1. Главная / Статьи 
ул. Черняховского, д. 16 125319 Москва +7 499 152-68-65
Логотип
| статьи | печать | 4784

Обеспечение работоспособности в чрезвычайной ситуации

Последствия сбоев и прерывания бизнеспроцессов в компании могут быть катастрофическими. Поэтому обеспечение их непрерывности и управления ими становится важнейшим направлением стратегического и оперативного менеджмента.

Обеспечение непрерывности бизнеса актуально не только для компаний, занимающихся электро и водоснабжением, а также оказывающих телекоммуникационные услуги, но и для финансовых структур, страховых компаний, банков, предприятий сырьевой и нефте­перерабатывающей промышленности, авиакомпаний и т.д.

Обеспечение непрерывности бизнеса актуально не только для компаний, занимающихся электро и водоснабжением, а также оказывающих телекоммуникационные услуги, но и для финансовых структур, страховых компаний, банков, предприятий сырьевой и нефте­перерабатывающей промышленности, авиакомпаний и т.д.

На фоне возросшей вероятности различных чрезвычайных ситуаций, техногенных и природных катастроф, следствие которых — остановка или потеря ключевых бизнеспроцессов, деятельность любой компании приобретает все большую зависимость от персонала, партнеров, поставщиков, технологий и инфраструктуры.

Управление непрерывностью бизнеса — это процесс, направленный на минимизацию влияния сбоев и прерываний деятельности на бизнес компании с целью создания устойчивой программы по защите интересов собственников, репутации, бренда, а также обеспечения соответствия требованиям регуляторов и применимого законодательства.

Имея в своей основе техническое содержание, управление непрерывностью бизнеса является задачей организационноэкономической и управленческой, так как связано с ведением компанией профессиональной деятельности, иногда прерываемой в результате сбоев или отказов в компьютерных системах в силу различных чрезвычайных обстоятельств.

Информационная безопасность

По словам Андрея Дроздова, старшего менеджера компании KPMG, вицепрезидента Московского отделения Ассоциации аудиторов информационных систем ISACA, управление непрерывностью бизнеса (УНБ) и обеспечение информационной безопасности (ИБ) тесно связаны между собой. Одни аналитики считают, что информационная безопасность — часть непрерывности бизнеса. Другие полагают, что непрерывность бизне­са — составная часть ИБ.

С одной стороны, ключевой стандарт информационной без­опасности ISO 27 001 и семейство стандартов ISO 27 XXX рассматривают непрерывность бизнеса как одну из 11 областей своего контроля. Исходя из этого можно предположить, что формально непрерывность бизнеса — часть науки об ИБ.

С другой — бизнес или, более широко, деятельность можно вести и без применения информационных технологий. К тому же из стандарта ISO 27 002 следует, что информационная безопасность — это защита информации от различного вида угроз, способная обеспечить непрерывность бизнеса, минимизировать риски, максимизировать возврат инвестиций и преимущества для бизнеса. Иными словами, ИБ служит общей цели развития бизнеса и обеспечения его непрерывности. В конечном итоге обеспечение непрерывности бизнеса может быть сопряжено с безопасностью жизни людей.

К сведению

    Информационная безопасность в контексте управления непрерывностью бизнеса — это защита от чрезвычайных ситуаций:

  • выхода из строя сети в результате возникновения и обработки паразитных транзакций;
  • выхода из строя сервера в результате шквала спама;
  • простоя рабочей станции изза эпидемии вредоносной программы;
  • отсутствия связи с филиалом вследствие изменения таблиц маршрутизации;
  • торможения деятельности подразделений в результате выполнения ст.14, 20 и 21 Федерального закона от 27.07.2006 № 152ФЗ «О персональных данных»;
  • приостановления деятельности организации на срок до 90 суток за нарушение правил защиты информации (ст.13.12 и 19.20 КоАП) и т.д.

Источник : Symantec

Анализ воздействия на бизнес

По определению Gartner Group, цель организаций состоит в том, чтобы не допустить простоев и достичь такого состояния непрерывности бизнеса, при котором все критичные системы и сети будут постоянно доступны, не взирая на любые происходящие события.

Для достижения этой цели, считает Алексей Лукацкий, бизнесконсультант по безопасности компании Cisco Systems, необходимо провести анализ воздейс­ твия на бизнес (Business Impact Analysis, BIA) различного рода прерываний деятельности. Одна из важнейших задач такого анализа — определение ценности каждого процесса для бизнеса и приоритезация бизнеспроцессов. При этом второстепенные задачи BIA заключаются в определении величины потерь изза сбоев в функционировании процессов, а также длительности сбоев и скорости их распространения.

К ключевым процессам относятся те, которые должны функционировать даже в условиях чрезвычайной ситуации. Их приоритет зависит от множества параметров, например отрасли, масштаба, уровня информатизации. Отдельные компоненты/элементы бизнеспроцесса могут также иметь разный приоритет с точки зрения критичности. Так, важнее отгрузить товар, чем распечатать отчет об отгрузке. Анализируя влияние сбоев на бизнес, важно не забывать о перекрестном использовании общих элементов разных бизнеспроцессов.

При определении ценности каждого процесса для бизнеса необходимо соблюсти баланс между потерями и приобретениями. Потери складываются из прямых (потеря доходов, штрафы за нарушение договорных обязательств, штрафы надзорных органов, иски) и косвенных (упущенная выгода, потеря доли рынка, снижение лояльности заказчиков/партнеров, репутация).

В число потерь входят и информационные, например интеллектуальная собственность. Здесь понадобится помощь специалистов финансовых служб и специальные методики расчета. Кстати, в бухгалтерии уже давно научились оценивать различные виды нематериальных активов, применяя разные стоимости (обмена, рыночную, использования, ликвидную, замещения) и методы.

Приобретение можно оценить через ускорение сделок, снижение времени вывода продукта на рынок, рост продуктивности и/или числа клиентов и т.д.

Цена сбоя складывается из множества параметров. Это, в частности:

  • восстановление утерянной информации и работоспособности ИТсистем;
  • процедурные затраты;
  • стоимость времени восстановления;
  • взаимодействие с пострадавшими стейкхолдерами;
  • резервирование автоматизации ключевых процессов ручными операциями;
  • снижение качества обслужи­вания.

К тому же надо учитывать, что потери проявляются в динамике. Ущерб может наступить мгновенно или спустя какое­то время. Да и активность бизнеспроцессов зависит от различных факторов (квартала/сезона). Соответственно могут проявиться и потери от их прерывания.

Не стоит забывать, отмечает А. Лукацкий, что извлечение уроков тоже имеет свою стоимость. В среднем затраты на обеспечение непрерывности бизнеса составляют примерно 2% от общего бюджета в сфере информационных технологий.

Анализ воздействия на бизнес различного рода его прерываний в информационной безопасности означает установление приоритетов в управлении рисками, реагировании на инциденты, выборе защитных мер, мониторинге событий. Приоритезация бизнеспроцессов в рамках BIA позволяет, в свою очередь, отталкиваться от нее для оптимизации усилий при выстраивании всех остальных процессов ИБ.

Планы восстановления

Согласно опросу, проведенному AT&T среди 1000 мировых компаний, более чем у 25% средних и крупных фирм нет плана (программы) обеспечения непрерывности бизнеса или иных документов на случай восстановления деятельности. Даже среди организаций, обладающих таким планом, 27% не обновляли его в течение года, а 19% — на протяжении пяти лет, что равносильно его отсутствию. В среднестатистической компании ежегодно происходит примерно 13 незапланированных простоев, средняя продолжительность каждого — четыре часа.

План обеспечения непрерывности бизнеса — документ, в котором представлены первоочередные задачи по восстановлению деятельности и их последовательность от момента прерывания до полного возобновления и определен баланс затрат на обеспечение непрерывности и выгоды от бесперебойной деятельности. Эти задачи связаны:

  • с обеспечением и восстановлением непрерывности бизнеспроцессов;
  • административно­хозяйственными отношениями;
  • управлением персоналом;
  • договорными отношениями с внешними компаниями;
  • информационной безопасностью;
  • охраной труда и техникой без­опасности;
  • взаимодействием с регулирующими органами,
  • другими направлениями деятельности, оказывающими непосредственное влияние на бизнеспроцессы компании.

Компания Symantec провела также телефонное интервью с 1000 респондентов из компаний всего мира численностью не менее 500 человек, внедривших планирование восстановления (Disaster Recovery, DR). По словам Николая Починка, руководителя отдела консалтинга «Symantec Россия и СНГ», 75% респондентов больше всего опасаются потери данных и 62% — высокой стоимости простоя, чуть более половины — потери доверия клиентов и репутации, снижения производительности труда (56, 51, 51% соответственно). 16% респондентов никогда не использовали свой план восстановления, а 36 — вынуждены были его реализовывать в случае отказа программноаппаратных средств, 28 — по причине внешних атак (вирусы, хакеры), а 26% — в связи с проблемами электропитания. Проведение комплексного тестирования DR-плана только у 16% респондентов завершилось успешно.

В России, по мнению ряда аналитиков, анализ внешних и внутренних воздействий на функционирование предприятия если и проводится, то не полно и не регулярно. Это приводит к тому, что имеющиеся DRпланы не всегда отвечают целям и задачам бизнеса и неадекватны расходам на поддержание непрерывности и восстановления.

У большинства компаний планы обеспечения непрерывности и восстановления бизнеса в чрезвычайных ситуациях отсутствуют. Все в лучших традициях: пока гром не грянет…