Техническая библиотека CITForum.ru CITKIT.ru - все об Open Source Форумы Курилка
Все новости / Все статьи Деловая газета - шквал(!) IT-новостей :: CITCITY.RU
Первая полоса ИТ-Инфраструктура Телекоммуникации Безопасность BI Интеграционные платформы КИС IT-бизнес Ширпотреб Точка зрения

30.04.2017

Новости:


Все новости

Безопасность

Управление непрерывностью вашего бизнеса

Понятия "анализ воздействия на бизнес" (Business Impact Analysis, BIA), "планирование непрерывности бизнеса" (Business Continuity Planning, BCP) и "планирование восстановления" (Disaster Recovery Planning, DRP) появились сравнительно недавно и сегодня вызывают постоянный интерес у топ-менеджеров отечественных компаний. Примерно с 2000 года в ряде высокотехнологичных стран, главным образом в США, Великобритании, Германии и Канаде, проводятся ежегодные слушания специально созданных комитетов и комиссий по вопросам стабильности и устойчивости корпоративных информационных систем и бизнеса в целом. Подготовлено более десятка различных стандартов и спецификаций управления безопасностью, детально регламентирующих процедуры планирования и поддержки непрерывности бизнеса, среди которых наибольшую известность приобрели международные и национальные спецификации и стандарты ISO 17799-2002 (BS 7799), ISO 17799-2002 (BS 7799), NIST, COOP, HIPAA Gramm-Leach-Bliley, The Expedited Funds Availability, SAS 78/94. Насколько методики и технологии обеспечения непрерывности бизнеса могут быть полезны для вашей компании? Давайте посмотрим вместе.

Состояние вопроса

В настоящее время обеспечение непрерывности бизнеса является одним из важнейших направлений стратегического и оперативного менеджмента. Актуальность обеспечения непрерывности бизнеса обусловлена возможностью сохранения (повышения) устойчивости и стабильности функционирования корпоративной информационной системы и компании в целом в условиях неблагоприятного воздействия внешних и внутренних факторов техногенного и/или природного характера (см. рис 1-4).

Рис. 1. Источники угроз бизнеса

Рис. 2. Пример классификации угроз

Рис. 3. Пример оценки бизнес-рисков

Рис. 4. Пример анализа воздействия на бизнес

Это учитывается и на международном уровне. Так, например, в рекомендациях международных и национальных стандартов и постановлений ISO 17799-2002 (BS 7799), COOP, HIPAA Gramm-Leach-Bliley, The Expedited Funds Availability, SAS 78/94, достаточное внимание уделяется вопросам планирования и управления непрерывностью бизнеса (см. рис. 5-7). Более того, федеральные департаменты США осуществляют планирование непрерывности своей деятельности в соответствии с утвержденными директивами СООР. В финансовой области вопросы обеспечения непрерывности бизнеса регулируются рекомендациями законов Gramm-Leach-Bliley, The Expedited Funds Availability, а также рекомендациями стандарта SAS 78/94. В области здравоохранения руководящим документом является HIPAA.

Рис. 5. Пример жизненного цикла BCP в Великобритании

Рис. 6. Пример управления BCP в США

Рис. 7. Пример планирования BCP в Канаде

Сегодня вопросам непрерывности бизнеса уделяется достаточное внимание как федеральными, так и коммерческими структурами. Кроме того, если компании с разной формой собственности, занятые в поставках электроснабжения, водоснабжения и оказывающие различные телекоммуникационные услуги, применяют планы и процедуры непрерывности бизнеса, то они пользуются определенными льготами со стороны правительства своих государств. Основная причина заключается в том, что непрерывность деятельности данных компаний играет достаточно важную роль в непрерывности функционирования различных федеральных организаций и структур (больниц, полиции, пожарных, школ и правительственных учреждений), а также крупных коммерческих структур (банков, страховых компаний, служб поддержки Интернета). В целом наиболее активными пользователями планов непрерывности бизнеса являются, как правило, различные финансовые институты и организации, страховые компании, коммерческие банки, предприятия сырьевой и нефтеперерабатывающей промышленности, авиакомпании, телекоммуникационные компании.

Сравнительно недавние трагические события в мире убедительно показали, что только те компании, которые своевременно воспользовались рекомендациями по обеспечению непрерывности бизнеса, смогли избежать крупных финансовых потерь во время террористических атак в сентябре 2001 года в Нью-Йорке на World Trade Center и отключения электроэнергии в северо-восточной части США и юго-восточной Канаде, которое произошло в середине 2003 года. Остальные же компании понесли значительные не только прямые, но и косвенные материальные и финансовые убытки, связанные с вынужденными простоями и потерями потенциальных контрактов и поставок.

Практика BCP в России

Для отечественных компаний вопросы непрерывности бизнеса сегодня также актуальны и своевременны. В России вероятность техногенных и природных катастроф достаточна высока, чрезвычайные ситуации возникают чуть ли не ежедневно. При этом спектр угроз экономической, физической и информационной безопасности, а также перечь уязвимостей технической инфраструктуры отечественного бизнеса, и в частности корпоративных информационных систем, постоянно растет. В этих условиях для любой отечественной компании актуальны следующие вопросы: Насколько наша компания нуждается в планировании непрерывности бизнеса? Какие нормативно-методические указания и требования по обеспечению непрерывности бизнеса существуют? Какой вид решений или услуг BCP лучше всего соответствует потребностям нашей компании? Должна ли компания сама создавать и поддерживать планы непрерывности и восстановления бизнеса или достаточно заключить соответствующтй договор с консалтинговой фирмой? Какие инструментальные средства существуют для автоматизации планирования непрерывности бизнеса? Давайте попробуем найти возможные ответы на эти и другие вопросы.

Понятно, что использование планов непрерывности бизнеса требует дополнительных затрат компании. Однако вместе с этим каждая компания получает ряд существенных преимуществ, к которым относятся:

  • Быстрое и эффективное восстановление бизнеса в чрезвычайных ситуациях
  • Минимизация финансовых потерь
  • Удовлетворение требований клиентов, акционеров, руководства, аудиторов и других заинтересованных структур
  • Уменьшение стоимости страховых контрактов и прочее

Поэтому сейчас целесообразность планирования непрерывности бизнеса уже не вызывает сомнений. Если же говорить о возможных решениях и услугах в этой области, то сегодня для представителей отечественного бизнеса наиболее актуальны:

  • Планы действий в чрезвычайных ситуациях для продолжения выполнения критически важных функций в резервных или поврежденных бизнес-структурах и единицах
  • Планы восстановления критически важных технологий и приложений бизнеса
  • Планы восстановления бизнеса в целом для продолжения выполнения критически важных функций в условиях внешних и внутренних воздействий

В настоящее время непрерывность бизнеса можно планировать и обеспечивать как самостоятельно, так и с помощью услуг специализированных консалтинговых компаний. Здесь для российских компаний возможны следующие сценарии сотрудничества с поставщиками услуг в области планирования и поддержки непрерывности бизнеса:

  • Компания своими силами развивает ВСР
  • ВСР разрабатывает специализированная компания, а организация его поддерживает (частично внешние, частично внутренние разработки)
  • ВСР полностью разрабатывается и поддерживается специализированной компанией

При этом каждая компания должна сама определить некоторый идеальный баланс между внутренними и внешними составляющими планирования непрерывности бизнеса. Для этого необходимо учесть ряд параметров выбора, в частности, возможные риски, оценки эффективности и стоимости предлагаемых решений и т. д. Кроме того, необходимо определиться и ответить на следующие вопросы (см. табл. 1):

  • Какие бизнес-приложения и процессы требуют ежедневной круглосуточной готовности?
  • Какие наиболее вероятные разрушительные воздействия для каждой бизнес-единицы компании существуют?
  • Какими решениями можно будет воспользоваться в чрезвычайных ситуациях?
  • Какие решения по предупреждению и восстановлению бизнеса компании наиболее рентабельны?
Этапы жизненного цикла BCP Возможные шаги компании
Этап 1: Анализ требований к обеспечению непрерывности бизнеса
Необходимо:
· Оценить стоимость активов компании· Выявить и верифицировать актуальные угрозы и уязвимости
· Оценить потенциальные финансовые убытки в случае возникновения инцидента
· Провести полный анализ воздействия на бизнес (BIA) по бизнес единицам компании
· Оценить основные риски (RA) бизнес единиц компании
Результаты:
· Методика оценки стоимости активов компании
· Методика верификации угроз и уязвимостей
· Методика оценки ущерба в случае инцидента
· Методика оценивания рисков
· Отчет BIA с оценками активов компании и возможного ущерба в результате возникновения инцидентов
· Отчет RA с анализом рисков и приоритетами и первоочередными задачами обеспечения непрерывности бизнеса
Этап 2: Панирование непрерывности бизнеса
Необходимо:
· Сформировать и утвердить экспертную группу планирования и управления непрерывностью бизнеса BCPM
· Выработать планы непрерывности для каждой бизнес единицы компании
· Определить первоочередные мероприятия по обеспечению непрерывности бизнеса
· Выработать альтернативные решения
· Выбрать оптимальное решение из имеющихся альтернатив
· Определить необходимые ресурсы для планирования и управления непрерывностью бизнеса
· Определить и утвердить бюджет планирования и управления непрерывностью бизнеса
Результаты:
· Состав экспертной группы планирования и управления непрерывностью бизнеса
· Планы непрерывности бизнеса для каждой бизнес единицы компании
· Перечень первоочередных мероприятий по обеспечению непрерывности бизнеса
· Список альтернатив и критериев выбора оптимального решения
· Должностные инструкции сотрудников компании по обеспечению непрерывностью бизнеса с определением роли, обязанностей и степени ответственности каждого сотрудника
· Формализованные требования к планированию и управлению непрерывностью бизнеса
· Оценки стоимости возможных решений по обеспечению непрерывности бизнеса
· Критерии выбора поставщиков решений BCP
· Выписки из бюджета компании на планирование и управление непрерывностью бизнеса.
Этап 3: Поддержка планов непрерывности бизнеса
Необходимо:
· Обучить сотрудников компании вопросам обеспечения непрерывности и управления бизнеса
· Закупить необходимые инструментальные средства BCP
· Установить и настроить инструментальные средства поддержки BCP
· Разработать регламенты сопровождения и поддержки планов непрерывности бизнеса
· Выработать систему оповещения о корректировке и внесении изменений в BCP
· Разработать контрольные тесты эффективности планов непрерывности бизнеса и график контрольных проверок.
· Выработать формальные критерии оценивания проводимых проверок BCP.
· Разработать порядок внесения изменений в BCP
Результаты:
· Сертификаты сотрудников об обучении в области BCP.
· Методики и руководства по установке, настройке и сервисного обслуживания инструментальных средств BCP
· Спецификации регламентов поддержки BCP· Схемы оповещений о вносимых изменениях
· Методика верификации BCP
· Формальные критерии оценивания BCP представления результатов тестирования
· Инструкция о порядке внесения изменений в BCP.
· Руководства по сопровождению и поддержки непрерывности бизнеса

Поставщики решений и услуг BCP

К настоящему времени рынок услуг и решений в области BCP уже сформирован и развит. Например, такие компании, как IBM Business Continuity and Recovery Services и SunGard Availability Services предлагают максимально широкий спектр услуг в этой области. Другие компании, например, Business Protection Systems, LBL Technology Partners и RSM McGladrey, специализируются только на разработке программного обеспечения планирования непрерывности бизнеса. Для формирования представления о спектре предлагаемых услуг и решений в области BCP дадим характеристику некоторых предложений на этом рынке. К ним относятся:

  • Computer Alternate Processing Sites (CAPS) - предлагает консалтинговые услуги в области непрерывности бизнеса BCP, а также анализа воздействия на бизнес BIA.
  • Hewlett-Packard Business Continuity and Recovery services - предлагает услуги планирования и тестирования BCP.
  • IBM Business Continuity and Recovery services (бизнес-составляющая IBM Global services) - предлагает консалтинговые услуги, включая анализ и управление рисками, планирование и поддержку BCP, антикризисное управление, оценивание и планирование восстановления; службы восстановления - включая полностью оборудованные резервные компоненты технической инфраструктуры.
  • SunGuard Availability Services предлагает полный спектр обеспечения требуемых непрерывности и доступности корпоративных информационных систем.
  • Business Protection Systems International (BPSI) предлагает набор средств Business Protector для создания и поддержания планов непрерывности бизнеса.
  • Computer Security Consultants, Inc (CSCI) предлагает программный продукт восстановления RecoveryPАС.
  • LBL Technology Partners предлагает программу развития BCP LBL Contingency Planner, совместимую с Microsoft Office.
  • Recovery Point Sistems предлагает решение по восстановлению критичных функций бизнеса Integrated Disaster recovery Site (IDRS).
  • RSM McGladrey предлагает программу планирования непрерывности бизнеса Business Continuity Planning System на основе анализа и управления бизнес рисками.

Инструментальные средства BCP

Существует разнообразное программное обеспечение для автоматизации процессов планирования и управления непрерывностью бизнеса. Такое программное обеспечение позволяет:

  • Использовать универсальные архитектуры баз данных для упрощения процедур анализа риска и развития планов по восстановлению и непрерывности бизнеса
  • Упростить процессы поддержки текущих планов непрерывности бизнеса
  • Синхронизировать и поддерживать актуальную информацию, используя интерфейсы других приложений.
  • Корректировать управление компанией с учетом планов непрерывности бизнеса

В целом программное обеспечение планирования и управления непрерывностью бизнеса можно условно разделить на следующие категории:

  • Автономные средства по оценки воздействий на бизнес. Здесь ввод данных производится вручную менеджерами и затем экспортируется в поддерживаемые средства ВСР.
  • Генераторы планов непрывности бизнеса. Эти средства представляют собой, по сути, экспертные системы с определенными базами знаний и позволяют сгенерировать актуальный план непрывности компании.
  • Базы данных планирования непрывности данных. Отображают необходимую информацию о планировании непрывности бизнеса с учетом специфики деятельности компании.
  • Средства совместного распределенного планирования непрывности бизнеса. Эти средства позволяют реализовать некоторый корпоративный стандарт обеспечения непрерывности бизнеса в распределенной вычислительной среде.

Среди производителей программного обеспечения ВСР выделяются компании Strohl, SunGard, Computer Security Consultants Inc. (CSCI) и RSM McGladrey. Характерные особенности предлагаемых программных продуктов этих компаний приведены в таблице 2.

Таблица 2. Характеристика программного обеспечения ВСР

Производитель Название программного продукта Поддерживаемая операционная среда (ОС, базы данных, приложения)
Computer Security Consultants Inc.
(CSCI)Работает в более 40 странах мира и насчитывает более 1,400 инсталяций своего программного обеспечения. Основные клиенты находятся в Северной Америке и Европе.
RecoveryPAC
· Генератор ВСР
· База данных ВСР
· Интеграция с внешними средствами ВIA (RiscPac)
Windows 95/98/NT/2000/XP
· Windows (NT или 2000)
· Linux или Solaris (Unix)
· Internet Explorer или Netscape
RSM McGladrey (отделилась от H&R Block)
RSM International имеет 600 офисов в 75 странах мира. Предлагает услуги BCP среднему и крупному бизнесу с годовым доходом от 5 до 250 миллионов долларов.
Business Continuity Planning System (BCPS), версия 3
· Анализатор воздействия на бизнес
· Генератор BCP
· База данных ВСР
· Windows 95/NT/XP
· Microsoft Word, Word Pro и другие обычные текстовые редакторы
Strohl
Обслуживает клиентскую базу в 60 странах мира и насчитывает более 1500 клиентов. Основными клиентами являются компании из первой сотни Fortune 500.
Living Disaster Recovery Planning System (LDRPS)
· Генератор планов непрерывности
· База данных ВСРДругие продукты:BIA Professional Incident Manager
Windows 95/98/NT/2000/ NT/XPServer/2000/XP server
Базы данных:
· Sybase
· Oracle
· SQL Server
SunGard (приобрела Comdisco)
SunGard работает более чем в 50 странах мира и насчитывает примерно 20000 клиентов.
PreCovery
· Анализатор воздействия на бизнес (BIA)
· Генератор BCP
· База данных ВСР
Другие продукты:
Eplanner
Revolution
· Windows 97/NT/2000/XP
· База данных SQL
· Microsoft Word, Corel, Word Perfect, Lotus, Word Pro

Так, например, RSM McGladrey больше внимание уделяет решениям BCP в области бухгалтерской деятельности, а SunGard рассматривает вопросы планирования и управления непрерывностью бизнеса в контексте решений и услуг обработки финансовой информации в корпоративных информационных системах. Давайте рассмотрим особенности системы планирования непрерывности бизнеса (BCPS) подробнее на примере решения компании RSM McGladrey. Система планирования непрерывности бизнеса этой компании позволяет полностью автоматизировать процессы управления непрерывностью бизнеса средних и крупных компаний. При этом реализованная в системе процедура анализа воздействия на бизнес позволяет пользователям опционально выбрать оптимальный сценарий оценивания и управления рисками компании. После выполнения этапа оценки риска пользователь может самостоятельно сгенерировать план непрерывности бизнеса. Этот процесс сопровождается автоматическими настройками необходимых пользовательских меню, различных входных и выходных форм, генерируемых документов и отчетов, а также соответствующих баз данных для поддержки непрерывности бизнеса. После завершения процесса планирования система RSM McGladrey позволяет осуществлять поддержку развития и сопровождения актуальных планов непрерывности бизнеса. В целом это программное обеспечение обладает следующими типичными особенностями аналогичных программных продуктов BCP:

  • Иерархически, гибко настраиваемой структурой
  • Развитыми функциями планирования и управления непрерывности бизнеса
  • Возможностью сопровождения и развития вводимых планов непрерывности бизнеса для значительного количества бизнес-единиц и подразделений
  • Возможностью интеграциии с другими приложениями для управления проектами и ресурсами
  • Автоматизированными процедурами оценивания воздействия на бизнес
  • Развитой системой электронной подсказки и помощи
  • Поддержкой современных информационных технологий Интранет

Заключение

Практика планирования и управления непрерывностью бизнеса в России свидетельствует о следующих типичных проблемах отечественных компаний:

  • Отсутствие у ряда организаций какого-либо рода планов непрерывности и восстановления бизнеса в чрезвычайных ситуациях.
  • Нерегулярный и/или не полный анализ внешних и внутренних воздействий на функционирование предприятия. Это приводит к тому, что планы защиты и действия в чрезвычайных ситуациях не всегда отвечают целям и задачам бизнеса, не говоря уже о неадекватных расходах на планирование и поддержание непрерывности и восстановления. Указанный тип анализа должен проводиться регулярно, предшествовать разработке стратегий обеспечения непрерывности и восстановления, а также затрагивать все бизнес-структуры и единицы компании.
  • Использование технологически и морально устаревших методик и подходов планирования непрерывности бизнеса, слабо адаптированных под требования отечественного законодательства нормативной базы Гостехкомиссии РФ.
  • Недостаточный уровень подготовки персонала (не только сотрудников IT-служб, но и топ-менеджмента российских компаний) по вопросам планирования и управления непрерывности и восстановления бизнеса.

В XV веке итальянский политический мыслитель Николло Макиавелли (1469-1527) заметил: "Тот, кто не закладывает фундамент изначально, может огромными усилиями сделать это потом... Но с большой сложностью для архитектора и опасностью для строения". Сегодня эти слова звучат актуально для большинства представителей отечественного бизнеса.



CitCity

Последние комментарии:

Самое интересное:


© 2004–2009 Проект CITCITY.ru