rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

В коридоре «наивной методологии»

15 ноября 2010 года в Москве прошла II Конференция «BCM: теория и практика управления непрерывностью бизнеса», организованная компанией AHConferences. Еще год назад эксперты считали, что российский рынок BCM (Business Continuity Management) находился в стадии становления. То есть, это направление для большинства отечественных компаний было в новинку.

Так или иначе, но случаются катастрофы и кризисы не только «где-то там на Западе», но и в России. Поэтому забота о непрерывности бизнеса все больше требует внимания. Причем, все здравомыслящие люди понимают, что предотвратить катастрофы невозможно, но сделать минимальным ущерб, в результате этих катаклизмов, вполне возможно. Интересно, что российские компании все еще борются против катастроф. На западе – уже не борются, там создают «предприятия реального времени».

Сергей Петренко, эксперт по непрерывности бизнеса и защите информации ГК «АйТи»Сергей Петренко, эксперт по непрерывности бизнеса и защите информации группы компаний «АйТи»  рассказал, что создана достаточная нормативная база, регулирующая сферу управления непрерывностью бизнеса. Например, в соответствии с требованиями Комитета Тернбулла, компании, акции которых зарегистрированы на Лондонской фондовой бирже, обязаны включать в свою ежегодную отчетность о финансово-экономической деятельности разделы по вопросам управления рисками. В апреле 2004 года Комиссия США по ценным бумагам утвердила требование, обязывающее каждую организацию, члена NASD разработать и внедрить план непрерывности бизнеса. Имеется стандарт BS ISO 25999, касающийся управления непрерывностью бизнеса.

Если говорить о России, то в требованиях ведущих отечественных компаний присутствуют требования планирования и обеспечения непрерывности бизнеса. В феврале 2004 года вступило в силу Положение ЦБР от 16 декабря 2003 года №242-П, где имеется пункт 3.7. «Кредитная организация должна иметь разработанные планы действий на случай непредвиденных обязательств».

По словам Сергея Петренко, любая теория (не научная) проходит три стадии своего развития. Первая стадия – «философский коридор». На этой стадии проговариваются идеи (в данном случае, организации BCM), без конкретных цифр, касающихся возможного экономического эффекта. Вторая стадия – «коридор наивной методологии», на которой компания разрабатывает некоторые методы внедрения BCM, которые не всегда складываются в законченную картину. Третья стадия – уровень зрелой методологии, где существуют и применяются испытанные методы управления непрерывностью бизнеса и способы измерения эффективности. Россия сейчас – считает Сергей Петренко, находится в коридоре «наивной методологии».

Вопрос, который отечественные компании пока не любят ставить, связан со сценарием нарушения бизнеса. На самом деле нужно определить множество сценариев, описывающих различные ситуации, представляющие собой риски не только для бизнеса. К критическим объектам государства сегодня относятся, в частности, телеком, банковская сфера, нефтегазовая отрасль. Разработан документ о Константин Мусатов, консультант по непрерывности бизнеса компании «Инфосистемы Джет»критически важной национальной инфраструктуре. «Ростелеком» строит сеть ЦОДов, которая будет обслуживать национальную инфраструктуру.

В России реализовано около 60 проектов по организации BCM. Как выглядит «правильный» проект BCM в некой компании «Х», рассказал консультант по непрерывности бизнеса компании «Инфосистемы Джет» Константин Мусатов. Проект касался одного бизнес-процесса.

Были проанализированы возможные чрезвычайные ситуации в части ИТ, их последствия. Определено допустимое время прерывания. Далее были разработаны вероятные сценарии чрезвычайных ситуаций, описаны классы критичности ИТ-сервисов и стратегия их восстановления. После этого был создан эскиз проекта. Исходный момент – непрерывность бизнеса обеспечивалась в обязательном порядке. Это облегчало дальнейший диалог ИТ и бизнеса.

Потом был составлен план-график реализации, определена стоимость и время исполнения проекта (1 год). По плану произвели модернизацию ИТ и составили комплект планов аварийного восстановления и тестирования для 30 ИТ-систем. Все это было описано в более, чем 70-ти документах. При первом тестировании ИТ были выявлены серьезные недочеты, которые были исправлены (на это потребовалось 2-3 месяца). Повторное тестирование прошло успешно: ИТ работали, как нужно.

Настало время бизнеса, то есть, составили структуру реагирования из трех составляющих: штатный, управления инцидентами, уровень восстановления деятельности. По поводу планов восстановления деятельности Константин Мусатов подчеркнул, что они не должны быть исчерпывающе подробными. В этих планах должны быть прописаны лишь минимально необходимые действия, которые нужно совершить после произошедшей катастрофы.

После создания резервных рабочих мест было проведено комплексное тестирование с участием бизнес- и ИТ-подразделений. Весь этот проект длился два года. После чего компания «Х» получила возможность добавлять к проекту новые бизнес-процессы, подключая новые подразделения, новые ИТ-системы. По словам Константина Мусатова, подобный проект потребовал привлечения внешней помощи почти на всех этапах кроме этапа модернизации оборудования, исправления недочетов и создания резервных рабочих мест. Конечно, можно было обойтись собственными силами специалистов компании, но проект длился бы дольше и мог обойтись дороже.

Старший консультант по ИТ-рискам компании Symantec в России и СНГ Константин СмирновСтарший консультант по ИТ-рискам компании Symantec в России и СНГ Константин Смирнов в свою очередь подчеркнул,  что при организации управления непрерывностью бизнеса необходимо определить, что необходимо защищать и от каких угроз. Риски разнообразны. Это может быть сбой в работе приложения, потеря данных, уход ключевых сотрудников, отказ инженерных сооружений и коммуникаций в здании, климатические катастрофы, рейдерский захват и так далее.

По словам экспертов, бизнес и ИТ сегодня взаимосвязаны. Однако обеспечения катастрофоустойчивости ИТ недостаточно. Полностью продублировать ИТ – дорогой путь, да и нет в нем необходимости. Риски нужно оценить, проанализировать их воздействие на бизнес, определить возможные финансовые потери. Процесс это не очень простой, но только так можно в дальнейшем оптимизировать затраты на организацию BCM.  Суть стратегии управления не только в определении общих требований, но и в подсчете, сколько это будет стоить. То есть необходим баланс: сколько тратить и от чего защищаться.

Опытом в построении BCM на конференции поделились также представители ICICI Bank, ВТБ Страхование, ЦБ РФ.

Ранее этой теме:

09.12.2010 IBM расширяет портфель услуг IBM Global Technology Services инструментами прогностического анализа

09.12.2010 LETA Group вновь вошла в тройку крупнейших ИТ-компаний России в сфере защиты информации  

06.12.2010 «Verysell Проекты» построила новый офис для ГК «Спортмастер»

23.11.2010 HP представила решения HP Information Optimization

Автор: Елена Шашенкова (info@mskit.ru)

Рубрики: Интеграция, Безопасность

Ключевые слова: информационная безопасность организации, управление бизнес процессами, системы автоматизации, оптимизация бизнес процессов, информационные системы, информационная безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга