2. Повестка презентации
• Непрерывность бизнеса – нужно ли это?
• Стандарт BS 25999 и система управления
непрерывностью бизнеса (СУНБ)
– Опыт аудита в реальных компаниях
– Распространенные проблемы…
– … как их избежать
– … и как сделать еще лучше
• Новые технологии
3. Надо ли заниматься
непрерывностью бизнеса?
• 2 мифа по поводу чрезвычайных ситуаций
– С нами этого не случится
– Мы достаточно защищены
• Эти люди тоже так думали….
4. Насколько это важно для нас?
• Сможете ли вы работать, если у вас не будет
ваших основных информационных систем
– Храните ли вы резервные копии данных и важных
документов за пределами офиса?
• За какое время вы сможете восстановить ваши
процессы в случае потери/недоступности
основного офиса?
– Задумывались ли об этом руководители
компании?
• Знают ли ваши сотрудники, что им делать в
случае чрезвычайной ситуации?
– Когда последний раз вы это проверяли?
5. Финансовый кризис
Инвестиции в непрерывность бизнеса
• Против
– Тотальное сокращение
издержек
• За
– Обострение конкуренции
– Нет права на ошибку
– Сложности с экстренным привлечением
финансовых ресурсов
– Резкое уменьшение надежности контрагентов
6. Управление контрагентами
• Надежность поставщиков
– ”Business Continuity Clause”
– Оценка уровня УНБ у поставщиков
• Резервирование поставщиков и каналов
поставок
• Наличие запасов
– Четкая оценка потребностей
– Модификация цепочки поставок (обновляемый
резерв)
• Обратная сторона медали
– Подтверждение собственной надежности
7. Цель создания СУНБ
Зачем вам нужно обеспечение
непрерывности бизнеса?
– Осознанная необходимость
– Требования акционеров
– Требования регуляторов
– Требования контрагентов
– Маркетинговые преимущества
8. Создание эффективной СУНБ
• Управляйте областью действия (!)
• Выделите достаточные ресурсы
– Выделенный персонал и бюджет программы УНБ
• Управляйте ожиданиями руководства
– Вовлеченность руководства
– Понимание того, что УНБ - это постоянный процесс
• Управляйте ожиданиями и вовлечением
персонала
– Осведомленность персонала
– Заинтересованность персонала
9. Стандарт BS 25999
• Методология построения
Системы управления
непрерывностью бизнеса
• Встроенные механизмы
совершенствования
• Четкие критерии оценки
успеха
• Возможность сертификации
• Признание контрагентами
11. Анализ организации – в стандарте
4.1.1.1. Необходимо наличие четко сформулированного,
документированного и надлежащего метода
определения воздействия любого нарушения
нормального хода различных видов деятельности,
обеспечивающих производство основных продуктов
и услуг организации
4.1.1.2. Организация должна:
а) Определить виды деятельности, обеспечивающие
производство основных продуктов и услуг
b) Определить виды воздействия, оказываемые
нарушением нормального хода деятельности…
c) Установить максимально допустимую
продолжительность нарушения нормального хода
деятельности..
d) Категорировать … по приоритетам
g) Установить целевые сроки восстановления
12. Анализ организации – на практике
• Необходима формализованная методика
проведения анализа организации
• Процесс проведения анализа
– Разработка опросных листов
– Интервью с ключевыми сотрудниками
– Консолидация собранной информации
– Презентация руководству
– Утверждение материалов анализа
13. Анализ организации – типичные проблемы
• Сбор данных
– «Я дам команду своим подчиненным, они вам все
пришлют до конца недели»
• Верификация собранных данных
– «А кто вам это сказал?»
• Утверждение данных
– «Но это мое частное мнение, вы обязательно
спросите у моего руководителя»
• Повторяемость процесса
– «Что, опять то же самое?»
– «А что я вам тогда говорил, не помните?»
14. Пути решения
• Вариант 1 – формальные бизнес-процессы
– Небольшой размер проекта
– Территориальная целостность организации
• Вариант 2 – использование
специализированного инструментария
– Большая организация
– Управление непрерывностью захватывает
множество бизнес-процессов
– Высокая динамика организации
15. Специализированные решения
• Компания Strohl Systems (США)
– 20 лет на рынке управления непрерывностью
бизнеса (с 2008 г. – подразделение SunGard
Availability Services)
– Комплексная линейка решений:
• Анализ воздействия на бизнес
• Разработка планов ОНБ
• Кризисное оповещение
• Управление инцидентами
– Поддержка на территории России и СНГ
– Локализованная версия LDRPS 10
16. Анализ организации
• Разработка опросных листов
• Визуальный дизайн опросных листов
• Определение логики обработки данных
• Динамическое ветвление
• Динамические формы
• Распространение опросных листов
• Общая база адресатов для различных опросов
• Web-интерфейс
• Сотрудник получает только ссылку и пароль
• Контроль заполнения
• Контроль прогресса заполнения для каждого сотрудника
17. Анализ организации
• Утверждение руководством
• Возможность предварительного просмотра
и возврата на доработку опросных листов
руководителем сотрудника
• Автоматическая консолидация
• Генерация отчетов, основанных на результатов
проведенных опросов (включая перекрестные
отчеты по разным опросам)
• Использование при регулярном
повторном анализе
• Обновление ранее заполненных опросных листов
20. Планы ОНБ – в стандарте
4.3.3.1. Организация должна иметь документированные
планы с описанием порядка управления
инцидентами, а также восстановления или
поддержания организацией деятельности на
определенном уровне в случае нарушения
нормального хода деятельности
4.3.3.2. Каждый план должен:
…
b) быть доступным и понятным для тех, кто его
будет применять
c) иметь владельца (владельцев), отвечающего за
его пересмотр, обновление и утверждение
4.3.3.3. Планы в совокупности должны содержать:
(25 подпунктов требований)
21. Планы ОНБ – на практике
• Последовательность шагов для всех
участников
– Эскалация/активация
– Восстановительные работы
– Коммуникации
• Справочная информация
– Конфигурация систем
– Детальные инструкции по восстановлению
– Контактная информация
• Жизненный цикл плана
– Актуализация
– Тестирование (учения)
22. Планы ОНБ – типичные проблемы
• Доступность планов
– «Да, конечно я знаю, где он лежит…Хм, а у нас что, не
работает сеть?»
– «Вот он…только я не уверен, что это последняя версия»
• Актуальность планов
– «А за восстановление этого приложения у нас отвечает
… Иванов. Только он уволился 2 месяца назад»
– «А телефон дежурного администратора – вот он… как
это «набранный номер не существует»?
– «А вот этот сервер в прошлом году уехал в филиал…»
• Непротиворечивость планов
– «Планы восстановления шести систем вижу… а почему
руководитель штаба активирует только пять»?
23. Планы ОНБ – типичные проблемы (2)
• Ответственность за план
– «А никто у нас за него не отвечает. У каждого есть своя
часть – он ее и выполняет»
• Контроль процесса актуализации планов
– «Кажется, их администраторы обновляют…»
• Тестирование планов
– «Да, знаем, что надо тестировать… но совершенно
некогда»
24. Планы ОНБ
• Управление процессом
– Определение иерархии планов и их привязка
к структуре компании
– Определение ответственных (до 5 различных ролей)
– Определение регламентов актуализации
– Контроль выполнения заданий
• Эффективное распределение
обязанностей
– Вовлечение сотрудников компании в работу по
первоначальному наполнению плана и его дальнейшей
актуализации в рамках их зоны ответственности
– Предоставление простого пошагового интерфейса
(«Навигаторы»)
– Контроль прогресса выполнения задач
25. Планы ОНБ (2)
• Непротиворечивость планов
– Все планы создаются на основе единой базы
данных:
• Бизнес-процессы компании
• Приложения
• Оборудование
• Средства связи
• Важные документы
• Активы
• Люди
– Использование единых шаблонов
26. Планы ОНБ (3)
• Актуальность планов
– Возможность автоматической интеграции
с внешними источниками данных:
• базой данных отдела кадров
• базой данных конфигурации оборудования (CMDB)
• и т.п.
– Возможность ручной верификации данных:
• Каждому участнику доступны только данные в его зоне
ответственности
• Существует механизм контроля выполнения заданий
27. Планы ОНБ (4)
• Контроль целостности
– Невозможность удаления сотрудника из системы, пока
его роли и обязанности не делегированы другому
сотруднику
– Анализ бизнес-процессов, приложений и т.п., не
попавших ни в один план обеспечения непрерывности
бизнеса
• Высокий уровень безопасности
– Высокий уровень конфиденциальности данных в
системе
– Настройки безопасности на уровне
• Данных (до отдельных строк таблицы)
• Отчетов
• Элементов интерфейса
29. Учения
• Регулярные учения
– Вовлечение всех ключевых участников
процесса обеспечение УНБ
– Согласование графика и способа учений с
бизнесом
– Анализ результатов
– Корректировка планов по итогам учений
• Использование эффективных механизмов
оповещения и коммуникации
–
30. Кризисная коммуникация
• В момент чрезвычайной ситуации
и сразу после нее:
– От скорости и четкости передачи
информации зависит эффективность
противодействия ЧС
• При этом:
– Самый дефицитный ресурс – время
– Велика вероятность неработоспособности
отдельных видов связи
– Поведение людей может быть неадекватным
– Актуальная контактная информация может
отсутствовать
31. Кризисная коммуникация
• Автоматизированное оповещение
– Не требует затрат времени
– Не подвержено эмоциям
– Использует все доступные каналы коммуникации
– Реализует предопределенную логику эскалации
– Позволяет в любой момент времени получить статус
оповещения
• Интегрированное решение
– Всегда содержит актуальную контактную информацию
– Выполняет «обзвон» в полном соответствии с планом
• Надежность
– Не связано с инфраструктурой компании
– Два географически разнесенных ЦОДа в США
32. Поддержка и аудит
• Аудит - хороший первый шаг для
создания СУНБ
• Регулярный аудит –
единственный способ
контролировать
эффективность СУНБ
• Учет изменений внешней
среды
• Эффективное сочетание
внутренних и внешних аудитов
33. Сертификация – мифы и реальность
1. Это долго и дорого
– Создание СУНБ, соответствующей
требованиям стандарта BS25999
– Стоимость собственно сертификации на
порядок меньше стоимости самой СУНБ
2. Это никому не нужно
– Демонстрация надежности своим клиентам и
партнерам
– Удовлетворение требований регуляторов
– ….
34. Сертификация BS 25999 – в мире
• Сертифицировано 25 компаний
– Из них 24 BSI
– >100 заявок
• Лидирующее положение BSI среди других
органов по сертификации
– Только у BSI есть глобальная сертификация
UKAS, у остальных – только UK
– Наличие собственных курсов
35. Сертификация BS 25999 – в России
• Первая компания прошла
предсертификационный аудит BSI
• Около 10 компаний обозначили свой
интерес к сертификации и готовят свою
систему управления непрерывностью
бизнеса к сертификации
• BSI аккредитовал четырех российских
партнеров
• Доступна линейка русскоязычных курсов по
BS 25999
36. Об Алмитек
• Основные направления деятельности:
– Управление непрерывностью бизнеса
– Управление информационной безопасностью
– Инфраструктурные решения
• Услуги в области непрерывности бизнеса:
– Аудит
– Стратегия УНБ
– Построение СУНБ
– Подготовка к сертификации
– Обучение
37. Об Алмитек
• Основные направления деятельности:
– Управление непрерывностью бизнеса
– Управление информационной безопасностью
– Инфраструктурные решения
• Услуги в области информационной безопасности:
– Аудит
– Стратегия ИБ
– Построение комплексной СУИБ
– Решение частных задач ИБ
– Внедрение отраслевых решений
38. Об Алмитек
• Основные направления деятельности:
– Управление непрерывностью бизнеса
– Управление информационной безопасностью
– Инфраструктурные решения
• Услуги в области инфраструктурных решений:
– Строительство серверных помещений и ЦОД
– Виртуализация ИТ-инфраструктуры
– Строительство объектов связи
39. Немного о новых технологиях
• Виртуализация
– Виртуализация серверной
инфраструктуры
– Виртуализация
рабочих мест
– Мобильные
рабочие места
40. Вопросы?
Алексей Чеканов
chekanov@almitech.ru
40