Непрерывность как концепция бизнеса. Непрерывность бизнеса


непрерывность бизнеса - это... Что такое непрерывность бизнеса?

 непрерывность бизнеса

2.3 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

2.2 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

3.8.8 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

Словарь-справочник терминов нормативно-технической документации. academic.ru. 2015.

  • Непрерывность
  • Непрерывность движения автомобилей

Смотреть что такое "непрерывность бизнеса" в других словарях:

  • непрерывность бизнеса — Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне. [ГОСТ Р 53647.1 2009]… …   Справочник технического переводчика

  • Непрерывность — способность системы функционировать с заданными рабочими характеристиками в течение определенного периода. Примечание. Непрерывность характеризуется соответствующей вероятностью. Источник …   Словарь-справочник терминов нормативно-технической документации

  • непрерывность деятельности — 3.19 непрерывность деятельности (operational continuity), ОС: Стратегическая и тактическая способность организации к функционированию на установленном приемлемом уровне при нарушениях ее деятельности, вызванных инцидентами. Примечание Термин… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р 53647.2-2009: Менеджмент непрерывности бизнеса. Часть 2. Требования — Терминология ГОСТ Р 53647.2 2009: Менеджмент непрерывности бизнеса. Часть 2. Требования оригинал документа: 2.12 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р 53647.4-2011: Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности — Терминология ГОСТ Р 53647.4 2011: Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности оригинал документа: 3.6 авария2) (emergency): Внезапное, экстренное, обычно неожиданное… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р 53647.1-2009: Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство — Терминология ГОСТ Р 53647.1 2009: Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство оригинал документа: 2.8 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий… …   Словарь-справочник терминов нормативно-технической документации

  • планирование непрерывности бизнеса — 3.1 планирование непрерывности бизнеса (business continuity planning): Процесс обеспечения восстановления операции в случае возникновения какого либо неожиданного или нежелательного инцидента, способного негативно воздействовать на непрерывность… …   Словарь-справочник терминов нормативно-технической документации

  • ответные меры менеджмента непрерывности бизнеса — 2.8 ответные меры менеджмента непрерывности бизнеса (business continuity management response): Элемент МНБ, направленный на разработку и внедрение соответствующих планов и мер, обеспечивающих непрерывность критических видов деятельности и… …   Словарь-справочник терминов нормативно-технической документации

  • Планирование непрерывности бизнеса — (business continuity planning): процесс обеспечения восстановления операции в случае возникновения какого либо неожиданного или нежелательного инцидента, способного негативно воздействовать на непрерывность важных функций бизнеса и поддерживающих …   Официальная терминология

  • план по обеспечению непрерывности бизнеса — Документ, охватывающий все основные функции компании и содержащий документально оформленные и практически проверенные процедуры, следование которым обеспечит непрерывность основных бизнес процессов или минимизацию времени их перерыва. [http://www …   Справочник технического переводчика

Книги

  • Система управления непрерывностью бизнеса. Почему она должна быть внедрена на каждом предприятии?, Конеев И.Р.. Дисциплина непрерывности бизнеса --- это одна из наиболее прикладных областей управления предприятием, которая хотя и не создает напрямую доход или прибыль для бизнеса, но обеспечивает… Подробнее  Купить за 1162 грн (только Украина)
  • Платформа виртуализации Hyper-V™ Ресурсы Windows Server 2008, Ларсон Р., Карбон Ж.. Книга содержит советы экспертов о том, как управлять проектом на фазе представления (область действия, риски, бюджет), проектировать инфраструктуру сервера Hyper-V и его компоненты, применять… Подробнее  Купить за 750 руб
  • Система управления непрерывностью бизнеса. Почему она должна быть внедрена на каждом предприятии?, И. Р. Конеев. Дисциплина непрерывности бизнеса - это одна из наиболее прикладных областей управления предприятием, которая хотя и не создает напрямую доход или прибыль для бизнеса, но обеспечивает… Подробнее  Купить за 551 грн (только Украина)
Другие книги по запросу «непрерывность бизнеса» >>

normative_reference_dictionary.academic.ru

непрерывность бизнеса - это... Что такое непрерывность бизнеса?

 непрерывность бизнеса

 

непрерывность бизнесаСтратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.[ГОСТ Р 53647.1-2009]непрерывность бизнеса Усилия организации для обеспечения доступности критически важных бизнес-функций для клиентов, поставщиков, регуляторов и др., кому необходим доступ к таким функциям. Термин относится к повседневной деятельности, направленной на поддержание обслуживания, постоянства и восстанавливаемости.[http://www.dtln.ru/slovar-terminov]

Тематики

  • информационные технологии в целом

Справочник технического переводчика. – Интент. 2009-2013.

  • непрерывность
  • непрерывность генетического кода

Смотреть что такое "непрерывность бизнеса" в других словарях:

  • непрерывность бизнеса — 2.3 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на… …   Словарь-справочник терминов нормативно-технической документации

  • Непрерывность — способность системы функционировать с заданными рабочими характеристиками в течение определенного периода. Примечание. Непрерывность характеризуется соответствующей вероятностью. Источник …   Словарь-справочник терминов нормативно-технической документации

  • непрерывность деятельности — 3.19 непрерывность деятельности (operational continuity), ОС: Стратегическая и тактическая способность организации к функционированию на установленном приемлемом уровне при нарушениях ее деятельности, вызванных инцидентами. Примечание Термин… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р 53647.2-2009: Менеджмент непрерывности бизнеса. Часть 2. Требования — Терминология ГОСТ Р 53647.2 2009: Менеджмент непрерывности бизнеса. Часть 2. Требования оригинал документа: 2.12 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р 53647.4-2011: Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности — Терминология ГОСТ Р 53647.4 2011: Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности оригинал документа: 3.6 авария2) (emergency): Внезапное, экстренное, обычно неожиданное… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р 53647.1-2009: Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство — Терминология ГОСТ Р 53647.1 2009: Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство оригинал документа: 2.8 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий… …   Словарь-справочник терминов нормативно-технической документации

  • планирование непрерывности бизнеса — 3.1 планирование непрерывности бизнеса (business continuity planning): Процесс обеспечения восстановления операции в случае возникновения какого либо неожиданного или нежелательного инцидента, способного негативно воздействовать на непрерывность… …   Словарь-справочник терминов нормативно-технической документации

  • ответные меры менеджмента непрерывности бизнеса — 2.8 ответные меры менеджмента непрерывности бизнеса (business continuity management response): Элемент МНБ, направленный на разработку и внедрение соответствующих планов и мер, обеспечивающих непрерывность критических видов деятельности и… …   Словарь-справочник терминов нормативно-технической документации

  • Планирование непрерывности бизнеса — (business continuity planning): процесс обеспечения восстановления операции в случае возникновения какого либо неожиданного или нежелательного инцидента, способного негативно воздействовать на непрерывность важных функций бизнеса и поддерживающих …   Официальная терминология

  • план по обеспечению непрерывности бизнеса — Документ, охватывающий все основные функции компании и содержащий документально оформленные и практически проверенные процедуры, следование которым обеспечит непрерывность основных бизнес процессов или минимизацию времени их перерыва. [http://www …   Справочник технического переводчика

Книги

  • Система управления непрерывностью бизнеса. Почему она должна быть внедрена на каждом предприятии?, Конеев И.Р.. Дисциплина непрерывности бизнеса --- это одна из наиболее прикладных областей управления предприятием, которая хотя и не создает напрямую доход или прибыль для бизнеса, но обеспечивает… Подробнее  Купить за 1162 грн (только Украина)
  • Платформа виртуализации Hyper-V™ Ресурсы Windows Server 2008, Ларсон Р., Карбон Ж.. Книга содержит советы экспертов о том, как управлять проектом на фазе представления (область действия, риски, бюджет), проектировать инфраструктуру сервера Hyper-V и его компоненты, применять… Подробнее  Купить за 750 руб
  • Система управления непрерывностью бизнеса. Почему она должна быть внедрена на каждом предприятии?, И. Р. Конеев. Дисциплина непрерывности бизнеса - это одна из наиболее прикладных областей управления предприятием, которая хотя и не создает напрямую доход или прибыль для бизнеса, но обеспечивает… Подробнее  Купить за 551 грн (только Украина)
Другие книги по запросу «непрерывность бизнеса» >>

technical_translator_dictionary.academic.ru

непрерывность бизнеса - это... Что такое непрерывность бизнеса?

 непрерывность бизнеса General subject: continuation of business , business continuity

Универсальный русско-английский словарь. Академик.ру. 2011.

  • непрерывность балансового отчёта
  • непрерывность биологических эффектов

Смотреть что такое "непрерывность бизнеса" в других словарях:

  • непрерывность бизнеса — Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне. [ГОСТ Р 53647.1 2009]… …   Справочник технического переводчика

  • непрерывность бизнеса — 2.3 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на… …   Словарь-справочник терминов нормативно-технической документации

  • Непрерывность — способность системы функционировать с заданными рабочими характеристиками в течение определенного периода. Примечание. Непрерывность характеризуется соответствующей вероятностью. Источник …   Словарь-справочник терминов нормативно-технической документации

  • непрерывность деятельности — 3.19 непрерывность деятельности (operational continuity), ОС: Стратегическая и тактическая способность организации к функционированию на установленном приемлемом уровне при нарушениях ее деятельности, вызванных инцидентами. Примечание Термин… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р 53647.2-2009: Менеджмент непрерывности бизнеса. Часть 2. Требования — Терминология ГОСТ Р 53647.2 2009: Менеджмент непрерывности бизнеса. Часть 2. Требования оригинал документа: 2.12 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р 53647.4-2011: Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности — Терминология ГОСТ Р 53647.4 2011: Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности оригинал документа: 3.6 авария2) (emergency): Внезапное, экстренное, обычно неожиданное… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р 53647.1-2009: Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство — Терминология ГОСТ Р 53647.1 2009: Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство оригинал документа: 2.8 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий… …   Словарь-справочник терминов нормативно-технической документации

  • планирование непрерывности бизнеса — 3.1 планирование непрерывности бизнеса (business continuity planning): Процесс обеспечения восстановления операции в случае возникновения какого либо неожиданного или нежелательного инцидента, способного негативно воздействовать на непрерывность… …   Словарь-справочник терминов нормативно-технической документации

  • ответные меры менеджмента непрерывности бизнеса — 2.8 ответные меры менеджмента непрерывности бизнеса (business continuity management response): Элемент МНБ, направленный на разработку и внедрение соответствующих планов и мер, обеспечивающих непрерывность критических видов деятельности и… …   Словарь-справочник терминов нормативно-технической документации

  • Планирование непрерывности бизнеса — (business continuity planning): процесс обеспечения восстановления операции в случае возникновения какого либо неожиданного или нежелательного инцидента, способного негативно воздействовать на непрерывность важных функций бизнеса и поддерживающих …   Официальная терминология

  • план по обеспечению непрерывности бизнеса — Документ, охватывающий все основные функции компании и содержащий документально оформленные и практически проверенные процедуры, следование которым обеспечит непрерывность основных бизнес процессов или минимизацию времени их перерыва. [http://www …   Справочник технического переводчика

Книги

  • Система управления непрерывностью бизнеса. Почему она должна быть внедрена на каждом предприятии?, Конеев И.Р.. Дисциплина непрерывности бизнеса --- это одна из наиболее прикладных областей управления предприятием, которая хотя и не создает напрямую доход или прибыль для бизнеса, но обеспечивает… Подробнее  Купить за 1162 грн (только Украина)
  • Платформа виртуализации Hyper-V™ Ресурсы Windows Server 2008, Ларсон Р., Карбон Ж.. Книга содержит советы экспертов о том, как управлять проектом на фазе представления (область действия, риски, бюджет), проектировать инфраструктуру сервера Hyper-V и его компоненты, применять… Подробнее  Купить за 750 руб
  • Система управления непрерывностью бизнеса. Почему она должна быть внедрена на каждом предприятии?, И. Р. Конеев. Дисциплина непрерывности бизнеса - это одна из наиболее прикладных областей управления предприятием, которая хотя и не создает напрямую доход или прибыль для бизнеса, но обеспечивает… Подробнее  Купить за 551 грн (только Украина)
Другие книги по запросу «непрерывность бизнеса» >>

universal_ru_en.academic.ru

ISSP \ Домен 07. Непрерывность бизнеса и восстановление после аварий. Часть 1

В этой части рассмотрены следующие вопросы:
  • Непрерывность бизнеса и восстановление после аварий
  • Шаги планирования непрерывности бизнеса
  • BCP как часть Политики и Программы безопасности
  • Инициирование проекта
Мы не можем подготовиться к каждой потенциальной возможности, что доказали недавние события. В 2005 году ураган Катрина причинил огромный ущерб, он не просто затронул бизнес – были уничтожены многие здания, погибло много людей. Катастрофическое цунами в Индийском океане, произошедшее в декабре 2004 года, было полной неожиданностью. Падение башен Всемирного торгового центра после атаки террористов нарушило планы многих компаний, жителей США, правительства и даже всего мира – для большинства это было просто невообразимо. Каждый год тысячи компаний страдают от наводнений, пожаров, торнадо, террористических атак, вандализма. Все компании без исключений могут столкнуться с такими событиями, но лишь немногие пытаются подготовиться к ним, оценивают потенциальные последствия, внедряют необходимые защитные меры. Большинство компаний, в которых происходят подобные события, прекращают свое существование, поэтому всем компаниям следует подготовиться и иметь необходимые средства и процедуры специально для таких случаев.

Прибыль любой компании и ее существование на рынке зависят от ресурсов, персонала и непрерывного выполнения ежедневных задач. У большинства компаний есть материальные ресурсы, интеллектуальная собственность, компьютеры, коммуникационные каналы, здания. Если хотя бы что-то одно из этого перечня повреждено или недоступно по той или иной причине, компании может быть нанесен ущерб. Если повреждено или недоступно более одного пункта из этого списка, в компании может возникнуть чрезвычайная ситуация. Если чрезвычайная ситуация продолжается длительное время, это может стать катастрофой для компании. Многие компании уже никогда не восстанавливаются после катастроф. Однако компании, которые надлежащим образом подготовились к ним, и «не держат все яйца в одной корзине», имеют гораздо больше шансов продолжить свой бизнес и остаться на рынке после чрезвычайной ситуации или катастрофы.

Целью восстановления после аварий (disaster recovery) является снижение влияния аварии и выполнение шагов, необходимых для максимально быстрого восстановления деятельности компании, доступности необходимых для этого ресурсов, бизнес-процессов и персонала. Это отличается от планирования непрерывности (continuity planning), которое относится к методам и процедурам, связанным с длительными простоями и авариями. Целью плана DRP (disaster recovery plan – план восстановления после аварий) является выполнение правильных действий сразу после возникновения аварии; обычно план DRP связан в первую очередь с информационными технологиями.

Работа по плану DRP выполняется, пока что-то находится в аварийном состоянии, и кто-то работает над тем, чтобы вернуть все критичные системы в нормальную работу. BCP (business continuity plan – план обеспечения непрерывности бизнеса) использует более широкий подход к этой проблеме. Работа по плану BCP включает перевод критичных систем в другую среду на время восстановления основной среды, обеспечение наличия нужных людей на нужных местах, выполнение основной деятельности компании в аварийном режиме, пока не будут восстановлены обычные условия. BCP также может включать в себя взаимодействие с клиентами, партнерами и акционерами с помощью различных каналов, пока все не вернется в нормальное состояние. DRP отвечает на вопрос: «О, ужас! Небеса упали на землю! Как мы будем ставить их на место?», а BCP отвечает на другой вопрос: «Итак, небеса упали на землю. Как наша компания будет продолжать свою деятельность, чтобы остаться на рынке, пока кто-то будет ставить небеса на место?».

Тема доступности, целостности и конфиденциальности проходит различные Домены этой книги. Каждый Домен по-свому рассматривает эти компоненты безопасности. Например, в Домене 02, когда мы обсуждали управление доступом, понятие доступности означало, что ресурс должен быть доступен для использования пользователями и субъектами контролируемым и безопасным образом. Средства управления доступом должны защищать целостность и/или конфиденциальность ресурса. Фактически, средство управления доступом должно выполнять множество шагов для обеспечения конфиденциальности ресурса и отсутствия возможности несанкционированного изменения его содержимого в процессе использования. В этом Домене мы будем говорить о том, что целостность и конфиденциальность должны обеспечиваться не только при выполнении повседневных процедур, но и при выполнении процедур в случае возникновения аварии. Например, не следует оставлять без контроля сервер, на котором хранится конфиденциальная информация, когда все покинули здание, в котором он находится, и перешли в другое здание.

Также, важно отметить, что компания при возникновении аварии или чрезвычайной ситуации может стать значительно более уязвимой, поскольку используемые для ее защиты сервисы безопасности могут оказаться недоступны или работать с ограниченными возможностями. Поэтому для компании, которая имеет множество различных секретов, очень важно обеспечить конфиденциальность и целостность данных и систем даже в случае, если люди и сама компания находятся в сложном положении. Доступность – это один из основных аспектов планирования непрерывности бизнеса, требуется обеспечить гарантии постоянной доступности критичных ресурсов людям и системам, которым они необходимы. Для этого может потребоваться надлежащее выполнение резервного копирования, обеспечение избыточности в архитектуре систем, сетей и выполняемой деятельности. На случай недоступности коммуникационных каналов в течение длительного периода времени, должен существовать быстрый и проверенный способ создания альтернативных коммуникаций и связанных с ними сервисов.

При планировании непрерывности бизнеса, некоторые компании уделяют основное внимание вопросам резервного копирования и обеспечении избыточности используемого оборудования. Хотя эти вещи безусловно очень важны, они являются лишь маленькой частью огромной картины функционирования компании. Компьютеры и оборудование бесполезны без людей, которые настроят их и которые будут работать на них, а данные обычно бесполезны, если они недоступны другим системам и, возможно, внешним субъектам. Поэтому, картина совместной работы всех процессов в рамках всей компании должна быть изучена и понятна перед началом планирования непрерывности бизнеса. Планирование должно включать в себя, в частности, обеспечение наличия нужных людей на нужных местах, документирование необходимых конфигураций, создание альтернативных коммуникационных каналов (для голоса и данных), обеспечение резервного электроснабжения. Для этого необходима уверенность в том, что все зависимости и взаимосвязи, включая процессы и приложения, полностью понятны и учтены. Например, может оказаться невозможным восстановить работу критичного сервера приложения, если в сети недоступен контроллер домена или DNS-сервер.

Также важно понять, каким образом автоматизированные задачи при необходимости можно выполнять вручную, какие изменения можно безопасно произвести в организации бизнес-процессов для продолжения выполнения критичных для компании операций в чрезвычайной ситуации. Это может быть крайне важным для обеспения уверенности, что компания сможет выжить при воздействии неблагоприятных обстоятельств, а их влияние на бизнес компании будет минимальным. Без понимания этих вопросов и надлежащего планирования, может оказаться, что в чрезвычайной ситуации у компании есть и резервные копии данных, и физически доступные отказоустойчивые сервера на альтернативной площадке, но люди, ответственные за введение их в работу, могут находиться в шоковом состоянии, и не знать, с чего начать и как выполнять обычную работу в альтернативной среде.

Планирование непрерывности бизнеса. Заранее запланированные процедуры позволяют компании:
  • Обеспечить немедленную и правильную реакцию в чрезвычайной ситуации
  • Защитить жизни людей и гарантировать их безопасность
  • Минимизировать негативное влияние на бизнес компании
  • Возобновить выполнение критичных для бизнеса функций
  • Воспользоваться услугами внешних поставщиков на период восстановления
  • Снизить беспорядок и неразбериху во время кризиса
  • Обеспечить выживание бизнеса компании
  • Обеспечить максимально быстрое восстановление функционирования после аварии
Должны быть приняты, в частности, следующие решения:
  • Позволить бизнес-партнерам знать о готовности вашей компании к чрезвычайным ситуациям
  • Повысить доверие со стороны акционеров и правления информированием их о готовности к чрезвычайным ситуациям
  • Выполнить требования отраслевых регуляторов в области ВСР (при наличии таких требований)
Хотя нет четкого маршрута, по которому нужно пройти для создания плана BCP, время от времени появляются различные лучшие практики на этот счет. В частности, NIST (National Institute of Standards and Technology - Национальный институт стандартов и технологий США) отвечает за разработку лучших практик и обеспечение общего доступа к ним. NIST предусмотрел следующие шаги в документе SP 800-34 «Руководство по планированию непрерывности для ИТ-систем» (http://csrc.nist.gov/publications/nistpubs/800-34-rev1/sp800-34-rev1.pdf):
  1. Разработать политику планирования непрерывности бизнеса (continuity planning policy statement). Написать политику, которая будет содержать необходимые руководящие принципы для разработки плана ВСР и определит необходимые ролям полномочия для выполнения возложенных на них задач.
  2. Провести Анализ воздействия на бизнес (BIA – business impact analysis). Идентифицировать критичные функции и системы, категорировать (приоритезировать) их на основе степени их критичности. Выявить уязвимости и угрозы, рассчитать риски.
  3. Определить превентивные защитные меры. После выявления угроз, выбрать и внедрить защитные меры и контроли для снижения уровня рисков компании экономически целесообразным способом.
  4. Разработать стратегии восстановления (recovery strategy). Описать методы, обеспечивающие оперативное восстановление работоспособности критичных систем и функций.
  5. Разработать план действий на случай чрезвычайных ситуаций (contingency plan). Описать процедуры, разработать руководства, которые обеспечат продолжение функционирования компании в аварийном состоянии.
  6. Протестировать план, провести тренинги и учения. Проверить план для выявления недостатков в нем, провести тренинги и учения для надлежащей подготовки людей к выполнению задач на случай чрезвычайной ситуации.
  7. Поддерживать актуальность плана. Предпринять шаги для своевременной актуализации плана.
В различных руководствах и планах компаний предусматриваются шаги, аналогичные указанным в SP800-34, но они иногда используют несколько иную терминологию. Например, (ISC)2 использует следующие шаги:
  1. Инициирование проекта
  2. BIA
  3. Стратегия восстановления
  4. Проектирование и разработка плана
  5. Внедрение
  6. Тестирование
  7. Постоянная поддержка
Сначала нужно понять, как работает компания. Компания не может рассчитывать на восстановление процессов после аварии, если у нее нет хорошего понимания того, как она (компания) работает. Это может показаться абсурдным на первый взгляд. Вы можете подумать: «Ну, конечно же, компания прекрасно знает как она работает!». Но вы будете удивлены тем, как на самом деле сложно полностью понимать на детальном (низком) уровне работу компании, детальные требования к воссозданию низкоуровневых процессов при необходимости. Каждый сотрудник компании знает и понимает свою маленькую часть общей работы компании, но изучить и полностью понять работу всех и каждого из бизнес-процессов компании – крайне сложная задача для любой компании. В задачи этой книги не входит детальное рассмотрение бизнес-процессов и корпоративной архитектуры, вы можете посмотреть хорошую модель здесь: www.intervista-institute.com/resources/zachman-poster.html. Это один из самых всеобъемлющих подходов к пониманию архитектуры компании и всех частей, из которых она состоит. Эта модель разбивает корпоративную архитектуру компании на ключевые компоненты, чтобы показать всевозможные требования к каждому бизнес-процессу. Она рассматривает такие компоненты инфраструктуры компании, как данные, функции, сети, персонал, время, мотивация, а также их взаимосвязь с ролями в компании. Преимущество этой модели состоит в том, что она разбивает бизнес-процессы до уровня атомов и показывает существующие взаимозависимости, каждая из которых должна работать надлежащим образом для эффективной и результативной работы процессов.

Модель на приведенной выше ссылке может помочь компании классифицировать различные корпоративные компоненты. На том же сайте содержатся и другие ресурсы, относящиеся к этой модели. Эта модель может оказаться очень полезной для команды ВСР, она может помочь понять ключевые компоненты компании, обеспечить уверенность что работа компании может быть воссоздана при необходимости.

Необходимые для реализации процесса планирования непрерывности бизнеса шаги показаны на Рисунке 7-1.

Рисунок 7-1. Составляющие процесса разработки плана непрерывности бизнеса

Хотя документ NIST SP800-34 относится к планам действий на случай чрезвычайных ситуаций в ИТ, те же шаги применимы для планирования непрерывности бизнеса в масштабах всей компании. В этом Домене рассмотрены эти шаги, позволяющие создать эффективный и полезный план ВСР.

Ссылки по теме:

Как было указано в Домене 01, каждая компания должна иметь политики безопасности, процедуры, стандарты и руководства. Наличие всех этих документов является частью хорошо управляемой среды, и дает преимущества с точки зрения функционирования и экономии средств. Все вместе они обеспечивают основу для программы безопасности компании. Эта программа также необходима для «выживания» компании. Поскольку в компании время от времени происходят изменения, следует обеспечить поддержание актуальности, выполнимости и эффективности программы безопасности.

Непрерывность бизнеса должна быть частью программы безопасности, должна учитываться при принятии бизнес-решений, а не просто упоминаться где-то в стороне. При ее надлежащей интеграции с процессами управления изменениями, обеспечивается возможность ее постоянной актуализаии и совершенствования. Непрерывность бизнеса является фундаментальной частью эффективной программы безопасности, поэтому очень важно убедиться в их соответствии друг другу.

Очень важным вопросом при первичной разработке плана ВСР является вопрос – зачем он разрабатывается. Может показаться, что ответ на этот вопрос очевиден, но это не всегда так. Можно предположить, что причиной является потребноть в плане на случай непредвиденной ситуации, позволяющем быстро и безопасно обеспечить возможность продолжения персоналом выполнения своих задач, но истинные причины часто являются несколько иными. Зачем работает большинство компаний? Чтобы зарабатывать деньги и получать прибыль. А раз это обычно является основной целью бизнеса, значит ВСР должна разрабатываться для помощи компании в получении прибыли и поддержании необходимых для этого процессов. Основной причиной разработки плана BCP является снижение рисков финансовых потерь посредством реализации способности компании быстро восстановиться и продолжить работу. Целью является минимизация влияния аварий и чрезвычайных ситуаций.

Не все компании работают для получения прибыли. Например, правительственные и военные службы, некоммерческие организации и т.п., существуют для обеспечения защиты или предоставления услуг государству или обществу. Таким образом, одни компании должны создавать свои планы ВСР для обеспечения непрерывного получения доходов, чтобы остаться на рынке, другие компании должны создавать ВСР для обеспечения выполнения возложенных на них важных задач. Хотя сферы внимания и бизнес-драйверы таких компаний могут отличаться, их планы ВСР часто имеют похожую структуру, обеспечивающую возможность восстановления работы их критичных процессов.

Обеспечить защиту самого важного для компании гораздо сложнее, если это «самое важное» не было предварительно идентифицировано. К этой задаче обычно привлекается высшее руководство компании, поскольку оно видит далеко вперед, дальше любого функционального руководителя, сосредоточенного на той области, за которую он отвечает. Бизнес-план компании обычно определяет миссию компании и критичные бизнес-функции. Для этих функций должны быть установлены приоритеты, указывающие, какие из них более критичны для выживания компании.

Для многих компаний наиболее критичными являются финансовые операции. Например, на автомобильную компанию значительно больше влияния окажет остановка на день работы ее финансовых служб, чем остановка на день ее сборочной линии. Для других компаний наиболее критичной областью может быть, например, клиентские службы.

При планировании действий в чрезвычайных ситуациях, учитываются предполагаемые и прогнозируемые проблемы. Однако может возникнуть и множество других проблем, которые не были учтены в этом плане, поэтому одним из наиболее важных свойств плана является его гибкость. План реализует систематический подход, предоставляя список действий, которые должны быть выполнены в случае чрезвычайной ситуации. План направлен на повышение эффективности и результативности выполнения необходимых работ в опасной ситуации.

Самым критичным аспектом при создании и поддержке актуальности плана непрерывности, является поддержка руководства. Руководство должно быть уверено в необходимости наличия этого плана. Должна существовать потребность бизнеса в получении и поддержке этого плана. Потребность бизнеса может быть вызвана наличием уязвимостей, требованиями регуляторов и законодательства, текущим состоянием планов восстановления и рекомендациями. Руководство сосредоточено главным образом на вопросах доходов и расходов, поэтому должно быть сделаны предварительные оценки и рассчитаны потенциальные потери. Решение о том, как компании следует восстанавливаться – это полностью бизнес-решение, и это всегда должно быть только так.

Сначала давайте разберемся с этапом инициирования проекта. На этом этапе компании нужно понять, что она делает и зачем.

После получения надлежащей поддержки руководства, должен быть определен координатор по непрерывности бизнеса (business continuity coordinator). Это руководитель команды ВСР, он будет руководить разработкой, тестированием и внедрением планов непрерывности и восстановления после аварий. Желательно, чтобы этот человек обладал хорошими коммуникативными и «политическими» навыками, а также имел достаточно времени для выполнения своих обязанностей в рамках этой роли, поскольку он должен будет координировать деятельность множества различных подразделений. Этот человек должен иметь возможность напрямую обращаться к руководству, уметь убеждать и иметь полномочия для выполнения своих руководящих задач.

Руководителю нужна команда, для этого следует организовать Комитет по ВСР. Руководство и координатор должны совместно отобрать квалифицированных людей для работы в этом Комитете. Команда должна быть составлена из людей, находящихся в хороших отношениях с различными подразделениями компании, поскольку каждое подразделение имеет уникальные функции, а также свои особые риски и угрозы. Желательно все проблемы и угрозы проработать, обсудить с заинтересованными лицами и свести в одну таблицу. Представители от каждого подразделения должны быть привлечены к этой работе не только на этапе планирования, но и на этапах тестирования и реализации. Также следует обеспечить, чтобы в разработке плана BCP участвовали люди, которым предстоит выполнять его. Если необходимо, чтобы в критической ситуации люди выполнили определенные задачи, следует особо обратить на это их внимание на этапах планирования и тестирования.

Как минимум, в Комитет должны войти представители следующих подразделений:

  • Бизнес-подразделения
  • Высшее руководство
  • Департамент ИТ
  • Департамент безопасности
  • Департамент по связям с общественностью
  • Юридический департамент
После этого команда совместно с руководством должна проработать конечные цели плана, определить критичные для бизнеса аспекты, которые должны быть учтены в первую очередь при возникновении чрезвычайной ситуации, а также определить приоритеты подразделений и задач. Руководство должно напрямую оказывать помощь команде при определении границ проекта и конкретизации его целей. Казалось бы, что границы и цели проекта очевидны – нужно защитить компанию. Но на самом деле все не так просто. Предполагается, что команда должна разработать план ВСР для одного офиса компании или для всех? Должны ли быть учтены широкомасштабные угрозы, такие, как ураганы, торнадо, наводнения, террористические акты, либо достаточно будет учесть только локальные проблемы, например, неработоспособность коммуникационного канала, нарушение электроснабжения, отсутствие интернет-соединения? Каков профиль угроз для компании? Ведь если границы проекта не определены надлежащим образом, как вы узнаете, что проект завершен?ПРИМЕЧАНИЕ. Большинство компаний включает в область проекта по разработке плана ВСР только широкомасштабные угрозы. Небольшие локальные угрозы покрываются независимыми планами действий на случай аварий и чрезвычайных ситуаций на уровне отдельных подразделений.На этом этапе, команда совместно с руководством должна разработать политику планирования непрерывности бизнеса (continuity planning policy statement). Эта политика должна определить границы проекта ВСР, роли членов команды и цели проекта. Обычно этот документ описывает, что должно быть сделано после переговоров команды с руководством и достижения соглашения по срокам проекта. Этот документ должен быть одобрен руководством, чтобы гарантировать отсутствие предположений и недомолвок, принятие достигнутых соглашений всеми участниками.

Затем координатору проекта ВСР нужно воспользоваться нексколькими хорошими, проверенными навыками управления проектами (см. Таблицу 7-1). При разработке плана проекта, должны быть учтены следующие вопросы:

  • Связь целей с задачами
  • Связь ресурсов с задачами
  • Промежуточные итоги
  • Сметы затрат
  • Факторы успеха
  • Сроки

Таблица 7-1. Шаги, которые должны быть задокументированы и приняты

После разработки плана проекта, его следует направить руководству для формального утверждения. Работа по плану должна начаться только после его утверждения. Очень важно, чтобы в этом плане не было предположений, и чтобы координатору было предоставлено официальное разрешение на использование необходимых для проекта ресурсов. Только после этого можно двигаться дальше.

dorlov.blogspot.ru

Управление непрерывностью бизнеса

Неотъемлемая часть корпоративного управления

Современный бизнес отличают динамичность и стремительность, поэтому нарушение нормального ритма работы даже на несколько часов может иметь катастрофические последствия для прибыльности и репутации пострадавшей компании. Притом что такие негативные последствия наступают практически сразу же, они также могут подорвать жизнеспособность организации и в долгосрочной перспективе.

Управление непрерывностью бизнеса обеспечивает эффективную "профилактику" внезапных нарушений рабочего режима, кризисных и чрезвычайных ситуаций и позволяет организациям оперативно восстановить обычный деловой ритм в случае наступления таких событий. Как только план по непрерывности бизнеса подготовлен, его необходимо протестировать, чтобы удостовериться, что процедуры работают так, как и планировалось.

Преимущества управления непрерывностью бизнеса

Предусмотреть все возможные сценарии и подготовиться к ним невозможно; однако чем больше глубина и масштаб планирования и подготовительных мероприятий, тем эффективней организация сможет отреагировать на непредвиденные события. Четкий и ясный план управления непрерывностью бизнеса в обязательном порядке предусматривает последовательность действий, объем ресурсов и процедуры, которые необходимы для профилактики кризисных ситуаций, принятия контрмер и устранения последствий в случае их наступления. Эффективная функция управления непрерывностью бизнеса обеспечивает организации следующие возможности и преимущества:

  • повышенная готовность персонала к обеспечению собственной безопасности и осуществлению компанией необходимых мероприятий в организованном порядке
  • выполнение требований законодательства и финансовых обязательств, что исключает возникновение штрафных санкций и судебных споров
  • восстановление бизнес-процессов организации в порядке установленных приоритетов с целью оптимального распределения ресурсов, необходимых для защиты доходов и снижения затрат
  • решения в области управления инфраструктурой/рабочим пространством, позволяющие уравновесить высокие издержки на недвижимость с необходимостью рассредоточения интеллектуального капитала организации
  • стратегии реагирования, учитывающие особенности бизнеса организации, сфокусированные на сценариях высокой вероятности и обеспечивающие эффективное и результативное распределение бюджета, выделенного на осуществление плана управления непрерывностью бизнеса
  • хорошо продуманная концепция реагирования на критические ситуации/информационного взаимодействия, разработанная с учетом как внутрикорпоративных, так и внешних требований
  • информированность о планах управления непрерывностью бизнеса, разработанных бизнес-партнерами/третьими сторонами, которая позволяет обеспечить непрерывность бизнеса и защиту всей цепочки создания стоимости.

Наши совместные проекты могут начинаться с любой фазы жизненного цикла управления непрерывностью бизнеса и будут учитывать организационную стратегию и бизнес-потребностям вашей организации.

  • Анализ последствий для бизнеса и оценка рисков: понимание ключевых бизнес-функций и бизнес-процессов в масштабах всего предприятия
  • Выбор стратегии восстановления работоспособности: определение осуществимых и экономически эффективных стратегий
  • Разработка Плана обеспечения непрерывности бизнеса, Плана восстановления бизнеса в случае возникновения чрезвычайных ситуаций и Плана по управлению в кризисных ситуациях: использование подхода, предусматривающего проведение семинаров для выработки реалистичных планов восстановления бизнеса после нарушения в работе
  • Тестирование и поддержание работоспособности Плана обеспечения непрерывности бизнеса: тестирование, ставящее все более сложные задачи перед вашими рабочими группами
  • Оценка программы управления непрерывностью бизнеса, включая оценки отдельных планов: понимание того, соответствует ли программа вашей организации существующим стандартам и сопоставима ли она с программами других компаний 

Оценка готовности к чрезвычайным ситуациям и разработка плана действий: предоставление помощи нашим клиентам, которая призвана обеспечить безопасность их персонала.

www.pwc.ru

Непрерывность деятельности: синергия ИТ и бизнеса

Непрерывность деятельности: синергия ИТ и бизнеса

Тезис о критической важности информационных технологий для современного бизнеса уже стал общим местом. Информационные технологии дают бизнесу массу преимуществ: ускорение выполнения бизнес-процессов, сокращение времени вывода на рынок новых продуктов и услуг, повышение скорости и точности выполнения рутинных операций, снижение риска человеческих ошибок и т.д., и т.п. Но есть и оборотная сторона: бизнес зависит от ИТ, не может без них функционировать и фактически становится их заложником. И по мере все более глубокого проникновения «диджитализации» во все сферы бизнеса эта тенденция будет только усиливаться.

Цена сбоя

Современному бизнесу приходится функционировать в режиме real-time. Онлайн-покупки, онлайн-банкинг, отслеживание статуса доставки груза в режиме реального времени или движения продукции на производстве, мгновенный доступ к корпоративным базам данных для удаленного агента или к статистике спроса на товары для менеджера в офисе – эти и многие другие бизнес-процессы и задачи требуют непрерывной поддержки со стороны ИТ. И если вчера простой бизнес-процесса, скажем, в течение часа, мог пройти для организации относительно безболезненно, сегодня это чревато ощутимыми финансовыми потерями.

В 2014 г. корпорация EMC опросила 3,3 тыс. ИТ-руководителей из 24 стран мира о размере убытков от потерь данных и недоступности ИТ-сервисов. По данным исследования, компании с численностью сотрудников более 250 человек в 2013 г. потеряли $1,7 трлн из-за указанных причин.

Исследование Veeam за 2016 г. было направлено на выявление потерь от прерывания доступа к данным и приложениям. Согласно данным опроса лиц, принимающих решения в сфере ИТ, — 1140 человек из 24 стран, нарушения непрерывности в среднем могут обходиться компаниям в сумму до $16 млн ежегодно. Эта сумма на $6 млн больше, чем по результатам исследования 2014 г.

Что же лица, принимающие решение в сфере ИТ, считают нужным предпринять для предотвращения простоев? Почти все респонденты Veeam хотели бы расширить возможности корпоративных ЦОД. Больше половины из них заявили о стремлении к высокой скорости восстановления доступности серверов и приложений (не более чем за 15 минут) и предотвращению потерь данных (потери — менее чем за 15 минут). 71% опрошенных отметили, что стимулом к модернизации ЦОД является реализация концепции непрерывности бизнеса.

Что на практике?

Что касается ситуации на российском рынке, то необходимость обеспечения непрерывности бизнеса хорошо осознается в большинстве компаний. Для многих организаций обязанность управления непрерывностью деятельности предписывается законодательными или нормативными требованиями, но при этом соответствие требованиям не является ни единственным, ни главным мотивом для внедрения концепции непрерывности. Руководители заинтересованы не в формальной, а в реальной непрерывности деятельности компании как в факторе повышения доходности, конкурентоспособности, укрепления деловой репутации. Ключевая роль ИТ в этом процессе также хорошо осознается. К настоящему времени практически у всех крупных компаний ключевые ИТ-системы резервируются, в том числе на базе резервных ЦОД.

Однако на практике мы сталкиваемся с тем, что в компаниях, которые внедряют или, как они считают, уже внедрили концепцию непрерывности бизнеса, полноценного процесса обеспечения непрерывности деятельности нет! Почти ни у кого! Дорогостоящие и, казалось бы, правильно реализованные технические решения в критической ситуации оказываются неработоспособными. В чем причина?

Зачастую в организациях, где есть резервный дата-центр, в лучшем случае существуют инструкции по переезду ИТ-систем, но нет ни планов восстановления, ни политики обеспечения непрерывности, ни другой процессной документации.

У других с документацией все хорошо: процессы восстановления описаны подробно и правильно. Но для их реализации нет материальной базы: на какую площадку должны «переезжать» информационные системы, куда должны перемещаться люди, где в случае аварии будут находиться их рабочие места?

Нередки случаи, когда в организации есть и документы, и технические решения, но все это реализовано фрагментарно, и в случае нештатной ситуации никто не понимает четко, кому за что отвечать и что конкретно делать: куда эскалировать проблему, кому давать поручения, чьи указания выполнять и т.д.

И даже там, где есть проработанные планы восстановления и хорошие технические решения, практически никогда не проводится их периодическое тестирование. А ведь недоработки в планах существуют всегда, и без «обкатки» плана в боевом режиме их невозможно обнаружить. Равно как и удостовериться, что по прошествии некоторого времени план остался актуальным, а информационные системы и технические решения готовы к быстрому восстановлению.

Распространенными проблемами также являются отсутствие корпоративной культуры в области обеспечения непрерывности, стратегии обеспечения непрерывности и интеграции процесса обеспечения непрерывности в процесс управления изменениями в компании.

Но главная и самая распространенная проблема — отсутствие вовлеченности руководства в процесс обеспечения непрерывности бизнеса.

Решить все перечисленные проблемы одним махом, конечно, не получится. Но, отдавая себе отчет в том, что проблемы есть, можно, как минимум, определить для себя целевое состояние по обеспечению непрерывности и выработать стратегию поэтапного движения к идеальной картине.

Узнайте свои ИТ!

Непрерывность бизнеса подразумевает бесперебойную деятельность организации в целом, включая производственное оборудование, средства коммуникации, бизнес-процессы, персонал. Следовательно, обеспечение непрерывности требует синергии усилий ИТ- и бизнес-руководства. И это касается не только вопросов бюджетирования. Шансы реализовать концепцию непрерывности бизнеса значительно повышаются, если бизнес-руководитель понимает, как функционирует ИТ-служба, к каким последствиям ведут те или иные изменения в информационном ландшафте и способах предоставления ИТ-сервисов. Идеальной является ситуация, когда ИТ-руководитель выступает для бизнеса как партнер, хорошо понимающий специфику деятельности компании, риски и преимущества внедрения тех или иных технических решений для основной деятельности, когда ИТ-служба и бизнес одинаково понимают цели компании и совместно работают на конечный бизнес-результат. Но, к сожалению, такая ситуация пока существует далеко не во всех организациях, чаще ИТ-служба является для бизнеса обслуживающей инстанцией, причем иногда действующей по принципу «черного ящика», т.е. непрозрачно для бизнес-руководства.

Ниже приведен перечень вопросов, которые бизнес-руководитель должен задать ИТ-директору, чтобы понимать положение дел в части обеспечения непрерывности ИТ-сервисов в организации и готовности ИТ к поддержанию непрерывности бизнес-процессов. Оговоримся: мы исходим из того, что процесс обеспечения непрерывности бизнеса в компании либо уже внедрен, либо внедряется.

1. Кто и как часто проводит аудит процесса непрерывности бизнеса или ИТ-услуг в вашей компании?

Задача аудита — определить, какие фактические показатели восстановления могут обеспечить существующая инфраструктура и процессы, а также выявить потенциально проблемные зоны. Если вам требуется сертификация по требованиям международных стандартов, аудит будет выполнять специализированная консалтинговая компания; если нужна оценка соответствия корпоративным стандартам, это будет делать дирекция внутреннего аудита или аналогичная структура в рамках корпорации/холдинга. Но независимо от этого нужен периодический внутренний аудит (самооценка) — он необходим не просто для того, чтобы отчитаться перед внешними аудиторами, но и чтобы понять, насколько процесс обеспечения непрерывности отвечает тем целям, которые ставит бизнес, насколько декларируемые параметры ИТ-сервисов совпадают с реальными, что делает ИТ-служба, чтобы соблюсти заданные метрики, от каких рисков она защищает бизнес.

Кому поручить проведение внутреннего аудита — выбор бизнес-руководителя, главное, чтобы это была независимая оценка, т.е. аудиторами должны быть люди, непосредственно не вовлеченные в проверяемые процессы. Частота проведения аудита зависит от того, насколько часто происходят изменения в бизнес-процессах и в ИТ-ландшафте организации. Как правило, после выявления узких мест и возможных точек отказа разрабатывается пошаговый план их устранения.

2. Есть ли в вашем процессе обеспечения непрерывности внутренние KPI, по которым оценивается эффективность данного процесса?

KPI позволяют оценить, в правильном ли направлении действует служба ИТ и какова степень достижения поставленных задач по обеспечению непрерывности ИТ-сервисов. Например, если поставлена цель зарезервировать все mission critical-системы, в качестве KPI может быть определен процент систем, резервирование которых обеспечено в течение года. Для зарезервированных систем в качестве KPI может быть выбран процент успешных тестов на отказоустойчивость. Еще одна из возможных метрик — количество бизнес-подразделений, охваченных периодическим тестированием непрерывности деятельности. Какие KPI выбрать и какие показатели задать, зависит от стратегии и специфики бизнеса. Единых универсальных метрик не существует, их выбор — вопрос приоритетов конкретной компании.

3. Существует ли политика (регламент) процесса непрерывности бизнеса и описывает ли он входы и выходы из процесса?

Политика (регламент) непрерывности бизнеса описывает цели, которые организация преследует, внедряя процесс обеспечения непрерывности бизнеса, рамки этой деятельности, выделяемые для этого ресурсы. Это документ верхнего уровня, небольшой по объему, но важный, и его вполне можно разработать собственными силами. Важно, чтобы в политике были описаны все входы в процесс и все выходы из процесса. Например, чтобы любые запросы на изменения в ИТ (появление новой ИТ-услуги или изменение параметров существующей, внедрение новой технологии и пр.) фиксировались и служили триггерами для изменений в рамках процесса управления непрерывностью. Если, предположим, на «вход» этого процесса поступает запрос на внедрение новой системы, на «выходе» должны быть параметры ее доступности и отказоустойчивости, требования интеграции с другими системами и т.д.

Обычно регламент обеспечения непрерывности бизнеса подлежит актуализации не реже 1 раза в год либо в случае существенных изменений в организационно-штатной структуре или бизнес-процессах организации.

4. Разработана ли стратегия обеспечения непрерывности бизнеса?

Стратегия — более детальный документ, в котором описываются конкретные действия, совершаемые в целях обеспечения непрерывности деятельности организации. Цели должны быть описаны в измеримых метриках (показателях доступности инфраструктуры, доступности данных, доступности персонала и т.д.). Результаты действий, которые выполняет каждое вовлеченное подразделение на пути к цели, тоже должны поддаваться оценке. Иными словами, стратегия должна давать всем участникам процесса (руководству, ИТ-службе, бизнес-подразделениям) понимание того, «куда идти и как туда добраться».

5. Как часто и когда последний раз в компании проводились BIA (Business Impact Analysis) и RA (Risk Assessment)? Есть ли матрица зависимости бизнес-процессов/бизнес-услуг от ИТ-услуг/ИТ-систем/инфраструктуры?

Цель BIA – определение степени важности тех или иных ИТ-функций для бизнеса организации, их взаимного влияния, а также анализ последствий их нарушения. Сотрудники ИТ-подразделений, скорее всего, обладают этими знаниями, хотя, возможно, в неструктурированном и неформализованном виде. Составление матрицы зависимости бизнеса от ИТ поможет расставить приоритеты восстановления ИТ-функций в случае сбоя и правильно распределять усилия и ресурсы при планировании восстановительных мер. На первом этапе будет достаточно разработать только часть матрицы, описывающую хотя бы один важный бизнес-процесс.

Результатом оценки рисков (RA) должно стать определение вероятности наступления тех или иных событий, несущих угрозу для непрерывности бизнеса, и тяжести возможных последствий. Составляется реестр рисков, содержащий перечень кризисных ситуаций, защиту от которых планируется обеспечить в рамках процесса непрерывности бизнеса.

К сожалению, предсказать все возможные риски и полный объем их последствий — задача практически невыполнимая. Но не обязательно, особенно на первом этапе, создавать обширный исчерпывающий и детальный реестр. Можно даже начать с одного риска, серьезность которого очевидна и необходимость защиты от которого необходима. Даже если такой реестр рисков уже существует в организации, его не стоит сразу использовать целиком — лучше выбрать один риск и сосредоточиться на защите от него. Построив процесс защиты от одного риска, будет гораздо проще расширить процесс и на другие риски.

С какой частотой проводить BIA и RA, каждая компания должна решить для себя сама – ей лучше известно, как часто в ней происходят изменения: внедряются технологии, перестраиваются услуги, процессы. Рекомендуемая периодичность BIA – раз в год или, если процесс анализа занимает много времени, как это бывает в крупных организациях, раз в 2 года, но не реже. RA, как правило, проводится на постоянной основе, минимум раз в год с ежеквартальными сверками.

6. Представители каких бизнес-подразделений согласовывают результаты BIA и классификацию критичности бизнес-процессов (ИТ-услуг)?

Напомним: непрерывность деятельности — результат совместных усилий бизнес- и ИТ-подразделений. Задачи ИТ-подразделению ставит бизнес, и бизнес же оценивает результат. Поэтому ИТ-руководитель не может единолично согласовывать результаты BIA. В согласовании должны участвовать все структуры организации, непрерывность бизнес-процессов которых зависит от непрерывности ИТ-сервисов, а также все подразделения, которые давали информацию для проведения оценки допустимых потерь по разным показателям ущерба: финансисты, маркетологи, PR, HR и т.д. Если информация для BIA была получена на основании внутреннего аудита, аудиторы тоже должны быть привлечены к согласованию.

7. Вносились ли после этого изменения в стратегии обеспечения непрерывности?

Управление непрерывностью бизнеса компании — процесс циклический. Он должен постоянно совершенствоваться с учетом изменений в бизнесе, информационных технологиях, законодательстве и других областях, влияющих на деятельность компании. Актуализируется ли ваша стратегия обеспечения непрерывности после очередных процедур BIA и RA?

8. Может ли ИТ-руководитель показать график вложений по годам, CAPEX и OPEX на решения по обеспечению непрерывности и кривую уменьшения рисков (финансовую оценку) потери критичных ресурсов?

Есть ли у вас понимание, во имя чего необходимы инвестиции в программы поддержки непрерывности бизнеса, какой они дадут результат? Если расчетные данные у ИТ-службы действительно есть, они должны быть согласованы со всеми заинтересованными подразделениями и, в идеале, с финансовой службой.

9. Когда последний раз в вашей компании проводились тестирования BCP-планов, DRP-планов, планов антикризисного реагирования? Тестирование этих планов проводится ИТ-подразделением самостоятельно или с участием бизнес-подразделений?

Есть ли у вас стратегия тестирования элементов процесса непрерывности бизнеса с описанием того, каким образом проверяется работоспособность технических средств, процессов, регламентов, сотрудников? В этом документе должны быть указаны типы тестирования, рекомендуемая частота его проведения, лица, ответственные за подготовку, проведение и наблюдение за тестированием, приведены образцы протоколов тестирования. Тестирование — это главный метод, позволяющий вашей организации улучшать то, что уже сделано, и набираться опыта.

Подводя итог…

Хочется еще раз подчеркнуть, что обеспечение непрерывности — комплексная задача, и решить ее силами отдельных подразделений не получится. Кроме того, у всякой инициативы должен быть «спонсор».

Разовым выделением средств на «закрытие» того или иного риска вопросы непрерывности не решаются. Обеспечение непрерывности деятельности компании — процесс постоянный, и его финансирование должно быть постоянной статьей бюджета.

Комплексный подход к задаче обеспечения непрерывности бизнеса (т.е. участие в этом процессе всех подразделений) и регулярное финансирование могут существовать в организации только при условии вовлеченности руководства. В противном случае предпринятые усилия окажутся малоэффективными.

Следует также отметить, что обеспечение непрерывности бизнеса — процесс циклический. Анализ процессов организации, разработка мер защиты, внедрение этих мер, их тестирование — этот цикл должен непрерывно повторяться. И все сотрудники организации должны это понимать и быть к этому готовы. Иными словами, действия, направленные на обеспечение непрерывности бизнеса, должны стать частью корпоративной культуры.

Авторы:

Людмила Леснова, специальный корреспондент JETINFO

Роман Лукин, руководитель группы ИТ-аудита и консалтинга компании «Инфосистемы Джет» Вернуться к списку статей

www.jetinfo.ru

Непрерывность как концепция бизнеса — ISO27000.ru

Владеющая крупнейшей в России сетью официальных дилерских центров по продаже и техническому обслуживанию автомобилей Toyota и Lexus компания «СП Бизнес Кар», как и многие другие российские продавцы иномарок, в последние годы демонстрирует высокие темпы роста. Численность персонала удваивается каждые два года и, как ожидается, к концу 2007 года составит около 2 тыс. человек. К этому времени появится пять новых центров по продаже и техническому обслуживанию автомобилей Toyota и Lexus (на сегодняшний день в состав компании входит четыре торгово-технических центра). Крупнейшие из них строятся на Рублевском и Каширском шоссе.

Информационные технологии в «СП Бизнес Кар» развиваются одновременно с ростом бизнеса, и каждый виток в этом развитии ставит перед департаментом ИТ новые задачи.

В качестве партнера по созданию и развитию системы выступает компания TopS BI (ее сотрудничество с «СП Бизнес Кар» началось в 1998 году). Служащие департамента ИТ отмечают, что формирование совместных рабочих групп, в состав которых входят хорошо им известные «внешние» специалисты, существенно уменьшает время внедрения и упрощает освоение новых решений.

Архитектура системы

Информационная система предприятия состоит из трех уровней: базового, операционного и финансово-учетного. Базовый (инфраструктурный) уровень охватывает корпоративную сеть, объединяющую филиалы компании, серверы, инженерные системы, коммуникационное оборудование, рабочие станции и сервисы офисного назначения (в их числе — электронная почта, доступ в Internet, корпоративная система антивирусной защиты и т. д.).

Операционный уровень автоматизирует текущую деятельность коммерческих подразделений. «С самого начала разработки корпоративной системы мы решили для себя, что все процессы, связанные с обслуживанием клиентов, будем автоматизировать самостоятельно, чтобы максимально полно учесть подходы и стандарты, которые имеются у нашей компании и у Toyota», — поясняет директор департамента информационных технологий Андрей Семенчук. Силами специалистов ИТ была разработана и успешно эксплуатируется система ТОСИС (от английского Toyota Center Information System, TOCIS). Система автоматизирует ключевые бизнес-процессы торгово-технических центров, включая розничные и оптовые продажи автомобилей, запасных частей и аксессуаров, учет складских запасов и технологию сервисного обслуживания автомобилей.

«Создавая ТОСИС, мы отразили в ней специфику работы нашей компании, к которой можно отнести централизованное использование информационных ресурсов при условии территориальной удаленности пользователей. Единые для всей компании справочники, каталоги, базы данных о складских запасах, о клиентах позволяют нам обеспечить оперативное и эффективное обслуживание. ТОСИС обладает рядом важных функций, — это многовалютность, параметризация ставки НДС, гибкая система ценообразования, полная интеграция с фирменным каталогом запчастей, а также поддерживает интерфейсы для взаимодействия с информационной системой дистрибьютора и многое другое, — поясняет Семенчук. — Нам очень важно обеспечить устойчивую и непрерывную работу ТОСИС, поскольку ее остановка приводит к задержкам в обслуживании, росту числа неудовлетворенных клиентов, а, следовательно, и к финансовым потерям компании».

ТОСИС является источником первичной информации для третьего уровня информационной системы компании — финансово-учетного, который представляет собой вершину информационной «пирамиды» компании. Он состоит из бухгалтерских, финансовых систем и системы бюджетного управления. Последняя реализована на основе продукта Oracle Financial Analyzer. Для того чтобы полностью охватить бизнес-процесс бюджетного управления в компании, начат проект по переходу на программный комплекс следующего поколения — Oracle Enterprise Planning and Budgeting.

Проблема интеграции информационных ресурсов в компании решается как за счет разработки прямых интерфейсов между системами, так и посредством организационных мер — регламентов заполнения справочников, назначения ответственных за достоверность информации и т. д. Особенно пристальное внимание уделяется качеству данных, которые используются для формирования бухгалтерской и финансовой отчетностей.

Информация в компании циркулирует от нижнего уровня приложений к верхнему и от верхнего к нижнему. В частности, система операционного уровня ТОСИС передает информацию на финансово-учетный уровень. После обработки и агрегации данные возвращаются на операционный уровень в виде конкретных планов и бюджетов для всех подразделений компании. Эта схема стабильно работает и является важным элементом в цепи мер, обеспечивающих непрерывность бизнеса.

Реорганизация ИТ

Как отмечает Семенчук, заранее просчитать и спрогнозировать темпы и направление роста бизнеса невозможно, это затрудняет разработку ИТ-стратегии. «Однако благодаря тому, что руководство компании в полной мере осознает степень влияния ИТ на бизнес, мы всегда имеем доступ к самой свежей информации о планах развития бизнеса. Это позволяет соответствующим образом корректировать планы в области ИТ», — подчеркивает он.

Сегодня одной из самых актуальных задач является обеспечение непрерывности бизнеса в условиях динамичного роста организации. Оперативная деятельность компании напрямую зависит от стабильности работы ИТ, поэтому вопросы отказоустойчивости и масштабируемости сейчас выходят на первый план.

Как показал проведенный в 2004 году анализ информационной системы компании, самым уязвимым звеном с точки зрения обеспечения непрерывности бизнеса является инфраструктурный уровень. Он оказался не готов к прогнозируемому росту, поэтому в середине того же 2004 года был начат проект по модернизации ИТ-инфраструктуры. Среди его основных задач — разработка и внедрение масштабируемой архитектуры корпоративной сети, консолидация общекорпоративных сервисов в едином центре обработки данных, а также повышение производительности и отказоустойчивости ТОСИС. На текущий момент большая часть этих задач успешно реализована.

Модернизация корпоративной сети

Проект по реорганизации корпоративной сети «СП Бизнес Кар» определил архитектуру построения отказоустойчивой информационной системы.

Значительному обновлению подверглась территориально-распределенная мультисервисная корпоративная сеть, обеспечивающая передачу данных между 350 рабочими станциями пользователей и корпоративными приложениями. Сеть была построена в конце 90-х годов на базе технологии ATM и проектировалась в расчете на децентрализацию ресурсов. Со временем децентрализованная транспортная структура перестала соответствовать особенностям бизнеса компании.

На смену ей пришла единая централизованная IP-инфраструктура, осуществляющая передачу данных, видео и корпоративного телефонного трафика. Она построена по топологии «звезда». Взаимодействие с удаленными подразделениями осуществляется посредством выделенных каналов.

Применение резервных каналов передачи данных вполне актуально. Это подтвердил случай, когда в коллекторе вырезали волоконно-оптический кабель, содержащий, как, вероятно, думали злоумышленники, цветные металлы, что привело к перерыву в работе двух центров. На устранение аварии ушло 12 часов напряженной работы специалистов.

В данный момент компания не использует резервные каналы связи, поскольку для обеспечения эффективного резервирования телекоммуникаций необходимо построить дублирующую сеть, основанную на инфраструктуре еще одного поставщика телекоммуникационных услуг и имеющую минимум пересечений с сетью основного провайдера. В Москве это реализовать достаточно сложно, тем не менее работы в этом направлении ведутся. В ближайшие несколько лет планируется разработать приемлемое решение и развернуть резервную транспортную сеть.

Телефонная сеть компании также подверглась модернизации. Обновленные АТС Siemens семейства HiPath обеспечивают передачу межстанционного телефонного трафика через корпоративные каналы связи, используя технологию VoIP. Такое решение позволяет оптимальным образом распределить нагрузку между шестью АТС компании и максимально эффективно использовать городские линии связи, обрабатывая до 25 тыс. звонков в день.

Обеспечение торгово-технических центров телефонной связью является очень важной задачей. Для того чтобы свести к минимуму последствия возможных сбоев, каждый филиал, обслуживающий более ста телефонных абонентов, имеет собственный телефонный узел. Малые и средние филиалы используют ресурсы центральной телефонной станции. После того как будет построена резервная сеть передачи данных, компания «автоматически» получит отказоустойчивую телефонную сеть: на переключение маршрута прохождения телефонных звонков потребуется всего 10-15 минут.

В модернизируемой информационной инфраструктуре используются различные решения для защиты от вирусных, хакерских атак и для предотвращения сбоев оборудования. Эти решения рассматриваются в качестве инструментов обеспечения непрерывности бизнеса, поскольку сбои и атаки могут нарушить нормальную деятельность предприятия. К таким инструментам относятся межсетевой экран компании CheckPoint, применяемый для организации безопасного корпоративного доступа в Internet, и комплекс многоуровневой антивирусной защиты, построенный на основе программных продуктов семейства Symantec Antivirus Enterprise Edition, обеспечивающего автоматическое обновление антивирусных баз вычислительных систем во всей организации всего за десять минут. Мониторинг состояния сетевых устройств и серверов осуществляется посредством системы WhatsUP Gold компании Ipswitch.

Для предотвращения несанкционированных действий пользователей предусмотрено ограничение конфигураций вновь подключаемых и уже работающих в сети пользовательских компьютеров: отсутствие накопителей CD-ROM, блокировка USB-портов и т. п.

Центр обработки данных

Анализ информационных потоков компании выявил необходимость организации единого центра обработки данных, в котором сосредоточены общекорпоративные сервисы. Структурными компонентами нового ядра ИТ-инфраструктуры являются серверный пул и средства резервного копирования, коммутаторы магистрального сегмента корпоративной сети, центральная АТС, системы гарантированного электропитания и кондиционирования. В состав основных функций входят поддержка ключевых бизнес-приложений, единая служба каталога и ее сервисы, обеспечение безопасного выхода пользователей в Internet, коммутация корпоративных телефонных потоков.

Согласно намеченным планам, в 2006 году центральное ядро информационной системы должно быть переведено из Лосиного Острова в торгово-технический центр компании на Рублевском шоссе. Такое унифицированное ядро создано в виде функционально завершенного логического решения, не зависящего от конкретного места расположения в сети торгово-технических центров. Физический перенос оборудования центрального ядра и коммутация каналов связи могут быть осуществлены в течение двух выходных дней.

Позже, когда аналогичное ядро появится в комплексе, расположенном в районе Каширского шоссе, будут предусмотрены все необходимые средства для взаимодействия основного и резервного центров обработки данных и организована связь каждого из них с вычислительными и коммуникационными комплексами всех торгово-технических центров компании.

Совершенствование систем операционного уровня

Одна из важнейших задач заключалась в подготовке системы ТОСИС к двукратному росту числа пользователей. В середине рабочего дня регистрировалось более 850 одновременных подключений к СУБД, и постоянный рост числа сессий стал снижать эффективность работы данной системы. Дальнейший рост компании мог лишь усугубить сложившуюся ситуацию.

В результате анализа работы СУБД (в компании использовалась Oracle 9) и связанных с ней приложений было принято решение о переходе с 4-процессорного Intel-сервера Hewlett-Packard DL-580 c 8 Гбайт памяти на более производительную и устойчивую 64-разрядную платформу HP-UX на базе серверов с процессорами Itanium 2. Одновременно с этим осуществлен переход с СУБД на Oracle 10g. Сегодня для работы СУБД используются два сервера HP Integrity rx4640, причем один из них в режиме «горячего» резерва. Через оптическую сеть SAN серверы связаны с рабочим дисковым массивом HP Virtual Array 7110 и предназначенной для регулярного резервного копирования данных на ленточную библиотеку HP MSL6030.

«Если раньше в случае выхода из строя основного сервера передача управления на резервный требовала от двух до четырех часов, то теперь — менее часа», — комментирует Семенчук.

К настоящему времени удалось достичь повышения производительности и надежности функционирования ТОСИС, а также организовать управление резервным копированием и восстановлением данных на всех площадках, где установлены ленточные библиотеки (для этого используется единая консоль HP OpenView Data Protector).

В дальнейшем для обеспечения поддержки всех жизненно важных приложений, включая ТОСИС, компания планирует внедрить технологию Oracle Real Application Cluster.

Бизнес и его непрерывность

Торгово-технические центры компании сейчас обслуживают около 70 тыс. машин в год. К 2007 году, с открытием новых центров, эти показатели должны существенно возрасти.

Проектирование новых серверных площадок осуществляется с соблюдением всех строительных норм и правил для помещений такого типа. Создание оптимальных климатических условий обеспечивается автономными прецизионными кондиционерами, связанными с централизованной системой энергоснабжения. В компании особое внимание уделяется инженерным системам, обеспечивающим необходимые условия для функционирования оборудования.

«Нас не раз выручали системы бесперебойного питания APC Symetra RM 6000, способные поддерживать работу серверов в течение 40 минут, а АТС — до полутора часов после отключения электричества. ИБП этой компании мы рассматриваем в качестве корпоративного стандарта, — поясняет Семенчук. — Во вновь создаваемых центрах обработки данных будут установлены комплексы InfraStruXure ISX type B c дублированными батареями и силовыми модулями. Там же появятся и резервирующие их дизельные электрогенераторы».

С учетом высоких темпов развития автомобильного бизнеса, намечается не только открытие новых торгово-технических центров, но также организация круглосуточного обслуживания автомобилей. Реализация всех этих планов потребует дополнительных усилий со стороны департамента ИТ.

Для поддержки собственной деятельности и установления эффективных взаимоотношений с пользователями специалисты ИТ-департамента намерены применять методологию ITIL.

Семенчук подчеркивает, что в компании не планируют ограничиваться только техническими мерами повышения отказоустойчивости информационных систем. В плане работ — составление комплексного перечня мер по обеспечению непрерывности функционирования бизнес-приложений компании, включая и организационные мероприятия. Для всех подразделений и специалистов, деятельность которых связана с работой ИС, предусматриваются подробные инструкции, регламентирующие их действия в случае недоступности информационного обслуживания. После устранения чрезвычайной ситуации данные из предназначенных для подобных случаев систем или бумажных форм дополнят недостающую информацию соответствующих приложений.

Алексей Чернобровцев — обозреватель еженедельника Computerworld Россия, [email protected]

Источник: osp.ru

www.iso27000.ru


Смотрите также