-
Notifications
You must be signed in to change notification settings - Fork 7
exam05 5
Реферат к лекции 5 Управление инцидентами
Выполнил: Нуржасаров Корган ИДБ-18-05
Проверил: Трохина Ирина ИДБ-18-05
Управление ИТ-услугами (ITSM) включает работу с инцидентами и проблемами. По мере возрастания роли ИТ в компании растет и потребность в обеспечении хорошего уровня сервиса, обеспечении максимальной доступности ИТ-услуг. Бизнес-пользователь должен иметь возможность получить решение своих проблем, если они возникают, как можно быстрее, и работать в любое время. Реализация процессов управления инцидентами и проблемами нацелена именно на это. [1]
Инцидент — есть любое событие, которое не является частью стандартных операций сервиса и вызывает, или может вызвать, прерывание обслуживания или снижение качества сервиса. Инциденты информационной безопасности могут быть преднамеренными или случайными (например, являться следствием какой-либо человеческой ошибки или природных явлений) и вызваны как техническими, так и не техническими средствами. Их последствиями могут быть такие события, как несанкционированные раскрытие или изменение информации, ее уничтожение или другие события, которые делают ее недоступной, а также нанесение ущерба активам организации или их хищение. Инциденты информационной безопасности, о которых не было сообщено, но которые были определены как инциденты, расследовать невозможно и защитных мер для предотвращения повторного появления этих инцидентов применить нельзя.
Эскалация - в целях обеспечения соблюдения временных рамок, выделенных для выполнения тех или иных действий, применяется функциональная и иерархическая эскалация. Под «эскалацией» понимается организационный механизм, помогающий контролировать время устранения инцидента; он должен использоваться при реализации всех мероприятий в процессе разрешения инцидента. Его суть состоит в необходимости либо обязательной передачи информации об инциденте более квалифицированным специалистам, либо информировании руководства о невозможности устранить инцидент в оговоренные сроки. Иерархическая эскалация оказывается необходимой при невозможности устранения инцидента либо за выделенное время, либо с необходимым качеством. Автоматизированная иерархическая эскалация тоже используется и может строиться на основе учета временных интервалов. Целесообразно чтобы она осуществлялась до времени, установленного в SLA; при этом соответствующий руководитель получит возможность предпринять дополнительные действия.
Примерами инцидентов являются:
- Пользователь не может получить e-mail
- Средство мониторинга сети указывает, что канал связи вскоре переполнится
- Пользователь ощущает замедление работы приложения
- Утечка данных пользователя
Управление инцидентами — есть деятельность по восстановлению нормального обслуживания с минимальными задержками и влиянием на бизнес-операции, являющаяся реактивным, сфокусированным на краткосрочную перспективу сервисом восстановления. [2]
Процесс управления инцидентами включает следующие этапы:
- Этап 1: Регистрация инцидента.
- Этап 2: Классификация инцидента.
- Этап 3: Присвоение приоритета инциденту.
- Этап 4: Назначение инцидента.
- Этап 5: Создание задач и управление ими.
- Этап 6: Управление SLA и эскалация.
- Этап 7: Предоставление решения по инциденту.
- Этап 8: Закрытие инцидента.
Регистрация инцидента
Для регистрации инцидента можно использовать телефон, электронную почту, SMS, веб-формы, опубликованные на портале самообслуживания, а также живые чаты.
Классификация инцидента
В зависимости от того, какую область ИТ или бизнеса затрагивает инцидент, например, сеть, оборудование и т. д., инциденту можно присвоить категорию и соответствующую подкатегорию.
Присвоение приоритета инциденту
Приоритет инцидента можно определить с помощью матрицы приоритетов (степень влияния и срочность). Степень влияния на работу бизнеса означает степень ущерба, который проблема нанесет пользователю или организации. Срочность инцидента обозначает временные рамки, в которые инцидент должен быть устранен. Инциденту можно присвоить следующий приоритет:
- Критический
- Высокий
- Средний
- Низкий
Маршрутизация инцидентов и их оценка
После присвоения инциденту категории и приоритета он автоматически переадресуется соответствующему техническому специалисту, обладающему необходимыми знаниями и навыками.
Создание задач и управление ими
В зависимости от сложности инцидента процесс его устранения можно разделить на несколько действий или задач. Задачи обычно создаются в случае, когда для выработки решения по инциденту требуется привлечь нескольких специалистов из различных отделов.
Управление SLA и эскалация
При обработке инцидента техническому специалисту необходимо обеспечивать соблюдение требований SLA. SLA — это приемлемое время, в течение которого требуется предоставить ответ по инциденту (SLA в отношении ответа) или решение (SLA в отношении предоставления решения). SLA можно назначать инцидентам на основе таких параметров, как категория инцидента, автор заявки, влияние, срочность и т. д. В случае, когда требования SLA могут быть нарушены или уже нарушены, инцидент можно эскалировать для передачи другому специалисту или на другой уровень, чтобы обеспечить его оперативное устранение.
Предоставление решения по инциденту
Инцидент считается устраненным, когда технический специалист предоставил временное обходное решение или окончательное решение проблемы.
Закрытие инцидента
После устранения инцидента и получения от пользователя подтверждения того, что решение сработало и он удовлетворен результатом, инцидент можно закрыть.
После устранения последствий инцидента проводятся следующие мероприятия:
а) Организационные:
- совершенствование политик информационной безопасности;
- проведение дополнительного обучения сотрудников, ознакомление с правилами обращения с конфиденциальной информацией;
- разработка соответствующих регламентов;
- правовая оценка документов (договоры ДБО; документы, регламентирующие режим конфиденциальности, и т.п.);
- доведение до сотрудников информации о недопустимости несанкционированной передачи конфиденциальной информации за пределы организации и ответственности за нарушение установленных в организации правил;
- ограничение доступа сотрудника к конфиденциальной информации;
- вынесение предупреждений и другие меры административного характера.
б) Технические:
- установка средств защиты информации;
- модернизация или замена компонентов информационных систем;
- пересмотр и настройка минимальных прав доступа;
- аудит защищенности, тесты на проникновение;
- другие.
- общее количество инцидентов;
- количество инцидентов, находящихся на разных стадиях - закрыт, в работе, передан и т.п.
- размер текущего лога об инцидентах;
- количество значительных инцидентов;
- среднее время разрешения инцидентов;
- процент инцидентов, разрешенных в согласованное время разрешения инцидентов;
- средние затраты на инцидент;
- количество повторно открытых инцидентов и их процентное соотношение к общему количеству инцидентов;
- количество инцидентов, неправильно назначенных в команды поддержки;
- количество инцидентов, для которых были неправильно определены категории;
- количество удаленно разрешенных инцидентов ( без персонального присутствия);
- количество инцидентов, разрешенных с использованием каждой Модели инцидентов;
- количество инцидентов в разрезе определенных интервалов дня.
- способность обнаруживать инциденты как можно раньше. Это включает в себя обучение пользователей немедленно сообщать об инцидентах и конфигурирование инструментов Управления событиями;
- убедить персонал в том, что все инциденты должны быть занесены в журнал;
- доступность информации об известных проблемах и ошибках. Это позволит персоналу использовать опыт предыдущих инцидентов;
- взаимодействие с CMS для определения взаимосвязей конфигурационных единиц и обращения к их истории для поддержки первого уровня;
- взаимодействие с SLM для корректной оценки инцидентов, расстановки приоритетов и выполнения процедур Эскалации. SLM в свою очередь может использовать информацию от Управления инцидентами для определения того, что целевые уровни производительности реалистичны и могут быть достигнуты
ITSM управление инцидентами требует автоматизации всех процессов. И в первую очередь автоматизируется обработка событий по информационной безопасности. На основании событий корректируются действия, проводится оценка по текущей защищенности всей системы. Только полный и достоверный ряд событий позволяет проводить качественное расследование инцидентов. Именно поэтому можно говорить о том, что события являются основным каналом обратной связи. При этом важно понимать, что именно события очень легко документируются и воспроизводятся. Если же не автоматизировать данный процесс, то обработка событий будет представлять собой достаточно сложную и трудоемкую задачу, на которую уйдет уйма времени.
Для автоматизации процесса по обработке событий используются совершенно разные системы автоматизации. И в каждой компании могут применяться различные варианты таких систем. При этом нужно помнить, что в каждом отдельном случае такая система должна обладать определенным функционалом. Он должен включать в себя сбор событий от различных технических средств, приведение событий к единому формату, безопасное хранение событий, предоставление инструментов для поиска данных, которые хранятся в единой базе. Также должны быть специальные механизмы, которые позволяют формировать необходимые отчеты о проведенной работе. Кроме того, в автоматическом режиме должны корректироваться имеющиеся данные по событиям.
Назначение процесса управления инцидентами уже понятно для пользователей, но для них очень важно, чтобы такой процесс происходил максимально быстро и эффективно. Именно поэтому обработка в автоматизированных системах происходит поэтапно, чтобы исключить повторения действий и других ненужных операций. В первую очередь база данных приводится к единому формату, происходит их накопление, корректировка и визуализация. Первые два этапа подразумевают накопление событий из всех представленных защищенных информационных каналов. Это могут быть межсетевые экраны, различные системы обнаружения атак, всевозможные операционные системы и приложения. И только уже собранные данные могут корректироваться и выводить оператору для дальнейшей обработки. [3]
Используемые современные средства поиска обеспечивают проведение оперативного расследования инцидентов, при этом расследование происходит всесторонне. На сегодняшний день существует достаточно большое количество автоматизированных систем, которые способны обеспечить такой функционал. Поэтому компании могут свободно выбирать среди различных вариантов наиболее подходящий и соответствующий требованиям и задачам бизнеса.
- снижение отрицательного воздействия на предприятие со стороны инцидентов, достигаемое повышением эффективности и сокращении времени при их устранении;
- проактивное (упреждающее) определение необходимости расширения и коррекции важных для бизнеса систем;
- доступность необходимой для бизнеса управленческой информации, соотнесенной с условиями SLA.
Ряд полезных качеств приобретает и работа ИТ-подразделения:
- усовершенствованный мониторинг, позволяющий измерить производительность в соответствии с SLA;
- улучшенная информация для управления качеством обслуживания;
- более оптимальная загрузка персонала и более эффективная его работа;
- исключение потерь и некорректного учета инцидентов и запросов;
- более точное ведение базы данных единиц конфигурации CMDB;
- лучшее удовлетворение потребностей клиентов или пользователей.
Работа же без системы управления инцидентами может обернуться рядом неприятностей. Отсутствие лиц, ответственных за устранение и эскалацию инцидентов, приводит к путанице при устранении сбоев и снижает качество обслуживания. Специалисты службы поддержки отвлекаются от исполнения своих обязанностей, что снижает эффективность их труда. Пользователи для устранения инцидентов и проблем вынуждены общаться друг с другом, отвлекаясь от основных обязанностей. Всякий раз приходится заново анализировать инциденты — даже те, которые происходят регулярно и должны быть известны. [4]
- Сайт «ИнфраМенеджер» [Электронный ресурс] – Режим доступа: https://www.inframanager.ru/library/about-methodology/upravlenie-incidentami/.
- Сайт журанала «Современная техника и технологии» [Электронный ресурс] – Режим доступа: https://technology.snauka.ru/2016/11/11437.
- Сайт «SMLogic» [Электронный ресурс] – Режим доступа: https://www.smlogic.ru/1907/itsm-protsess-upravleniya-intsidentami-incident-management/.
- Сайт «OSP» [Электронный ресурс] – Режим доступа: https://www.osp.ru/os/2001/07-08/180310.