Лучшие практики непрерывности бизнеса

Услуги по обеспечению непрерывности бизнеса

Непрерывность бизнеса — одно из направлений менеджмента, известное уже много лет, которое тем не менее воспринимается не совсем верно. Часто под ним понимают обеспечение непрерывности ИТ. На самом деле, обеспечение непрерывности бизнеса гораздо шире и включает в себя меры по обеспечению непрерывности поставок, резервных рабочих мест, описание особенностей выполнения бизнес-процессов в условиях чрезвычайной ситуации и многое другое.

«Инфосистемы Джет» более 15 лет оказывает услуги в области непрерывности бизнеса. В спектр услуг входит , разработка стратегии, создание и тестирование планов непрерывности бизнеса, а также проведение комплекса работ по созданию и модернизации катастрофоустойчивых вычислительной и телекоммуникационной инфраструктуры, обеспечивающих непрерывность деятельности.

Обеспечение непрерывности деятельности – комплекс мер, способствующих бесперебойной работе в любой нештатной ситуации.

Закрыть Создание

Здесь закладывается методологическая база процесса управления непрерывности деятельности:

• описываются внешние и внутренние предпосылки внедрения процесса и обстоятельств, в которых он будет функционировать
• указывается роль высшего руководства в создании, внедрении, поддержании и постоянном улучшении процесса
• прописываются стратегические цели процесса, риски и возможности их нивелирования
• учитываются вопросы ресурсного обеспечения, способы повышения компетентности и осведомленности персонала.

Услуги на этой стадии

это качественный анализ влияния прерывания бизнес-процессов на компанию. В ходе него описываются сценарии развития нештатных ситуаций, формируется ранжированный каталог ресурсов, поддерживающих бизнес-процессы.

помогает оптимизировать затраты, выявить слабые места и возможности для роста. Позволяет минимизировать потери в случае реализации риска.

определяет критичные бизнес-процессы и используемые ими ресурсы. Дает возможность оценить эффективность процессов и отдельных этапов, повысить качество, удовлетворенность клиентов и т.д.

это оценка рынка потребителей и конкурентных преимуществ организации. Помогает установить цель существования организации и разработать мероприятия, направленные на усиление рыночных позиций и повышение эффективности деятельности организации.

Обоснованием к инициации могут стать различные факторы: осознание уязвимости компании, желание получить конкурентные преимущества, увеличить ИТ-бюджет, удовлетворить различные требования регуляторов и другие факторы.

Закрыть Поддержание и улучшение

В данной части цикла выявляются недостатки процесса непрерывности. Улучшение процесса непрерывности осуществляется путем принятия корректирующих действий, основанных на результатах анализа со стороны руководства и переоценки рамок процесса, а также политики и его целей.

Услуги на этой стадии

разработка и реализация мер по интеграции процесса непрерывности в существующие процессы компании, такие как управление изменениями, кризисное управление, управление рисками и тп.

Программа осведомления для ответственных сотрудников о структуре процесса управления непрерывности деятельности, его пользе для компании и для отдельных работников, его влиянии на деятельность компании и роли каждого работника.

Закрыть Внедрение и эксплуатация

Здесь определяются требования к непрерывности бизнеса и способы их выполнения, разрабатываются процедуры для управления аварийной ситуацией.

Услуги на этой стадии

способствует надежной защите критичных видов деятельности компании от нештатных ситуаций. Благодаря стратегии в случае прерывания критичных видов деятельности, они продолжаются или возобновляются быстрее и организованнее. Описанные в ней меры позволяют смягчить воздействие, своевременно и адекватно реагировать на ситуацию, что снижает убытки, ускоряет восстановление и укрепляет репутацию.

без нее невозможно строить процесс, соответствующий целям и требованиям бизнеса. Содержит информацию о целях, задачах, процедурах, ролях и прочих атрибутах процесса.

В документах описываются действия на этапе наступления нештатных ситуаций, регламентирующие деятельность персонала по обеспечению непрерывности бизнеса. Документы описывают действия персонала в случае наступления нештатных ситуаций, альтернативные способы выполнения бизнес-процессов, порядок взаимодействия с поставщиками и партнерами, процедуры оповещения.

Закрыть Мониторинг и пересмотр

Здесь описывается анализ того, каким образом и насколько полно достигаются цели процесса непрерывности бизнеса, как идет представление результатов руководству для анализа, как происходит выполнение мероприятий по восстановлению и какие усилия прикладываются для улучшения процесса.

Услуги на этой стадии

Планы могут оказаться несостоятельными из-за ошибочных предпосылок, неполноты информации, поэтому они подлежат обязательному тестированию. Несостоятельность планов грозит неприятностями: затягиванием сроков восстановления, неразберихой и хаосом.

это подготовка к проведению тестирования. Оно должно оправдывать затраченные бизнесом время и силы. Фиксируется, что тестирование не должно препятствовать штатной работе, протоколирование хода тестирования должно быть подробным, а оценка результатов должна быть независимой и объективной.

Создание

В этой части закладывается методологическая база для внедряемого процесса управления непрерывности деятельности. В ее рамках описываются внешние и внутренние предпосылки для внедрения процесса и обстоятельства, в которых этот процесс будет функционировать. Отдельно указывается роль высшего руководства в создании, внедрении, поддержании и постоянном улучшении процесса. В явном виде прописываются его стратегические цели, риски и возможности их снижения.

Подробнее Поддержание и улучшение

В данной части цикла выявляются недостатки процесса непрерывности. Улучшение процесса непрерывности осуществляется путем принятия корректирующих действий, основанных на результатах анализа со стороны руководства и переоценки рамок процесса, а также политики и его целей.

Подробнее Внедрение и эксплуатация

В этой части цикла определяются требования непрерывности бизнеса, способы их выполнения и разрабатываются процедуры для управления аварийной ситуацией.

Подробнее Мониторинг и пересмотр

В ней описывается и проводится анализ того, каким образом и насколько полно достигаются цели процесса непрерывности бизнеса, представление результатов руководству для анализа, происходит выполнение мероприятий по восстановлению и какие усилия прикладываются для совершенствования процесса.

Подробнее

Создание

Поддержание и
улучшение

Внедрение
и эксплуатация

Мониторинг
и пересмотр

Все описанные до сих пор услуги относятся к тому случаю, когда процесс непрерывности бизнеса только внедряется. Если же процесс уже внедрен, то становятся более актуальными услуги, которые зависят от степени зрелости внедренного процесса.

Услуги для компаний на начальном этапе

Аутсорсинг планов непрерывности.
Трудоемкая задача создания планов передается опытному исполнителю. В результате без ущерба качеству высвобождается время собственного ИТ-персонала на другие задачи.

Аутсорсинг процесса тестирования.
Подготовка и реализация тестирования, подведение итогов и выполнение корректирующих действий. Услуга позволяет сэкономить на проведении тестирований за счет снижения риска неудачного результата, использования готовых инструментов взамен их самостоятельной разработки с нуля.

Аутсорсинг процесса тестирования.
Подготовка и реализация тестирования, подведение итогов и выполнение корректирующих действий. Услуга позволяет сэкономить на проведении тестирований за счет снижения риска неудачного результата, использования готовых инструментов взамен их самостоятельной разработки с нуля.

Услуги для компаний на стадии развития

Анализ зрелости процесса непрерывности.
Определение уровня соответствия текущего состояния процесса непрерывности целям организации и лучшим практикам. Создание дорожной карты мероприятий, реализация которых обеспечит переход процесса непрерывности на более высокий уровень зрелости.

Интеграция в процессы компании.
Разработка и реализация мер по интеграции процесса непрерывности бизнеса в существующие процессы компании. Результатом услуги является план интеграции процесса непрерывности с другими процессами. Содержит роли, а также мероприятия по изменению процессной документации внутри компании.

Аутсорсинг процессной документации.
Передача трудоемкой и однократной задачи описания процесса исполнителю, специализирующемуся в данной области и обладающему необходимыми знаниями и опытом. Позволяет повысить эффективность работы компании за счет снижения нагрузки на персонал.

Услуги для компаний на зрелом этапе

Предаудит соответствия процесса непрерывности стандарту ISO 22301.
Проверка соответствия системы управления требованиям стандарта с целью получения объективной оценки готовности компании к проведению сертификационного аудита. Результатом является описание выявленных несоответствий и перечень рекомендаций по их устранению.

Внедрение и сопровождение систем автоматизации процесса управления непрерывностью деятельности.
Системы автоматизации позволяют сокращать расходы на управление процессов непрерывности, сохраняя на высоком уровне эффективность процесса. Снижение расходов может достигаться за счет уменьшения численности команды непрерывности, проведения тестирований в электронном виде с использованием виртуальной реальности, уменьшения количества бумажных документов и тд.

Непрерывность бизнеса в России – это не только про резервирование

Одной из ключевых задач успешного функционирования компаний в России является обеспечение устойчивости бизнеса при неблагоприятных внешних и внутренних воздействиях. Лучшие практики западных компаний и исследования показывают необходимость внедрения процесса управления непрерывностью бизнеса.

Мы провели исследование, чтобы оценить текущий уровень зрелости российских компаний в области обеспечения непрерывности бизнеса. На текущий момент не существует исследований по данной тематике в России, максимально близко к теме изучалось только использование катастрофоустойчивой инфраструктуры.

Наше исследование показывает срез отношения российских компаний к вопросам непрерывности бизнеса как с технологической, так и с организационной точек зрения.

Вопросы, на которые мы ставили задачу получить ответы, и с которыми вы можете ознакомиться в полном отчете:

• Уровень зрелости крупнейших компаний России в области непрерывности бизнеса.
• Отраслевые различия в реализации непрерывности бизнеса.
• Степень вовлеченности высшего руководства в процесс обеспечения непрерывности бизнеса.
• Сталкиваются ли компании с нештатными ситуациями и с какой периодичностью?
• Помогает ли обеспечение непрерывности бизнеса восстанавливаться после нештатных ситуаций?

Хотите получить исследование?

Источник: https://jet.su/services/business-continuity/

Непрерывность бизнеса: тонкий расчет или надежда на авось

В данном контексте речь идет о форс-мажоре такой силы, когда возникает существенный риск прерывания деятельности организации.

Примерами таких реализовавшихся рисков могут стать атака террористов (например, авиатараны на башни-близнецы в США), блэкаут (авария в энергосистеме в 2005 году и ледяной дождь в 2010 году в Москве), землетрясение или цунами (так называемое Великое землетрясение Восточной Японии в 2011 году, ураган «Катрина» в США в 2005 году и т.д.).

Понятно, что масштабы бедствий бывают разными, для относительно небольших компаний критичными могут стать и проблемы гораздо меньших масштабов: пожары в офисе или ЦОДе, экскаватор строителей, повредивший кабель связи, или, к примеру, митинги валютных ипотечников у входа в офис банка, парализовавшие работу всей кредитной организации.

Что делать с IT-инфраструктурой во время инцидента?

С одной стороны, понятно, что надо иметь планы на случай нештатных ситуаций. И они, действительно, у многих есть: на случай пожара, например, проводятся учения и тренировки персонала. Но вот беда: если сейф из бухгалтерии по плану с трудом, но вынести можно, то что делать с IT-инфраструктурой? Проблема заключается в том, что современный бизнес — это во многом и есть IT: например, банковские платежные системы или сервисы ДБО. И даже если эта инфраструктура территориально распределена, нет гарантии, что резервные узлы выдержат резко увеличившуюся нагрузку и не выйдут из строя.

Наверное, важность вопроса, до какой степени IT-инфраструктура стала критичной для непрерывности банковского бизнеса, впервые стал понятен после атаки на башни-близнецы в Нью-Йорке, в которых было довольно много офисов финансовых организаций. Часть из них сумели восстановить свои сервисы довольно оперативно благодаря резервным площадкам, налаженным технологиям управления непрерывностью бизнеса (Business Continuity Management, BCM) и грамотным планам восстановления IT-систем (Disaster Recovery Plan, DRP).

Как следствие события 11 сентября 2001 года дали мощный импульс к обязательному наличию BCM в финансовой сфере США. Страны Азии, где природные катаклизмы — не редкость, также активно включились в эти процессы.

Надеетесь на авось — получите стандарты

Но вот прошло 15 лет. Появились совершенно новые риски, например атаки киберкриминала. Что же изменилось? Насколько нам интересны чужие ошибки? Согласно совместному исследованию IBM и журнала Economist, посвященному проблемам рисков и устойчивости бизнеса, в мире только 37% большого бизнеса имеет налаженные BCM и DRP.

А что касается России, то показателен в этом плане пример блэкаута в Санкт-Петербурге в 2010 году. Казалось бы, наученные горьким московским опытом банкиры и многие другие службы, тем не менее показали себя плохо подготовленными: банкоматы не работали, многие отделения банков не были открыты и т.д.

Почему? Все хотят сэкономить и надеются на авось.

Так каким образом банк может противостоять такого рода воздействиям или, по крайней мере, минимизировать возможный ущерб для бизнеса? При этом в условиях текущей финансовой турбулентности критично важно найти бюджетные пути. Где их искать?

Для начала необходимо обратиться к нормативным актам и лучшим мировым практикам в этой сфере, собранным, например, международной организацией Business Continuity Institute (BCI), которая определяет BCM и значительно расширяет список привычных угроз, вплоть до действий внутренних инсайдеров и взломов информационных систем хакерами. Кроме того, часть методологий содержится в CobiT (Control Objectives for Information and Related Technologies, «Задачи управления для информационных и смежных технологий»), ITIL (IT Infrastructure Library — библиотека инфраструктуры информационных технологий).

Довольно много можно почерпнуть в ISO 27001 — международном стандарте по информационной безопасности. Самого пристального внимания заслуживает стандарт ISO 22301, посвященный практикам BCM. Что касается России, то ЦБ довольно плотно регулирует описываемые практики в Положении 242-П, стандартах безопасности СТО БР ИББС-1.0-2006, ГОСТ Р ИСО/МЭК 27001-2006 и некоторых других.

С больной головы на it

Анализируя требования к BCМ и DRP, приходим к тому, что BCМ направлен на поддержку бизнес-активности и бизнес-функций, в то время как DRP — на поддержание бесперебойной работы информационных систем и сохранности данных. В то же время BCМ ориентирован на предупреждение проблем, а DRP — на их решение; BCМ охватывает вопросы восстановления бизнеса, а DRP направлен на восстановление IT-инфраструктуры после сбоев.

Кроме того, становится понятно, почему соответствие нормативным актам обходится банкам все дороже: это усиление зависимости бизнеса от информационных технологий, а также усложнение собственных корпоративных IT-инфраструктур. Неудивительно, что в упомянутом исследовании IBM говорится о том, что сегодня уже в 40% случаев обеспечение непрерывности бизнеса «сваливают» на IT-службы банков, забывая при этом о лучших практиках, которые говорят о том, что BCM — комплексный подход, затрагивающий буквально все процессы, происходящие в современном банке.

Таким образом, все чаще можно наблюдать тенденцию, когда инициатива внедрения процессов непрерывности бизнеса от топ-менеджмента переходит к IT. К сожалению, в России всего несколько банков с практически неограниченным IT-бюджетом, остальным же приходится серьезно экономить.

Понятно, что люди из IT имеют гораздо более объемное представление о том, какие существуют зависимости между теми или иными бизнес-процессами и приложениями, их обслуживающими, нежели высшие руководители.

Обладая этими весьма ценными знаниями, можно попытаться добиться соответствия (как на бумаге, так и реального), сэкономив при этом и так небольшой бюджет. Так какие есть варианты действий?

Экономить за счет оптимизации

Как показывает практика, на текущее время процесс обеспечения непрерывности в банках колеблется от «лишь написанных планов BCM и DRP для ЦБ» до «практически все есть, но нет ресурсов регулярно обновлять перечень угроз и рисков. Часто забываем включить процесс в культуру организации (управление изменениями)».

Это показывает, что полный процесс включает в себя несколько шагов, на каждом из них можно сэкономить вплоть до игнорирования работ по какому-то пункту. Но чем ближе к высшему уровню максимального соответствия, тем бесполезнее окажутся инвестиции в предыдущие.

«Какие мероприятия действительно нужны, зависит от того, как сам банк оценивает свою стратегию поведения в чрезвычайных ситуациях (в рамках нормативов регулятора), — рассказывает Роман Лукин, руководитель группы IT-аудита и консалтинга компании “Инфосистемы Джет”.

— Причем нужно знать, как эта стратегия будет эволюционировать, что в ней должно появиться (или не появиться) в будущем. Имея этот документ на руках, можно на уровне руководства банка строить всеобъемлющую концепцию управления конкретными рисками, а не вкладывать деньги в то, в чем нет необходимости.

Кроме того, здесь самое время заняться командой, которая будет решать текущие задачи».

Понятно, что параллельно или чуть раньше необходимо озаботиться аудитом ресурсов, поддерживающих бизнес-процессы организации. Требуется определиться с угрозами, от которых BCM будет защищать на данном шаге внедрения. Например, учитываем только IT-приложения, но не трогаем персонал, работающий с ними.

После этой работы начинается «творческий процесс», а именно выбор того, как именно будут обеспечены BCM и DRP с точки зрения технических решений. Будет ли построен для этого резервный ЦОД или операционный центр для персонала? А может, идти в ногу со временем и использовать виртуальные ЦОДы или облака, а также арендовать в подходящем технопарке временный офис, пока центральная площадка непригодна для работы?

«Не углубляясь в технические подробности, можно сконцентрироваться только на аспекте DRP, что позволит не строить дорогостоящие решения по синхронному резервному копированию, — отмечает Роман Лукин. — Кто-то допускает некоторый уровень потерь информации и(или) уменьшение скорости восстановления. Все зависит от стратегии и уже имеющихся решений. На этом этапе есть масса возможностей для оптимизации — нужно найти свою золотую середину».

Немного бумажной работы, тестов и изменений в корпоративной культуре

Обычно на этом, четвертом, этапе эксперты рекомендуют определиться с политикой непрерывности бизнеса, созданием реестра ролей и должностных обязанностей, концепцией управления процессом непрерывности, реестром рисков, матрицей зависимостей бизнеса от IT, таблицей потерь, планами управления инцидентами, стратегией непрерывности деятельности бизнес-подразделений, планами аварийного восстановления и тестирования. Правда, мало кто в состоянии осилить этот неполный список, но люди сидят и пишут…

Лучшие практики заключаются в том, что все эти бумаги не обязаны появляться одновременно! Первой должна быть разработана небольшая по объему, но «краеугольная» по значению политика непрерывности бизнеса.

А вот реестр ролей и должностных обязанностей, служащий для собственного понимания организацией, какие специалисты требуется и что им предстоит делать, может постепенно дополняться по мере необходимости.

Концепция управления процессом непрерывности, отвечающая за порядок расширения и сужения рамок BCM, разрабатывается банком с учетом того, что организация может ответить на вопросы самостоятельно, не затрачивая большого количества времени и сил.

Что касается реестра рисков, специалисты советуют выбирать какой-то конкретный риск, а не брать сразу весь их спектр. Построив процесс управления непрерывностью для защиты от него, будет гораздо проще расширить процесс и на другие риски. Аналогичный подход применим и для построении матрицы зависимости бизнеса от IT. На первых порах достаточно разработать только часть матрицы, описывающую один бизнес-процесс.

Не будем углубляться во всю эту бумажную бюрократию, а отметим, что не надо идти «на ура, до победного конца», а стоит использовать народную мудрость «умный в гору не пойдет»: так вот, умный обратится к экспертам-консультантам и «обойдет гору». Иными словами, можно и нужно подготовку документов распределить по этапам и изменять их полноту, минимизируя затраты на их подготовку.

Для того чтобы убедиться в том, что все сделано правильно, существует этап тестирования. Наиболее ресурсоемким видом тестов является «настольный». Он очень полезен для проверки полноты существующих документов, вовлечения сотрудников и руководителей в тематику BCM и DRP, для приобретения драгоценного опыта и выработки практических навыков в нештатных ситуациях.

На «настольных» тестах экономить, как правило, — себе дороже. Но вот совместить проведение тестирования процедур DRP с регулярными регламентными работами, например с установкой обновлений ПО или со сменой версий, можно. Такой вариант выгоден с экономической точки зрения, а навредить бизнесу тестами в это время трудно.

Завершается цикл создания BCM внедрением процессов управления изменениями и непрерывностью в культуру организации. Это не ресурсоемкий этап, но его сложность заключается в том, что данный шаг не может быть единовременным. Усилия по внедрению должны предприниматься на регулярной основе.

В рамках процесса должны возникнуть новые должностные обязанности, возложить которые резонно на людей, управляющих рисками, или CIO.

Последнее выгодно с той точки зрения, что информационные процессы обычно наиболее полно описаны, кроме того, как ни крути, они являются составной частью бизнес-процессов и их придется включать в процесс управления непрерывностью. Так почему с них не начать?

Делая выводы, необходимо отметить, что внедрение BCM и DRP, безусловно, вещь полезная. К сожалению, автоматизация бизнеса вызывает зависимость от IT, но никому не хочется при любом сбое систем вне зависимости от причины останавливать бизнес-процессы на определенное время с непредсказуемыми эксцессами и потерями данных после восстановления. Стимулируют внедрение и регуляторы рынка.

Да, необходим бюджет. Однако, как показывают лучшие мировые и отечественные практики в виде международных стандартов и положений, есть разные варианты оптимизации расходов при получении достойного результата. Но получить экономию можно только в том случае, когда есть знание, что и как делать, а также при непрерывном, как того и требуют стандарты, цикле работ. Отдельный вопрос: делать ли все самим на свой страх и риск или объединить усилия с независимыми консультантами.

Источник: https://bosfera.ru/bo/nepreryvnost-biznesa-tonkiy-raschet-ili-nadezhda-na-avos

Подходы к обеспечению непрерывности бизнеса

Зависимость бизнес-процессов компаний от информационных технологий во всех сферах экономической деятельности в последние десятилетия постоянно возрастает.

Как показывает практика, даже для компаний среднего и малого бизнеса ИТ-системы — включающие в себя такие, например, средства, как система взаимодействия с клиентами, электронная почта, IP-телефония, автоматизация бухгалтерии или интернет-портал, являются фактором выживания.

Подобные инструменты дают высокую степень управляемости бизнесом, позволяя без промедления реагировать на изменения рыночной ситуации и добиваться успеха в условиях жесткой конкуренции. Для больших компаний ИТ-инфраструктура, как правило, оказывается критическим элементом бизнес-модели, и выход из строя ее критических элементов даже на короткое время приводит к остановке бизнес-процессов и большим потерям.

При этом современные ИТ-инфраструктуры бизнес-инфосистем всех форм предприятий довольно часто находятся под угрозой незапланированных, непредсказуемых событий, таких как сбои в работе оборудования и его выход из строя, появление программных ошибок, сбои в работе сети, человеческие ошибки, стихийные бедствия и разного рода другие внешние угрозы. Поэтому в любой организации потеря или прекращение предоставления бизнес-функций из-за аварий или катастроф может привести к утрате клиентов, репутационным издержками.

К примеру, несложно представить ситуацию, когда в результате стихийного бедствия или хакерской атаки банк приостанавливает выполнение банковских операций (включая операции по депозитам, перевод денег и т. п.). В результате многие клиенты могут запаниковать или, как минимум, задуматься о надежности своего банка и озаботиться поисками более стабильного.

В результате гипотетической масштабной аварии электросети простой более одного часа биллинговой системы крупного регионального оператора связи не позволит принять оплату на сумму более одного миллиона долларов. Тем, кто полагает, что такая ситуация маловероятна, достаточно вспомнить наводнение в Альпах в 2005 году. Тогда в Швейцарии из соображений безопасности пришлось останавливать электростанции и отключать линии электропередач.

Целому ряду предприятий, где не были предприняты специальные меры безопасности, был нанесен серьезный ущерб. Аналогичный печальный опыт приобрели и жители Дрездена во время наводнения на Эльбе в 2002 году.

На сегодняшний день многие ИТ-руководители и собственники компаний начали выдвигать более высокие требования к вопросу обеспечения непрерывности работы бизнеса. Однако существующее множество организационных и технологических решений не всегда эффективно обеспечивает необходимый результат из-за ряда особенностей их внедрения и использования в различных сегментах рынка.

Ненадежная надежность

Малые и средние компании стремятся экономить, ведь они тратят на автоматизацию ограниченные свободные средства, которые могли бы быть направлены на развитие. Поэтому инвестирование в резервные компоненты ИТ-инфраструктуры в таких компаниях часто может рассматриваться как избыточное. К тому же рынок СМБ часто использует не специализированные, а «бытовые» решения, предназначенные для домашних пользователей.

Для таких ИТ-решений производители в большинстве случаев не указывают параметры надежности, в частности — среднее время наработки на отказ.

Добавим к этому отсутствие базы знаний возможных аварийных событий, а также отсутствие понимания руководителями предприятий, не имеющих специальных технических знаний, взаимосвязи функций ИТ-систем с бизнес-процессами, — и мы получим наиболее благоприятные условия для появления аварийных ситуаций.

Немного иначе дела обстоят у крупных компаний. При выборе того или иного ИT-продукта крупные компании менее ограничены в бюджетных средствах, поэтому могут позволить себе уделять необходимое внимание качеству.

Шаг первый: Business Impact Analysis

Определение четких методик и создание конкретных планов может позволить найти баланс усилий и вложений для наиболее эффективной защиты ИТ-инфраструктуры.

С чего начать подготовку планов? Например, продуктивным первым шагом может быть проведение BIA (Business Impact Analysis) — анализа воздействия на бизнес последствий, вызываемых нарушением функций компании в результате бедствий различных типов, и последующего восстановления.

BIA позволяет оценить влияние разнообразных процессов на критически важные бизнес-функции и понять, как потенциальное нарушение этих функций — например оперативных или финансовых — может сказаться на организации. Если говорить простым языком, данный анализ позволяет определить, что может понадобиться восстановить и как быстро.

Анализ влияния на бизнес является одной из лучших процедур планирования, который преследует следующие цели:

• определение наиболее важных функций и систем;
• определение финансовых, операционных, юридических и репутационных издержек в случае отказа этих систем;
• выбор RPO и RTO (об этом — далее);
• установление требований для восстановления;
• проведение тестирования;
• анализ слабых мест и уязвимостей.

Для проведения анализа BIA необходимо выполнить определенную подготовку, а именно:

• получить данные и информацию о влиянии рисков на бизнес-операции посредством интервью, опрашивая людей с глубокими знаниями и опытом в отношении анализируемых бизнес-функций;
• провести определение угроз (обычно в соответствии с ISO 31000:2018, документом, который описывает принципы, структуру и процесс управления рисками).

В отдельных случаях опрос BIA можно провести в автоматизированном режиме, к примеру, используя программный продукт BIA Professional от Sungard Availability Services, который позволяет оперативно получать проанализированную обобщенную информацию.

Готовые шаблоны BIA также могут помочь в планировании, но важно понимать, подходит ли выбранный шаблон именно для вашей организации. При этом можно ориентироваться на ISO/TS 22317:2015 — руководство по созданию, внедрению и поддержке формализованного и документированного процесса BIA.

Шаг второй: Business Continuity and Disaster Recovery (BC/DR)

После завершения BIA и выявления потенциальных рисков для бизнеса и вероятности их возникновения, организация может составить подробные планы Business Continuity и Disaster Recovery (BC/DR). Как можно понять из названия план BC/DR состоит из двух концепций: BC — непрерывность бизнеса и DR — аварийное восстановление.

Непрерывность бизнеса обычно представляет собой процессы и процедуры, которые организация должна внедрить, чтобы обеспечить выполнение критически важных функций. План BC должен указать основные функции бизнеса, определить список ответственных должностных лиц, установить, какие системы и процессы должны быть устойчивыми, и подробно указать, как их поддерживать.

План аварийного восстановления (DRP) включает в себя оперативные шаги, которые организация должна предпринять, чтобы за наименьшее время возобновить работу после аварии.

Эксперт в сфере управления повышением устойчивости функционирования предприятия Пол Кирван описывает, что конкретно должно содержаться в плане обеспечения непрерывности бизнеса и аварийного восстановления. В частности стратегия BC/DR должна включать:

• контактную информацию лиц, которые должны первыми реагировать на чрезвычайную ситуацию;
• процедуры управления изменениями, описывающие перераспределение полномочий, средств, ресурсов и обязанностей между ответственными лицами в случае невозможности выполнения изначально оговоренных обязанностей;
• рекомендации по использованию плана, определяющие, какие именно ситуации являются достаточно чрезвычайными для того, чтобы задействовать план BC/DR. Действия, которые должны быть выполнены независимо от способности организации применить план BC/DR;
• пошаговые процедуры, описывающие набор мероприятий, направленных на выявление возможных критических уязвимостей ИТ-систем и конкретных мер для их восстановления;
• график проверки, тестирования и обновления, описывающий меры, направленные на обновления оборудования и программного обеспечения, переквалификацию сотрудников и проверку боеготовности плана в целом, и их последовательность.

Рассмотрев ключевые этапы плана обеспечения непрерывности бизнеса BC/DR можно отметить, что непрерывность бизнеса BC и аварийное восстановление DR это тесно связанные практики, которые поддерживают способность организации оставаться в рабочем состоянии после неблагоприятных событий. Главные отличия между этими планами заключаются в том, что BC обычно сосредотачивается на организации в целом, а DR — на технологической инфраструктуре.

Определение RPO и RTO

Существует целый спектр подходов к организации восстановления после аварии. Как правило, решения, обеспечивающие более надежное и быстрое восстановление, оказываются более дорогими, поэтому важно понять, какой именно вариант окажется оптимальным в каждом конкретном случае.

Одним из распространенных способов выбора наиболее подходящего варианта DR будет оценка рентабельности инвестиций в данное решение (Return on Investment, ROI).

Для этого необходимо рассчитать совокупную стоимость владения (Total Cost of Ownership, TCO), включающую все затраты, такие как приобретение, внедрение и поддержка ИТ-системы/оборудования, а также обучение и поддержка персонала в течение срока полезного использования выбранного решения. После этого сравнить полученную  стоимость с экономией, возникающей в результате внедрения данного решения.

Помочь решить такую задачу может ранее проведенный анализ влияния на бизнес (BIA), который учитывает допустимые объемы потери данных, а также расходы включающие упущенную выгоду, потерю репутации, снижение рыночной капитализации и так далее.

Для того чтобы определиться с требованиями к DR-решению, можно ориентироваться на такие показатели, как целевая точка восстановления (Recovery Point Objective, RPO) и целевое время восстановления (Recovery Time Objective, RTO).

Целевая точка восстановления (RPO) — это точка на шкале времени относительно сбоя, до которой требуется сохранить данные. Изменения данных, предшествующие сбою или аварии на интервал, не меньший этого периода, должны быть сохранены процедурой восстановления.

Целевое время восстановления (RTO) — это максимально допустимый интервал времени, в течение которого компьютер, система, сеть или приложение могут быть недоступны после сбоя или аварии. Данный параметр по сути представляет собой максимальное допустимое время простоя ИТ-системы.

Когда организация планирует свои RPO и RTO, она должна рассчитать их конкретные значения для различных бизнес-процессов.

Тестирование

Однако время не стоит на месте и каждое изменение в организации несомненно повлияет на существующий план BC/DR. Необходимо все время убеждаться, что план актуален, что ответственные лица, участвующие в восстановлении, знают что делать в случае аварии, что приложения имеют актуальные обновления и что необходимое резервное ИТ-оборудование будет своевременно предоставлено или уже есть в наличии.

Чтобы убедиться, что компания сможет восстановить данные и критически важные бизнес-приложения и продолжать работу после прерывания обслуживания, следует регулярно проводить тестирование.

Существует три основных типа тестирования аварийного восстановления. Они включают обзор плана DR, настольный тест и симуляционный тест.

• Обзор плана. Владелец плана DR и другие члены команды, стоящие за его разработкой и реализацией, детально исследуют его, чтобы найти любые несоответствия и недостающие элементы.
• Настольный тест. Упражнения, с помощью которых заинтересованные стороны могут шаг за шагом пройтись по всем компонентам плана аварийного восстановления. Это помогает определить, все ли знают, что должны делать в чрезвычайной ситуации. Также выявляются любые несоответствия, недостающая информация или ошибки.
• Моделирование. Моделирование сценариев аварийных ситуаций — хороший способ увидеть, проводятся  ли необходимые процедуры и выделяются ли ресурсы, включая системы резервного копирования и площадки восстановления, для аварийного восстановления и обеспечения непрерывности бизнеса в ситуации, максимально приближенной к реальной. Моделирование обычно подразумевает создание «тестовой» аварии с последующим выполнением плана DR и оценкой результатов.

При тестировании проверяется множество сценариев аварий, чтобы увидеть, могут ли команды, вовлеченные в процесс аварийного восстановления, своевременно перезапустить технологии и бизнес-операции. Это помогает определить, достаточно ли людей в штате, чтобы выполнить работу по аварийному восстановлению должным образом. Подробнее о том, что представляет собой DRP (план восстановления после аварии) и как его подготовить, мы напишем в наших будущих публикациях.

DRaaS

Большинство организаций используют самостоятельно построенные и поддерживаемые решения по аварийному восстановлению, поскольку считают, что такой вариант дешевле, чем покупка решения у DR-провайдера. Впрочем, качественные, самостоятельно разработанные решения (гарантирующие высокую надежность и скорость восстановления) также обходятся недешево и предъявляют высокие требования к ИТ-персоналу организации.

Альтернативой тут могут быть решения DRaaS (восстановление после аварии как сервис), которые позволяют снизить нагрузку на персонал, обеспечить экономию на закупках аппаратного обеспечения и передать задачу восстановления после аварии провайдеру услуги DRaaS. Следите за обновлениями блога, чтобы узнать больше о модели DRaaS и ее преимуществах по сравнению с другими подходами к восстановлению после аварии.

Пожалуйста, оцените этот материал, нажав на звёздочки ниже.

Средний рейтинг:

Источник: https://blog.colobridge.net/2019/04/business_continuity_approaches/

Тренинг «Непрерывность бизнеса (Business Continuity)». Москва. 02.12.2011 – Настройка операционной деятельности ИТ компаний. Аудиты, заказные программы, улучшение процессов

На 2 декабря 2011 запланирован тренинг «Непрерывность бизнеса (Business Continuity). Практические аспекты для ИТ компаний», который будет проводиться совместно с Сareerlab в Москве. Программа описана ниже. Зарегистрироваться можно здесь http://careerlab.ru/education/guru-academy/povolyashko/sem2/

Может ли ваш бизнес противостоять таким факторам?

• Долгосрочная пропажа электричества, интернет
• Непригодность офиса по причине стихийных бедствий, техногенных факторов
• Неправомерные действия
• Повреждение или уничтожение информационной инфраструктуры
• Выход из строя ключевых элементов оборудования, бизнес процесса
• Сезонные эпидемии
• Чрезмерная зависимость от индивидуальных знаний и опыта
• Единственный поставщик или заказчик

Что делать?

Во-первых, ознакомиться с дисциплиной Непрерывности Бизнеса, а также со смежными – управление рисками и процессным подходом. Организовать Управление Непрерывностью Бизнеса.

Во-вторых, понять наиболее критичные и уязвимые для бизнеса процессы, объекты.

В-третьих, выработать эффективные по стоимости и по решениям стратегии непрерывности бизнеса.

В-четвертых, поддерживать стратегии в актуальном состоянии, обучать, проверять, проводить учения.

Идея тренинга – структурировать знания о Непрерывности Бизнеса и выработать практические навыки для последующего внедрения.

Программа тренинга

Целевая аудитория: Данный тренинг разработан для директоров компаний, руководителей отделов, ответственных за инфраструктуру и персонал, менеджеров проектов.

10:00-10:30	тренинга, организационные вопросы, цели Сбор и анализ ожиданий от тренинга
10:30-11:45	Непрерывность бизнеса (НБ), что это и почему важноСопутствующие дисциплины— Управление рисками— Система процессов Структура и основные определения НБ
11:45-12:00	Кофе-брейк
12:00-13:30	Управление программой НБ— Ответственности, ресурсы— Документация НБ: политики, инструкцииАнализ деятельности организации— Неблагоприятные факторы и их категоризация— Цели бизнеса, критичные объекты и их категоризация— Аудит как инструмент — Идентификация и анализ рисков, выделение критичных объектов
13:30-14:30	Обед
14:30-16:30	Определение стратегий по выделенным рискам и критичным объектам— Виды стратегий, планы НБ— Ожидания по «отдаче» бизнеса в режиме НБДетализация и внедрение стратегий по выделенным рискам и критичным объектам в режиме НБ— Решения, их внедрение— Человеческий фактор— Инфраструктура— Поставщики, заказчики— Реакция на инцидент— Процедуры запуска режима НБ— Уведомления — Документация НБ, создание, хранение
16:30-16:45	Кофе-брейк
16:45-18:30	Обучение, поддержка, контроль НБ— Симуляции, осознанность— Процедуры поддержки НБ в актуальном состоянии как реакции на изменения— Процедуры контроля, отчетность Восстановление нормальной работы после режима НБ
18:30-19:00	Закрытие: повторение пройденного, вопросы-ответы.

В чем особенность

• Тренинг структурирует дисциплину НБ путем ознакомления с ведущими стандартами и глубокого осмысления понятий, подходов
• Рассматриваются сопутствующие дисциплины, дополняющие НБ
• Для каждой фазы жизненного цикла НБ проводятся практические занятия и примеры реализации
• Материал тренинга также является справочным руководством по внедрению НБ
• Вносится понимание адекватности угрозы и реакции на нее, критичности бизнес процессов и объектов
• Тренинг существенно сокращает сроки ознакомления с дисциплиной и внедрение процедур НБ

Сомневаетесь в важности НБ?

• Рынок ИТ довольно «тесен», конкуренция идет за кадры, за проекты, за стратегических заказчиков.

  Если срабатывает хотя бы одна из серьезных угроз, то бизнес может просто не подняться заново, хотя бы потому, что ваша деятельность и кадры уйдут к конкурентам

• Серьезные заказчики интересуются наличием процедур НБ, это один из ключевых моментов выбора поставщика
• При настроенных процедурах НБ бизнес напоминает корабль со множеством водонепроницаемых переборок, одна или несколько пробоин существенно не влияют на курс и скорость.

  А это стабильность и репутация

• При настроенных процедурах НБ у вас всегда есть альтернативные варианты ведения бизнес процессов и отсутствуют единые точки отказа
• Внедрение процедур НБ попутно делает бизнес процессы более эффективными
• Для определенных угроз НБ защищает человеческие жизни
• На тренинге в краткой форме вы получите теоретические знания, практические навыки и примеры реализации процедур НБ.

Ведущий тренинга

Сергей Поволяшко 15 лет в IT. Работал по нескольким IT специальностям. Начиная с 2001 года работаю в области управления IT подразделений (разработка ПО, инфраструктура, развитие персонала) и проектов. Должность CTO (Chief Tеchnology Officer) в компании TEAM International (http://www.teaminternational.com/). Автор проекта www.it-tuning.com.

Профессиональные достижения:

• Лидирующее участие во внедрении CMMI L3: разработка и внедрение системы управления качеством и процессного подхода, обучение и аттестация сотрудников, процедура оценки
• Сертификации: Project Management Professional (PMP), ITIL Foundation V3.

Автор многочисленных семинаров и тренингов по темам организационной эффективности, практикам управления проектами.

Докладчик ведущих отраслевых конференций и встреч сообществ (Whale Rider 2010, Software People 2011, QA Club, PM Zone, SPB SQA Group…)

Контакт

По вопросам пишите: info@it-tuning.com

Заказ здесь: http://careerlab.ru/education/guru-academy/povolyashko/sem2/

business continuity, Risk management, бизнес, непрерывность бизнеса, тренинг

Источник: http://it-tuning.com/2011/10/28/%D1%82%D1%80%D0%B5%D0%BD%D0%B8%D0%BD%D0%B3-%D0%BD%D0%B5%D0%BF%D1%80%D0%B5%D1%80%D1%8B%D0%B2%D0%BD%D0%BE%D1%81%D1%82%D1%8C-%D0%B1%D0%B8%D0%B7%D0%BD%D0%B5%D1%81%D0%B0-business-continuity-%D0%BC/