ПРИНЦИПЫ ОЦЕНКИ РИСКА ПОТЕРИ ДОСТУПНОСТИ В МЕТОДОЛОГИИ ITIL

Определение риска потери при эксплуатации современных информационных систем, как правило, разделен на два основных компонента. Первый из них представляет собой непрерывный процесс выявления потенциальных угроз. Второй компонент также является непрерывным процессом и призван решать задачу по разработке методов управления инцидентами и их внедрения. Управление рисками в сфере информационной безопасности один из наиболее важных показателей, которые определяют качества информационных услуг[1].

В качестве трех краеугольных камней информационной безопасности выделяют: конфиденциальность, целостность и доступность. Если первым двум из них в наши дни уделяется наибольшее внимание, связанная с постоянными утечками данных, то доступность отходит на второй план. От этого параметра зависит эффективность работы любой организации, которая использует информационные системы. Следует учитывать, что перерывы доступности оказывают негативное влияние на доходы организации. О влиянии на доходы также говорит привлечение в сферу информационной безопасности таких международных  протоколов, таких как: SLA ( Service level agreement) и BCP ( Business Continuity plan). Первый из них необходимо для решения вопросов между поставщиками и получателями услуг в IT. Второй же, применяется при определении конкретных мер, которые быстро и эффективно смогут решить задачу восстановления доступности[1].

Методология ITIL является достаточно важным документом применяемым в качестве способа управления современными информационными технологиями. Первая версия этого документа вышла еще в конце 80-х годов, когда IT технологии только стали применяться[2]. За выпуск ITIL отвечает специальная организация, подотчетная лишь королевской семье. Эта организация полностью некоммерческая. Современная версия данного документа ITIL v3 была выпущена в 2007 году. Ее фундаментальную основу составляют 26 функций, сгруппированных в 5 основных групп:

• Стратегия услуг (service strategy);
• Проектирование услуг (service design);
• Преобразование услуг (service transition);
• Эксплуатация услуг (service operation);
• Постоянное улучшение услуг (continual service improvement).

Напрямую к доступности услуг  в ITIL v3 отнесены :

• Управление производительностью услуги (service capacity management – SCM);
• Управление доступностью услуги   (service availability management – SAM);
• Управление непрерывностью услуги (IT service continuity management – ITSCM).

Далее следует рассмотреть каждый из этих процессов исходя из его особенностей[1].

Главная задача, что стоит перед процессом управления производительностью услуги (SCM) – заключается в процессе обеспечения достаточного уровня быстроты действий при предоставлении любой услуги связанной с информационными технологиями. Существующие на сегодняшний день аппаратно-программные комплексы обработки данных имеют ограничения, связанные с их техническими особенностями, поэтому любые попытки так, или иначе повысить производительность способны привести  к возможным проблемам с производительностью, что в свою очередь может привести к серьезному финансовому ущербу для организации. Именно процесс SCM  и необходим для осуществления оптимального применения всех работающих аппаратно-программных комплексов в целях поддержания достаточного уровня производительности. Также, исходя из вышеперечисленного понимания данного процесса, этот принцип отражен при использовании договора SLA[3].

Процесс управления доступностью SAM  применяется для обеспечения доступности всех основных сервисов и услуг, которые учтены в рамках все того же договора SLA. Согласно спецификации данного процесса также производится анализ всех существующих проблем с доступностью, которые были в прошлом и предлагается стратегия улучшения инфраструктуры для того, чтобы избежать возможного повторения негативных событий.

Основной задачей процесса ITSCM является осуществление процесса поддержки управления непрерывностью предоставления услуг, связанных с информационными технологиями, с точки зрения бизнеса. Суть самой задачи можно описать так: восстановление доступности услуги в полном объеме за кратчайший технически возможный промежуток времени. При всех неоспоримых применения данного процесса, он все же ориентирован на достаточно крупные инциденты, к примеру,  потеря связи с территориальным офисом организации. Мелкие же инциденты данный процесс в учет не берет, поэтому может быть затруднено понимание отдаленных последствий от нарушения доступности[2].

В некоторых случаях организации вводят процесс, сочетающий в себе  SAM и SCM ,  в его рамках устанавливается взаимосвязь доступности услуги удовлетворенности пользователей, причем низкая производительность по времени, вызванная техническими особенностями может быть определена как полная недоступность услуги.

Можно утверждать, что существуют  схожие принципы для процессов SAM и ITSCM. В частности это проявляется при осуществлении оценки и управления рисками потери доступности. Такую взаимосвязь можно описать простой схемой, которая изображена на рисунке 1[1]. Процесс ITSCM – один из простейших способов снижения риска потери доступности.

Рисунок 1. Схема простейшего вида управления оценкой риска потери доступности

На основании данного процесса можно сделать вывод о том, что доступность услуги выделяется как дин из основных критериев, которые разрешено применять для оценки удовлетворенность потребителей услуг[2].

Ввиду того, что доступность данных для пользователей услуг не может быть отделена от конкретных условий современной рыночной экономики, поэтому все процессы, упомянутые ранее, включают в себя бизнес - модель. Выделяют три основные бизнес составляющие, которые влияют на данные процессы. Все они отражены на схеме, изображенной на рисунке 2.

Рисунок 2. Основные бизнес составляющие доступности информации

Следует остановиться на более углубленном анализе бизнес составляющих[1].

В качестве основной цели BRA  выступает процесс обработки существующих требований клиентов к работе информационных систем и выполнение прогнозов запросов, которые могут возникнуть в будущем. Анализ всей ситуации производится как при помощи социологических опросов клиентов, так и на основе обезличенной статистики, которая обрабатывается в соответствии с нормами GDPR, как наиболее современного законодательного акта в области защиты персональных данных. Все требования к данному анализу отражены в договоре SLA[2].

Суть же основной задачи BRA выражена в процессе перевода требование клиентов к качеству услуг в технические требования к инфраструктуре информационных технологий. В свою очередь, для удобства решения задачу можно разделить на две взаимосвязанные подзадачи, каждая из которых оказывает влияние на саму суть процесса.

Первая подзадача – это анализ влияния временного прекращения на бизнес систему. Эта подзадача состоит в свою очередь так же может быть разделена на процесс определения основных направлений бизнеса, на которые оказывает влияние информационные технологии и на процесс выявления негативного влияния на бизнес.

Вторая подзадача состоит в анализе влияния на работу IT услуги сбоя отдельных составных компонентов. Результатом решения этой подзадачи станет оценка влияния возможных неполадок в работе на функционирование абстрактной услуги в сфере информационных технологий.

В качестве второй бизнес составляющей выделяют наблюдение и контроль. Главным инструментом выступает мониторинг событий. Объектом мониторинга являются как наличие интереса к определенным продуктам, так и процессы доступности и производительности, а также использование ресурсов и нагрузка на оборудование. В качестве результата получается отчеты о вышеперечисленных объектах мониторинга[2].

Последней составляющей бизнеса в области доступности  является планирование улучшений. Данный процесс основан на результатах, получаемых в ходе описанного выше мониторинга. Как правило, предлагаемые улучшения содержат в себе рекомендации по обновлению и расчет финансовых затрат на улучшение.

Все три процесса имеют очень много точек соприкосновения, поэтому они могут быть объединены в одну общую систему.

Список литературы:

1. Hui Liu, Yue Lin, Peng Chen, Lufeng Jin, and Fan Ding. A Practical Availability Risk Assessment Framework in ITIL, 2010 Fifth IEEE International Symposium on Service Oriented System Engineering, - 2010. - pp.287-290.
2. ITIL knowledge overview, Е.2019 [Эл. ресурс], режим доступа https://blog.itil.org/, язык доступ английский, (дата обращения 30.11.2019)
3. Козлов В.А., Рындюк В.А., Воробьев Г.А., Чернышев А.Б. Модели и методы защиты от атак "MAN IN THE MIDDLE" (MITM) // Современные фундаментальные и прикладные исследования. 2017 – № 1 (24). – С. 27-35.