Управление инцидентами
Управление инцидентами — это процесс, направленный на восстановление нормальной работы сервиса или системы после возникновения нештатной ситуации (инцидента) и минимизацию негативного влияния на бизнес-операции. В контексте информационных технологий (ИТ) управление инцидентами является одной из ключевых практик библиотеки инфраструктуры информационных технологий (ITIL) и стандарта ISO/IEC 20000. Цель процесса — максимально быстрое устранение сбоя и возврат к штатному режиму работы, а не выявление и устранение первопричины проблемы (чем занимается управление проблемами).
Определение и цели
Инцидент в ИТ — это любое событие, которое не является частью стандартной работы сервиса и которое приводит или может привести к нарушению или снижению качества предоставления услуги. Инцидентом может быть как полный отказ сервера, так и единичный запрос пользователя о невозможности войти в систему.
Основные цели управления инцидентами:
- Восстановление сервиса в кратчайшие сроки.
- Минимизация негативного воздействия на бизнес-процессы.
- Обеспечение единой точки контакта (Service Desk, или служба поддержки) для регистрации и отслеживания инцидентов.
- Ведение точного учёта всех инцидентов для последующего анализа и улучшения процессов.
Процесс управления инцидентами
Процесс управления инцидентами обычно включает несколько последовательных этапов. В разных организациях детали могут различаться, но общая логика сохраняется.
1. Обнаружение и регистрация
Инцидент может быть обнаружен автоматически (системами мониторинга) или сообщён пользователем (через телефон, электронную почту, портал самообслуживания). На этом этапе фиксируется:
- Дата и время возникновения.
- Краткое описание симптомов.
- Данные о пользователе или затронутой системе.
- Категория инцидента (например, «аппаратный сбой», «программная ошибка», «запрос на доступ»).
2. Классификация и приоритизация
Инцидент классифицируется по типу, а затем ему присваивается приоритет. Приоритет обычно определяется на основе двух факторов:
- Влияние (Impact) — насколько серьёзно нарушение затрагивает бизнес-процессы (например, остановка работы ключевого сервиса для всех пользователей или единичная проблема с печатью).
- Срочность (Urgency) — как быстро необходимо восстановить сервис (например, до истечения срока сдачи отчётности или в течение нескольких дней).
Типичная шкала приоритетов включает 4-5 уровней (от «Критический» до «Низкий»). Для критических инцидентов устанавливается целевое время реакции (SLA — Service Level Agreement) и целевое время восстановления (OLA — Operational Level Agreement).
3. Диагностика и эскалация
На этом этапе специалист службы поддержки (первая линия) пытается решить инцидент с помощью известных решений (базы знаний, типовых инструкций). Если проблема не решается в течение установленного времени или требует специальных знаний, производится функциональная эскалация — передача инцидента на вторую или третью линию поддержки (например, системным администраторам, разработчикам, инженерам по базам данных). Также возможна иерархическая эскалация — уведомление руководства о критическом инциденте для принятия управленческих решений.
4. Решение и восстановление
После выявления причины (или временного решения — workaround) производится восстановление нормальной работы сервиса. Это может включать:
- Перезагрузку системы.
- Откат изменений.
- Применение патча.
- Восстановление из резервной копии.
- Временное переключение на резервный сервер.
5. Закрытие инцидента
После подтверждения от пользователя (или автоматической проверки), что сервис работает корректно, инцидент закрывается. В запись об инциденте добавляется:
- Итоговое описание решения.
- Категория причины (если определена).
- Время, затраченное на решение.
- Статус (например, «Успешно закрыт» или «Закрыт с временным решением»).
Инструменты и системы
Для управления инцидентами используются специализированные программные продукты — системы Service Desk и ITSM (IT Service Management). Наиболее распространённые:
- ServiceNow — коммерческая платформа для автоматизации ИТ-процессов.
- Jira Service Management (ранее Jira Service Desk) — продукт компании Atlassian, интегрируемый с другими инструментами разработки.
- BMC Helix ITSM — решение для крупных предприятий.
- OTRS — открытая система управления сервисными запросами.
- iTop — система с открытым исходным кодом, разработанная компанией Combodo.
- Naumen Service Desk — российская система, соответствующая требованиям ITIL.
В России также распространены решения, включённые в реестр отечественного ПО, такие как ELMA ITSM, Docsvision, SimpleOne.
Роль в ITIL и стандартах
Управление инцидентами является одним из 26 процессов ITIL 4, входящих в практику управления сервисными операциями. В стандарте ISO/IEC 20000-1:2018 (управление услугами) процесс управления инцидентами также является обязательным. Он тесно связан с другими процессами:
- Управление проблемами — анализирует коренные причины повторяющихся инцидентов.
- Управление изменениями — контролирует внесение изменений, которые могут предотвратить инциденты.
- Управление уровнем услуг — определяет SLA и контролирует их выполнение.
Критика и ограничения
Основная критика классического подхода к управлению инцидентами (особенно в рамках ITIL) заключается в его реактивности. Процесс сосредоточен на устранении последствий, а не на предотвращении сбоев. Кроме того, чрезмерная бюрократизация процесса (длинные цепочки эскалации, обязательное заполнение множества полей) может замедлять восстановление сервиса в критических ситуациях. В ответ на это в современных практиках (например, DevOps и SRE — Site Reliability Engineering) акцент смещается в сторону автоматизации, мониторинга и проактивного управления.
Применение в России
В России управление инцидентами регулируется рядом нормативных документов, особенно в государственных и критически важных информационных системах. Например, требования к реагированию на инциденты информационной безопасности установлены:
- Федеральным законом № 152-ФЗ «О персональных данных» — требует уведомления Роскомнадзора об инцидентах, связанных с утечкой персональных данных.
- Приказом ФСТЭК России № 239 — устанавливает требования к обеспечению защиты информации в государственных информационных системах, включая порядок реагирования на инциденты.
- Указанием Банка России № 4859-У — для организаций кредитно-финансовой сферы, регламентирует порядок выявления и реагирования на инциденты в области информационной безопасности.
Крупные российские компании (Сбербанк, Яндекс, Ростелеком) внедряют собственные центры мониторинга и реагирования на инциденты (SOC — Security Operations Center), которые сочетают традиционное управление инцидентами с функциями кибербезопасности.
Источники
- ITIL Foundation, ITIL 4 Edition. AXELOS, 2019.
- ISO/IEC 20000-1:2018. Information technology — Service management — Part 1: Service management system requirements.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований к мерам защиты информации, содержащейся в государственных информационных системах».
- Указание Банка России от 24.09.2020 № 4859-У «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →