Если около 20 лет назад использование информационных технологий лишь оказывало поддержку компании, то сегодня ИТ процессы оказались глубоко интегрированными в любой бизнес. В прошлом сбой в оказании ИТ-услуг лишь незначительно снижал производительность деятельности организации. Теперь же прекращение предоставления ИТ-услуг означает полную потерю контроля над управлением бизнесом.
Процесс управления непрерывностью
ITIL насчитывает больше десяти механизмов управления ИТ структурой, в числе которых стоит упомянуть процесс управления непрерывностью услуг сферы ИТ (IT Service Continuity Management (ITSCM)). Предназначение этого процесса – противодействие в чрезвычайных обстоятельствах, касающихся ИТ-услуг. Он обеспечивает предоставление сервиса на время кризисной ситуации и восстановление работы наиболее необходимых сервисов.
Целью процесса управления непрерывностью можно назвать поддержку постоянного ведения и развития бизнеса в комплексе. Во-первых, такое управление непрерывностью дает гарантию того, что ИТ-услуги восстанавливаются за ограниченный период после возникновения ЧС. Во-вторых, в течение того времени, которое потребуется на воссоздание, ИТ-услуги должны поддерживаться на минимально приемлемом уровне. Основная задача – это поддержка бизнеса, область влияния процесса определяется исходя из целей организации.
По ITIL данный процесс обеспечивает решение ряда задач:
- оценка воздействия сбоя в предоставлении ИТ-услуг при ЧС;
- выявление критичных для предприятия ИТ-услуг, требующих предварительных мероприятий по обеспечению их непрерывности;
- выявление времени, которое требуется на восстановление ИТ-услуг;
- выработка общего подхода к возобновлению ИТ-услуги;
- разработка, тестирование и поддержка планов восстановления ИТ-услуг.
Управление непрерывностью ИТ-услуг является частью глобальных процессов управления непрерывностью ведения бизнеса. Доступность ИТ-услуг обеспечивает сочетание мероприятий, направленных на уменьшение степени риска и реализацию действий по восстановлению данных. Успешная реализация процесса требует поддержки со стороны организации в целом, твердых намерений руководства выполнить задачи и участия в этом всего штата специалистов. Подробнее рассмотрим каждый из этапов процесса.
Область действия
Инициализация процесса управления непрерывностью требует обследования организации в комплексе и выполнения следующих действий:
- определение политики организации по отношению к управлению непрерывностью ИТ-услуг;
- определение объекта процесса и его смежных областей. Данный этап также позволяет определить соответствующую структуру менеджмента и специфику работы процесса при чрезвычайной ситуации;
- выделение персонала и ресурсов на реализацию процесса;
- определение проектной команды и организационной структуры, позволяющих взять на себя процесс управления проектом.
1. Анализ влияния на бизнес
Главная цель анализа – определить стоимость простоя, вызванного сбоем, и скорость выведения из строя инфраструктуры компании. Анализ позволяет определить критичные бизнес-процессы, жизненно необходимые для организации, и услуги, которые связаны с ними. Также определяется возможный объем потерь при сбое функционирования этих процессов; при этом учитывается расположение и специфика работы организации, клиенты и поставщики предприятия. После этого анализируют инфраструктуру предприятия – ведется оценка взаимозависимости сервиса и ИТ-ресурсов, то есть выявляется уровень критичности ресурсов для поддержания ИТ-услуг и направленность, которую будет иметь управление непрерывностью.
2. Анализ рисков
Целью анализа является выявление рисков, которые угрожают как существованию бизнеса, так и предоставлению информации менеджменту компании. В ходе данного этапа выявляются возможные источники угроз и уязвимые места, предусматриваются превентивные мероприятия, более эффективные, чем последующее восстановление повреждений.
Анализ рисков при внедрении процессов управления непрерывностью подразумевает выявление вовлеченных в ход процесса компонентов: зданий, систем, данных и т.п. Для их идентификации требуется определение владельцев активов, либо их назначение при отсутствии таковых. Наряду с этим ведется анализ угроз, проводится оценка вероятности возникновения и развития чрезвычайной ситуации, классификация слабых мест. Последний этап представляет собой привязку выявленных элементов к определенным компонентам ИТ-инфраструктуры.
3. Обеспечение непрерывности ИТ-услуг: стратегия
Бизнес стремится к нахождению экономически обоснованного равновесия между сокращением рисков и подготовкой мероприятий при возникновении ЧП.
- Превентивные меры. Управление непрерывностью предполагает мероприятия, которые уменьшают риск возникновения внештатной ситуации и минимизируют негативный эффект воздействия на предоставление ИТ-услуг, делая возможной их непрерывность. Угроза никогда не может быть устранена полностью. Существует баланс: уменьшение одних рисков приводит к увеличению других.
- Восстановление. При управлении непрерывностью под все виды рисков, устранение которых не представляется возможным при помощи превентивных мер, разрабатывается план восстановления. Этот процесс включает в себя также подключение на время ремонтных работ резервных систем, способных обеспечить непрерывность ИТ-услуг.
4. Организация процессов и их внедрение
Когда определена стратегия бизнеса, выбран способ и технология восстановления, начинается непосредственное внедрение процесса управления непрерывностью. Чтобы его реализовать, создают трехуровневую организационную структуру:
- руководитель (топ-менеджер компании),
- координатор (менеджер на уровень ниже),
- команда исполнителей.
Команда формируется сообразно с областью ответственности за восстановление наиболее важных процессов или услуг.
Планирование необходимо на каждом уровне компании. Высший уровень включает экстренное реагирование, оценку повреждений, восстановление, работа с критичными данными, а также планы руководства в отношении связи с общественностью при ЧС. Более низкий уровень предполагает детализацию планов: конкретные действия и назначение ответственных. Создаются дополнительные инструкции и памятки, к примеру, должностные инструкции на случай ЧП. Данные документы должны быть доведены до сведения всех сотрудников организации.
- Резервирование и уменьшение риска
- Планы и процедуры восстановления
- Бета-тестирование
Третий этап подготовки управления непрерывностью – это практическое воплощение заранее определенных превентивных мероприятий и методов восстановления. Во время возникновения непредвиденных обстоятельств появляется необходимость определенных шагов, позволяющих предоставлять услуги в дежурном режиме и вести восстановление нормальной деятельности предприятия. На этот случай требуется заготовка и подписание специальных договоров с поставщиками – тогда возникновение ЧС просто активизирует данные обязательства, и заказ начнет исполняться по заранее утвержденной цене.
Детальный план восстановления оформляется в официальных документах компании. В этом случае все процессы управления непрерывностью нуждаются в утверждении со стороны каждой заинтересованной стороны, принимающей участие в процессе. Планы восстановления должны включать каждый вид деятельности, связанный с оказанием услуг на время ЧС и возобновлением их предоставления в штатном режиме. План также должен содержать процедуры, требуемые для его воплощения, такие, чтобы любой специалист смог выполнить работу по восстановлению, следуя им.
Тестирование – ключевая часть такого процесса, как управление непрерывностью, поскольку проверка является единственной возможностью дать гарантии соответствия теоретических выкладок (стратегии, планов и процедур восстановления бизнеса) практике. Информационные технологии могут обеспечить разработку эффективной процедуры тестирования и предоставить необходимые компоненты. Бета-тестирование, как правило, не подразумевает привлечения бизнес-подразделений организации.
Операции по управлению непрерывностью
Обучение, подготовка. Тренинг персонала и его компетентность являются критическими факторами, влияющими на успешную реализацию процесса. Обучение должно охватывать всю организацию, в то же время особенное внимание стоит уделить персоналу ИТ-отдела.
Анализ и аудит. Регулярная проверка актуальности всех планов является объективной необходимостью. Она затрагивает все, что касается внедрения и работы процесса. Кроме плановых проверок необходим также аудит после любого значительного изменения ИТ-инфраструктуры либо смены стратегии ИТ-отдела и компании в целом.
Тестирование. Проведение тестирования – своего рода учебная тревога. При отсутствии регулярной проверки внештатная ситуация может спровоцировать несогласованные и неэффективные действия персонала. Первоначально, после внедрения управления непрерывностью, проведение тестирования в компании любого уровня и профиля позволяет выявить несоответствия в планировании и отсутствие согласованных мероприятий по процессу. По этой причине после первичного анализа следует подготовиться к частичному изменению планов. Тестирование необходимо при внедрении процесса, при появлении его значительных изменений, а также планово, даже в случае отсутствия нововведений.
Управление изменениями. Этот процесс представляет собой глубокий анализ последствий инициированных изменений в отношении планов восстановления, тем самым поддерживая их на актуальном уровне.
Тренинг. ИТ-отделу полезно проводить обучения и тренинги для подразделений, которые не входят в состав ИТ-структуры, для гарантии минимального уровня компетенции для обоюдного участия в процессе восстановления.
Гарантии выполнения. Аудит соответствия качественной составляющей процесса потребностям компании даст возможность быть уверенным в его работоспособности.
Российский подход
Российские тенденции развития процессов управления непрерывностью традиционно отличаются от принятых на западе стандартов. Ключевым различием можно назвать то, что владелец этого процесса – обычно не специализированная ИТ-служба, а общая служба безопасности.
Такой вариант имеет ряд недостатков.
- Недостаточная компетенция специалистов службы безопасности в предоставлении ИТ-услуг. Для оценивания важности любой отдельно взятой ИТ-услуги необходимо располагать квалифицированными ИТ-специалистами. Информационно-техническая служба организации наверняка включает в себя нужные кадры, поэтому набор в параллельные отделы специалистов, выполняющих те же функции, нерационален. Особенно учитывая тот факт, что работа по процессам управления непрерывностью не предполагает 100% загруженности специалистов в то время, когда сбои в системе отсутствуют.
- Избыточность штата службы безопасности. Подобный недостаток имеет те же причины, что и предыдущий. Компенсация невысокой компетенции сотрудников службы безопасности за счет расширения штата - дорогостоящий и не приносящий нужных итогов ход, который отрицательно скажется на результатах управления непрерывностью.
- Сложность административного подчинения специалистов ИТ-служб и служб безопасности. Владельцем процесса является служба безопасности, в то время как исполнители, ИТ-сотрудники, подчиняются руководителю ИТ-службы. По этой причине возникают сложности в согласованном проведении любых действий, связанных с реализацией процессов. К примеру, решение руководителя службы безопасности насчет проведения тренинга для ИТ-специалистов, участвующих в процессе, может быть напрямую запрещено начальником ИТ-службы по причине высокой загруженности сотрудников текущими делами.
В то же время такой подход обладает своими преимуществами. В их числе – четкое разграничение ответственности и обязанностей. В ежедневной работе оказываются занятыми исключительно специалисты ИТ-направления, а реализация процессов управления непрерывностью ложится на плечи службы безопасности.