Если около 20 лет назад использование информационных технологий лишь оказывало поддержку компании, то сегодня ИТ процессы оказались глубоко интегрированными в любой бизнес. В прошлом сбой в оказании ИТ-услуг лишь незначительно снижал производительность деятельности организации. Теперь же прекращение предоставления ИТ-услуг означает полную потерю контроля над управлением бизнесом.

Процесс управления непрерывностью

ITIL насчитывает больше десяти механизмов управления ИТ структурой, в числе которых стоит упомянуть процесс управления непрерывностью услуг сферы ИТ (IT Service Continuity Management (ITSCM)). Предназначение этого процесса – противодействие в чрезвычайных обстоятельствах, касающихся ИТ-услуг. Он обеспечивает предоставление сервиса на время кризисной ситуации и восстановление работы наиболее необходимых сервисов.

Целью процесса управления непрерывностью можно назвать поддержку постоянного ведения и развития бизнеса в комплексе. Во-первых, такое управление непрерывностью дает гарантию того, что ИТ-услуги восстанавливаются за ограниченный период после возникновения ЧС. Во-вторых, в течение того времени, которое потребуется на воссоздание, ИТ-услуги должны поддерживаться на минимально приемлемом уровне. Основная задача – это поддержка бизнеса, область влияния процесса определяется исходя из целей организации.

По ITIL данный процесс обеспечивает решение ряда задач:

• оценка воздействия сбоя в предоставлении ИТ-услуг при ЧС;
• выявление критичных для предприятия ИТ-услуг, требующих предварительных мероприятий по обеспечению их непрерывности;
• выявление времени, которое требуется на восстановление ИТ-услуг;
• выработка общего подхода к возобновлению ИТ-услуги;
• разработка, тестирование и поддержка планов восстановления ИТ-услуг.

Управление непрерывностью ИТ-услуг является частью глобальных процессов управления непрерывностью ведения бизнеса. Доступность ИТ-услуг обеспечивает сочетание мероприятий, направленных на уменьшение степени риска и реализацию действий по восстановлению данных. Успешная реализация процесса требует поддержки со стороны организации в целом, твердых намерений руководства выполнить задачи и участия в этом всего штата специалистов. Подробнее рассмотрим каждый из этапов процесса.

Область действия

Инициализация процесса управления непрерывностью требует обследования организации в комплексе и выполнения следующих действий:

• определение политики организации по отношению к управлению непрерывностью ИТ-услуг;
• определение объекта процесса и его смежных областей. Данный этап также позволяет определить соответствующую структуру менеджмента и специфику работы процесса при чрезвычайной ситуации;
• выделение персонала и ресурсов на реализацию процесса;
• определение проектной команды и организационной структуры, позволяющих взять на себя процесс управления проектом.

1. Анализ влияния на бизнес

Главная цель анализа – определить стоимость простоя, вызванного сбоем, и скорость выведения из строя инфраструктуры компании. Анализ позволяет определить критичные бизнес-процессы, жизненно необходимые для организации, и услуги, которые связаны с ними. Также определяется возможный объем потерь при сбое функционирования этих процессов; при этом учитывается расположение и специфика работы организации, клиенты и поставщики предприятия. После этого анализируют инфраструктуру предприятия – ведется оценка взаимозависимости сервиса и ИТ-ресурсов, то есть выявляется уровень критичности ресурсов для поддержания ИТ-услуг и направленность, которую будет иметь управление непрерывностью.

2. Анализ рисков

Целью анализа является выявление рисков, которые угрожают как существованию бизнеса, так и предоставлению информации менеджменту компании. В ходе данного этапа выявляются возможные источники угроз и уязвимые места, предусматриваются превентивные мероприятия, более эффективные, чем последующее восстановление повреждений.

Анализ рисков при внедрении процессов управления непрерывностью подразумевает выявление вовлеченных в ход процесса компонентов: зданий, систем, данных и т.п. Для их идентификации требуется определение владельцев активов, либо их назначение при отсутствии таковых. Наряду с этим ведется анализ угроз, проводится оценка вероятности возникновения и развития чрезвычайной ситуации, классификация слабых мест. Последний этап представляет собой привязку выявленных элементов к определенным компонентам ИТ-инфраструктуры.

3. Обеспечение непрерывности ИТ-услуг: стратегия

Бизнес стремится к нахождению экономически обоснованного равновесия между сокращением рисков и подготовкой мероприятий при возникновении ЧП.

• Превентивные меры. Управление непрерывностью предполагает мероприятия, которые уменьшают риск возникновения внештатной ситуации и минимизируют негативный эффект воздействия на предоставление ИТ-услуг, делая возможной их непрерывность. Угроза никогда не может быть устранена полностью. Существует баланс: уменьшение одних рисков приводит к увеличению других.
• Восстановление. При управлении непрерывностью под все виды рисков, устранение которых не представляется возможным при помощи превентивных мер, разрабатывается план восстановления. Этот процесс включает в себя также подключение на время ремонтных работ резервных систем, способных обеспечить непрерывность ИТ-услуг.

4. Организация процессов и их внедрение

Когда определена стратегия бизнеса, выбран способ и технология восстановления, начинается непосредственное внедрение процесса управления непрерывностью. Чтобы его реализовать, создают трехуровневую организационную структуру:

• руководитель (топ-менеджер компании),
• координатор (менеджер на уровень ниже),
• команда исполнителей.

Команда формируется сообразно с областью ответственности за восстановление наиболее важных процессов или услуг.

Планирование необходимо на каждом уровне компании. Высший уровень включает экстренное реагирование, оценку повреждений, восстановление, работа с критичными данными, а также планы руководства в отношении связи с общественностью при ЧС. Более низкий уровень предполагает детализацию планов: конкретные действия и назначение ответственных. Создаются дополнительные инструкции и памятки, к примеру, должностные инструкции на случай ЧП. Данные документы должны быть доведены до сведения всех сотрудников организации.

• Резервирование и уменьшение риска

Третий этап подготовки управления непрерывностью – это практическое воплощение заранее определенных превентивных мероприятий и методов восстановления. Во время возникновения непредвиденных обстоятельств появляется необходимость определенных шагов, позволяющих предоставлять услуги в дежурном режиме и вести восстановление нормальной деятельности предприятия. На этот случай требуется заготовка и подписание специальных договоров с поставщиками – тогда возникновение ЧС просто активизирует данные обязательства, и заказ начнет исполняться по заранее утвержденной цене.

• Планы и процедуры восстановления

Детальный план восстановления оформляется в официальных документах компании. В этом случае все процессы управления непрерывностью нуждаются в утверждении со стороны каждой заинтересованной стороны, принимающей участие в процессе. Планы восстановления должны включать каждый вид деятельности, связанный с оказанием услуг на время ЧС и возобновлением их предоставления в штатном режиме. План также должен содержать процедуры, требуемые для его воплощения, такие, чтобы любой специалист смог выполнить работу по восстановлению, следуя им.

• Бета-тестирование

Тестирование – ключевая часть такого процесса, как управление непрерывностью, поскольку проверка является единственной возможностью дать гарантии соответствия теоретических выкладок (стратегии, планов и процедур восстановления бизнеса) практике. Информационные технологии могут обеспечить разработку эффективной процедуры тестирования и предоставить необходимые компоненты. Бета-тестирование, как правило, не подразумевает привлечения бизнес-подразделений организации.

Операции по управлению непрерывностью

Обучение, подготовка. Тренинг персонала и его компетентность являются критическими факторами, влияющими на успешную реализацию процесса. Обучение должно охватывать всю организацию, в то же время особенное внимание стоит уделить персоналу ИТ-отдела.

Анализ и аудит. Регулярная проверка актуальности всех планов является объективной необходимостью. Она затрагивает все, что касается внедрения и работы процесса. Кроме плановых проверок необходим также аудит после любого значительного изменения ИТ-инфраструктуры либо смены стратегии ИТ-отдела и компании в целом.

Тестирование. Проведение тестирования – своего рода учебная тревога. При отсутствии регулярной проверки внештатная ситуация может спровоцировать несогласованные и неэффективные действия персонала. Первоначально, после внедрения управления непрерывностью, проведение тестирования в компании любого уровня и профиля позволяет выявить несоответствия в планировании и отсутствие согласованных мероприятий по процессу. По этой причине после первичного анализа следует подготовиться к частичному изменению планов. Тестирование необходимо при внедрении процесса, при появлении его значительных изменений, а также планово, даже в случае отсутствия нововведений.

Управление изменениями. Этот процесс представляет собой глубокий анализ последствий инициированных изменений в отношении планов восстановления, тем самым поддерживая их на актуальном уровне.

Тренинг. ИТ-отделу полезно проводить обучения и тренинги для подразделений, которые не входят в состав ИТ-структуры, для гарантии минимального уровня компетенции для обоюдного участия в процессе восстановления.

Гарантии выполнения. Аудит соответствия качественной составляющей процесса потребностям компании даст возможность быть уверенным в его работоспособности.

Российский подход

Российские тенденции развития процессов управления непрерывностью традиционно отличаются от принятых на западе стандартов. Ключевым различием можно назвать то, что владелец этого процесса – обычно не специализированная ИТ-служба, а общая служба безопасности.

Такой вариант имеет ряд недостатков.

• Недостаточная компетенция специалистов службы безопасности в предоставлении ИТ-услуг. Для оценивания важности любой отдельно взятой ИТ-услуги необходимо располагать квалифицированными ИТ-специалистами. Информационно-техническая служба организации наверняка включает в себя нужные кадры, поэтому набор в параллельные отделы специалистов, выполняющих те же функции, нерационален. Особенно учитывая тот факт, что работа по процессам управления непрерывностью не предполагает 100% загруженности специалистов в то время, когда сбои в системе отсутствуют.
• Избыточность штата службы безопасности. Подобный недостаток имеет те же причины, что и предыдущий. Компенсация невысокой компетенции сотрудников службы безопасности за счет расширения штата - дорогостоящий и не приносящий нужных итогов ход, который отрицательно скажется на результатах управления непрерывностью.
• Сложность административного подчинения специалистов ИТ-служб и служб безопасности. Владельцем процесса является служба безопасности, в то время как исполнители, ИТ-сотрудники, подчиняются руководителю ИТ-службы. По этой причине возникают сложности в согласованном проведении любых действий, связанных с реализацией процессов. К примеру, решение руководителя службы безопасности насчет проведения тренинга для ИТ-специалистов, участвующих в процессе, может быть напрямую запрещено начальником ИТ-службы по причине высокой загруженности сотрудников текущими делами.

В то же время такой подход обладает своими преимуществами. В их числе – четкое разграничение ответственности и обязанностей. В ежедневной работе оказываются занятыми исключительно специалисты ИТ-направления, а реализация процессов управления непрерывностью ложится на плечи службы безопасности.