Perpetuum mobile современного бизнеса

Обеспечение непрерывности бизнеса диктуется не только внутренней необходимостью, но и рядом законодательных норм. В частности, это отраслевые предписания, постановления Sarbanes-Oxley, Basel II, Federal Information Security Management Act (FISMA) или Health Insurance Portability and Accountability Act (HIPAA).  Сергей Петренко, эксперт по непрерывности бизнеса и защите информации, Группы компаний АйТи отметил, что компании, акции которых зарегистрированы на Лондонской фондовой бирже, в соответствии с требованиями Комитета Тернбулла обязаны включать в свою ежегодную отчетность о финансово-экономической деятельности разделы по вопросам управления рисками. В апреле 2004 года Комиссия США по ценным бумагам утвердила требование, обязывающее каждую организацию, члена NASD разработать и внедрить план непрерывности бизнеса. В том же, 2004 году вступило в силу Положение ЦБР от 16 декабря 2003 г. № 242-П, содержащее пункт 3.7 следующего содержания: «Кредитная организация должна иметь разработанные планы действий на случай непредвиденных обстоятельств».

Что касается оценки причин, которые способны привести к разного рода «непредвиденным обстоятельствам», опрос, проведенный компанией «АйТи» в 2009 году, показал, что самой распространенной причиной простоев являются перебои электропитания (14% опрошенных). Далее следуют сбои аппаратного и программного обеспечения (13%), неполадки в коммуникациях (11,5%). Человеческий фактор назвали 11 % респондентов, природные катаклизмы – 10,5%. В качестве контрмер, способных предотвратить простой,  22% респондентов назвали катастрофоустойчивость, 46% - отказоустойчивость, 32% - соответствующую политику.

По словам Сергея Петренко, создание системы BCM в компании – это не просто проект, но развивающийся корпоративный процесс, состоящий из целого ряда шагов. Теоретически это выглядит следующим образом. Первые два шага посвящены идентификации бизнес-целей компании в части обеспечения непрерывности бизнеса. В этот период создается группа анализа, рассматриваются такие бизнес-требования, как целостность, доступность и достоверность данных.  На основе бизнес-требований определяются цели в области ИТ (согласно CobIT 4.0). Для каждой ИТ-цели определяется степень ее влияния на удовлетворение бизнес-требований. На третьем шаге определяются ИТ-сервисы, используемые для выполнения бизнес-операций. Целью четвертого шага является оценка критичности бизнес-операций с точки зрения бизнеса. Оценка критичности осуществляется бизнес-подразделениями компании с точки зрения серьезности последствий нарушения целостности, конфиденциальности, доступности и достоверности бизнес-данных.

На пятом шаге формируется перечень ИТ-ресурсов компании, задействованных для обеспечения функционирования идентифицированных ИТ-сервисов. Целью шестого шага является формирование стандартного перечня угроз для различных категорий ИТ-ресурсов. Для каждой из угроз указываются детальные цели контролей в соответствии с CobIT 4.0. Шаг седьмой – это определение RTO и RPO для ИТ-сервисов. На восьмом шаге для каждого выбранного ИТ-процесса, опираясь на методологию CobIT 4.0 и ISO 25999 (PAS 56), определяются детальные цели контролей. Девятый шаг – это разработка плана тестирования BCP ИТ-сервисов. Результаты данного шага используются для формирования решения по управлению остаточными рисками. Этап тестирования очень важен, так как без этого, например, такое устройство, как дизель-генератор может при отключении электроэнергии проработать не сутки, а всего лишь два часа.

Далее Сергей Петренко назвал пять вариантов стратегий непрерывности сервиса. Первый – перенос площадки внутри здания. Второй – создание площадки в другом здании компании в Москве. Третий вариант стратегии – создание площадки в другом городе. Четвертая стратегия – создание площадки вне сетевого периметра компании. Пятый вариант – аутсорсинг сервиса.

Вожегова Мария, вице-президент по ИТ и операциям ООО «ХК «Росгосстрах» рассказала о начале проекта создания модели обеспечения непрерывности бизнеса в ее компании. Правда, из-за нынешней экономической ситуации этот проект находится в самом начале пути. По словам Марии Вожеговой, обеспечение непрерывности бизнеса достигается реализацией комплекса организационно-технических мер, направленных на избежание операционных простоев бизнеса компании по основным видам деятельности. Термин «операционный простой»  был введен, как более понятный бизнесу – это существенная остановка бизнеса, приводящая к финансовым потерям. Например, отсутствие телефонной связи в течение 30 минут приводит к параличу всей деятельности, но сбой информационной системы, длящийся четыре часа, лишь затрудняет бизнес, но компания продолжает работать. То есть, нужна градация значимости простоев, чтобы не тратить дорогостоящие ресурсы на обеспечение работы в режиме 24х7 абсолютно всех систем.

Без ИТ страховая компания такого масштаба, как «Росгосстрах» своей деятельности не мыслит. «Наш бизнес без ИТ может просуществовать сегодня не более двух суток», - полагает Мария Вожегова. Поэтому на начальном этапе модель обеспечения непрерывности бизнеса более походит на соглашение об уровне сервиса (Service Level Agreements – SLA), в соответствии с которым поставщик услуг BCM берет на себя полную ответственность за значимые корпоративные приложения.

Участникам конференции компания IBM представила свою методологию – IBM Business Recovery Consulting (BRC), которая помогает систематизировать процесс обеспечения непрерывности, разбивая его на три фазы: анализ, дизайн и внедрение. По словам Натальи Лебедевой, представителя по продажам IBM в Росси и СНГ, BRC может быть применена в компании любого размера и не зависит от специфики организационной структуры, архитектуры и технологий, применяемых у заказчика.

Марат Хайретдинов, вице-президент по ИТ «Еврофинанс Моснарбанк» поделился опытом построения резервного ЦОДа. На конференции также была рассмотрена практика реализации Business Continuity планов на базе коммерческого ЦОД Linxtelecom.