Согласно определению, приведенному в британском стандарте BS 25999-1:2006, под управлением непрерывностью деятельности (Business Continuity Management, BCM) понимается “целостный процесс управления, в рамках которого идентифицируются потенциальные угрозы деятельности организации, оцениваются возможные воздействия на бизнес-операции в случае осуществления этих угроз, создается основа для обеспечения способности организации восстанавливать свою деятельность и эффективно реагировать на инциденты”.
Процесс управления непрерывностью деятельности, как считают эксперты из компании “Инфосистемы Джет”, неверно сводить только к составлению планов аварийного восстановления, либо к кризисному управлению, либо к управлению рисками, либо только к восстановлению технической инфраструктуры. Ошибочно также считать, что ответственность за него возлагается на узкую группу специалистов. На самом деле этот процесс охватывает все стороны деятельности компании и тесно связан со всеми видами управления ею. Важно учесть, что инициатором и движущей силой процесса управления непрерывностью деятельности должно быть высшее руководство компании.
Применяемые компанией “Инфосистемы Джет” методологии отражают жизненный цикл процесса управления непрерывностью, состоящий из шести этапов. Эти этапы могут быть реализованы организациями разного масштаба, занятыми в любой сфере деятельности. Опыт компании “Инфосистемы Джет” по оказанию услуг обеспечения непрерывной деятельности, разработки планов аварийного восстановления в чрезвычайных ситуациях, созданию катастрофоустойчивых вычислительных комплексов подтверждает, что хотя область применения и структура процесса BCM может изменяться, эти шесть компонентов в том или ином объеме в управлении непрерывностью присутствуют всегда.
Этап 1. Управление программой построения ВСМ
Под программой построения BCM понимается комплекс проектов и процессов, реализующих регулярные проверки, тестирования и учебные тревоги, для оценки возможного ущерба от тех или иных чрезвычайных событий, разработки и обеспечения стратегий жизнеспособности и планов восстановления бизнес-процессов, для обеспечения непрерывности производства товаров и предоставления услуг. Управление этой программой включает такие задачи как выработка структуры программы и планов ее реализации, распределение и контроль зон ответственности участников программы, информирование высшего руководства и сотрудников организации о ходе ее выполнения и выгодах, которые в результате получает организация. Зачастую важность этого этапа недооценивается, что приводит к переделке значительной части уже выполненных работ.
Этап 2. Анализ деятельности
На данном этапе собирается и анализируется информация обо всех производимых компанией продуктах и услугах. Из них, в соответствии с установленными критериями, выбираются самые критичные, после чего формулируются требования к скорости восстановления их производства в чрезвычайных обстоятельствах. На результатах проведенного анализа базируется стратегия обеспечения непрерывности деятельности, разрабатываемая на следующем этапе.
Этап 3. Разработка стратегии обеспечения непрерывности деятельности
Стратегия обеспечения непрерывности должна предусматривать решение следующих задач:
- обеспечение безопасности сотрудников;
- обеспечение персонала рабочими помещениями;
- обеспечение техническими средствами;
- обеспечение доступа к необходимой информации;
- обеспечение необходимыми материалами;
- обеспечение взаимодействия с бизнес-партнерами, подрядчиками, поставщиками, клиентами и другими заинтересованными сторонами.
Для решения каждой из этих задач вырабатывается собственная стратегия, нацеленная на достижение параметров восстановления, которые были определены на предыдущем этапе.
Этап 4. Разработка и внедрение процедур реагирования
Результатом этого этапа является разработка принципов менеджмента и структуры системы управления инцидентами, а также планов аварийного восстановления и обеспечения непрерывности деятельности, в которых подробно определяются действия, выполняемые во время и после инцидента для поддержания или восстановления функционирования бизнеса.
Природа инцидента может быть столь неожиданной, что организация окажется неподготовленной к развитию событий, даже если были разработаны и внедрены мероприятия, направленные на восстановление ущерба. Поэтому крайне важно, чтобы руководство организации и вспомогательные структуры не просто следовали существующему плану, а принимали решения в зависимости от реальных обстоятельств. План обеспечения непрерывности деятельности никогда не заменит оперативных решений квалифицированных и компетентных специалистов. Надо заметить, что в стандарте BS 25999-1 не уделяется внимания такой важной теме, как инфраструктура, обеспечивающая непрерывность бизнеса с технической точки зрения. Именно на этом этапе предоставляющие услуги в области BCM системные интеграторы, такие как “Инфосистемы Джет”, могут наиболее полно использовать свой обширный опыт и высокую квалификацию, разрабатывая технические решения в соответствии с требованиями бизнеса, а планы и регламенты — в соответствии с техническими решениями.
Этап 5. Тестирование, поддержка и пересмотр мероприятий процесса BCM
Различные виды тестирования документов, технических средств и навыков персонала помогают выявлять степень готовности компании к чрезвычайным ситуациям, а процесс управления изменениями и регулярное проведение испытаний и тестов позволяют поддерживать полноту и жизнеспособность внедренных технических средств и разработанных планов BCM.
На данном этапе обеспечение BCM приобретает циклический характер и постепенно переходит в категорию внутренних процессов компании.
Этап 6. Встраивание процесса управления непрерывностью деятельности в культуру организации
Внедрение процесса BCM в корпоративную культуру позволяет системе управления непрерывностью деятельности стать одним из важнейших конкурентных преимуществ компании. Наличие этого процесса дает владельцам уверенность в том, что компания всегда сможет выполнить обязательные требования нормативных и законодательных актов, акционерам — в сохранности своих инвестиций, партнерам и клиентам — в том, что поставка товаров или предоставление услуг не остановится в самый неподходящий момент, менеджменту компании — в том, что деятельность компании останется контролируемой и управляемой даже в условиях чрезвычайной ситуации, а сотрудникам — что компания-работодатель не исчезнет внезапно, оставив их без средств к существованию.
Опыт компании “Инфосистемы Джет”
Проект в ОАО “ВымпелКом”
Критическая зависимость бизнеса ОАО “ВымпелКом” от качества и доступности ИТ-сервисов привела к необходимости разработать и внедрить стратегию обеспечения непрерывности предоставления ИТ-услуг — одной из важнейших задач, решаемых ИТ-дирекцией ОАО “ВымпелКом”, которая также стала частью стратегии обеспечения непрерывности всего бизнеса компании.
В ОАО “ВымпелКом” компания “Инфосистемы Джет” реализовала одну из крупнейших в мире по масштабу и бюджету программ послеаварийного восстановления и обеспечения непрерывности ИТ-услуг. В результате заказчику удалось снизить уровень рисков бизнеса, защитить активы и минимизировать последствия аварий.
На первом этапе программы было проведено подробное обследование информационных систем ОАО “ВымпелКом” с точки зрения их влияния на бизнес, разработана общая стратегия восстановления ИТ-услуг и высокоуровневый план реализации проекта.
Работы второго этапа велись в двух направлениях. Во-первых, были спроектированы и внедрены технические решения, обеспечивающие реализацию предложенной стратегии восстановления ИТ-услуг. В результате был построен и оснащен резервный вычислительный центр; с помощью кластерных решений обеспечена бесперебойность функционирования критических бизнес-приложений; разработка и внедрение синхронной репликации обеспечили высокую доступность данных, а удаленное резервное копирование — их сохранность.
Во-вторых, на базе спецификации BSI PAS 56 и передового мирового опыта по обеспечению антикризисного управления были отлажены практические процедуры, создана документация и программы тренингов.
Сегодня проект перешел в фазу бизнес-процесса компании. Регулярно проводится обновление планов и методик, тестирование компонентов, обеспечивающих непрерывность предоставления ИТ-услуг. Компания приступила к разработке комплексной стратегии обеспечения непрерывности всего бизнеса. К этой деятельности будут привлечены как техническая дирекция компании, так и бизнес-подразделения.