Управления непрерывностью

Содержание  
 

Введение…………………………………………………………….…1

1. Цель процесса управления непрерывностью……………………..3

2. Управление непрерывностью бизнеса………………………….…4

3. Состояние вопроса……………………………………………….....6

4. Практика BCP в России…………………………………………….6

5. Этапы и виды деятельности, выполняемые в рамках процесса ITSCM…………………………………………………………………10

     5.1.  Область действия процесса ITSCM…………………...…10

     5.2. Анализ воздействия на бизнес……………………………11

     5.3. Оценка рисков……………………………………………..11

6. Стратегия обеспечения непрерывности ИТ-услуг……………...13

     6.1. Организация процесса и планирование внедрения……..13

     6.2. Предварительное тестирование………………………......15

7. Операционное управление непрерывностью ИТ-услуг………...15

8. Особенности российского подхода………………………………17

Заключение …………………………………………………………..20 
 
 
 
 
 
 
 

Введение 

В современном  конкурентном, ориентированном на клиента  деловом мире о компаниях судят  по их способности непрерывного функционирования и предоставления услуг. Это достигается  путем сбалансированного использования  таких снижающих риск мер как отказоустойчивые системы и опции восстановления, включая резервные средства. Успешное внедрение управления непрерывностью может быть осуществимо только при явном активном участии старшего управленческого персонала и поддержке всех членов организации. Регулярное текущее обслуживание систем восстановления играет важную роль для сохранения эффективности решения. Это достигается посредством: Жесткой конфигурации, организацией внесения изменений, мониторинга системы показателей, управлением готовностью, управлением производительностью и процессом анализа. Образования, документации и информированности об организации в целом и ее клиентах. Специфического, непрерывного тренинга персонала, участвующего в процессе. Регулярного тестирования и анализа непредвиденных обстоятельств и планов восстановления после отказа. Внимательного отношения к изменениям и возможности возникновения нового риска. Многие администраторы считают, что если их информационные центры не расположены в зоне наводнений или землетрясений, вероятность возникновения необходимости принимать решения в случае катастроф невелика. На самом деле это не так. Природные катастрофы могут возникнуть не слишком естественным образом. Например, энергосистемы постоянно подвергаются беспорядочным сбоям и перепадам. Нарушение энергоснабжения для рабочей площадки корпоративного предприятия может означать потерю многих рабочих часов и прибыли. Непрерывность обслуживания зависит от успешного, хорошо продуманного плана обеспечения непрерывной работы, испытанного и подвергающегося оценке на регулярной основе. План обеспечения непрерывной работы, как бы хорошо он ни был продуман и испытан, не дает гарантии непрерывного обслуживания. Ежедневное применение структурного подхода необходимо для поддержки инфраструктуры корпоративного предприятия и обретения уверенности в том, что должные процедуры и мероприятия введены в действие и соблюдаются. После введения в действие данных процедур и мероприятий, необходимым условием для сохранения действенности плана является внимательное отношение к изменениям и периодическая переоценка предложенного плана обеспечения непрерывной работы. Библиотека передового опыта организации ИТ - ITIL - содержит на сегодняшний момент описание более десятка процессов управления ИТ, одним из которых является процесс управления непрерывностью ИТ-услуг (IT Service Continuity Management (ITSCM)). Этот процесс предназначен для противодействия на случай чрезвычайных обстоятельств, затрагивающих ИТ-услуги, и отвечает за предоставление ИТ-услуг во время чрезвычайной ситуации и восстановление сервисов, в первую очередь необходимых для функционирования критичных бизнес-процессов компании. Как показывает статистика рынка информационных технологий и увеличившееся в последнее время число техногенных и природных катастроф, применение процесса управления непрерывностью ИТ-услуг перестает быть роскошью и переходит в разряд обоснованной необходимости.  

1. Цель процесса управления непрерывностью 

Цель  процесса управления непрерывностью предоставления ИТ-услуг - поддержка непрерывности бизнеса в целом. Такая поддержка означает, что, во-первых, инфраструктура и ИТ-услуги, в том числе услуги по поддержке (служба Service Desk), должны быть восстановлены за заданный период времени после возникновения чрезвычайной ситуации. Во-вторых, на время восстановления предоставление ИТ-услуг должно поддерживаться на "аварийном" уровне, приемлемом для ведения бизнеса, то есть на уровне, минимально необходимом для функционирования бизнеса. Поскольку целью процесса является поддержка бизнеса, то сфера действия процесса должна определяться в первую очередь исходя из целей бизнеса. Согласно ITIL процесс отвечает за решение следующих основных задач:

1. оценку  воздействия нарушений в предоставлении  ИТ-услуг при возникновении чрезвычайной ситуации;

2. определение  критичных для бизнеса ИТ-услуг,  которые требуют дополнительных  превентивных мер по обеспечению  непрерывности их предоставления;

3. определение  периода, в течение которого  предоставление ИТ-услуги должно  быть восстановлено; 

4. определение общего подхода к восстановлению ИТ-услуги;

5. разработку, тестирование и поддержку плана  восстановления ИТ-услуги с достаточным  уровнем детализации, который  поможет пережить чрезвычайную  ситуацию и восстановить нормальную  работу за заданный промежуток времени.  

2. Управление непрерывностью бизнеса 

В рамках ITIL процесс управления непрерывностью ИТ-услуг неразрывно связан с процессом  управления непрерывностью бизнеса (Business Continuity Management -- BCM). Процесс управления непрерывностью бизнеса обеспечивает анализ и управление рисками и позволяет организации постоянно поддерживать функционирование минимально допустимых производственных мощностей. Он помогает уменьшить степень риска до приемлемого уровня и разработать планы восстановления бизнес-процессов на случай их повреждения во время чрезвычайной ситуации. Например, компании, территориально расположенной в районе скопления грозовых облаков, для уменьшения вероятности повреждения электросети необходимо прежде всего сконцентрировать внимание на превентивной защите от удара молнией (как вариант, установкой системы громоотводов). И только затем разрабатывать планы снабжения потребителей во время сбоя и план восстановления всей сети. Процесс управления непрерывностью ИТ-услуг -- часть общего процесса управления непрерывностью бизнеса. Он зависит от информации, предоставляемой процессом BCM. Поддержание доступности ИТ-услуг обеспечивается благодаря сочетанию мер по уменьшению степени риска и применению способов восстановления. Для успешной реализации процесса требуются поддержка со стороны всей организации, твердое намерение руководства реализовать данный процесс и участие в реализации всего персонала.  

Понятия "анализ воздействия на бизнес" (Business Impact Analysis, BIA), "планирование непрерывности бизнеса" (Business Continuity Planning, BCP) и "планирование восстановления" (Disaster Recovery Planning, DRP) появились сравнительно недавно и сегодня вызывают постоянный интерес у топ-менеджеров отечественных компаний. Примерно с 2000 года в ряде высокотехнологичных стран, главным образом в США, Великобритании, Германии и Канаде, проводятся ежегодные слушания специально созданных комитетов и комиссий по вопросам стабильности и устойчивости корпоративных информационных систем и бизнеса в целом. Подготовлено более десятка различных стандартов и спецификаций управления безопасностью, детально регламентирующих процедуры планирования и поддержки непрерывности бизнеса, среди которых наибольшую известность приобрели международные и национальные спецификации и стандарты ISO 17799-2002 (BS 7799), ISO 17799-2002 (BS 7799), NIST, COOP, HIPAA Gramm-Leach-Bliley, The Expedited Funds Availability, SAS 78/94. Насколько методики и технологии обеспечения непрерывности бизнеса могут быть полезны для вашей компании? Давайте посмотрим вместе.  
 

3. Состояние вопроса. 

В настоящее  время обеспечение непрерывности  бизнеса является одним из важнейших  направлений стратегического и  оперативного менеджмента. Актуальность обеспечения непрерывности бизнеса  обусловлена возможностью сохранения (повышения) устойчивости и стабильности функционирования корпоративной информационной системы и компании в целом в условиях неблагоприятного воздействия внешних и внутренних факторов техногенного и/или природного характера. Это учитывается и на международном уровне. Так, например, в рекомендациях международных и национальных стандартов и постановлений ISO 17799-2002 (BS 7799), COOP, HIPAA Gramm-Leach-Bliley, The Expedited Funds Availability, SAS 78/94, достаточное внимание уделяется вопросам планирования и управления непрерывностью бизнеса (см. рис. 5-7). Более того, федеральные департаменты США осуществляют планирование непрерывности своей деятельности в соответствии с утвержденными директивами СООР. В финансовой области вопросы обеспечения непрерывности бизнеса регулируются рекомендациями законов Gramm-Leach-Bliley, The Expedited Funds Availability, а также рекомендациями стандарта SAS 78/94. В области здравоохранения руководящим документом является HIPAA.  

4. Практика BCP в России 

Для отечественных компаний вопросы непрерывности бизнеса сегодня также актуальны и своевременны. В России вероятность техногенных и природных катастроф достаточна высока, чрезвычайные ситуации возникают чуть ли не ежедневно. При этом спектр угроз экономической, физической и информационной безопасности, а также перечь уязвимостей технической инфраструктуры отечественного бизнеса, и в частности корпоративных информационных систем, постоянно растет. В этих условиях для любой отечественной компании актуальны следующие вопросы: Насколько наша компания нуждается в планировании непрерывности бизнеса? Какие нормативно-методические указания и требования по обеспечению непрерывности бизнеса существуют? Какой вид решений или услуг BCP лучше всего соответствует потребностям нашей компании? Должна ли компания сама создавать и поддерживать планы непрерывности и восстановления бизнеса или достаточно заключить соответствующтй договор с консалтинговой фирмой? Какие инструментальные средства существуют для автоматизации планирования непрерывности бизнеса? Давайте попробуем найти возможные ответы на эти и другие вопросы. Понятно, что использование планов непрерывности бизнеса требует дополнительных затрат компании. Однако вместе с этим каждая компания получает ряд существенных преимуществ, к которым относятся:

• Быстрое и эффективное восстановление бизнеса в чрезвычайных ситуациях
• Минимизация финансовых потерь
• Удовлетворение требований клиентов, акционеров, руководства, аудиторов и других заинтересованных структур
• Уменьшение стоимости страховых контрактов и прочее

 

Поэтому сейчас целесообразность планирования непрерывности бизнеса уже не вызывает сомнений. Если же говорить о  возможных решениях и услугах  в этой области, то сегодня для  представителей отечественного бизнеса  наиболее актуальны:

• Планы действий в чрезвычайных ситуациях для продолжения выполнения критически важных функций в резервных или поврежденных бизнес-структурах и единицах
• Планы восстановления критически важных технологий и приложений бизнеса
• Планы восстановления бизнеса в целом для продолжения выполнения критически важных функций в условиях внешних и внутренних воздействий

 

Поставщики  решений и услуг BCP К настоящему времени рынок услуг и решений  в области BCP уже сформирован и  развит. Например, такие компании, как IBM Business Continuity and Recovery Services и SunGard Availability Services предлагают максимально широкий спектр услуг в этой области. Другие компании, например, Business Protection Systems, LBL Technology Partners и RSM McGladrey, специализируются только на разработке программного обеспечения планирования непрерывности бизнеса. Для формирования представления о спектре предлагаемых услуг и решений в области BCP дадим характеристику некоторых предложений на этом рынке. К ним относятся:

• Computer Alternate Processing Sites (CAPS) - предлагает консалтинговые услуги в области непрерывности бизнеса BCP, а также анализа воздействия на бизнес BIA.
• Hewlett-Packard Business Continuity and Recovery services - предлагает услуги планирования и тестирования BCP.
• IBM Business Continuity and Recovery services (бизнес-составляющая IBM Global services) - предлагает консалтинговые услуги, включая анализ и управление рисками, планирование и поддержку BCP, антикризисное управление, оценивание и планирование восстановления; службы восстановления - включая полностью оборудованные резервные компоненты технической инфраструктуры.
• SunGuard Availability Services предлагает полный спектр обеспечения требуемых непрерывности и доступности корпоративных информационных систем.
• Business Protection Systems International (BPSI) предлагает набор средств Business Protector для создания и поддержания планов непрерывности бизнеса.
• Computer Security Consultants, Inc (CSCI) предлагает программный продукт восстановления RecoveryPАС.
• LBL Technology Partners предлагает программу развития BCP LBL Contingency Planner, совместимую с Microsoft Office.
• Recovery Point Sistems предлагает решение по восстановлению критичных функций бизнеса Integrated Disaster recovery Site (IDRS).
• RSM McGladrey предлагает программу планирования непрерывности бизнеса Business Continuity Planning System на основе анализа и управления бизнес рисками.

 

Инструментальные  средства BCP Существует разнообразное  программное обеспечение для  автоматизации процессов планирования и управления непрерывностью бизнеса. Такое программное обеспечение позволяет:

• Использовать универсальные архитектуры баз данных для упрощения процедур анализа риска и развития планов по восстановлению и непрерывности бизнеса
• Упростить процессы поддержки текущих планов непрерывности бизнеса
• Синхронизировать и поддерживать актуальную информацию, используя интерфейсы других приложений.
• Корректировать управление компанией с учетом планов непрерывности бизнеса

 

В целом  программное обеспечение планирования и управления непрерывностью бизнеса можно условно разделить на следующие категории:

• Автономные средства по оценки воздействий на бизнес. Здесь ввод данных производится вручную менеджерами и затем экспортируется в поддерживаемые средства ВСР.
• Генераторы планов непрывности бизнеса. Эти средства представляют собой, по сути, экспертные системы с определенными базами знаний и позволяют сгенерировать актуальный план непрывности компании.
• Базы данных планирования непрывности данных. Отображают необходимую информацию о планировании непрывности бизнеса с учетом специфики деятельности компании.
• Средства совместного распределенного планирования непрывности бизнеса. Эти средства позволяют реализовать некоторый корпоративный стандарт обеспечения непрерывности бизнеса в распределенной вычислительной среде.

 

5. Этапы и виды деятельности, выполняемые в рамках процесса ITSCM 

5.1. Область действия процесса ITSCM 

При инициализации  процесса необходимо провести обследование всей организации в целом и  выполнить следующие действия: определить политику организации в отношении управления непрерывностью ИТ-услуг; определить области действия процесса и других, смежных областей процесса. На этом этапе также определяются соответствующая структура менеджмента и методы работы процессов на случай чрезвычайной ситуации; выделить персонал и ресурсы для реализации процесса; определить проектную команду и организационную структуру для управления проектом.