Не секрет, что успешность компании во многом зависит от доступности товаров, сервисов и услуг, которые являются продуктами бизнес-процессов. Серьёзные нарушения в работе предприятий, затрагивающие ключевые бизнес-процессы, могут нанести ущерб репутации компании, а также способны привести к разрушительным последствиям, которые поставят под сомнение дальнейшее существование предприятия. Бизнес-процессы современных предприятий в большой степени, а иногда и полностью зависят от вычислительных систем.
 Цикл Деминга |
Согласно результатам исследования «The 2007 Technology, Media & Telecommunications Security Sur-vey», проведённого объединением Deloitte Touche Tohmatsu, около 87% компаний-респондентов осознают важность планирования непрерывности бизнеса. По нашим оценкам, в украинских реалиях эти показатели, увы, гораздо ниже.
С целью обеспечения непрерывности бизнеса, предприятия внедряют специализированные продукты и технологии защиты, резервирования и восстановления данных, строят резервные центры обработки данных, реализуют территориально распределённые кластеризованные ИТ-сервисы и сети хранения данных. Однако даже такие меры не дают руководству предприятий полной гарантии, что непрерывность бизнес-процессов обеспечена настолько, насколько этого требует бизнес. Как обеспечить эту гарантию и кто за это отвечает? Как понять, что применяемых мер достаточно и при этом они не являются избыточными, а значит, экономически неэффективными? Можно ли обеспечить непрерывность бизнеса раз и навсегда?
Эти вопросы волнуют компании уже не первый год, поэтому ответы на них уже найдены. Учитывая «молодость» отечественного бизнеса, отличным источником компетенции может служить многолетний опыт мировых экспертов.
В международной практике принято обосновывать применение тех или иных мер обеспечения непрерывности бизнеса. Однако подобные обоснования часто базируются на качественных экспертных оценках рисков, не привязанных к какой-либо методологии и не учитывающих всего спектра требований бизнеса к обеспечению непрерывности. Непрерывность же представляет собой довольно ёмкое понятие и затрагивает не только аспекты доступности информации, но также напрямую зависит от её целостности и конфиденциальности. Следовательно, процесс обеспечения непрерывности бизнеса неразрывно связан с вопросами информационной безопасности и управления качеством.
Таким образом, сами по себе меры обеспечения непрерывности бизнеса не являются независимыми; их реализацию можно назвать следствием глобальных процессов управления. Это отражено в британском стандарте BS 25999 Business Continuity Management, который определяет требования к системам управления непрерывностью бизнеса (СУНБ). Как и все подобные стандарты, BS 25999 основан на применении циклического подхода к управлению. Так же как в международной спецификации ISO 27001:2005, описывающей требования к обеспечению информационной безопасности, основой управленческих решений в BS 25999 является оценка рисков и их влияния на бизнес-процессы. Сам стандарт ISO 27001:2005 наглядно отображает, насколько тсено связаны между собой процессы обеспечения информационной безопасности и непрерывности бизнеса. По сути, обеспечение непрерывности представлено в нём в качестве одного из направлений информационной безопасности.
 Классификация планов непрерывности |
Следуя рекомендациям «лучших мировых практик» и требованиям стандартов, для организации и поддержки процесса обеспечения непрерывности бизнеса предприятию необходимо осуществить все стадии цикла Деминга:
Планирование СУНБ: формирование политик, целей, задач, процессов и процедур непрерывности бизнеса в контексте общих политик, целей, задач, процессов и процедур обеспечения информационной безопасности на базе оценки влияния на бизнес-процессы и анализа рисков.
Реализация СУНБ и обеспечение её функционирования: внедрение политики обеспечения непрерывности бизнеса, соответствующих мер, процессов и процедур в контексте политик, процессов, процедур и мер обеспечения информационной безо-пасности.
Мониторинг и анализ системы: проверка и оценка эффективности мер, направленных на обеспечение непрерывности бизнеса в рамках единых процедур внутренних и независимых аудитов системы управления информационной безопасностью (СУИБ), формирование отчётности для руководства.
Управление системой: формирование корректирующих и предупреждающих воздействий для достижения непрерывного улучшения системы управления непрерывностью бизнеса в контексте обеспечения информационной безопасности.
На стадии планирования важно сформировать организационную структуру управления непрерывностью, определить наиболее критичные бизнес-процессы, информационные ресурсы и средства обработки, задействованные в обеспечении критичных бизнес-процессов, оценить риски в контексте всего спектра требований информационной безопасности. Кроме того, необходимо сформировать политику и концепцию обеспечения непрерывности бизнеса, которая будет соответствовать общей политике и концепции информационной безопасности.
Именно как часть системы управления информационной безопасностью, СУНБ позволяет наиболее эффективно оценивать риски и определять такие параметры систем обеспечения непрерывности, как необходимое и допустимое для восстановления ИТ-сервисов время, точки восстановления, требования к степени готовности ИТ-систем.
Естественно, оценки критичности бизнес-процессов, ресурсов и рисков в большинстве случаев являются качественными и зависят от компетенции принимающих решения экспертов. В организационной структуре управления важную роль играет подбор и обучение персонала.
При разграничении прав и обязанностей по управлению и контролю между сотрудниками предприятия часто возникают сложности, особенно ярко это может быть выражено в противостояниях служб ИТ и ИБ. В спорных ситуациях руководство предприятия, как правило, берёт управление в свои руки.
На стадии реализации, при выборе мер обеспечения непрерывности, следует учесть политику обеспечения непрерывности и результаты оценки рисков. Обязательными мерами являются формирование плана непрерывности бизнеса, его регулярное тестирование и пересмотр. Часто применяются такие понятия, как «План на случай чрезвычайных ситуаций», «План восстановления после катастроф», «План аварийного восстановления». Важно понимать, что не всегда эти понятия представляют собой один и тот же, требуемый стандартом документ, их следует чётко классифицировать и разделять. Именно так это сделано в рекомендациях NIST, Contingency Planning Guide for Information Technology Systems. План непрерывности бизнеса ориентирован именно на непрерывность бизнес-процессов, тогда как другие планы могут описывать процессы восстановления производственных мощностей, замены ресурсов, без привязки к непрерывной работе во время и после чрезвычайной ситуации. Исследования Техасского университета показывают, что 43% предприятий, подвергшихся воздействиям стихийных бедствий или крупных аварий и не имевших плана обеспечения непрерывности бизнеса, в дальнейшем не возобновляют свою деятельность.
Составление и тестирование планов невозможны без привлечения квалифицированного персонала. Кроме того, важно вовлекать в процесс обеспечения непрерывности весь персонал предприятия - путём проведения обучений и тренировок.
По итогам упоминавшихся ранее статистических исследований Deloitte Touche Tohmatsu за 2007 год, 14% предприятий регулярно тестируют все компоненты обеспечения непрерывности бизнеса, 6% проводят независимые тестирования, но при этом 18% предприятий вообще не проводят тестирования.
На стадии реализации СУНБ предпочтительнее все стадии внедрения реализовывать в рамках единого проекта c ограничениями по времени и ресурсам. При этом реализуемые меры защиты должны обеспечить максимальную эффективность системы с точки зрения качества её функционирования. Возможны и другие варианты выбора критерия оптимизации в проектах (см. рис. 3), но этот выбор должен зависеть от требований бизнеса.
Основной ценностью, а следовательно, и основным ресурсом обеспечения непрерывности на каждой из его стадий является персонал предприятия. В организационной структуре обеспечения непрерывности бизнеса должны быть чётко выделены роли и распределены полномочия по обеспечению непрерывности бизнес-процессов, контролированию, оценке ущерба, активации планов непрерывности, оповещению всего задействованного персонала, взаимодействию со сторонними организациями.
 Выбор критерия оптимизации |
Реализация и внедрение технических средств в качестве мер непрерывности бизнеса только способствует, но не обеспечивает непрерывность бизнес-процессов настолько, насколько того требует бизнес.
Для эффективного выбора и реализации мер следует применять подход, который основан на построении систем управления непрерывностью бизнеса, включающий определение целей бизнеса по обеспечению непрерывности, оценку влияния на бизнес, анализ рисков и формирование процесса обеспечения непрерывности бизнеса.
Каждая из стадий процесса обеспечения непрерывности бизнеса (ОНБ) связана или базируется на действиях персонала, то есть обеспечение непрерывности напрямую зависит от организации управления персоналом, уровня квалификации, подготовки и опыта сотрудников, отвечающих за ОНБ или задействованных в планах обеспечения непрерывности.
Обучение персонала, задействованного в ОНБ, и поддержка общего уровня информированности всего персонала в вопросах обеспечения непрерывности бизнеса является одной из важнейших мер.
Процессы взаимодействия со сторонними организациями, предусматриваемые планами непрерывности бизнеса, должны быть чётко регламентированы.
Таким образом, ОНБ является одним из основных факторов безопасности современного предприятия и наиболее эффективно реализуется в рамках систем управления информационной безопасностью, которые позволяют объединить в единую гибкую, устойчивую и управляемую систему различные направления обеспечения информационной безопасности.
С Игорем Квитко и Ольгой Волошиной, экспертами компании «АМИ»,
можно связаться по адресам ikvitko@ami.ua, ovoloshina@ami.ua
| БУДНИЧНЫЕ ПРОБЛЕМЫ КРУПНОГО БИЗНЕСА Владислав Масло, директор отделения «Проектные решения» компании «АМИ» Результаты диагностических обследований, проводимых нами на крупных предприятиях машиностроительной и металлургической отраслей, показывают отсутствие у предприятий планов по обеспечению непрерывности бизнеса в части информационных технологий. На большинстве предприятий разработаны чёткие планы эвакуации технологического оборудования и персонала в чрезвычайных ситуациях. При этом руководство предприятий осознаёт, что непрерывность бизнес-процессов в случае аварий и катастроф даже при успешных операциях эвакуации будет невозможна, поскольку связующим звеном всех процессов современного предприятия является именно информационная инфраструктура, включающая в себя локальную вычислительную сеть, серверные системы, системы хранения данных, пользовательские рабочие станции и прочее. Предприятия часто принимают решение о внедрении тех или иных мер обеспечения непрерывности бизнеса только после наступления негативных событий, которые существенно повлияли на бизнес-процессы. Но даже эти реализуемые меры часто не учитывают требований бизнеса, что приводит к нерациональному распределению ресурсов и неэффективному противодействию угрозам прерывания бизнеса. По нашим оценкам, сроки и качество внедрения систем непрерывности бизнеса и систем управления информационной безопасностью напрямую зависят от квалификации персонала. Мы считаем необходимым, чтобы персонал, который отвечает за информационную безопасность, в том числе за непрерывность бизнеса, проходил предварительное обучение, например, приобретал знания о требованиях стандарта ISO 27001. |
