Building An Effective Business Continuity Management System

1,094 views

Published on

Building An Effective Business Continuity Management System.

  • Be the first to comment

  • Be the first to like this

Building An Effective Business Continuity Management System

  1. 1. Построение эффективной Системы управления непрерывностью бизнеса Алексей Чеканов Екатеринбург, 19 ноября 2008
  2. 2. Повестка презентации • Непрерывность бизнеса – нужно ли это? • Стандарт BS 25999 и система управления непрерывностью бизнеса (СУНБ) – Опыт аудита в реальных компаниях – Распространенные проблемы… – … как их избежать – … и как сделать еще лучше • Новые технологии
  3. 3. Надо ли заниматься непрерывностью бизнеса? • 2 мифа по поводу чрезвычайных ситуаций – С нами этого не случится – Мы достаточно защищены • Эти люди тоже так думали….
  4. 4. Насколько это важно для нас? • Сможете ли вы работать, если у вас не будет ваших основных информационных систем – Храните ли вы резервные копии данных и важных документов за пределами офиса? • За какое время вы сможете восстановить ваши процессы в случае потери/недоступности основного офиса? – Задумывались ли об этом руководители компании? • Знают ли ваши сотрудники, что им делать в случае чрезвычайной ситуации? – Когда последний раз вы это проверяли?
  5. 5. Финансовый кризис Инвестиции в непрерывность бизнеса • Против – Тотальное сокращение издержек • За – Обострение конкуренции – Нет права на ошибку – Сложности с экстренным привлечением финансовых ресурсов – Резкое уменьшение надежности контрагентов
  6. 6. Управление контрагентами • Надежность поставщиков – ”Business Continuity Clause” – Оценка уровня УНБ у поставщиков • Резервирование поставщиков и каналов поставок • Наличие запасов – Четкая оценка потребностей – Модификация цепочки поставок (обновляемый резерв) • Обратная сторона медали – Подтверждение собственной надежности
  7. 7. Цель создания СУНБ Зачем вам нужно обеспечение непрерывности бизнеса? – Осознанная необходимость – Требования акционеров – Требования регуляторов – Требования контрагентов – Маркетинговые преимущества
  8. 8. Создание эффективной СУНБ • Управляйте областью действия (!) • Выделите достаточные ресурсы – Выделенный персонал и бюджет программы УНБ • Управляйте ожиданиями руководства – Вовлеченность руководства – Понимание того, что УНБ - это постоянный процесс • Управляйте ожиданиями и вовлечением персонала – Осведомленность персонала – Заинтересованность персонала
  9. 9. Стандарт BS 25999 • Методология построения Системы управления непрерывностью бизнеса • Встроенные механизмы совершенствования • Четкие критерии оценки успеха • Возможность сертификации • Признание контрагентами
  10. 10. Анализ организации
  11. 11. Анализ организации – в стандарте 4.1.1.1. Необходимо наличие четко сформулированного, документированного и надлежащего метода определения воздействия любого нарушения нормального хода различных видов деятельности, обеспечивающих производство основных продуктов и услуг организации 4.1.1.2. Организация должна: а) Определить виды деятельности, обеспечивающие производство основных продуктов и услуг b) Определить виды воздействия, оказываемые нарушением нормального хода деятельности… c) Установить максимально допустимую продолжительность нарушения нормального хода деятельности.. d) Категорировать … по приоритетам g) Установить целевые сроки восстановления
  12. 12. Анализ организации – на практике • Необходима формализованная методика проведения анализа организации • Процесс проведения анализа – Разработка опросных листов – Интервью с ключевыми сотрудниками – Консолидация собранной информации – Презентация руководству – Утверждение материалов анализа
  13. 13. Анализ организации – типичные проблемы • Сбор данных – «Я дам команду своим подчиненным, они вам все пришлют до конца недели» • Верификация собранных данных – «А кто вам это сказал?» • Утверждение данных – «Но это мое частное мнение, вы обязательно спросите у моего руководителя» • Повторяемость процесса – «Что, опять то же самое?» – «А что я вам тогда говорил, не помните?»
  14. 14. Пути решения • Вариант 1 – формальные бизнес-процессы – Небольшой размер проекта – Территориальная целостность организации • Вариант 2 – использование специализированного инструментария – Большая организация – Управление непрерывностью захватывает множество бизнес-процессов – Высокая динамика организации
  15. 15. Специализированные решения • Компания Strohl Systems (США) – 20 лет на рынке управления непрерывностью бизнеса (с 2008 г. – подразделение SunGard Availability Services) – Комплексная линейка решений: • Анализ воздействия на бизнес • Разработка планов ОНБ • Кризисное оповещение • Управление инцидентами – Поддержка на территории России и СНГ – Локализованная версия LDRPS 10
  16. 16. Анализ организации • Разработка опросных листов • Визуальный дизайн опросных листов • Определение логики обработки данных • Динамическое ветвление • Динамические формы • Распространение опросных листов • Общая база адресатов для различных опросов • Web-интерфейс • Сотрудник получает только ссылку и пароль • Контроль заполнения • Контроль прогресса заполнения для каждого сотрудника
  17. 17. Анализ организации • Утверждение руководством • Возможность предварительного просмотра и возврата на доработку опросных листов руководителем сотрудника • Автоматическая консолидация • Генерация отчетов, основанных на результатов проведенных опросов (включая перекрестные отчеты по разным опросам) • Использование при регулярном повторном анализе • Обновление ранее заполненных опросных листов
  18. 18. Выбор стратегии
  19. 19. Разработка и внедрение УНБ
  20. 20. Планы ОНБ – в стандарте 4.3.3.1. Организация должна иметь документированные планы с описанием порядка управления инцидентами, а также восстановления или поддержания организацией деятельности на определенном уровне в случае нарушения нормального хода деятельности 4.3.3.2. Каждый план должен: … b) быть доступным и понятным для тех, кто его будет применять c) иметь владельца (владельцев), отвечающего за его пересмотр, обновление и утверждение 4.3.3.3. Планы в совокупности должны содержать: (25 подпунктов требований)
  21. 21. Планы ОНБ – на практике • Последовательность шагов для всех участников – Эскалация/активация – Восстановительные работы – Коммуникации • Справочная информация – Конфигурация систем – Детальные инструкции по восстановлению – Контактная информация • Жизненный цикл плана – Актуализация – Тестирование (учения)
  22. 22. Планы ОНБ – типичные проблемы • Доступность планов – «Да, конечно я знаю, где он лежит…Хм, а у нас что, не работает сеть?» – «Вот он…только я не уверен, что это последняя версия» • Актуальность планов – «А за восстановление этого приложения у нас отвечает … Иванов. Только он уволился 2 месяца назад» – «А телефон дежурного администратора – вот он… как это «набранный номер не существует»? – «А вот этот сервер в прошлом году уехал в филиал…» • Непротиворечивость планов – «Планы восстановления шести систем вижу… а почему руководитель штаба активирует только пять»?
  23. 23. Планы ОНБ – типичные проблемы (2) • Ответственность за план – «А никто у нас за него не отвечает. У каждого есть своя часть – он ее и выполняет» • Контроль процесса актуализации планов – «Кажется, их администраторы обновляют…» • Тестирование планов – «Да, знаем, что надо тестировать… но совершенно некогда»
  24. 24. Планы ОНБ • Управление процессом – Определение иерархии планов и их привязка к структуре компании – Определение ответственных (до 5 различных ролей) – Определение регламентов актуализации – Контроль выполнения заданий • Эффективное распределение обязанностей – Вовлечение сотрудников компании в работу по первоначальному наполнению плана и его дальнейшей актуализации в рамках их зоны ответственности – Предоставление простого пошагового интерфейса («Навигаторы») – Контроль прогресса выполнения задач
  25. 25. Планы ОНБ (2) • Непротиворечивость планов – Все планы создаются на основе единой базы данных: • Бизнес-процессы компании • Приложения • Оборудование • Средства связи • Важные документы • Активы • Люди – Использование единых шаблонов
  26. 26. Планы ОНБ (3) • Актуальность планов – Возможность автоматической интеграции с внешними источниками данных: • базой данных отдела кадров • базой данных конфигурации оборудования (CMDB) • и т.п. – Возможность ручной верификации данных: • Каждому участнику доступны только данные в его зоне ответственности • Существует механизм контроля выполнения заданий
  27. 27. Планы ОНБ (4) • Контроль целостности – Невозможность удаления сотрудника из системы, пока его роли и обязанности не делегированы другому сотруднику – Анализ бизнес-процессов, приложений и т.п., не попавших ни в один план обеспечения непрерывности бизнеса • Высокий уровень безопасности – Высокий уровень конфиденциальности данных в системе – Настройки безопасности на уровне • Данных (до отдельных строк таблицы) • Отчетов • Элементов интерфейса
  28. 28. Учения, поддержка и аудит
  29. 29. Учения • Регулярные учения – Вовлечение всех ключевых участников процесса обеспечение УНБ – Согласование графика и способа учений с бизнесом – Анализ результатов – Корректировка планов по итогам учений • Использование эффективных механизмов оповещения и коммуникации –
  30. 30. Кризисная коммуникация • В момент чрезвычайной ситуации и сразу после нее: – От скорости и четкости передачи информации зависит эффективность противодействия ЧС • При этом: – Самый дефицитный ресурс – время – Велика вероятность неработоспособности отдельных видов связи – Поведение людей может быть неадекватным – Актуальная контактная информация может отсутствовать
  31. 31. Кризисная коммуникация • Автоматизированное оповещение – Не требует затрат времени – Не подвержено эмоциям – Использует все доступные каналы коммуникации – Реализует предопределенную логику эскалации – Позволяет в любой момент времени получить статус оповещения • Интегрированное решение – Всегда содержит актуальную контактную информацию – Выполняет «обзвон» в полном соответствии с планом • Надежность – Не связано с инфраструктурой компании – Два географически разнесенных ЦОДа в США
  32. 32. Поддержка и аудит • Аудит - хороший первый шаг для создания СУНБ • Регулярный аудит – единственный способ контролировать эффективность СУНБ • Учет изменений внешней среды • Эффективное сочетание внутренних и внешних аудитов
  33. 33. Сертификация – мифы и реальность 1. Это долго и дорого – Создание СУНБ, соответствующей требованиям стандарта BS25999 – Стоимость собственно сертификации на порядок меньше стоимости самой СУНБ 2. Это никому не нужно – Демонстрация надежности своим клиентам и партнерам – Удовлетворение требований регуляторов – ….
  34. 34. Сертификация BS 25999 – в мире • Сертифицировано 25 компаний – Из них 24 BSI – >100 заявок • Лидирующее положение BSI среди других органов по сертификации – Только у BSI есть глобальная сертификация UKAS, у остальных – только UK – Наличие собственных курсов
  35. 35. Сертификация BS 25999 – в России • Первая компания прошла предсертификационный аудит BSI • Около 10 компаний обозначили свой интерес к сертификации и готовят свою систему управления непрерывностью бизнеса к сертификации • BSI аккредитовал четырех российских партнеров • Доступна линейка русскоязычных курсов по BS 25999
  36. 36. Об Алмитек • Основные направления деятельности: – Управление непрерывностью бизнеса – Управление информационной безопасностью – Инфраструктурные решения • Услуги в области непрерывности бизнеса: – Аудит – Стратегия УНБ – Построение СУНБ – Подготовка к сертификации – Обучение
  37. 37. Об Алмитек • Основные направления деятельности: – Управление непрерывностью бизнеса – Управление информационной безопасностью – Инфраструктурные решения • Услуги в области информационной безопасности: – Аудит – Стратегия ИБ – Построение комплексной СУИБ – Решение частных задач ИБ – Внедрение отраслевых решений
  38. 38. Об Алмитек • Основные направления деятельности: – Управление непрерывностью бизнеса – Управление информационной безопасностью – Инфраструктурные решения • Услуги в области инфраструктурных решений: – Строительство серверных помещений и ЦОД – Виртуализация ИТ-инфраструктуры – Строительство объектов связи
  39. 39. Немного о новых технологиях • Виртуализация – Виртуализация серверной инфраструктуры – Виртуализация рабочих мест – Мобильные рабочие места
  40. 40. Вопросы? Алексей Чеканов chekanov@almitech.ru 40

×