Управление
Е.И. Познякова
ОЦЕНКА ДИРЕКТИВНОГО ВРЕМЕНИ ВОССТАНОВЛЕНИЯ фТО) ИНФОРМАЦИОННЫХ СИСТЕМ
В статье рассмотрено понятие непрерывности бизнеса, проанализирована его взаимосвязь с обеспечением информационной безопасности. В результате анализа показателей экономической устойчивости предприятий разработан метод оценки директивного времени восстановления -одного из основных критериев выбора оптимальных и рентабельных средств защиты.
Ключевые слова: непрерывность бизнеса, директивное время восстановления, устойчивость фирмы, стоимость простоя.
Введение
Проблема выбора оптимальных средств защиты информации остается актуальной. Необходимо постоянно проводить аудит информационной безопасности и принимать решения, которые основаны на балансе цена-качество. Определение же требований к качеству должно базироваться не только на экспертных оценках, но и на формализованных методах расчета основных показателей для принятия решений. Наиболее важным этапом в процессе обеспечения и непрерывности бизнеса, и в целом информационной безопасности, является оценка рисков. Именно на основе определенных на этой стадии критериев основаны дальнейшие решения. Директивное время восстановления, т. е. время, за которое должны быть восстановлены жизненно важные для фирмы бизнес-процессы, позволяет обосновать выбор средств защиты. Необходимо разработать формализованный алгоритм оценки данного показателя для проведения наиболее качественного анализа и уменьшения степени риска.
В настоящее время оценки директивного времени восстановления основаны либо на статистических данных, либо на приблизи-
тельных предположениях. Однако для современного бизнеса необходимо точное и полное понимание требований к восстановлению, а следовательно, и понимание обоснованности затрат на средства защиты информации. Необходимо учитывать зависимость директивного времени восстановления от экономических процессов фирмы.
Компании тратят слишком много средств на информационную защиту при небольшой степени риска информационных технологий. С другой стороны, нецелесообразное вложение средств в неэффективную защиту приводит к огромным убыткам. До 22% компаний тратят от 1 до 5 миллионов долларов на системы обеспечения непрерывности бизнеса, а некоторые готовы даже тратить до 50 миллионов. Однако необходимо обосновывать подобные затраты.
Именно точная оценка директивного времени восстановления позволяет определить, насколько средство защиты отвечает требованиям бизнеса. Если на восстановление системы требуется больше времени, чем это допустимо, то компания может оказаться на грани банкротства.
Обеспечение непрерывности бизнеса
В настоящее время много внимания уделяется ущербу от хакер-ских атак, утечки данных и т. д., в то время как огромные потери может повлечь за собой и, например, отключение электричества.
Таблица 1
Потери компаний на мировом рынке (по данным Gartner Group)
Направление деятельности Средняя стоимость 1 часа простоя бизнеса, $
Финансовый сервис (брокеры) 6,5 млн
Процессинг кредитных карт 2,6 млн
Каналы домашних покупок 199,5 млн
Продажи по каталогам 90 тыс.
Резервирование авиабилетов 89,5 тыс.
Производство 26,8 тыс.
Банки 17,1 тыс.
В современных стандартах, таких как ISO 17999, Cobit, стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы РФ»1 и других обращается внимание на понятие обеспечения непрерывности бизнеса, которое можно определить как многогранную деятельность, направленную на снижение рисков прерывания бизнеса, негативных последствий таких сбоев, восстановление бизнеса до приемлемого уровня в определенной последовательности и установленные сроки, начиная с момента прерывания.
Понятие «планирование непрерывности бизнеса» (Business Continuity Planning, BCP) давно вызывает интерес у ИТ-специалистов и менеджеров компаний. Информационный бюллетень, выпущенный Лондонской торговой палатой в 2003 г., приводит следующие статистические данные:
- 80% компаний, не имевших приличного плана восстановления деятельности, закрываются в течение 12 месяцев после катастрофы;
- 43% компаний, пострадавших от катастроф, не возобновляют свою деятельность, а 29% - закрываются в течение двух лет;
- каждый год на одном из каждых 500 центров хранения и обработки данных происходит серьезная катастрофа.
Обеспечение непрерывности бизнеса является составной частью информационной безопасности. Из всего числа существующих угроз информационной безопасности не все являются настолько критичными для бизнеса, что могут привести к потере устойчивости фирмы. Однако при огромной роли ИТ для фирмы любой сбой информационной системы, нарушение доступности или целостности может привести к серьезным последствиям. Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для выбора наиболее экономичных средств обеспечения безопасности. Незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений. Остановимся на угрозах доступности, поскольку именно они зачастую наиболее критичны и способны вызвать остановку бизнеса на долгое время. Угрозы доступности можно классифицировать по компонентам ИС, на которые нацелены угрозы:
- отказ пользователей;
- внутренний отказ информационной системы;
- отказ поддерживающей инфраструктуры.
В качестве средства вывода системы из штатного режима эксплуатации может использоваться агрессивное использование
ресурсов (полосы пропускания сетей, вычислительных возможностей процессоров или оперативной памяти). При просчетах в конфигурации системы локальная программа способна практически монополизировать процессор и/или физическую память, сведя скорость выполнения других программ к нулю.
При отказе работы информационной системы остро встает вопрос обеспечения непрерывности бизнеса, поскольку каждая минута простоя может принести огромные убытки.
В связи с этим очень важно предварительно проводить анализ рисков, определять наиболее уязвимые места и определять степень возможного ущерба от реализации той или иной атаки. Для данного процесса необходимо выделить ряд параметров, которые позволят точно определить риски и выбрать наиболее оптимальные средства защиты информационной системы. Такие параметры позволяет выделить методология обеспечения непрерывности бизнеса.
В вышедшем в 2006 и 2007 гг. стандарте BS 25999 («Общие требования к качеству управления непрерывностью бизнеса» и «Спецификация управления непрерывностью бизнеса»)2,3 определены понятия директивного времени восстановления системы (RTO - Recovery Time Objective) и максимальной длительности чрезвычайного режима функционирования системы. Директивное время восстановления, т. е. время, в течение которого бизнес-процессы фирмы должны быть полностью восстановлены, иначе предприятие потеряет платежеспособность, должно превышать время восстановления, которое требуется для приложения, относительно которого была совершена атака. Именно эти показатели являются основой для построения плана обеспечения непрерывности бизнеса, поскольку они определяют меры, которые будут предприняты для восстановления.
RTO является функцией меры, показывающей, насколько нарушилась нормальная оперативная деятельность в результате разрушения, и величину потерянной прибыли за единицу времени. Эти факторы, в свою очередь, зависят от применяемого оборудования и программного обеспечения. RTO измеряется в секундах, минутах, часах или днях и является очень важным параметром для планирования восстановления после чрезвычайного происшествия.
По принятой методологии планирования непрерывности бизнеса RTO определяется на стадии Анализа последствий для бизнеса (Business Impact Analysis - BIA). Следует отметить, что RTO относится к бизнес-процессу, а не к ресурсам, которые нужны для поддержки этого процесса. RTO и результаты BIA
представляют собой основу для определения и анализа рентабельной стратегии обеспечения непрерывности бизнеса. Стратегия подразумевает не только действия относительно компьютерных систем для достижения RTO, но и ряд дополнительных или ручных процедур4.
Для определения RTO важно ответить на следующие вопросы для каждого процесса (или например, для бизнес-функции или компьютерной прикладной системы):
1. Как долго процесс может не функционировать до тех пор, пока в организации не начнутся финансовые и операционные процессы, которые могут привести к потере устойчивости фирмы?
2. Какой минимальный уровень обслуживания необходим? Другими словами, при восстановлении процесса действительно ли нужен нормальный уровень обслуживания, или он может быть немного ниже в течение первых нескольких дней?
3. Как много времени потребуется, чтобы восстановить процесс для начального приемлемого уровня обслуживания?
После определения RTO необходимо учесть дополнительно ряд факторов, таких как RPO (Recovery Point Objective - директивный срок восстановления) для выбора оборудования и программного обеспечения, наиболее отвечающих требованиям компании и соответствующих бюджету. Это позволит создать наиболее адекватную систему защиты информации.
RPO - это мера, показывающая, сколько данных организация может позволить себе потерять во время чрезвычайной ситуации до того, как это окажет большое влияние на бизнес. Сейчас отнюдь не редко встречаются информационные системы, в которых этот параметр должен иметь порядок минут или даже секунд. Иными словами, RPO - это время между созданием резервных копий.
На рис. 1 показан выбор средств резервного копирования в зависимости от RTO и RPO.
После того как было определено RTO для приложения, администраторы могут определить, какая технология восстановления наиболее подойдет в данной ситуации. Например, если RTO для заданного приложения равно одному часу, то резервирование избыточных данных на внешнем жестком диске может быть наилучшим решением. Если же RTO составляет 5 дней, тогда запись данных на компакт-диск или внешнее хранилище на удаленном Web-сервере будет практичнее.
1 день
1 час
1 секунда
Потеря данных (ИРО) о
Оценка директивного времени восстановления
Как уже было отмечено, большинство компаний оценивает директивное время восстановления фирмы, основываясь на статистических сведениях, либо использует приблизительные оценки, производя опрос конечных пользователей информационных систем. Однако данные виды оценок не позволяют точно определить ИТО для конкретного предприятия. Необходимо использовать модель, позволяющую выявить требования, предъявляемые бизнесом, а на основе расчетов получить оценку директивного времени восстановления, т. е. времени, которое позволит компании сохранить финансовую устойчивость и избежать банкротства.
Одним из показателей, характеризующих финансовое положение предприятия, является его платежеспособность, т. е. возможность своевременно погашать свои платежные обязательства наличными денежными ресурсами. Платежеспособность любого предприятия может быть поверхностно оценена по соотношению выручки и общей суммы обязательств в условных днях возможного погашения накопленных долгов. Опережающий темп прироста обязательств наблюдается как раз в случаях, когда предприя-
0 10 минут 1-2 часа 6-24 часа
Время восстановления (ИТО)
Рис. 1. Выбор средств резервирования
тие несет убытки из-за сбоев в работе бизнеса. Понятия платежеспособности и ликвидности очень близки, но второе более емкое. От степени ликвидности баланса и предприятия зависит платежеспособность. В то же время ликвидность характеризует как текущее состояние расчетов, так и перспективу. Коэффициент текущей ликвидности - это отношение всей суммы оборотных активов, включая запасы, к общей сумме краткосрочных обязательств. Если фактическое его значение ниже заданного уровня, то это является одним из оснований признания предприятия неплатежеспособным5.
Сохранение непрерывности бизнеса в течение длительного времени волнует многие организации. Однако в прошлом многие из них возлагали надежды на специализированные продукты для поддержки непрерывности бизнеса, защиты данных, управления данными, а также для обработки последствий плановых остановов и непредусмотренных отказов. Эти решения чаще всего касались отдельных департаментов и функций. Однако недавние стихийные бедствия, кибернетические нападения, террористические акты, актуальные вопросы регулирования, аварии и просто ошибки людей вызвали необходимость всестороннего и интегрированного подхода к проблеме обеспечения непрерывности бизнеса. Настойчивые усилия, направленные на улучшение способности к реагированию, также повышают необходимость обеспечения непрерывности бизнеса. Если определенный бизнес-процесс нуждается в самых современных данных, должны быть также интеграционные процессы, которые обеспечивают их поддержку. Учитывая, что скорость все большего числа процессов увеличивается вплоть до реального времени, обязательным требованием является высокий уровень готовности. Финансовые последствия отказов становятся все более значительными.
Таким образом, на основе анализа параметров оценки экономической устойчивости фирмы и стоимости простоя информационных систем целесообразно производить оценку директивного времени восстановления по следующему алгоритму:
1) расчет стоимости простоя информационной системы фирмы;
2) определение текущих экономических показателей фирмы:
- оборотный капитал;
- краткосрочные обязательства;
3) определение размера оборотного капитала и краткосрочных обязательств, при которых коэффициент текущей ликвидности будет выходить за пределы нормативного значения (1 < К >2);
4) определение времени, через которое фирма потеряет устойчивость:
T = ————
T S ,
где S - стоимость простоя;
E - текущий оборотный капитал; D - нормативныйа оборотный капитал.
Обеспечение непрерывности бизнес-операций становится все важнее6. Сегодня ИТ-организации должны создавать среды, которые позволяют решать все задачи по защите данных. Информационные системы должны:
- сохранять работоспособность после сбоя и обеспечивать перезапуск работы предприятия;
- предупреждать повреждения данных;
- проводить тестирование новых приложений на реальных данных и в реальных условиях;
- сокращать время резервирования и восстановления;
- осуществлять обслуживание и обновление аппаратного и программного обеспечения без перерывов в работе;
- осуществлять перенос и миграцию данных;
- обеспечивать защиту в удаленных расположениях.
И все это при ограничении расходов и без увеличения численности обслуживающего персонала.
Разработанный алгоритм необходимо применять на стадии анализа рисков для построения точной оценки максимально допустимого времени восстановления информационных технологий. Алгоритм позволяет определить оптимальное средство защиты, исходя из сравнения затрат на защиту и потерь в случае реализации атаки.
В качестве примера для расчетов по данному алгоритму была рассмотрена типовая телекоммуникационная компания. Телекоммуникационные компании предъявляют самые высокие требования к доступности информационных систем, поскольку информационные технологии являются профильными для таких компаний, а оказываемые услуги напрямую зависят от функционирования информационных систем. Поэтому такие системы должны работать в режиме 24x7x365. Основной компонентой информационных систем, к которым предъявляют требования высокой доступности (Mission Critical System), является система управления базами данных (СУБД). Наиболее развитые средства защиты информации для таких компаний представляет СУБД компании Oracle.
а Оборотный капитал, при котором коэффициент текущей ликвидности выходит за пределы нормативного значения (1<К>2).
Было рассмотрено три архитектуры: базовая конфигурация Oracle, Oracle с использованием Standby, или резервной базы данных, и Oracle RAC (Real Application Cluster). Из приведенной таблицы видно, что при использовании базовой архитектуры реальное время восстановления превышает директивное и фирма может потерять устойчивость в течение 24 часов. Использование Standby позволяет существенно снизить потери, в таком случае компания не понесет критических убытков. RAC полностью может избавить компанию от потерь, однако расходы на это решение очень велики. Таким образом, наиболее оптимальным с точки зрения защиты и требований бизнеса будет решение Oracle Standby.
Таблица 2
Оценка стоимости восстановления СУБД Oracle
№ Информационная Приблизительная Время восста- Директивное Потери
система/ стоимость продукта новления при время восста- за время
технология с учетом оборудо- полном сбое новления, ч восстано-
вания (для 3000 системы с учетом вления,
сотрудников), размера базы млн у.е.
млн у.е. данных в 1ТВ
1. Oracle EE 3 24 часа 16 144
2. Oracle Standby 3,5 10 мин 16 1
3. Oracle RAC 7,5 0 16 0
Заключение
Обеспечение непрерывности бизнеса и информационной безопасности является одним из ключевых аспектов успешного функционирования любой современной компании. Дальнейшие разработки в данной области позволят создать формализованную модель выбора средств обеспечения информационной безопасности исходя из экономических процессов фирмы. Алгоритм может быть расширен за счет учета различных показателей стабильности бизнеса, а также за счет более детального анализа среднего времени простоя информационной системы, которое будет включать в себя плановые и внеплановые простои. Разработанный алгоритм необходимо применять на стадии анализа рисков для построения точной оценки максимально допустимого времени восстановления информационных технологий.
Примечания
Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2006 // Вестник Банка России. 2006. № 6. Стандарт BS 25999-1:2006 «Управление непрерывностью бизнеса - Часть 1: Практические правила». М.: GlobalTrust, Алмитек, 2006. Стандарт BS 25999-2:2007 «Управление непрерывностью бизнеса - Часть 2: Спецификация». М.: GlobalTrust, Алмитек, 2007.
См.: Talon M. Determine an acceptable recovery time objective. Learn how to determine an acceptable recovery point objective [Электронный ресурс] // Сайт «TechRepublic» [М., 2008]. URL: http://articles.techrepublic.com.com/5100-22_11-5294886.html (дата обращения: 19.12.08).
См.: Чернявский АД. Антикризисное управление: Учеб. пособие. Киев: МАУП, 2000.
См.: Альтерман БД, Дрожжинов В.И., Моисеенко Г.Е. Обеспечение непрерывности деятельности организации в нештатных ситуациях // Бюллетень Jet Info 2003. № 5 (120).
1
2
3
4
5
6