедуры резервного копирования всех ИТ сервисов в одном документе. Это позволит сотруднику поддерживать актуальность информации, и избавит от необходимости просматривания документы «Детальной Архитектуры сервиса» всех сервисов.

Для облегчения создания и работы над такими документами, как детальная архитектура ИТ сервиса, документ может быть разбит на две части:

•Архитектура сервиса – описывает назначение, сервиса компоненты, требования, стоимость и т п;

•Руководство по внедрению и сопровождению – описывает последовательность развертывания, стандартные операции по сопровождению и т п;

Для небольших организаций, организаций с вялотекущими ИТ процессами, или не значительным влиянием ИТ на бизнес, допускается совмещение политик, процедур и стандартов различных процессов в едином документе.

Рекомендации по разработке ИТ документации

Ведение документации один из важнейших элементов административной работы и управления. Никто не любит писать документы… кроме тех, кто умеет. Используйте готовые шаблоны и отчетные формы. Но перед тем как начинать придумывать или заполнять готовые шаблоны, нужно ответить на три важных вопроса:

•Какие документы нужны для вашей организации сейчас?

•Насколько детально нужно их прорабатывать?

•Стоимость времени, потраченного на создание документа по отношению к ценности документа?

Генерирование кучу ненужных документов дорого, долго и глупо. Это выгодно, если проект оценивают по толщине отчетных документов. Но толстые документы никто не читает. Их ставят на самую дальнюю полку и забывают навсегда. Поэтому нужно выбрать только те документы, которые нужны, и прорабатывать их настолько детально, насколько это нужно для достижения целей. Логично. Но как определить эту грань? Так как разработка документации и административные работы требуют дополнительных ресурсов, порядок разработки и глубина проработки ИТ документации может быть различной как для различных организаций, так и отдельных процессов в одной организации. Различают ИТ документы по следующим типам:

По степени важности (Устав, планы, бюджет, политики, стандарты, процедуры, прочие документы).

По уровню взаимодействия:

•Взаимодействие ИТ с внешними организациями;

•Взаимодействие ИТ с подразделениями внутри организации;

•Взаимодействие внутри ИТ департамента;

Методы и техники

Можно руководствоваться различными методами внедрения:

•«Классический метод» – разрабатывается документация и процессы собственными силами или с привлечением консультантов и экспертной группы. Внедрение поэтапное основных и второстепенных процессов. В качестве достоинств: наиболее правильный с точки зрения организации. Качественная проработанная цепочка «снизу – вверх» и «сверху-вниз». К недостаткам можно отнести: достаточно затратный как по времени, так и по финансам. Не эффективен в условиях ограниченных ресурсов.

•«Разработка по требованию» – процессы формируются в ходе внедрения и сопровождения ИТ сервисов. Далее происходит их обкатка, и лишь затем формальное документирование, и принятие. Приоритеты также формируются по необходимости. Как пример, в первую очередь прорабатываются процессы взаимодействия ИТ и внешних организаций: поставщиками продуктов, компанией разработчиков. Следующий шаг: организуются процессы взаимодействия ИТ департамента с другими подразделениями компании. И в последнюю очередь формализуется организация работ внутри самого ИТ департамента. Достоинства метода: эффективен с точки зрения использования ресурсов, простота и понятность в организации простых процессов, целевой, направлен на управление наиболее важными «живыми» процессами в организации, а не формально «важными» с точки зрения управления ИТ сервисами. Недостатки: часто является реактивным методом, т.е. работает по факту происходящих действий, требует дополнительного времени и ресурсов по интеграции процессов между собой.

•«Техника постепенного улучшения» представляет из себя следующую последовательность действий:

•Выбираете минимальный набор документов;

•Заполняете документ на основе здравого смысла;

•Если что-то кажется лишним, отбрасывайте;

•Оцениваете, сможете ли достичь нужных результатов;

•Если нет, то включите недостающие разделы;

•Заполните их и снова проведите оценку;

•И так далее до достижения результатов.

Выбор метода зависит от индивидуальных особенностей организации и ее культуры. На мой взгляд использование метода «по требованию» с применением техники «постепенного улучшения» является наиболее удачным. Процесс утверждения руководящих ИТ документов в общем случае может выглядеть так:

•Для процессов, владельцем которых является ИТ, или которые являются внутренними процессами ИТ, утверждение возможно по решению ИТ директора с последующим формальным утверждением на ИТ комитете.

•Разрешение конфликта интересов происходит согласно процедуре в два этапа: инициатор и ИТ директор привлекают департамент внутреннего аудита. Если конфликт не разрешен, то запрос эскалируется на ИТ комитет.

•Для процессов, владельцем которых не является ИТ, утверждение возможно только по решению ИТ комитета.

Ряд документов требует разработку их в других департаментах. При этом может соблюдаться следующий алгоритм действий:

•ИТ ссылается на документ, разработанный в соответственном функциональном департаменте (документы по кадрам, закупкам и т п).

•Если документ отсутствует в функциональном департаменте, то ИТ разрабатывает его самостоятельно по вопросам, связанным с ИТ деятельностью и с учетом вербальных требований функционального департамента.

•При разрешении конфликтов в различных документах можно руководствоваться принципами наследования «Сверху вниз» и приоритета «Устав – политика – процедура – инструкция».

процессы управления ИТ сервисами

Полноценное управление ИТ сервисами описывается в рекомендациях ITILv3 и CobiT. Основываясь на рекомендациях в книги рассмотрим следующие процессы:

ИТ сервисы

Перечень вопросов, регламентирующих ИТ процессы

Перечень следующих вопросов, регламентирующих ИТ процессы, поможет в их описание в соответствующих руководящих документах:

•Назначение – Определение процесса, под-процесса или вид деятельности, и отвечает на вопрос ЧТО (WHAT);

•Цели – Определяет цели и задачи процесса, отвечает на вопрос ЗАЧЕМ (WHY) необходима та или иная деятельность;

•Область применения – Определяет зону применения данного процесса, отвечает на вопрос КОГДА (WHEN). Определяет триггеры для срабатывания того или иного под-процесса или временные рамки;

•Зона ответственности – Определяет зоны ответственности для позиций или группы, отвечает на вопрос КТО (WHO);

•Процедуры– Процедуры, связанные с процессом, отвечает на вопрос КАК (HOW). Определяет перечень активности и механизмы для выполнения процесса;

•Критические Факторы Успеха (Critical Success Factors CSF) – Определяют, что должно произойти если процесс, сервис или проект будет успешным. Формируются критериями результативности (KGI).

•Критерии результативности (KGI) – Определяют критерии результативности достижения целей. Обычно не имеют явно выраженных измеряемых показателей или являются результатом субъективных наблюдений контролирующего органа. Как пример, критерием результативности может являться удовлетворенность бизнеса работой ИТ или процесса. Также может формироваться из показателей KPI.

•Критерии эффективности (KPI) – Определяют критерии и метрики эффективности процессов или деятельности, используемых для достижения целей. Как правило формируются из метрик и показателей, которые можно объективно измерить. Как пример, снижение количества инцидентов, ошибок и т п.

•Карта процесса – Представляет из себя визуальное описание процесса и деятельности в его рамках.

Пример описания ИТ процесса

Как видно из примера, критерии результативности могут являться метриками, используемыми при написании политик, а критерии эффективности – метриками и показателями, заявленными в стандарте и используемые при написании процедур.

Cтандарт ISO/IEC 20000—1: 2011 рекомендует наличие следующих документов:

•Procedure for Communication

•Procedure for Document Control

•Procedure for Control of Records

•Procedure for Internal Audit

•Procedure for Improvements

•Policy & Procedure for Service Management

•Procedure for Delivery of New Changes

•Policy & Procedure for Management Review

•Procedure for Service Continuity

•Procedure for Budgeting & Accounting Services

•Policy & Procedure for Capacity Management

•Policy & Procedure for Incident Management

•Procedure to Manage Service Compliance

•Policy & Procedure for Supplier Management

•Policy & Procedure for Problem Management

•Policy & Procedure for Configuration Management

•Procedure for Organization Security

•Procedure for Training

•Policy & Procedure for Availability Management

•Visitor Policy

•Policy for Business Relationship Management

•Change Management Policy

•Information Security Policy

•Internet Policy

•Release Management Policy

•Standard Operation Procedures (SOP) for Group Internet & IT Resource Use Procedure

•SOP for E-Mail & Messenger Use

•SOP for Service Continuity Testing

•SOP for Personnel Recruitment

•SOP for Service Reporting

•SOP for Risk Management

•SOP for Business Relationship Management

•SOP for Change Control Management

•SOP for Release & Deployment

•Job Descriptions