Ранее предприятия рассматривали отказы в работе системы только в контексте аварийного восстановления и планировали лишь меры по возобновлению деятельности после сбоев. Этот подход охватывал и все внешние филиалы с менее важными системами, обеспечивая доступность резервной копии актуальных деловых данных. В случае критического события брались резервные файлы, и система снова начинала функционировать. В зависимости от нанесенного ущерба и сложности среды, процесс восстановления занимал от 24 до 48 ч, а в некоторых случаях до 72 ч.

Однако для современной «культуры реального времени» такой модели уже недостаточно. С тех пор как электронные письма и совместная работа посредством компьютерных систем стали определяющими факторами взаимодействия в деловом мире, от корпоративных сетей стали требовать постоянной доступности. При возникновении неполадок и сбоев важные системы должны вновь заработать в максимально короткие сроки. С помощью систем управления непрерывностью бизнеса (Business Continuity Management, BCM) предприятия осуществляют контроль своих текущих деловых требований, определяют допустимый уровень риска и наиболее критичные процессы, а затем регулярно подстраивают их под складывающуюся ситуацию. Этот подход базируется на построении эффективной системы аварийного и кризисного управления и предполагает системную подготовку к преодолению последствий аварий. На передний план выходят не технологии, а деловые процессы и забота о том, чтобы при возникновении критической ситуации они не прерывались.

Подходы к обеспечению непрерывности бизнеса всегда ориентированы на индивидуальные требования отдельного предприятия и зависят от различных факторов, в том числе от направления его деятельности. Чем сильнее зависимость от ИТ, тем более детализированной должна быть стратегия BCM. Однако возможные последствия сбоя и стоимость мероприятий ВСМ должны быть соизмеримы. Стратегии ВСМ основываются, как правило, на следующих ключевых компонентах:

  • оценка предприятия создает четкое представление обо всех критически важных корпоративных потоках данных;
  • для определения охвата ВСМ необходимо учесть все процессы, системы и всех сотрудников предприятия. При этом проверяются как внутренние, так и внешние информационные потоки;
  • с помощью полученной информации можно провести оценку рисков. Это позволяет выявить потенциальные опасности и степень терпимости предприятия к уязвимостям;
  • команда ВСМ, занимающаяся построением и обслуживанием систем обеспечения непрерывности бизнеса, формируется из сотрудников самых разных отделов и участвует в определении наиболее важных процессов, поддержание которых является приоритетной задачей. При этом в первую очередь речь идет отнюдь не о технических решениях из сферы ИТ/сетей;
  • ВСМ как динамическая дисциплина требует проведения регулярных проверок и обновлений. Ведь решение ВСМ развивается вместе с предприятием и должно приспосабливаться к изменениям деловой среды (см. Рисунок 1).

Рисунок 1. Жизненный цикл системы ВСМ.

Обеспечение непрерывности бизнеса тесно связано с законодательными нормами: во-первых, целый ряд отраслевых предписаний содержит требования по обеспечению непрерывности бизнеса или аварийному восстановлению — это постановления Sarbanes-Oxley, Basel II, Federal Information Security Management Act (FISMA) или Health Insurance Portability and Accountability Act (HIPAA) (см. Таблицу 1); во-вторых, предприятиям необходимо обладать определенными сертификатами (к примеру, SAS-70 или FIPS) и соблюдать законодательство, чтобы получить разрешения, требуемые во многих отраслях.

 

Отрасль

 

Основной фокус

 

Влияние на поддержание непрерывности бизнеса

 

Sarbanes Oxley

 

Все компании, представленные на американских биржах

 

Управляющая структура предприятия

 

Долгосрочное хранение данных и архивирование

 

Gramm-Leach-Bliley (GLB)

 

Финансовые услуги

 

Получение и сохранение информации

 

Долгосрочное хранение данных и архивирование

 

HIPAA

 

Здравоохранение

 

Стандартизация деловых процессов
в сфере здравоохранения
и конфиденциальность данных о пациентах

 

Наличие утвержденного плана аварийного восстановления, корпоративного кризисного плана и системы резервного копирования данных

 

FISMA

 

Системы ИТ правительства США

 

Информационная безопасность

 

Анализ слабых мест
с оценкой угрозы
для всех компонентов

 

Соглашение Basel II

 

Финансовое/ банковское дело

 

Разработано Базельским комитетом по банковскому надзору и разумным действиям менеджмента и надзора (2003 г.)

 

План обеспечения непрерывности бизнеса
и ограничение потерь

 

FERC RM01-12-00 (приложение G)

 

Энергоснабжение/ коммунальные предприятия

 

Регулирование касается коммунальных предприятий, работающих только
в крупных городах

 

План аварийного восстановления

Таблица 1. Примеры отраслевых предписаний (частично американских), влияющих на поддержание непрерывности бизнеса.

ВАЖНЫЕ СОБЫТИЯ

Для оценки наиболее важных процессов, непрерывность которых надо обеспечить, сначала необходимо выявить все события, которые могут повлиять на деятельность предприятия. Их можно подразделить на три категории: относящиеся к окружающей среде, к сотрудникам и к инфраструктуре ИТ.

К первой группе причисляются природные катастрофы (наводнения, снежные бури, пожары и т.п.) или происшествия, вызванные деятельностью людей (к примеру, сбои в энергоснабжении, а также взломы или вандализм). Ранее подобным происшествиям всегда уделялось особое внимание, когда речь шла об аварийном восстановлении, поскольку такие события, как правило, масштабны и
неожиданны.

В категорию событий, связанных с сотрудниками, можно отнести увольнения или болезни. Если команда ВСМ исследует информационные потоки в пределах предприятия, то окажется, что человеческий фактор так же важен для непрерывности деловых процессов, как и среда. Даже один сотрудник может повлиять на поддержку бизнеса, если он единственный, кто обладает важными знаниями или квалификацией. Поэтому эффективная система ВСМ предполагает, что на предприятии имеется несколько таких сотрудников, чтобы в аварийной ситуации они могли подменить друг друга.

В контексте событий третьей группы можно упомянуть аппаратные ошибки, баги программного обеспечения или атаки на безопасность ИТ (вирусы, черви, атаки с целью вызвать отказ в обслуживании, взломы), а также ошибки управления изменениями и ошибки персонала. Инфраструктура ИТ давно находится в эпицентре дискуссий по поводу аварийного восстановления: решения для передачи сообщений (к примеру, системы мгновенного обмена сообщениями — Instant Messaging, IM) обеспечивают взаимодействие в режиме реального времени на рабочем месте, но одновременно они представляют собой угрозу системам безопасности и открывают новые пути для проникновения вирусов и червей. Чтобы противодействовать неконтролируемому распространению клиентов IM и связанной с этим угрозе для систем безопасности, в масштабах предприятия вводятся директивы, регулирующие использование коммуникационных решений. Помимо определения правил, меры безопасности должны предусматривать защиту всех настольных систем, а следовательно, и корпоративной сети.

В концепции ВСМ следует учитывать изменения, возникающие в результате появления новых приложений, слияния компаний или очередных приобретений. Принимая важные деловые решения, необходимо учитывать состояние ИТ на предприятии, поскольку этот фактор непосредственно влияет на выполнение законодательных требований.

ВСМ КАК ПРОФЕССИОНАЛЬНАЯ УСЛУГА

С технической точки зрения решения для обеспечения бесперебойности бизнеса включают традиционные голосовые и информационные услуги, вплоть до внедренных в сеть приложений высокой доступности. Например, подход ВСМ от Verizon Business опирается на голосовые и информационные службы, услуги по обеспечению безопасности, решения ИТ и целый набор интегрированных в сеть приложений. На этом фундаменте можно строить управляемые службы (Managed Services), чтобы компании могли сконцентрироваться на своем основном занятии и не тратить силы на поддержание инфраструктуры.

Таким образом, решения ВСМ относятся к категории профессиональных услуг — от начального планирования и оценки до внедрения и обеспечения соответствия нормативным требованиям. Особое значение в этом контексте придается соглашениям об уровне сервиса (Service Level Agreements, SLA), в соответствии с которыми поставщик услуг ВСМ берет на себя полную ответственность за значимые корпоративные приложения. К числу служб, выполняющих самые важные требования поддержания непрерывности бизнеса, относятся следующие:

  • технический консалтинг (помощь при разработке или обновлении планов по обеспечению непрерывности бизнеса и соответствия законодательным требованиям);
  • стабильные голосовые сервисы и услуги передачи данных;
  • услуги по обеспечению безопасности;
  • решения ИТ;
  • интегрированные в сеть приложения;
  • подтверждение и проверка соответствия;
  • опции SLA;
  • управляемые опции.

ЗАКЛЮЧЕНИЕ

Экономические требования рынка и доступность по принципу «всегда включен» привели к смещению акцентов с аварийного восстановления на обеспечение непрерывности бизнеса. ВСМ рассматривается в качестве постоянно развивающейся дисциплины, стимулом которой служат индивидуальные деловые потребности, терпимость к угрозам и требования соответствия каждого предприятия законодательным предписаниям. ВСМ поддерживает предприятия как при обеспечении соответствия нормативным требованиям, так и при возникновении серьезных ситуаций, когда происходит сбой систем ИТ, угрожающий значительным экономическим
ущербом.

Карстен Граф — менеджер решений по безопасности в Verizon Business Security Solutions.


© AWi Verlag