Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
2004 г

Обеспечение непрерывности деятельности организации в нештатных ситуациях

Б.Д. Альтерман, В.И. Дрожжинов, Г.Е. Моисеенко
Jet Info Online №5 2003

Содержание

Введение
План обеспечения бесперебойной деятельности организации в случае нештатных ситуаций: вопросы и ответы
Зачем нужен план?
Что представляет собой план и почему он так важен?
Каковы выгоды от наличия плана?
Каковы последствия отсутствия плана?
Кто отвечает за разработку плана?
Что требуется для разработки плана?
Каковы этапы разработки плана?
Что еще следует предусмотреть?
Какие конкретные функциональные области следует включить в план?
Способы составления плана
Что можно сделать самостоятельно?
Методология разработки и примерное содержание плана обеспечения бесперебойной деятельности организации
Методология разработки
Примерное содержание плана
Этапы методологии планирования бесперебойной деятельности организации в случае бедствия
Руководство по составлению плана, обеспечивающего бесперебойное функционирование и восстановление деятельности организации после бедствия
Оценка риска и управление риском
Анализ последствий бедствий для деятельности организации
Разработка стратегий восстановления деятельности организации
Реагирование на чрезвычайную ситуацию
Разработка и внедрение плана, обеспечивающего бесперебойное функционирование организации
Ознакомительные программы и практическое обучение персонала организации
Испытания плана и проведение учений по реализации плана
Ведение и обновление плана
Примеры планов обеспечения бесперебойной работы систем обработки информации
Восстановление локальной вычислительной сети после бедствия
План создания резервных копий и восстановления информации в ЛВС
Планирование действий в непредвиденных обстоятельствах для систем обработки банковской информации
Заключение
I. Источники информации по проблемам обеспечения бесперебойной деятельности организаций в случае бедствий

Концепция, методы и средства обеспечения непрерывности бизнеса (Business Continuity Planning — BCP) и восстановления деятельности после бедствий (Business Disaster Recovery — BDR) широко известны и апробированы на Западе.

Технология обеспечения непрерывности деятельности при чрезвычайных ситуациях является неотъемлемой частью производственной деятельности крупных компаний и государственных организаций, что позволяет им обеспечить практически бесперебойное функционирование в случае чрезвычайных происшествий малого и среднего масштаба и восстанавливать свою деятельность с минимальными, заранее просчитанными убытками в случае широкомасштабных бедствий.

Читатели статьи ознакомятся с терминологией и основными понятиями в рассматриваемой области знаний и методологией разработки планов обеспечения непрерывности бизнеса в нештатных ситуациях. Приводятся примеры конкретных планов.

Планирование непрерывности деятельности- это постоянная забота первых руководителей организаций и компаний, которые живут не одним днем и заинтересованы в сохранении и развитии своих предприятий. Именно им и лицам, отвечающим за безопасность и финансовое здоровье компаний и организаций, в первую очередь предназначена эта статья.

Один из авторов статьи, В.И. Дрожжинов, является сертифицированным cпециалистом по планированию непрерывности бизнеса (АВСР), он прошел обучение в Канаде в Институте по восстановлению после бедствия, сдал сертификационный экзамен. Сертификат выдан Международным институтом по восстановлению после бедствия (Нью-Йорк, США).

Введение

Под нештатными или чрезвычайными ситуациями понимаются внешние воздействия, приводящие к невозможности функционирования предприятия в обычном, регламентируемом соответствующими стандартами данного предприятия режиме.

К таким внешним воздействиям в первую очередь относятся:

  • Отключение электроэнергии
  • Пикетирование и забастовки
  • Прорывы водопровода или канализации
  • Террористические акты или их угроза
  • Выход из строя кондиционеров
  • Гражданские беспорядки
  • Пожары
  • Локальные конфликты
  • Природные катаклизмы

Кроме прямых потерь организации несут издержки, связанные с нарушением процедур производственного и финансового учета, потерей расположения заказчиков, ухудшением имиджа и снижением конкурентоспособности.

Концепция, методы и средства обеспечения непрерывности бизнеса и восстановления деятельности после бедствий (Business Continuity Planning — BCP и Business Disaster Recovery — BDR) широко известны и апробированы на Западе при возникновении официально объявленных бедствий и чрезвычайных происшествий более мелкого характера. Они являются неотъемлемой частью производственной деятельности многих крупных компаний, что позволяет им обеспечить практически бесперебойное функционирование в случае чрезвычайных происшествий малого и среднего масштаба и восстанавливать свою деятельность с минимальными, заранее просчитанными убытками в случае широкомасштабных бедствий.

Для того, чтобы обезопасить себя на случай возникновения нештатных ситуаций, нужно иметь:

  • План действий в нештатной ситуации,
  • Хорошо обученные и тренированные "аварийные группы".

План обеспечения бесперебойного функционирования организации в случае нештатной ситуации представляет собой детальный перечень мероприятий, которые должны быть выполнены до, во время и после чрезвычайного происшествия или бедствия. Этот план документируется и регулярно испытывается для того, чтобы убедиться, что в случае нештатной ситуации он обеспечит продолжение деятельности организации и наличие резерва критически важных ресурсов.

Наличие даже очень хорошего плана не гарантирует защиту компании от неприятностей, если у нее нет хорошо обученных групп сотрудников, знающих, что, когда и как они должны делать при возникновении любой нештатной ситуации.

Аналитики отмечают, что потери от террористической атаки 11 сентября могли быть значительно больше, если бы отсутствовали планы действий в чрезвычайных ситуациях, имеющиеся у большинства американских компаний. Заметим, что многие из этих планов появились в преддверии 2000 г. в связи с так называемой "Проблемой 2000" (Таб. 1).

Таблица 1. Действия компаний по повышению безопасности в преддверии 2000 г. и после 11 сентября 2001 г.

>

ДЕЙСТВИЯ

РИСКИ

В ПРЕДДВЕРИИ 2000 Г.

ПОСЛЕ 11 СЕНТЯБРЯ 2001 Г.

Киберугрозы организационным системам

ИТ-индустрия создала инструменты для обнаружения и устранения "Проблемы 2000" (У2К) в аппаратных и программных средствах. Компании понесли значтельные затраты на тестирование, модификацию и замену своих систем

Имеется огромное число технических решений для обеспечения безопасности, и в каждом конкретном случае требуется проведение тщательного отбора. При этом нужно иметь в виду, что безопасность людей не менее важна, чем безопасность материальных активов

Коммерческая зависимость и взаимозависимость компаний

Различные объединения промышленных предприятий проводили оценку угроз нарушения логистических цепочек и последствий таких нарушений. Компании требовали от своих поставщиков подтверждения устранения в своих информационных системах угроз, связанных с "Проблем ой 2000"

Компании углубили свое осознание проблем обеспечения устойчивости логистических цепочек. После 11 сентября они стали меньше полагаться на практику поставок точно в назначенный срок (just-in-time) и больше - на складские запасы "на всякий случай" (just-in-case)

Киберугрозы критическим инфраструктурам

Владельцы и операторы инфраструктур (телекоммуникационных, трубопроводных и др.) обеспечили решение "Проблемы 2000" в своих системах, разработали и проверили планы их восстановления после бедствия и создали сети сотрудничества для обмена информацией и координации действий в чрезвычайных ситуациях

Компании очень вяло обмениваются информацией во всех сферах, кроме финансовой, где существуют долговременные доверительные отношения, позволяющие координировать действия в чрезвычайный ситуациях

Нежелание делиться информацией

Конгресс США издал закон, по которому обмен информацией между Компаниями по "Проблеме 2000" не является нарушением антимонопольного законодательства

Сейчас в Конгрессе США рассматривается закон об обмене между компаниями антитеррористической информацией, подобный закону, принятому в отношении "Проблемы 2000"

Атмосфера страха и неопределенности

Предприятия и их объединения организовали в прессе кампанию с целью убедить акционеров и публику в том, что последствия "Проблемы 2000" будут минимальными

Сразу после 11 сентября все компании публично выразили соболезнования родственникам погибших в зданиях ВТЦ

Горизонт планирования

Знание точной даты проявления "Проблемы 2000" и понимание ее сути упростили планирование работ по ее преодолению. Наличие необходимого инструментария обусловило сокращение времени решения задачи

Время проведения террористической атаки и применяемые для этого средства непредсказуемы. Поэтому необходимо тщательное исследование рисков для определения соответствующих мер и инструментов защиты

Готовы ли российские компании к внедрению у себя планов обеспечения непрерывности деятельности? Информация об этом противоречива. Изучение рынка сервисных ИТ-услуг, проведенное компанией Market-Visio/EDC в 2000-2001 гг. (http://www.edc.ru/), показало, что услуга по планированию непрерывности бизнеса (BCP) в России пока слабо востребована.

Исследование, проведенное в 2001 г. компанией Ernst & Young (www.ey.com/Russia/security-risk), свидетельствует о том, что 67% опрошенных ею российских компаний имеют планы обеспечения непрерывности бизнеса (BCP), причем у 61,2% этих компаний планы протестированы, а у 38,8% — нет.

Столь разные оценки объясняются тем, что Market-Visio/EDC опрашивала предприятия действительно по вопросу непрерывности бизнеса при комплексных угрозах (см. Таб. 2), а Ernst & Young, судя по содержанию отчета, только по проблемам информационной безопасности (отказы компьютеров, атаки хакеров, компьютерные вирусы и др.).

Таблица 2. Классификация прерывателей (рисков) бизнеса (не исчерпывающая)

ТИП ПРЕРЫВАТЕЛЯ БИЗНЕСА

АНГЛИЙСКОЕ НАЗВАНИЕ ПРЕРЫВАТЕЛЯ

РУССКОЕ НАЗВАНИЕ ПРЕРЫВАТЕЛЯ

Предпринимательский

Business Relocation

Переезд предприятия или организации в другое помещение или офис

>

Espionage

Промышленный шпионаж

>

Loss of Records

Утрата архива

>

Mergers & Acquisitions

Слияние/приобретение предприятий/организаций

>

Negative Publicity

Негативная информация о компании в прессе

>

IS swop

Переход с ручной на автоматизированную информационную систему или с одной автоматизированной системы на другую

>

Mask Show

"Наезд" криминальных, коммерческих или государственных структур

Человеческий

Labor Disputes

Трудовой конфликт (забастовка, локаут и др.)

>

Loss of Workforce

Организованный уход сотрудников или их потеря в результате, например, несчастного случая

>

Staffing Issues

Невозможность набрать сотрудников

>

Succession Planning

Отсутствие планирования замещения должностей

>

The Human Factor

Человеческий фактор, терроризм в любой форме и с применением любого оружия

>

Unauthorized Access

Несанкционированный доступ

>

White Collar Crime

Преступления "белых воротничков"

>

Workplace Violence

Силовые конфликты на рабочих местах

Техногенный

Blackouts

Веерное отключение электроэнергии

>

Computer Failure

Отказы компьютеров

>

Computer Harking

Атаки хакеров

>

Computer Viruses

Компьютерные вирусы

>

Environmental Hazards

Аварии систем жизнеобеспечения (прорыв канализации, трубопроводов горячей и холодной воды., отказ воздуховодов и др.)

>

Multi-Tenant Sites

Проблемы, вызванные размещением в одном здании нескольких компаний

>

Power Outages

Перебой в электроснабжении

>

Sick Building Syndrome

Синдром, вызванный наличием в материалах, из которых построено здание, вредных для здоровья примесей

>

Transportation Disruptions

Нарушения работы общественного транспорта

Природный

Blizzards

Снежная буря

>

Earthquakes

Землетрясение

>

Electrical Storms

Электромагнитные бури

>

Hurricanes

Ураганы

>

Tornadoes

Торнадо

Природно-техногенный

Winter Weather

Зимняя погода

>

Biological Hazards

Эпидемии

>

Fine

Пожар

>

Flooding

Наводнение

>

Artificial and natural objects landing

Падение искуcственных (например, самолетов) и природных (например, метеоритов) объектов с неба

Следует заметить, что осознание необходимости заботиться об информационной безопасности и связанная с этим разработка планов обеспечения непрерывности функционирования информационных систем — уже большой шаг российских предприятий к обеспечению устойчивости бизнеса.

Здесь не рассматривается большой пласт предпринимательских рисков, связанных с изменением курса национальной валюты, государственного регулирования, наносящего ущерб коммерческой деятельности, или политической системы. Эти риски заслуживают особого рассмотрения, поскольку для их снижения используются методы, существенно отличные от описанных в настоящей статье.

Новости мира IT:

Архив новостей

Последние комментарии:

Loading

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 985 1945361
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2015 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...