четверг, 21 октября 2010 г.

ISSP \ Домен 07. Непрерывность бизнеса и восстановление после аварий. Часть 2

В этой части рассмотрены следующие вопросы:
  • Требования к планированию непрерывности бизнеса
  • Анализ воздействия на бизнес
  • Взаимозависимости


Поддержка руководства является основным требованием для всего, что имеет столь далеко идущие последствия, как планирование непрерывности бизнеса. Крайне важно, чтобы руководство понимало, что реально угрожает компании, каковы последствия реализации этих угроз, каковы масштабы потенциального ущерба от реализации каждой угрозы. Без поддержки руководства, достаточных ресурсов, бюджета и времени, нельзя рассчитывать на хороший результат, а плохой план BCP только создаст ложное чувство безопасности, что может быть еще хуже, чем полное отсутствие плана. Проблемы в плане BCP обычно напрямую связаны с проблемами понимания важности этой работы руководством, неправильным видением руководством целей плана.

Руководители несут ответственность в соответствии с различными законами и постановлениями. Они могут быть привлечены к суду акционерами и клиентами, если не обеспечивают должную заботу (due care) и осмотрительность (due diligence), и не выполняют свои обязанности в отношении восстановления после аварий и обеспечения непрерывности бизнеса. В некоторых отраслях к компаниям предъявляются жесткие требования регуляторов и законодательства, которым они обязаны следовать. Эти требования должны быть проанализированы и с самого начала предусмотрены в плане. Например, банки и инвестиционные компании должны гарантировать, что даже при возникновении чрезвычайной ситуации к конфиденциальной информации их клиентов не получат доступ неуполномоченные лица, она не будет искажена и т.п. Работы по планированию восстановления после аварий и обеспечению непрерывности бизнеса выполняются лучше всего при использовании подхода «сверху вниз», а не наоборот. Именно руководство должно управлять этим проектом, а не рядовой персонал компании.

Многие компании стремятся к максимально быстрому развитию и продвижению, и отказываются от траты времени и ресурсов на вопросы непрерывности и восстановления, не видя в этом возможностей для мгновенного получения выгоды или повышения рыночной доли. Специалистам, работающим в таких компаниях и понимающим ценность результатов этой работы, предстоит пройти через трудный путь убеждения топ-менеджмента компании в целесообразности выполнения этих работ. Но когда произойдет авария, они не пожалеют о потраченных на подготовку усилиях, поскольку результат будет просто неоценим. Сегодняшнему деловому миру требуется два важных аспекта: побуждение для выпуска на рынок прекрасной продукции или услуг, а также мудрость, чтобы предусмотреть возможность возникновения непредвиденных проблем.

Важно, чтобы руководство установило набор высокоуровневых целей для планирования непрерывности и помогло расставить приоритеты, указав, что должно быть сделано в первую очередь. После того, как руководство установит цели, политики и расставит приоритеты, члены команды проекта BCP могут приступать к своей работе. Однако нужно понимать, что потребность в поддержке руководства не заканчивается на этом. Руководство должно убедиться, что планы и процедуры реально разработаны и внедрены. Руководство должно быть уверено, что планы поддерживаются в актуальном состоянии и отражают реальные приоритеты компании, несмотря на происходящие в ней изменения.


Планирование непрерывности бизнеса связано с неизвестностью и вероятностью. Конечно, вы не можете предсказать, где и когда случится чрезвычайная ситуация, но это не значит, что вам не нужно готовить план на этот случай. То, что мы не знаем, что завтра в 10 утра произойдет землятрясение, не значит, что мы не должны заранее запланировать действия, которые необходимо предпринять, чтобы выжить при землятрясении (или другой аварии, чрезвычайной ситуации). Для создания плана непрерывности бизнеса нужно попытаться продумать все возможные аварии и чрезвычайные ситуации, которые могут произойти, оценить их потенциальные последствия и ущерб от них, категорировать и приоритезировать их, разработать реальные альтернативы на случай, если такая авария или чрезвычайная ситуация действительно произойдет.

BIA (business impact analysis – анализ влияния на бизнес) – это функциональный анализ, в процессе которого команда собирает данные, проводя интервью и анализируя документальные источники; документирует бизнес-функции, действия и транзакции; разрабатывает иерархию бизнес-функций; и, наконец, определяет уровень критичности каждой отдельной функции с помощью порядка классификации. Но как определить этот порядок классификации, основанный на уровнях критичности? Комитет ВСР должен идентифицировать угрозы, перед лицом которых стоит компания, и определить для них следующие характеристики:
  • Максимально допустимое время простоя
  • Нарушение работы и снижение производительности
  • Возмещение финансовых убытков (financial consideration)
  • Ответственность, установленная законодательством и регуляторами
  • Репутация
Сам Комитет, конечно же, не может полностью понимать все бизнес-процессы компании, какие действия и ресурсы нужны для работы этих процессов. Поэтому Комитет должен собрать эту информацию от людей, которые ей обладают – руководителей подразделений компании и отдельных сотрудников. Сначала Комитет должен определить, кто их сотрудников будет участвовать в процессе сбора данных для BIA. Комитет должен решить, каким образом он будет собирать данные у выбранных сотрудников – будет ли это анкетирование, интервью или рабочие совещания. Затем команда должна собрать необходимую для проведения BIA информацию, проведя анкетирование, интервью и совещания с выбранными сотрудниками. Полученные при этом данные будут использоваться для последующего анализа. Очень важно, чтобы члены команды спросили, как выполняются различные функции (процессы, транзакции, сервисы) в компании. Должны быть оформлены схемы процессов, которые будут использоваться на этапе проведения BIA и на других этапах разработки плана.

После завершения этапа сбора данных, Комитет ВСР должен провести их анализ для определения, какие процессы, устройства и операционные функции являются критичными для компании. Например, если система является автономной, не влияет на другие системы и имеет невысокую критичнность, она может быть классифицирована, как восстанавливаемая на второй или третьей фазе процесса восстановления. Соответственно, эта система не будет восстанавливаться до тех пор, пока не завершится восстановление и запуск в работу более критичных систем и ресурсов. Этот анализ может быть проведен с использованием стандартной методологии оценки и анализа рисков (процесс анализа рисков мы обсуждали в Домене 01).

Угрозы могут быть рукотворными, природными или техническими. Рукотворными угрозами могут быть поджоги, террористичесие акты или просто ошибки, приводящие к серьезным последствиям. Природными угрозами могут быть торнадо, наводнения, ураганы или землятрясения. Техническими угрозами могут быть повреждения данных, перебои электроснабжения, неисправности устройств, нарушения работы коммуникационных каналов. Важно выявить все возможные угрозы и рассчитать вероятность их реализации. Некоторые угрозы могут показаться неразумными и надуманными, например, злоумышленные действия сотрудников, вандализм, протесты сотрудников, атаки хакеров и т.п., но эти угрозы также должны быть идентифицированы. Для анализа угроз лучше использовать подход, основанный на сценариях их реализации. Это позволит наиболее полно учесть при подготовке плана влияние этих угроз на задачи бизнеса, подразделения и критичные операции компании. Чем больше угроз учтет компания при планировании, тем лучше она будет готова к наступлению чрезвычайных ситуаций.

Шаги BIA. Отдельные шаги BIA перечислены ниже:
1. Подбор людей для опроса в процессе сбора данных.
2. Выбор метода сбора данных (анкетирование, исследование, количественный и качественный подходы).
3. Идентификация критичных для компании бизнес-функций.
4. Идентификация ресурсов, которые необходимы для выполнения этих функций.
5. Расчет времени, в течение которого эти бизнес-функции могут «прожить» без этих ресурсов.
6. Выявление уязвимостей и угроз для этих бизнес-функций.
7. Расчет рисков для каждой отдельной бизнес-функции.
8. Подготовка документа по результатам BIA и предоставление его руководству.
В этом Домене мы рассмотрим каждый из этих шагов.

Комитет должен проанализировать сценарии, которые приведут к следующим последствиям:
  • Неисправность или недоступность оборудования
  • Недоступность водоснабжения, коммунальных услуг, отопления, вентиляции, электроэнергии (utilities)
  • Недоступность (невозможность использования) здания
  • Недоступность (неработоспособность) критичного персонала
  • Недоступность (неработоспособность) производителей или поставщиков услуг
  • Повреждение программного обеспечения и/или данных
Следующим шагом анализа рисков является определение ценности активов, на которые может оказать влияние каждая из угроз. Это поможет сделать план экономически целесообразным. Как уже говорилось в Домене 01, определение ценности активов не так однозначно, как может показаться. Ценность актива – это не просто сумма денег, которую за него заплатили. Должна быть учтена роль (значение) этого актива для компании, а также трудозатраты на его воссоздание (например, если это часть программного обеспечения). Кроме того, в при определении ценности актива должны учитываться вопросы ответственности компании в случае повреждения актива или нарушения его безопасности. (Более подробно вопросы определения ценности активов рассмотрены в Домене 01).

Должна быть собрана количественная и качественная информация в отношении воздействия на бизнес фактов реализации различных угроз, собранная информация должна быть надлежащим образом проанализирована и интерпретирована с целью максимально точного понимания последствий воздействия этих угроз. При этом воздействие может быть экономическим, функциональным (операционным) или одновременно и тем, и другим. Результаты анализа следует передать наиболее квалифицированным людям в компании для рассмотрения, чтобы они подтвердили, что получены адекватные результаты, описывающие реальные риски, перед лицом которых стоит компания, и их воздействия на бизнес. Это поможет сразу исключить все несущественные данные и обеспечить максимально полное понимание всех возможных воздействий на бизнес.

К выявленным угрозам по отдельности должны быть применены критерии потерь (loss criteria). Среди этих критериев могут быть следующие:
  • Ущерб репутации и общественному доверию
  • Потеря конкурентных преимуществ
  • Повышение операционных расходов
  • Нарушение контрактных обязательств
  • Нарушение законодательства и требований регуляторов
  • Отложенные расходы
  • Потеря доходов
  • Снижение производительности
Эти прямые и косвенные потери должны быть надлежащим образом учтены.

Например, если команда ВСР рассматривает угрозу террористического акта, важно определить, на какие бизнес-функции это скорее всего будет направлено, на какие бизнес-функции будет оказано воздействие, насколько применим для этого случая (прямо или косвенно) каждый из пунктов перечня критериев потерь. Для отдельных бизнес-процессов и компании в целом может быть критично время восстановления. Например, это может быть применимо к деятельности по поддержке клиентов, которая может быть остановлена не более, чем на два дня. Если поддержка клиентов будет остановлена на пять дней, компания может прекратить свое существование.

После идентификации критичных функций, необходимо точно определить, что требуется для работы отдельным бизнес-процессам, реализующим эти критичные функции. Среди необходимых им ресурсов не обязательно будут только компьютерные системы, они могут требовать наличия определенного персонала, выполнения определенных процедур и задач, наличия запасов сырья, поддержки производителей. Команда должна понять, какое влияние на эти процессы окажет недоступность одного или более из необходимых им ресурсов, отсутствие каких ресурсов полностью остановит выполнение соответствующей критичной функции.

В процессе BIA, команда идентифицирует критичные для компании системы, необходимые для ее функционирования, и рассчитывает допустимое для компании время их простоя, вызванного различными неблагоприятными событиями. Это время называется максимально допустимым временем простоя (MTD – maximum tolerable downtime).

Ниже представлены некоторые значения MTD, которые могут быть использованы компанией:
  • Второстепенная система. MTD = 30 дней
  • Обычная система. MTD = 7 дней
  • Важная система. MTD = 72 часа
  • Необходимая система. MTD = 24 часа
  • Критичная система. MTD = менее 1 часа
Каждая бизнес-функция и каждый актив должны быть помещены в одну из этих категорий, в зависимости от времени, в течение которого компания может жить без этой функции или актива. Это поможет компании обоснованно выбрать необходимое ей решение для организации резервного копирования, обеспечивающее гарантии доступности этих ресурсов. Например, если неработоспособность выделенной линии в течение 3 часов обойдется компании в $130 000, эту выделенную линию следует считать критичной, и компании следует организовать резервный канал связи от другого провайдера. Если недоступность сервера в течение 10 дней нанесет компании ущерб всего на $250, его следует считать второстепенным, и компании не нужен полностью готовый к работе резервный сервер, который можно будет сразу же включить в работу при неисправности основного сервера. Вместо этого, компания может решить заключить соглашение со специализированной компанией (аутсорсинг), который, в соответствии с согласованным SLA (service level agreement - соглашение об уровне услуг), восстановит работу этого сервера за 8 дней.

Команда ВСР должна попытаться продумать максимально возможное количество событий, которые могут произойти и нанести ущерб компании. При этом команда ВСР должна понимать, что обеспечить защиту от всех возможных событий и сценариев – нереально. Хорошая подготовка к наводнению, землетрясению, террористической атаке или удару молнии не так важна, как хорошая подготовка к нарушению или полной остановке критичных бизнес-функции. Компания должна быть готова к повреждению любого (или всех) из своих бизнес-ресурсов, а не сосредотачиваться на отдельных событиях, которые могут нанести ей ущерб.

ПРИМЕЧАНИЕ. BIA выполняется в самом начале процесса планирования непрерывности бизнеса. Проведение BIA необходимо для выявления областей, которые будут подвержены наибольшему ущербу в случае аварии или разрушения (disruption). В процессе BIA выявляются критичные для компании системы, необходимые для ее существования, проводится оценка максимально допустимого для компании времени простоя, вызванного аварией или разрушением.


Взаимозависимости

Важно рассматривать компанию в виде сложного организма. В компании используется множество различных типов оборудования, работают люди, выполняются различные задачи, созданы различные подразделения, организованы коммуникационные каналы и интерфейсы связи с внешним миром. Самой большой сложностью при правильном планировании непрерывности явяется понимание всех этих компонентов и их взаимоотношений. Команда может разработать планы резервного копирования и восстановления данных, установить резервное оборудование, обучить сотрудников вручную выполнять автоматизированные задачи и предусмотреть дополнительные источники питания. Но если нет четкого понимания, как все эти компоненты будут совместно работать в другой среде, позволяя получить на выходе тот же продукт, это может оказаться пустой тратой времени и денег.

Следующие взаимосвязи и взаимозависимости задач должны быть выявлены командой ВСР и учтены в разрабатываемом плане непрерывности:
  • Определение важнейших бизнес-функций и поддерживающих их подразделений.
  • Определение взаимозависимостей между этими функциями и подразделениями.
  • Выявление всех возможных нарушений (аварий, разрушений) которые могут оказать воздействие на механизмы, необходимые этим подразделениям для функционирования.
  • Выявление и документирование потенциальных угроз, которые могут нарушить взаимодействие подразделений между собой.
  • Сбор количественной и качественной информации, относящейся к этим угрозам.
  • Обеспечение альтернативных методов восстановления функциональности и коммуникаций.
  • Подготовка краткого и понятного описания для каждой угрозы и соответствующей информации.
Основной целью планирования непрерывности бизнеса является возможность восстановить работу компании настолько быстро, насколько это возможно, потратив при этом минимум денег. Полный план возобновления работы компании должен охватывать все организационные единицы компании, определять критичные сервисы и функции, обеспечивать альтернативый режим работы в аварийном режиме и включать в себя планы каждого подразделения. Эта работа может быть выполнена собственным персоналом компании или внешними консультантами, либо с участием и тех, и других. Последний вариант может иметь ряд преимуществ для компании, поскольку консультанты являются экспертами в этой области, хорошо знают, какие шаги нужно выполнить и в какой последовательности, знают, какие вопросы нужно задать, какие могут возникнуть проблемы, на какие из них следует обратить повышенное внимание. Также, внешние консультанты могут дать разумные советы. При этом внутренние сотрудники компании гораздо лучше знают свою компанию и лучшее понимают, как те или иные угрозы могут воздействовать на работу отдельных бизнес-функций компании и работу компании в целом. Чаще всего одновременное участие в подготовке плана BCP собственного персонала компании и внешних консультантов является наиболее правильным выбором и позволяет эффективно решить все необходимые вопросы.

В масштабах предприятия. Определение и согласование границ проекта ВСР даст ответ на вопрос, нужно ли включать в план только один офис или несколько (все) офисов компании. Большинство планов ВСР разрабатывается в масштабах компании в целом, а не для отдельных ее частей. В большой компании может иметь смысл разработать отдельные планы действий на случай чрезвычайных ситуаций для каждого подразделения. План подразделения будет учитывать их специфичные потребности в процессе восстановления. Эти планы отдельных подразделений не должны противоречить общему плану ВСР в масштабах всей компании.

Итак, к настоящему моменту мы определили следующие обязанности руководства:
  • Принятие решения о разработке ВСР и обеспечение поддержки
  • Установка политики и целей
  • Предоставление необходимого бюджета и ресурсов
  • Принятие на себя ответственности за результаты разработки ВСР
  • Создание команды для разработки BCP
Обязанности команды ВСР заключаются в следующем:
  • Определение требований законодательства и регуляторов, которые должны быть учтены
  • Выявление всех возможных уязвимостей и угроз
  • Оценка вероятности реализации этих угроз и потенциального ущерба от их реализации
  • Выполнение BIA
  • Определение, работа каких подразделений, систем и процессов должна быть восстановлена раньше других
  • Разработка процедур и шагов для возобновления работы бизнес-процессов компании после аварии
Существует несколько программных продуктов, которые могут помочь и упростить процесс разработки плана BCP. Автоматизация отдельных процедур может уменьшить сроки реализации этого проекта, упростить сбор больших объемов информации. Многие необходимые элементы уже реализованы в этих программных продуктах и предоставляются в виде шаблонов.

Полученная в результате BIA информация вместе с другими данными, рассмотренными в предыдущих разделах, должна быть предоставлена высшему руководству. Руководство обычно требует предоставлять информацию, выраженную в деньгах или иных количественных терминах, а не в виде субъективных качественных понятий. Конечно, неплохо знать, что в случае торнадо все будет "совсем плохо", но гораздо лучше знать, что в случае торнадо пострадает 65% помещений компании, возникнет риск остановки всех комьютерных систем на срок до 72 часов, прекращения электроснабжения на срок до 24 часов, а работа компании полностью остановится на 76 часов, при этом ежедневно компания будет нести потери, эквивалентные $125 000. Работать с количественной информацией значительно проще и эффективнее.

Важно, чтобы все это было сделано до того, как команда ВСР уже разработает какой-либо из своих планов. Сначала нужно собрать данные, провести их анализ, а результаты предствить руководству. Руководство должно проанализировать эти результаты и одобрить их, после чего команда должна приступать к разработке плана.

Будем считать, что руководство нас горячо поддержало и теперь мы имеем возможность перейти к следующим этапам.

Ссылки по теме:

Комментариев нет: