CC BY
74
Чусавитин М.О.
НИУ ВШЭ, аспирант chusavitin@gmail.com
Применение ИТ-решений при управлении непрерывностью бизнеса
В современном информационном обществе наблюдается растущая зависимость успешности бизнеса от эффективной и непрерывной работы информационной инфраструктуры. Информатизация и автоматизация всех сфер человеческой деятельности влечет за собой повышение масштабов производственных аварий и катастроф, которые увеличивают объем ущерба для хозяйствующего субъекта.
По данным МЧС России, на территории Российской Федерации за 2010 год произошло 338 чрезвычайных ситуаций, из них 199 техногенного характера (59%). За 10 месяцев 2011 г. произошло 156 техногенных чрезвычайных ситуаций (без учета техногенных пожаров в жилом секторе и на объектах экономики), что на 11% выше показателей аналогичного периода 2010 г. (140 ЧС). Спектр угроз экономической, физической и информационной безопасности, а также перечь уязвимостей технической инфраструктуры отечественного бизнеса, и в частности корпоративных информационных систем, постоянно растет. При этом, один час простоя обходится в энергетике в сумму более $ 2,7 млн; в телекоммуникациях - $ 2 млн; в финансовом секторе - $ 1,5 млн; в ритейле - $ 1 млн. (по данным META Group).
Данные тенденции приводят к появлению новых подходов в управлении, связанных с обеспечения непрерывности деятельности ИТ-зависимого бизнеса. В ГОСТе 53647.1-2009 под непрерывность бизнеса (деятельности) понимается «стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне» [1]. Однако, по данным опроса более 1000 компаний проведенного AT&T, у 25% средних и крупных компаний нет плана обеспечения непрерывности бизнеса или иных документов на случай восстановления деятельности компании. Даже среди организаций, обладающих таким планом, 27% не обновляли его в течение года, а 19% — в течение пяти лет, что равносильно его отсутствию. В среднестатистической организации ежегодно происходит примерно 13 незапланированных простоев; средняя продолжительность каждого — 4 часа. В исследовании, проведенном журналом Contingency Planning & Management и компанией KPMG, отмечается, что более 70 % респондентов отметили, что деятельность их фирм прерывалась по различным причинам. Наиболее частыми причинами простоев являются отказ оборудования и
перебои в электропитании (см. рис. 1) [4].
■ Отказ оборудования
■ Перебои в электроснабжении
■ Модернизация ИС
■ Отказ ПО
■ Ошибки персонала
■ Прочие
Рис. 1 . Статистика причин сбоев
Согласно исследованию компании Symantec, среди компаний внедривших планирование восстановления 75% респондентов больше всего опасаются потери данных и 62% — высокой стоимости простоя, 56 % — потери доверия клиентов и репутации, 51 % снижения производительности труда соответственно. Однако ликвидация кризисных ситуаций по заранее разработанному плану, как правило, обходится компаниям дешевле, чем решение проблем по мере их возникновения. Практика убедительно свидетельствует о том, что только те компании, которые своевременно воспользовались апробированными рекомендациями по обеспечению НБ, смогли не только избежать крупных аварий, гибели сотрудников, финансовых и материальных потерь, но и повысить уровень устойчивости организации, правильно распределить имеющиеся ресурсы путем концентрации на действительно критичных аспектах деятельности организации.
Таким образом, процесс управления непрерывностью бизнеса (УНБ) представляет собой важную стратегическую задачу для руководства компаний. Технология УНБ является неотъемлемой частью производственной деятельности крупных компаний и государственных организаций, что позволяет им обеспечить практически бесперебойное функционирование в случае чрезвычайных происшествий малого и среднего масштаба и восстанавливать свою деятельность с минимальными, заранее просчитанными убытками в случае широкомасштабных бедствий.
Проблемы, связанные с УНБ, и подходы к ее решению сегодня находят отражение в ряде научных трудах зарубежных и отечественных ученых по экономике, менеджменту, информационной безопасности, кибернетике и информатике. Наибольшее количество исследований сегодня проводится по вопросам УНБ для кредитно-финансовых организаций, определяя возможность и способность банковской сферы переносить катастрофические события как финансового, юридического, так и
физического характера.
Зарубежный опыт в исследовании вопросов планирования непрерывности бизнеса представлен в работах А. Andrew Hiles, Susan Snedaker, John W. Rittinghouse, James F. Ransome, James C Barnes. Наиболее фундаментально концепция непрерывности бизнеса рассмотрена в работах С. Актар и А. Сиид, М. Вайцерок, У Науекс, Б. Барлетт, Р. Барлетт. В исследовании Patel Paresh K. [6] рассмотрена проблема оценки величины убытков компаний в процессе сбоев (прерываний, простев) инфраструктуры происходящих по вине Интернет, в случаях недоступности онлайн-сервисов. Автор использует исследовательскую стратегия кейс-стади чтобы понять как Independent Financial Marketing Group (IFMG Независимая Финансовая Маркетинговая Группа) считает стоимость простоев интернет сервисов. Рассмотренные методы и процессы, по которым бизнес определяет цены простоя Интернет-инфраструктуры, могут использоваться и при построении модели непрерывности бизнеса.
Многие ученые и практики сходятся во мнении, что среди объектов, которые оказывают существенное влияние на непрерывность бизнес-процессов, основным является персонал, не без основания считая, что многие бедствия являются разрушительными, поскольку сотрудники организации игнорируют или не могут извлечь уроки из прошлого. Так D. L.Cooke and T.R. Rohleder [7] разработали организационную систему реагирования названную «Обучение инцидентам», при котором инциденты используются для обучения, смягчения волнений и поддержки организаций в процессе предотвращения стихийных бедствий. Формируемая в процессе работы с системой изучения инцидентов поведенческая модель обеспечивает полезную информацию для менеджеров, занимающихся управления в чрезвычайных ситуациях и обеспечением непрерывности деятельности организации.
Существует ряд организаций, разрабатывающих методологическую базу концепции УНБ. К таким организациям можно отнести Институт УНБ (Business Continuity Institute, ВС1), который объединяет профессионалов с целью разработки стандартов и коммерческой этики в названной области.
В России концепция УНБ бизнеса рассматривается и внедряется, прежде всего, как составляющая часть корпоративного управления информационной структуры компании. Многие авторы подчеркивают, что в условиях текущего экономического кризиса в России многократно увеличивается вероятность наступления опасных событий и чрезвычайных ситуаций, которые могут привести к нарушению нормальной деятельности предприятий и организаций, к невозможности выполнения возложенных обязательств перед потребителями и контрагентами, что может повлечь дестабилизацию государства в целом. Большое количество публикаций посвящено практике внедрения СУНБ, эффективному управлению непрерывностью бизнеса с помощью интегрированных средств автоматизации, обзору нормативных документов и стандартов, которые
применяются в работе по управлению непрерывностью бизнеса, управлению рисками и обеспечению информационной безопасности в различных организациях, какие требования предъявляются к организации обеспечения непрерывности бизнеса и его восстановления после прерываний [5, 6,7, 8, 9 и др.]. Так Башкаев Д.В., рассматривает проблемы повышения вероятности выживания организаций в чрезвычайных условиях, сохранения их основных экономических показателей, избежание экономических, социальных, экологических катастроф, на пути внедрения инновационных технологий управления бизнес-кризисами на основе стандартов менеджмента непрерывности бизнеса (МНБ) [8]. Автор считает МНБ важным элементом успешного бизнес-менеджмента и предпринимательской дальновидности.
Практически во всех названных исследованиях подчеркивается, что разработка программы непрерывности бизнеса позволяет защищать активы организации и снижает возможность простоя, минимизирует потенциальный вред, страховые выплаты и потери; обеспечивает организационную стабильность, а также обеспечивает обслуживание клиентов благодаря доступности жизненно важных ресурсов и непрерывности операций.
В условиях глобальной информатизации наиболее остро стоит проблема, связанная с необходимостью предотвращения негативных последствий глобальной информатизации, противодействия угрозам использования потенциала ИКТ для нанесения ущерба состоянию защищенности интересов различных субъектов в информационной сфере, проблема обеспечения информационной безопасности. В ряде исследований рассматриваются вопросы управления информационной безопасностью в аспекте обеспечения непрерывности бизнеса. Наибольший интерес вызывает обсуждение вопросов, связанных с организацией разработки и внедрения системы менеджмента информационной безопасности и обеспечения непрерывности бизнеса, основные этапы и особенности проектов создания и внедрения указанных систем, ключевые факторы успеха и неудач и трудности с которыми можно столкнуться при реализации подобных проектов.
Вместе с тем, не все аспекты данной проблемы нашли достаточно полное изучение. В частности, представляется, что имеется необходимость поиска более эффективных управленческих решений по УНБ, включающих: интеграцию в бизнес-процессы организации; преодоление фрагментарности, неактуальности СУНБ и несогласованности элементов; приведение стратегии, планов НБ в соответствие с обеспечивающей инфраструктурой; учет новых вызовов и ИТ-угроз; повышение осведомленности персонала.
За последние 5-10 лет в России образовался рынок услуг и продуктов УНБ. Сегодня у нас в стране более 20 компаний предоставляют услуги в данной сфере, в их числе: Business Protection Systems International; Computer
Alternate Processing Sites; Computer Security Consultants, Inc; Hewlett-Packard Business Continuity and Recovery services; IBM Business Continuity and Recovery services; LBL Technology; Recovery Point Sistems; SunGard Availability Services и др. Начато преподавание курсов по УНБ на русском языке, где слушатели знакомятся с передовым опытом в области управления проектами по созданию систем УНБ (СУНБ), новейшими программными системами и примерами выхода из реальных кризисных ситуаций; появился отряд сертифицированных профессионалов имеющих практические навыки по созданию и поддержанию СУНБ в организации.
В целом программное обеспечение планирования и УНБ можно условно разделить на следующие категории:
• автономные средства по оценки воздействий на бизнес. Здесь ввод данных производится вручную менеджерами и затем экспортируется в поддерживаемые средства ВСР;
• генераторы планов непрерывности бизнеса. Эти средства представляют собой, по сути, экспертные системы с определенными базами знаний и позволяют сгенерировать актуальный план непрерывности компании;
• базы данных планирования непрерывности данных. Отображают необходимую информацию о планировании непрерывности бизнеса с учетом специфики деятельности компании;
• средства совместного распределенного планирования непрерывности бизнеса. Эти средства позволяют реализовать некоторый корпоративный стандарт обеспечения непрерывности бизнеса в распределенной вычислительной среде. Использование автоматизированного ПО для управления
непрерывностью бизнеса обеспечивает следующие преимущества:
• автоматическое создание планов на основе информации об инфраструктуре компании, бизнес-процессах и приложениях, данных о сотрудниках, контрагентах;
• использование универсальных архитектур баз данных для упрощения процедур анализа риска и развития планов по восстановлению и непрерывности бизнеса;
• упрощение процессов поддержки текущих планов непрерывности бизнеса, ускорение процесса проведения повторного анализа воздействия на бизнес;
• синхронизирование и автоматизированная интеграция с внешними источниками данных - кадровой базой данных, CMDB и т.п.;
• повышение достоверности и эффективности элементов СУНБ;
• снижение затрат на управление непрерывностью деятельности и др. Многие ученые и практики сходятся во мнении, что среди объектов,
которые оказывают существенное влияние на непрерывность бизнес-процессов, основным является персонал, не без основания считая, что
многие бедствия являются разрушительными, поскольку сотрудники организации игнорируют или не могут извлечь уроки из прошлого. Во многих современных компаниях создается организационная структура, непосредственно занимающаяся проблемами обеспечения непрерывности бизнеса (сектор управления непрерывностью деятельности), вводятся должности менеджеров по управлению непрерывностью бизнеса; восстановлению после чрезвычайных обстоятельств; планировщиков непрерывности бизнеса; специалистов по управлению страховыми рисками, ИТ-рисками, проектными рисками; кризис-менеджеров; внутренних аудиторов; менеджеров/директоров ИТ департаментов, менеджеров по обеспечению соответствия законодательным нормам и др.
Для решения проблем подготовки ИТ-специалистов, компетентных в вопросах обеспечения непрерывности деятельности организации на факультете информатики ФГБОУ ВПО «МаГУ» нами разработан учебный курс «Управление непрерывностью бизнеса». При разработке содержания курса мы основывались на требованиях к компетеностям в области менеджмента непрерывности бизнеса (МНБ) и на рекомендациях по составлению программ обучения изложенных в ГОСТе Р 53647.3-2010. Согласно стандарту, сотрудники должны быть компетентны в следующих областях: менеджмент; анализ воздействия на бизнес; оценка риска и управление риском; определение стратегий менеджмента непрерывности бизнеса; координация работ с внешними аварийными службами; ответные меры и оперативное управление в условиях инцидента; разработка и внедрение планов управления в условиях инцидента и планов обеспечения непрерывности бизнеса; обмен информацией об инциденте; планы по поддержке и проведению учений; программы повышения осведомленности и обучения персонала [3, с. 42].
В рамках курса студенты получат представления о методологии и передовых практиках построения систем управления непрерывностью бизнеса. В качестве программной поддержки курса используется решение по управлению непрерывностью бизнеса - Continuity Management Solution компании Sungard Availability Services. Решение обеспечивает поддержку всех фаз жизненного цикла системы обеспечения непрерывностью и восстановления деятельности (ОНиВД). Программное обеспечение для студентов было предоставлено партнером Sungard Availability Services -российским поставщиком услуг на рынке управления непрерывностью бизнеса — компанией «Алмитек».
Платформа Continuity Management Solution содержит 7 продуктов, связанных интегрированной базой данных, что позволяет достичь максимального эффекта от автоматизации отдельных этапов жизненного цикла системы СУНБ:
• LDRPS 10 (Living Disaster Recovery Planning System) - система для
создания и поддержания в актуальном состояния планов обеспечения
непрерывности бизнеса/аварийного восстановления;
• BIA Professional (Business Impact Analysis Professional) - инструмент для проведения анализа воздействия на бизнес, позволяющий автоматизировать процесс разработки опросных листов, их распространение, сбор и последующий анализ информации;
• Risk Assesment - продукт для автоматизации процесса оценки рисков помогающий выявлять риски, связанные со стихийными бедствиями, техногенными, технологическими и человеческими факторами, оценить их влияние на объекты инфраструктуры организации, их вероятности и возможные последствия.
• Work Force Assessment - система онлайн оценки готовности персонала к наступлению чрезвычайной ситуации включающая в себя механизмы сбора и анализа детальной информации о персонале организации и его способности выполнять задачи, связанные с обеспечением непрерывности бизнеса.
• NotiFind - услуга обеспечения кризисной коммуникации, обеспечивающая в случае наступления ЧС гарантированную доставку сообщений (в том числе, массовую) с поддержкой всех доступных средства связи;
• Vendor Assesment - система оценки и скоринга поставщиков позволяющая провести анализ всех поставщиков организации, выявить уязвимости в цепочках поставок как при выборе новых поставщиков на конкурсной основе, так и для оценки надежности уже существующих;
• Test Management - система управления тестированием планов позволяющая эффективно планировать проведение тестов, анализировать результаты и формировать планы действий по устранению выявленных проблем;
• Incident Manager - система управления в кризисной ситуации позволяющая централизованно управлять информацией, поступающей с места ЧС, обеспечивать эффективную коммуникацию между всеми заинтересованными сторонами, руководить командами восстановления, протоколировать все события для последующего анализа [10].
Факультет информатики МаГУ заключил соглашение об использовании Continuity Management Solution компании Sungard Availability Services при проведении учебного курса для студентов факультета информатики МаГУ в рамках глобальной программы поддержки высших учебных заведений. Подготовка будущих студентов по вопросам МНБ с использованием данного программного обеспечения позволит будущим ИТ-специалистам квалифицировано участвовать в разработке, внедрении, поддержки развития и сопровождения актуальных планов непрерывности бизнеса.
Статья написана в рамках проекта № 8.3023.2011 «Исследование и разработка методов и средств управления непрерывностью бизнеса».
Литература
1. ГОСТ Р 53647.1-2009. Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. № 998-ст
2. ГОСТ Р 53647.2-2009. Менеджмент непрерывности бизнеса. Часть 2 Требования. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. № 998-ст.
3. ГОСТ Р 53647.3-2010. Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. № 735-ст.
4. Ринг М. Анализ факторов, влияющих на непрерывность бизнеса в новом тысячелетии // CNews: Электронный ресурс. Режим доступа: http:/ / ccm.cnews.ru/reviews / free/security/kpmg.shtml.
5. Петренко С.А., Беляев А.В. Управление непрерывностью бизнеса. Ваш бизнес будет продолжаться. Информационные технологии для инженеров. - М.: ДМК Пресс; М.: Компания АйТи, 2011. - 400 с.
6. Patel Paresh K. Estimating the cost of internet service outages: a case study of the methods and factors - Capella University, 2009, - p.167.
7. Cooke, D. L., & Rohleder, T.R. . Learning from incidents: from normal accidents to high reliability. System Dynamics Review, 22(3), 2006. - p.213
8. Башкаев Д.В. Внедрение инновационных технологий управления бизнес-кризисами на основе стандартов менеджмента непрерывности бизнеса// Всероссийская научно-практическая конференция «Инновационные технологии и управление бизнес-кризисами». - Режим доступа: http://www.mba.nnov.ru/conf/008/
9. Чусавитин М.О. Применение методов имитационного моделирования при управлении непрерывностью бизнеса //Труды Вольного экономического общества России. Том сто шестьдесят четвертый. Москва: Российский экономический университет имени Г.В. Плеханова, 2011. - C. 192—200.
10. Sungard Continuity Management Solution. - Режим доступа: http://www.almitech.ru/index.php?act=uslugi&id=30&pid=2
