Курс лекций Составитель Соркина В. Е. Введение 12

Вид материала

Курс лекций

Подобный материал:

• Курс лекций. Спб, 639.95kb.
• Курс лекций. Спб, 1118.16kb.
• Курс лекций. Спб, 172.51kb.
• Курс лекций введение в профессию "социальный педагог", 4415.45kb.
• Курс лекций Часть 2 Составитель: кандидат экономических наук Г. Н. Кудрявцева Электроизолятор, 1210.68kb.
• Курс лекций Тамбов 2008 Составитель: Шаталова О. А., преподаватель спецдисциплин тогоу, 1556.11kb.
• Курс лекций Барнаул 2001 удк 621. 385 Хмелев В. Н., Обложкина А. Д. Материаловедение, 1417.04kb.
• Г. П. Щедровицкий Методология и философия организационно-управленческой деятельности:, 3029.36kb.
• Темы контрольных работ по дисциплине «Экономическая теория» спо специальность 080110., 17.75kb.
• Введение в курс. Курс лекций Начертательная геометрия в которой рассматриваются следующие, 848.58kb.

Восстановление после сбоев и отказоустойчивость

В случае сбоя, вызванного естественными причинами или ошибкой пользователя, информационные системы организации должны быть как можно быстрее возвращены в работоспособное состояние. Термины восстановление после аварийного сбоя и отказоустойчивость непосредственно связаны с этим процессом. Отказоустойчивость подразумевает наличие резервных систем, постоянно функционирующих параллельно рабочим системам. Предпочтительно географически рассредоточить эти системы.

Одним из способов обеспечения резервирования ресурсов является внедрение системы, по своей природе защищенной от сбоев определенных видов. К таким системам относятся, например, служба каталогов Active Directory^® с несколькими хозяевами, кластерный SQL Server™, служба балансировки сетевой нагрузки Microsoft^® Windows Server™ и технология службы кластеризации (MSCS).

Многие нормативные акты и стандарты, в том числе HIPAA, GLBA и EUDPD, содержат требование наличия решений по восстановлению после сбоев и отказоустойчивости.

• Архивация и восстановление

• Резервные системы

Информация о компонентах и решениях Майкрософт для резервирования систем содержится в следующих ресурсах.

Управление обработкой особых ситуаций и отслеживание неполадок

В решениях по управлению обработкой особых ситуаций и отслеживанию неполадок используются индивидуально настроенные системы, обеспечивающие сквозное управление особыми бизнес-процессами. Функциональные возможности системы практически такие же, как у бизнес-приложений, входящих в категорию управления взаимоотношениями с клиентами (CRM).

Несколько нормативных актов и стандартов, включая GLBA и HIPAA, содержат прямое требование к организациям использовать решения по управлению обра­боткой особых ситуаций и отслеживанию неполадок.

Заключение

В этом разделе описаны технологические решения, используемые организациями для достижения и поддержания соответствия нормативным требованиям.

Внедрение этих решений не только обеспечивает безопасность ИТ-инфраструктуры и ее соответствие нормативным требованиям, но и оказывает положительное воздействие на бизнес-процессы организации. Перед внедрением какого-либо из описанных решений необходимо проконсультироваться со своими юрисконсультами и аудиторами по поводу специфических потребностей организации по обеспечению соответствия нормативным требованиями. Следует также тщательно взвесить возможное воздействие этих решений на всю организацию, и не только в контексте соответствия нормативным предписаниям. Кроме того, также необходим регулярный поиск в открытых для публичного доступа ресурсах, чтобы получить дополнительные сведения по этой сложной и важной теме.

В следующем подразделе («Технологические решения для управления ИТ») приводится таблица сопоставления категорий элементов управления в контрольной структуре управления с конкретными технологическими решениями. С помощью этих сопоставлений можно определить, элементы управления каких типов требуется внедрить в организации.

Технологические решения для управления ИТ

В приведенной ниже таблице представлены категории элементов управления и технологические решения. Чтобы воспользоваться этой таблицей, следует сначала найти категории элементов управления, которые требуется внедрить в организации. Пометки-«галочки» в столбцах указывают, с помощью какого технологического решения это можно сделать.

Далее с помощью прикладного примера будет показано, как конкретные нормативные акты и стандарты обусловливают выбор конкретных технологических решений.

Таблица 2 Сопоставление категорий элементов управления с технологическими решениями

Прикладной пример

Данный пример иллюстрирует, как компания использует руководство по планированию и решению задач соответствия нормативным требованиям для более точного выяснения, какие процессы должны быть задействованы в работе по достижению соответствия нормативным предписаниям. Компания также осведомлена о преимуществах использования приведенной выше модели контрольной структуры для определения различных нормативных актов и стандартов и последующего выбора приоритетных технологических решений, с помощью которых она сможет выполнить свои обязательства по соответствию нормативным требованиям.

Woodgrove National Bank является финансовой организацией со штаб-квартирой в Нью-Йорке, насчитывающей 5 000 служащих. Банк является открытым акционерным обществом, зарегистрированным на Нью-йоркской фондовой бирже (NYSE) и, как и многие другие финансовые организации в США, должен соблюдать требования закона Сарбейнса-Оксли.

Кроме того, банк должен придерживаться требований HIPAA в отношении пособий на медицинское и стоматологическое обслуживание, которое банк выделяет своим служащим, а также инструкций GLBA, поскольку банк работает в сфере финансовых услуг.

Для решения задачи соответствия перечисленным нормативным требованиям руководство поручило ведущему руководителю службы ИТ банка Хейвену Форду сделать все необходимое, чтобы ИТ-подразделение банка успешно прошло аудиторские проверки, запланированные на следующий календарный год.

Хейвен Форд ставит перед собой две важные цели:

• добиться полного соответствия требованиям всех нормативных актов и стандартов, распространяющихся на банк, с использованием, где это возможно, элементов управления ИТ;

• свести к минимуму затраты времени на аудиторские проверки и воздействие этих проверок на работу ИТ-подразделения банка за счет повсеместного, где это возможно, повышения эффективности с помощью надежных элементов управления ИТ.

Руководитель службы ИТ банка предпринимает следующие шаги.

Проводит совещание с юристами и аудиторами банка для обсуждения намеченных им задач и определения наилучших способов их решения.

Изучает Руководство по планированию и решению задач соответствия нормативным требованиям с целью поиска наиболее полезных рекомендаций.

Устанавливает, что структурный подход является наиболее удобным средством решения поставленных задач.

Используя таблицу сопоставления важнейших нормативных актов и стандартов с категориями элементов управления, приведенную выше в этом разделе руко­водства (табл. 1), знакомится с категориями необходимых банку элементов управления. Хейвен Форд сосредотачивает свое внимание на столбцах таблицы, относящихся к SOX, HIPAA и GLBA. На этом примере он приходит к выводу, что для соблюдения всех трех нормативных актов, затрагивающих Woodgrove National Bank, необходимы элементы управления, относящиеся к категории «управление безопасностью и администрирование».

С помощью таблицы сопоставления категорий элементов управления с технологическими решениями (Таблица 2) Хейвен Форд выясняет, каким новым технологиям банку следует уделить особое внимание. Он приходит в выводу, что для внедрения элементов управления безопасностью и администрированием потребуются технологические решения по управлению учетными данными.

Изучение конкретных технологий в разделе «Технологические решения по обеспечению соблюдения нормативных требований» позволяет Хейвену Форду установить, какие именно технологии потребуются его рабочей группе для решения остальных задач по налаживанию системы управления в банке. Для поиска технологий, с помощью которых можно усовершенствовать эле­менты управления учетными данными и создания учетных записей и профилей пользователей, Хейвену Форд обращается к разделу о решениях по управлению учетными данными. Его особенно интересует серия материалов по управлению учетными данными и доступом, ссылки на которые имеются в разделе о решениях по управлению учетными данными. Изучив ситуацию, Хейвен Форд приходит к выводу, что рекомендации, приведенные в этих материалах, представляют собой превосходное решение для ИТ-инфраструктуры банка.

Затем, он обсуждает свои выводы с юристами и аудиторами банка, которые помогают ему привести предложенный план в соответствие со специфическими потребностями и обязательствами банка, связанными с необходимостью соот­ветствия нормативным требованиям.

Хейвен Форд дорабатывает план деятельности своей рабочей группы: включает в него технологические решения, которым будет уделено особое внимание в текущем году в целях внедрения недостающих элементов управления нужных категорий и намечает стратегию их реализации. После рассмотрения и одобрения плана юристами и аудиторами банка руководитель службы ИТ выделяет часть бюджета подразделения на внедрение в банке программного обеспечения для создания инфраструктуры по управлению учетными данными.

Силами рабочей группы доработанный план выполняется.

В последнем подразделе кратко повторяются основные положения этого раздела руководства.

Заключение

Приведенные в этом разделе сопоставления показывают, как нормативные акты определяют потребность организации в конкретных элементах управления ИТ. Кроме того, они указывают, технологические решения каких типов можно использовать для удовлетворения этих потребностей в элементах управления ИТ. В заключение приводится прикладной пример использования настоящего руководства для решения задачи соответствия нормативным актам.