Любая компания может столкнуться с непредвиденными обстоятельствами, препятствующими ее нормальному функционированию, причем последствия могут быть сколь угодно неприятными для бизнеса: от небольших убытков до полного краха. Поэтому обеспечение непрерывности деятельности, а также минимизация негативных последствий, обусловленных какими-либо прерываниями или внешними воздействиями, относятся к ключевым задачам, стоящим перед руководством любой компании.
О том, как выстроить систему управления непрерывностью бизнеса, беседуют:
— Борис Гуткин, руководитель практики по управлению непрерывностью бизнеса в России компании «Аксенчер»,
— Алексей Панин, консультант по управлению непрерывностью бизнеса компании «Аксенчер»,
— Сергей Петренко, эксперт группы компаний «АйТи» в области защиты информации и непрерывности бизнеса,
— Наталья Сидорова, региональный директор Epicor в России и странах СНГ.
– Каково содержание термина «непрерывность бизнеса»? Почему необходимо эту непрерывность обеспечить?
Наталья Сидорова: Непрерывность бизнеса — это одно из важнейших направлений стратегического и оперативного управления. Содержание термина проще понять, если вспомнить историю его возникновения. Начиналось все с простейшего резервного копирования данных. Со временем процесс трансформировался в полномасштабную стратегию, не только затрагивающую ИТ-отдел и обеспечение информационной защиты, но и охватывающую практически все бизнес-процессы предприятия. Стратегия непрерывности бизнеса — это сформированная структура взглядов на бизнес-процессы и систему управления предприятием, направленная на устойчивость компании к разрушениям, прерываниям и потерям.
Сергей Петренко: Как правило, под термином «непрерывность бизнеса» понимается системное свойство, заключающееся в способности поддерживать нормальное (работоспособное) состояние бизнеса в чрезвычайных ситуациях. Свойство сохранять доступность критически важных бизнес-процессов и обеспечивающих активов для стабильного функционирования организации в чрезвычайных ситуациях. Под термином «управление непрерывностью бизнеса» обычно понимается системный процесс оценки последствий возникших чрезвычайных ситуаций и принятия надлежащих решений по сохранению бизнеса компании.
Борис Гуткин: Поскольку обеспечением непрерывности бизнеса сегодня интересуются в первую очередь коммерческие структуры, важно отметить, что компания в случае непредвиденных ситуаций, в том числе катастрофического характера, будет застрахована именно от финансовых потерь. В рамках деятельности компании для каждого из ее бизнес-процессов можно определить некоторый отрезок времени, когда она может существовать без данного бизнес-процесса и не нести при этом потерь (например, есть способ его альтернативного выполнения). Существует также определенный объем потерь, к которому компания толерантна и который в западной практике получил название «риск-аппетит». Если компания при катастрофе способна обеспечить для ключевых процессов такой уровень простоя, который не влечет для нее существенных потерь, ее бизнес можно назвать «непрерывным».
Наталья Сидорова: Следовательно, обеспечение непрерывности бизнеса — это совокупность мер, направленных на минимизацию возможного ущерба компании в случае возникновения каких-либо внештатных ситуаций, связанных с выходом из строя оборудования, ПО под воздействием внешних или внутренних негативных факторов. Эти меры прежде всего должны обеспечивать бесперебойное выполнение критически важных функций предприятия в чрезвычайной ситуации. Для выработки стратегии непрерывности бизнеса необходимо, во-первых, оценить критичность тех или иных бизнес-процессов для деятельности предприятия. Что произойдет в случае сбоя той или иной системы? Например, если в телекоммуникационной компании на время перестанет работать Outlook, скорее всего, ничего страшного не случится. Но если произойдет сбой в биллинговой системе, то это, безусловно, окажет существенное негативное влияние на бизнес: финансовые потери могут быть огромны. Или если, допустим, дело происходит в больнице, сбой в больничной системе учета, безусловно, не так страшен, как отказ аппаратуры, поддерживающей жизнедеятельность тяжелобольных в реанимационном блоке.
Сергей Петренко: Поэтому основной целью соответствующих корпоративных программ и систем управления непрерывностью бизнеса является объективная оценка последствий сложившихся чрезвычайных ситуаций и своевременное принятие надлежащих мер, направленных на минимизацию риска потери бизнеса в случае его прерывания.
— Понятно, что любой руководитель хочет видеть бизнес своей компании стабильным и быть уверенным в том, что он застрахован от потерь. Но когда дело доходит до реальных мер по обеспечению непрерывности бизнеса и сопутствующих им расходов, нередко срабатывает пресловутый «авось»: стоит ли тратить серьезные средства на то, что, быть может, никогда и не случится?.. Как убедить бизнес в необходимости вложения средств в управление рисками?
Сергей Петренко: У многих из нас еще свежи в памяти недавние трагические события, такие как террористические атаки в сентябре 2001 года в Нью-Йорке на Всемирный торговый центр и отключения электроэнергии в северо-восточной части США и юго-восточной Канаде в 2003–2007 годах, отключение электроэнергии в Москве и Московской области в 2006-м, трагедия на Саяно-Шушенской ГРЭС в минувшем августе. Эти события убедительно показали, что только те компании, которые своевременно воспользовались рекомендациями по обеспечению непрерывности бизнеса, смогли из бежать крупных аварий, гибели сотрудников, финансовых и материальных потерь и сохранить бизнес. Остальные же понесли существенные финансовые потери, некоторые даже потеряли свой бизнес. Поэтому чрезвычайно важно постоянно совершенствовать план непрерывности бизнеса (Business Continuity Plan) и его различные производные: аварийный план (Business Crash Plan), чрезвычайный план (Business Disaster Plan), антитеррористический план, антибомбовый план, план продолжения (Business Contingency Plan), план восстановления (Business Recovery Plan), антикризисный план и др.
Борис Гуткин: На необходимость обеспечения непрерывности указывает тот факт, что катастрофа может существенным образом повлиять на бизнес компании, от серьезных финансовых потерь до полной утраты бизнеса и банкротства компании. Последнее может быть вызвано, к примеру, техническим дефолтом, объявленным в компании, вследствие непредставления финансовой отчетности в установленные сроки из-за недоступности информационных систем. После объявления дефолта незамедлительно следуют требования от кредиторов вернуть заемные средства или как минимум пересмотреть ставки по кредитам, что может вызвать колоссальные единовременные финансовые потери. При этом составление финансовой отчетности является обязанностью любой компании, а выполнение этой задачи в срок без применения информационных систем для крупной компании представляется практически невозможным.
Сергей Петренко: Как правило, руководство компании проявляет внимание к вопросам непрерывности бизнеса под воздействием «фактора страха» или после нескольких серьезных инцидентов, повлекших за собой остановку или замедление работы организации. Например, в результате пожара, отключения электроэнергии, вирусной атаки или происков недобросовестных конкурентов. Руководство компании начинает осознавать необходимость обеспечения непрерывности бизнеса как обязательство перед своими партнерами и клиентами. При этом понимается важность внедрения лучших соответствующих практик, разработки и внедрения некоторой корпоративной программы управления непрерывностью бизнеса, BCM. Бизнес-единицы компании, выполняя требования руководства, принимают на себя ответственность за создание и обновление соответствующих планов и процедур обеспечения непрерывности бизнеса в чрезвычайных ситуациях с должной степенью детализации.
Наталья Сидорова: В ряде отраслей обеспечение непрерывности бизнеса уже стало стандартом. Например, телекоммуникационные компании, медицинские учреждения, банковские и кредитные организации и целый ряд других предприятий просто не смогут вести отдельные на правления бизнеса, если не обеспечена непрерывность их бизнес-процессов. В остальных случаях приверженность данной стратегии, наличие соответствующих сертификатов поможет сформировать благоприятное впечатление у клиентов, партнеров компании, облегчит выход на международные рынки, а также поспособствует снижению стоимости страховых контрактов, заключаемых со страховыми организациями.
— «Фактор страха» — серьезный побудительный мотив, но практически неформализуемый. А каким образом можно оценить и корректно просчитать финансовое воздействие нештатных ситуаций на бизнес?
Борис Гуткин: Нужно признать тот факт, что для каждой компании алгоритм расчета стоимости простоя бизнес-процесса уникален. Экономический эффект от возникновения нештатных ситуаций просчитывается исходя из предпосылки, что определенные бизнес-процессы при этом останавливаются, и необходимо обеспечить восстановление их нормального функционирования. Объем потерь от остановки процессов определяется бизнесом; кроме того, при данных расчетах необходимо учитывать взаимосвязь процессов, так как остановка некоторых из них может не вызвать потерь сама по себе, однако повлечь за собой «цепную реакцию», вызвав остановку критичных для бизнеса процессов.
— Какими нормативно-методическими указаниями и требованиями можно руководствоваться, выстраивая процессы обеспечения непрерывности бизнеса?
Сергей Петренко: В настоящее время в разных странах появилось новое поколение стандартов в интересующей нас области, содержащих лучшие практики управления непрерывностью бизнеса и восстановления инфраструктуры компании в чрезвычайных ситуациях. Это прежде всего практики непрерывности бизнеса британского института BCI (www.thebci.org), а также американских институтов DRI (www.drii.org) и SANS (www.sans.org); британские стандарты и спецификации BS 25999, Publicly Available Specification, PAS 56, Publicly Available Specification, PAS 77; стандарты США NIST SP800-34. Contingency Planning Guide for Information Technology, NYSE Rule 446 — Business Continuity and Contingency (SR-NYSE-2002-35), NFPA 1600 Standard on Disaster/Emergency Management and Business Continuity Programs; австралийские руководства ANAO, в частности, Business Continuity Management Handbook HB 221:2003; 14-й раздел международного стандарта по информационной безопасности ISO/IEC 27001; стандарты и библиотеки COBIT, ITIL, MOF в части непрерывности бизнеса и некоторые другие, аналогичные им. В России также известны отраслевые (указания Банка России) и внутренние корпоративные нормативные документы (для операторов связи, объектов ФОМС, энергетических компаний и пр.).
Борис Гуткин: Необходимо отметить, что подход ведущих российских консалтинговых компаний к реализации проектов основан на данных стандартах и сочетает в себе наиболее ценные рекомендации каждого из них в сочетании с практикой реализации проектов для российских и зарубежных клиентов.
— Каковы, на ваш взгляд, критерии готовности бизнеса к внедрению решений BCM?
Сергей Петренко: К упомянутым критериям можно отнести следующие:
> существует организация и лица, отвечающие в компании за определение и развитие процесса BCM;
> критичные для области BCM технологические и информационные процессы компании документированы, внедрены и актуализированы в необходимом объеме;
> существует утвержденный набор ключевых показателей бизнеса, ключевых показателей эффективности, связанных с понятиями ВСМ;
> существует документированная и актуальная карта основных бизнес-процессов компании;
> ведутся и доступны исполнителям проекта все необходимые статистические данные о происшедших сбоях и отказах системы, о причинах их возникновения и способах устранения. Имеются экспертные оценки о характере и периодичности возникновения различных ситуаций, могущих привести к нежелательным перебоям в бизнес-процессах;
> осуществляется юридическое оформление и внедрение политик, инструкций и регламентов процессов.
На практике большинство отечественных компаний находятся по 5-балльной шкале на отметке 1–2, редко — 3–4.
Борис Гуткин: По собственному проектному опыту могу сказать, что сбор данных является самой сложной частью проекта, содержащей в себе наибольшее количество трудностей и непредвиденных ситуаций. Кроме того, в компании должна присутствовать культура управления рисками и быть определен уровень риск-аппетита, что и является фундаментом для формирования возможных способов реагирования со стороны руководства в отношении различных рисков.
— Очевидно, что внедрение в практику компании комплекса мер по обеспечению непрерывности бизнеса — процесс долгий, сложный и многоэтапный. Какие основные этапы включает в себя процесс создания такой системы? Какие особенности каждого этапа вы могли бы отметить?
Алексей Панин: Процесс создания системы управления непрерывностью бизнеса цикличен; основные его этапы таковы. Во-первых, анализ бизнес-процессов предметной области, Business Environment Analysis (BEA), подразумевающий выделение и ранжирование значимых для бизнеса процессов и определение требований по непрерывности к ним. Во-вторых, анализ рисков, Risk Analysis (RA), предполагающий оценивание и ранжирование значимых угроз и уязвимостей непрерывности бизнес-процессов, а также проверку достаточности существующих организационных и технических мер предупреждения прерываний бизнеса. В-третьих, анализ воздействия на бизнес, Business Impact Analysis (BIA), подразумевающий оценку влияния на бизнес-процессы и определение целей восстановления каждого упомянутого процесса и поддерживающей его инфраструктуры. В-четвертых, определение стратегии непрерывности бизнеса, BC Strategy definition, определение RPO и RTO для каждого рассматриваемого бизнес-процесса и выбор соответствующих организационных и технических решений для обеспечения непрерывности бизнеса. В-пятых, разработка и сопровождение планов непрерывности бизнеса, Business Continuity Plan, BCP (Disaster Recovery Plan, DRP) для документирования требуемых решений в чрезвычайных ситуациях для обеспечения непрерывности бизнеса и аварийного восстановления инфраструктуры. В-шестых, практическая реализация стратегий и планов непрерывности бизнеса. Обоснование и выбор надлежащих организационных и технических решений, ее обеспечивающих. В-седьмых, эксплуатация и сопровождение системы управления непрерывностью бизнеса, BCM. Далее переходим на первый этап.
Наталья Сидорова: Круг рисков, от которых предприятие стремится себя обезопасить, включает в себя защиту от технологических сбоев, различных ошибок ПО и повреждений баз данных, неконтролируемого доступа к информации, техногенных и природных воздействий (пожар, наводнение, землетрясение и т. п.) до терактов, саботажей, гражданских беспорядков.
Борис Гуткин: Решения в области обеспечения непрерывности бизнеса охватывают практически все сферы деятельности компании. Одним из наиболее актуальных и интересных направлений является обеспечение непрерывности функционирования ИТ, в рамках которого могут быть внедрены технические решения для резервирования комплекса ИТ-средств компании, а также разработан план восстановления в случае возникновения чрезвычайной ситуации. Любой проект в сфере непрерывности бизнеса опирается на результаты оценки рисков и анализа их влияния на бизнес компании. В рамках данного анализа выделяются присущие компании риски, а также наиболее критичные с точки зрения финансовых потерь бизнес-процессы, взаимозависимости между процессами, приемлемое время простоя процессов, объем потерь в случае их остановки. После анализа рисков и стоимости их реализации начинается часть проекта, непосредственно связанная с ИТ-компании, в частности, проводится анализ текущей архитектуры, организационной и технической составляющей резервирования информационных систем и данных, которые они содержат. Эта часть проекта предполагает тесную работу с сотрудниками ИТ-подразделений компании. На основе проведенного анализа может быть разработан набор из нескольких стратегий обеспечения непрерывности компании, для которых затем разрабатывается верхнеуровневая архитектура, а также выполняется анализ экономической эффективности и целесообразности их реализации.
— Экономическая эффективность — ключевой критерий, на который компания ориентируется, делая выбор в пользу той или иной стратегии?
Борис Гуткин: Она является одним из важнейших критериев выбора конкретной стратегии восстановления, но далеко не единственным. Среди других факторов можно отметить толерантность бизнеса к потере производительности ИТ-систем, сложность реализации решения, возможности по защите от катастроф регионального масштаба и др. Следующим этапом по организации непрерывного функционирования ИТ-систем компании является определение и реализация мер, которые при наименьших затратах времени и ресурсов позволят добиться наилучших результатов с точки зрения нивелирования рисков компании. Далее следует реализация выбранной стратегии, в которой можно выделить организационную и технологическую составляющие.
— Какие проблемы и трудности встречаются на пути создания системы управления непрерывностью бизнеса, каковы способы их разрешения и преодоления? На что необходимо обратить особое внимание?
Сергей Петренко: На наш взгляд, нужно обратить самое пристальное внимание на этап BIA, на оценку возможных потерь, возникающих в результате нарушений функционирования бизнес-процессов. При этом необходимо рассматривать различные категории потерь — например, превышение нормативного уровня операционных затрат, штрафные санкции в результате нарушения договорных обязательств, снижение возврата на инвестиции относительно запланированного уровня, потерю деловой репутации, и так вплоть до снижения рыночной стоимости компании. Для надлежащего анализа BIA необходима исходная карта ключевых бизнес-процессов организации. Далее для каждого бизнес-процесса идентифицируются различного рода нарушения функционирования, которые потенциально ведут к потерям. На основе карты ключевых бизнес-процессов возможно построение аналитической модели, связывающей различные нарушения в функционировании бизнес-процессов с категорией и масштабом потерь в результате такого нарушения. В зависимости от доступности информации (структурированности поставленной задачи), масштаб потерь может оцениваться количественно (в денежном выражении) или качественно (по специально разработанной качественной шкале). По результатам оценки возможных потерь модель должна позволить оценить критичность как бизнес-процессов в целом, так и различного рода нарушений функционирования с привязкой к масштабу соответствующих потерь.
Борис Гуткин: Отметим, что для оценки экономического эффекта необходимо принять корректные допущения по возможности катастроф в рассматриваемый период, так как это является ключевым параметром, определяющим оценку и привлекательность для каждой из стратегий.
Алексей Панин: Потенциально опасной для реализации проекта областью является сбор корректных данных о бизнесе компании, в том числе финансовых, а также о текущем состоянии ИТ и планах развития этого комплекса в компании.
Сергей Петренко: Поэтому параллельно с анализом критичности бизнес-процессов и зависимости масштабов потерь от нарушений их функционирования рекомендуется проводить анализ информационных сервисов с привязкой к бизнес-процессам и информационным потокам. Например, можно проводить анализ корпоративной учетной системы, системы консолидированной отчетности, системы бизнес-аналитики на основе хранилища данных, информационного портала, корпоративной электронной почты, сервиса сетевой печати и пр. При этом рекомендуется более глубокая степень детализации, поскольку, к примеру, корпоративная учетная система фактически предоставляет несколько сервисов (поддержка бухгалтерии, поддержка управления человеческими ресурсами, поддержка материально-технического учета и др.), различным образом задействованных в бизнес-процессах компании. В ходе анализа информационных сервисов производится их идентификация, анализ их использования в рамках бизнес-процессов, анализ возможных нарушений в функционировании сервисов и предварительная оценка их значимости с точки зрения бизнеса организации. Анализ воздействия на бизнес рекомендуется завершать построением модели причинно-следственных взаимосвязей между функционированием бизнес-процессов, информационных сервисов и информационных потоков.
— Какие преимущества получает компания от создания системы управления непрерывностью бизнеса?
Сергей Петренко: В общем плане — повышение зрелости корпоративной культуры BCM. В частном плане — формирование модели соответствия реализации процесса BCM компании по следующим вопросам. Организация процессов управления непрерывностью бизнеса в компании, в частности:
> организация процесса планирования непрерывности бизнеса (анализ текущих рисков, выработка ВС-стратегии, схемы управления процессом и построение матрицы ответственностей);
> организация процесса разработки, оценки и утверждения плана непрерывности (анализ критических поставщиков услуг, синхронизация разработанного плана непрерывности с ключевыми поставщиками и дочерними компаниями);
> анализ матрицы ответственностей в аспекте BCM (владелец процесса и выделенные ресурсы, наличие ресурсов и ответственных за процесс в дочерних компаниях);
> процесс периодического анализа плана и его актуализация (мониторинг и проверка BCP, процесс актуализации BCP, процесс тестирования BCP, документирование ВСР, организация резервных ресурсов: поставщики, персонал, услуги).
Корпоративный кризис-менеджмент:
> культура (стратегия, периодический мониторинг и пересмотр, информированность и поддержка менеджмента);
> команда кризисного управления (состав, местонахождения, роли, функции);
> стратегия внутренних и внешних коммуникаций.
Политики построения корпоративных систем (информационные корпоративные ресурсы, корпоративные средства связи, системы СПСС):
> идентификация рисков и ключевых ИТпроцессов;
> ключевые поставщики услуг (партнеры, контракторы, субконтракторы);
> отказоустойчивость систем (инфраструктура хранилищ данных, информационная безопасность);
> процедуры оценки методик и их актуализации;
> тестирование методик.
Политики построения корпоративных площадок:
> планирование площадок (электроснабжение, водоснабжение и водоотведение, физическая безопасность, пути эвакуации, экстренные сервисы, периодическая проверка функционирования).
Организация персонала:
> планирование и информирование персонала;
> обучающие и контрольные материалы.
Борис Гуткин: Ключевой выгодой от проектов в сфере непрерывности бизнеса является значительное снижение влияния реализации серьезных рисков на деятельность и финансовое положение организации. Ни одна компания, даже самая крупная и процветающая, не застрахована от наступления возможных катастрофических событий природного, техногенного, политического характера, намеренного саботажа деятельности и прочих событий, которые могут поставить вопрос о дальнейшем ее существовании. Внедрение решений в сфере обеспечения непрерывности бизнеса позволяет акционерам и руководителям быть уверенными в том, что даже в случае серьезных происшествий их бизнес останется на плаву, предприятие продолжит функционировать и приносить прибыль.
— Чем необходимо руководствоваться, чтобы понять, какой вид решений или услуг BCM лучше всего соответствует потребностям конкретной компании?
Алексей Панин: Для выделения конкретных потребностей компании необходимо, как и для любого проекта, оценить потребности бизнеса. Состав решений может также сильно зависеть от перечня присущих компании рисков, специфики процессов, на которые они влияют, абсолютного и относительного объема потенциальных потерь, которые компания понесет в случае реализации рисков.
Сергей Петренко: Методически верным представляется следующий подход к созданию системы BCM. Необходимо выделить три основных уровня, содержащих различные группы элементов, сервисов и показателей, которые на определенной ступени обобщения представляют собой полное описание бизнес-модели компании. На уровне инфраструктуры предполагается рассматривать во взаимосвязи элементы сетевой инфраструктуры и ИТ-инфраструктуры, используемой непосредственно или косвенно для предоставления услуг конечным абонентам. Например, такими элементами будут являться — каналообразующая аппаратура, аппаратура связи, элементы радиоподсистемы, системы тарификации, коммутаторы, шлюзы, системы аутентификации и авторизации, устройства и системы контроля качества связи и т. п. Взаимное влияние элементов, а также учет внешних факторов, влияющих на способность инфраструктуры выполнять свои функциональные задачи, базируется на имеющемся опыте эксплуатации и статистических данных. Уровень сервисов представляет собой обобщение более высокого порядка. Сервисы здесь — это все, что может быть непосредственно использовано абонентом или используется службами компании как внутренний сервис, необходимый для предоставления услуги более высокого уровня. Очевидно, что обоснованное определение зависимости между элементами уровня инфраструктуры и соответствующими сервисами закладывает фундамент для системы BCM. Уровень ключевых показателей бизнеса, КПЭ, — следующий над уровнем сервисов. Во многом адекватность применения модели будет определяться тем, каким образом заданы функции КПЭ, степень и характер их зависимости от элементов уровня сервисов. Каждому элементу на одном из указанных уровней ставится в соответствие набор связей (в общем виде входящих и выходящих), определяющих взаимозависимость между элементами на данном уровне. Например, для уровня инфраструктуры простейшим аналогом связей можно рассматривать участок сети (канал, соединительная линия) между двумя устройствами. На уровне сервисов можно определить связь между услугами мобильного Интернета и GPRS. Уровень КПЭ предполагает наличие связей между такими показателями, как выручка компании от реализации услуги и количество абонентов данной услуги. Кроме связей, определяющих взаимное влияние между элементами, потребуется определить наборы параметров, характеризующие функционирование и/или состояние элементов. В качестве независимого параметра, характеризующего динамический процесс изменений состояния элементов и системы, выступает время. Выявляется явная и обоснованная связь между уровнями инфраструктуры, сервисов и КПЭ. На каждом из уровней можно указать группы элементов, успешное функционирование (поддержание) которых позитивно влияет на элементы (или группы элементов) более высокого уровня. Можно варьировать степень зависимости между различными уровнями и элементами (например при помощи весовых коэффициентов), учитывая суммарный вклад того или иного параметра или интегрального показателя в результирующей функции. Таким образом определяются компоненты модели, параметры и факторы, характеризующие их функционирование или состояние, связи между элементами и иерархию взаимодействия между тремя уровнями модели. Для каждого из уровней задаются интегральные показатели (целевые функции) состояния — индикативные функции нахождения системы в штатном состоянии (или состоянии, близком к заданному).
— Какие инструментальные средства существуют для автоматизации планирования непрерывности бизнеса?
Борис Гуткин: Среди автоматизированных средств можно выделить средства оперативного управления в случае ЧС, а также аналитические системы. Первые позволяют в случае наступления чрезвычайной ситуации оперативно донести до каждого сотрудника его роль и порядок действий, скоординировать работу по восстановлению и пр. Вторая группа средств позволяет актуализировать бизнес-данные, на которых основано применение тех или иных решений, вносить оперативные изменения и дополнения в план восстановления, обоснованно вносить архитектурные и инфраструктурные изменения в ИТ-решения. Помимо этого, есть конкретные технологические решения, направленные на обеспечение катастрофоустойчивости технологической инфраструктуры, сохранности данных и поддержания или восстановления необходимого уровня работоспособности систем в случае катастроф.
Сергей Петренко: На практике для решения перечисленных задач существуют разнообразные западные и отечественные средства автоматизации процессов планирования и управления непрерывностью бизнеса. Такое программное обеспечение позволяет:
> использовать универсальные архитектуры баз данных для упрощения процедур анализа риска и развития планов по восстановлению и непрерывности бизнеса;
> упростить процессы поддержки текущих планов непрерывности бизнеса;
> синхронизировать и поддерживать актуальную информацию, используя интерфейсы других приложений;
> корректировать управление компанией с учетом планов непрерывности бизнеса;
В целом программное обеспечение планирования и управления непрерывностью бизнеса можно условно разделить на несколько категорий. Автономные средства оценки воздействий на бизнес. Здесь ввод данных производится вручную менеджерами и затем экспортируется в поддерживаемые средства ВСР. Генераторы планов непрерывности бизнеса представляют собой, по сути, экспертные системы с определенными базами знаний и позволяют сгенерировать актуальный план непрерывности. Базы данных планирования непрерывности данных отображают необходимую информацию о планировании непрерывности бизнеса с учетом специфики деятельности компании. Средства совместного распределенного планирования непрерывности бизнеса позволяют реализовать некоторый корпоративный стандарт обеспечения непрерывности бизнеса в распределенной вычислительной среде. Среди производителей программного обеспечения ВСР выделяются компании Strohl, SunGard, Computer Security Consultants Inc. (CSCI) и RSM McGladrey.
Борис Гуткин: Согласен с коллегой: существует множество ИТ-решений для автоматизации различных задач, связанных с обеспечением непрерывности бизнеса, и с ростом востребованности данного направления число подобных решений на рынке все возрастает. Однако мы считаем, что основным средством является правильно выстроенная коммуникация на всех уровнях компании — от руководителей, операционных менеджеров и до технических специалистов — в процессе управления непрерывностью бизнеса, где роль и задачи каждого четко определены, что является основным компонентом создания культуры управления непрерывностью в компании.
— Насколько богат опыт разработки и внедрения систем управления непрерывностью бизнеса в российских компаниях? Применим ли в наших условиях опыт, накопленный на Западе?
Борис Гуткин: Российские компании все чаще проявляют интерес к проектам, направленным на защиту от рисков и обеспечение безопасной и непрерывной деятельности. Можно сказать, что в настоящий момент накоплен значительный массив знаний и ноу-хау о данных проектах, существуют наработанные методики и решения, которые могут быть использованы в дальнейшем.
Сергей Петренко: Однако в России практика разработки и внедрения корпоративных программ управления непрерывностью бизнеса находится на начальном этапе развития. В то время как в Европе и США внедрение и поддержка упомянутых корпоративных программ идет полным ходом, а в некоторых государственных и коммерческих структурах вопросам управления непрерывностью бизнеса уделяется самое пристальное внимание. Например, федеральные департаменты США осуществляют планирование непрерывности своей деятельности в соответствии с утвержденными директивами СООР. В финансовой области вопросы обеспечения непрерывности бизнеса американских компаний регулируются рекомендациями законов Gramm-Leach-Bliley, The Expedited Funds Availability, а также рекомендациями стандарта SAS 78/94. В области здравоохранения руководящим документом в части BCM является HIPAA. Кроме того, для большинства компаний — поставщиков услуг первой необходимости (электроэнергия, вода, газ, связь и пр.) при использовании процедур непрерывности бизнеса предусмотрены определенные льготы со стороны государства. Дело в том, что непрерывность деятельности этих компаний играет важную роль в обеспечении непрерывности функционирования различных федеральных организаций и структур (больниц, полиции, пожарных, школ и правительственных учреждений), а также крупных коммерческих структур (банков, финансовых организаций, страховых компаний, интернет-провайдеров и пр.). При этом наиболее активными пользователями планов непрерывности бизнеса, BCP являются, как правило, различные финансовые институты и организации, страховые компании, коммерческие банки, предприятия сырьевой и нефтеперерабатывающей промышленности, авиакомпании, телекоммуникационные компании и пр. Опыт Disaster recovery западных компаний применим после соответствующей адаптации под национальные требования и специфику бизнеса отечественных компаний.
Борис Гуткин: Говоря о западном опыте, необходимо отметить: несмотря на то что все проекты основаны на западных методологиях исполнения, каждый проект, выполненный нашими специалистами, обладает уникальными решениями и методами, «заточенными» под потребности и пожелания наших клиентов. Особенности и специфика российских руководителей и ведения бизнеса неизменно накладывает свой отпечаток на подходы к выполнению проектов, однако зарубежный опыт всегда лежит в основе наших решений.
версия для печати
другие статьи автора
оставить комментарий (0) 
