Опубликован: 17.05.2012 | Уровень: для всех | Доступ: свободно
Лекция 6:

Управление непрерывностью услуг и информационной безопасностью в рамках этапа Проектирования. Управление поставщиками

< Лекция 5 || Лекция 6: 1234 || Лекция 7 >
Аннотация: Процессы и деятельности в рамках этапа Проектирования услуг: Управление непрерывностью услуг и информационной безопасностью в рамках этапа Проектирования. Управление поставщиками. Для каждого процесса рассматривается цель, входы и выходы, основные деятельности и ключевые показатели эффективности.

6.1. Управление непрерывностью услуг

Управление непрерывностью услуг (IT Service Continuity Management или ITSCM) - процесс, ответственный за управление рисками, которые влияют на услуги. ITSCM обеспечивает возможность поставщику услуг постоянно предоставлять минимально согласованный Уровень услуг, через снижение рисков до приемлемого уровня и Планирование восстановления услуг[1].

Основная цель Управления непрерывностью услуг (далее просто Управление непрерывностью) - поддерживать процесс Управления непрерывностью бизнеса. Управление непрерывностью бизнеса (Business Continuity Management или BCM) - бизнес-процесс, отвечающий за управление рисками, которые могут серьезно повлиять на бизнес. BCM защищает интересы ключевых заинтересованных сторон, репутацию, бренд и деятельность по созданию ценности. Процесс BCM включает в себя снижение рисков до приемлемого уровня и планирование способов восстановления бизнес-процессов в случае нарушения бизнеса. BCM устанавливает цели, охват и требования по отношению к Управлению непрерывности ИТ-услуг[1].

В настоящее время технологии являются основным компонентом многих бизнес процессов, поэтому обеспечение их непрерывности и доступности является необходимым для существования бизнеса в целом. ITSCM управляет способностью услуг и их компонентов к восстановлению.

Промежуточные цели ITSCM:

  1. управление набором Планов обеспечения непрерывности услуг и Планов восстановления услуг, которые являются частью Планов обеспечения непрерывности бизнеса. План обеспечения непрерывности услуг (IT Service Continuity Plan) - план, определяющий шаги, необходимые для восстановления одной или нескольких услуг. План также должен определять события, которые являются основанием для его инициации, людей, которые должны быть задействованы, средства коммуникаций и т.п.

    План обеспечения непрерывности бизнеса (Business Continuity Plan или BCP) - план определяет шаги, необходимые для восстановления бизнес-процессов в случае нарушения их функционирования. План также должен содержать информацию о событиях, которые являются основанием для его инициирования; людях, которые должны быть задействованы в реализации плана; средствах коммуникаций и т.п.[1]

  2. завершение Анализа влияния на бизнес в части гарантии управления планами обеспечения непрерывности в соответствии с изменяющимися требованиями и потребностями бизнеса;
  3. сопровождение Анализа рисков и менеджмента, в частности при взаимодействии с бизнесом и процессами Управления доступностью и Управления безопасностью, которые управляют услугами в соответствии с согласованным Уровнем услуг;
  4. предоставление рекомендаций и руководств другим областям IT в вопросах, связанных с непрерывностью и восстановлением услуг;
  5. обеспечение механизмов непрерывности и восстановления, которые позволят достигнуть целевых показателей, установленных бизнесом;
  6. оценка влияния изменений на Планы обеспечения непрерывности услуг и Планы восстановления услуг;
  7. проактивное улучшение непрерывности услуг там, где это экономически эффективно;
  8. ведение переговоров и заключение контрактов с поставщиками об обеспечении необходимой способности к восстановлению в целях поддержки непрерывности (с участием процесса Управления поставщиками)[10].

Управление непрерывностью фокусируется на значимых негативных событиях, которые ITIL называет "катастрофами" для бизнеса. Менее значимые события рассматриваются в рамках процесса Управления инцидентами. То, является ли какое-то конкретное событие катастрофой, зависит от организации, в которой оно произошло. Размер и значимость негативного влияния события на бизнес, например, финансовые потери или потеря репутации, измеряется в рамках Анализа влияния на бизнес. Анализ влияния на бизнес определяет минимальные требования к критичности, конкретные требования к технологиям и услугам определяются в рамках Управления непрерывностью.

ITSCM главным образом рассматривает активы IT и конфигурации, которые поддерживают бизнес-процессы. В случае катастрофы бизнесу необходимо перестроиться на альтернативную рабочую локацию. При этом необходимо предоставить такие элементы как удобство офиса для персонала, копии критических бумажных отчетов, услуги курьеров и телефонную связь для связи с клиентами и партнерами. В этой связи Управление непрерывностью должно учитывать количество и месторасположение офисов организации, а также услуги, предоставляемые в каждом из них.

В рамках Управления непрерывностью должны выполняться следующие деятельности:

  1. Согласование границ ITSCM и применяемых политик;
  2. Анализ влияния на бизнес для количественной оценки влияния потери услуги на бизнес;
  3. Анализ рисков - идентификация и оценка рисков с целью определения потенциальных угроз непрерывности и оценки вероятности их осуществления. Сюда также входит применение механизмов управления угрозами там, где это экономически эффективно;
  4. формирование стратегии ITSCM, интегрированной в стратегию BCM.
  5. формирование Планов обеспечения непрерывности, интегрированных в планы BCM.
  6. Тестирование планов обеспечения непрерывности;
  7. Непрерывное осуществление планов и управление ими.

На рис. 6.1 показан жизненный цикл ITSCM.

Жизненный цикл ITSCM

Рис. 6.1. Жизненный цикл ITSCM

ITSCM циклически повторяется на всем жизненном цикле услуги и гарантирует то, что однажды разработанные планы по восстановлению и обеспечению непрерывности услуг будут соответствовать в дальнейшем приоритетам бизнеса и Планам обеспечения непрерывности бизнеса. На рис. 6.1 также показана роль BCM в ITSCM.

Стадии инициализации и формирования требований относятся к BCM. ITSCM должен только участвовать в этих стадиях, чтобы поддержать BCM и понять связи между бизнес-процессами и влияние потери услуг на них. В результате этих начальных стадий BCM формирует Стратегию обеспечения непрерывности бизнеса. Для ITSCM первой серьезной задачей становится сформировать свою стратегию, которая сделает возможной и поддержит Стратегию непрерывности бизнеса. Рассмотрим стадии жизненного цикла ITSCM.

Стадия 1 - Запуск

Эта стадия ITSCM состоит из следующих действий:

  • формирование политики обеспечения непрерывности - должно быть осуществлено как можно быстрее. Политика, как минимум, должна определять цели и моменты и вопросы, на которые менеджмент должен обратить внимание;
  • определение терминов охвата и компетенции - определение границ ITSCM и распределение ответственности для всего персонала в организации;
  • распределение ресурсов - формирование окружения для обеспечения непрерывности бизнеса, требующего значительных ресурсов как денежных, так и людских.
  • определение проекта для организации процесса ITSCM и структуры его контроля - ITSCM и BCM являются сложными процессами, требующими тщательной организации и контроля.
  • согласование проекта и планов качества - планы обеспечивают контроль проекта и его применимость для различных ситуаций.

Стадия 2 - Требования и стратегия

Установление требований бизнеса к непрерывности услуг является критически важным, так как именно от этого этапа зависит устойчивость организации к катастрофам и соответствующие затраты. Если требования некорректны или пропущена какая-то важная информация, все механизмы ITSCM будут неэффективны. Эта стадия разделяется на две подстадии:

  • требования - Анализ влияния на бизнес и оценка рисков
  • стратегия - стратегия формулирует меры уменьшения риска и опции восстановления.

Анализ влияния на бизнес (Business Impact Analysis или BIA) - деятельность в рамках процесса Управления непрерывностью бизнеса, которая определяет критичные бизнес-функции и их зависимость от факторов окружения. Этими факторами могут быть поставщики, люди, другие бизнес-процессы, услуги и т.д[1]. BIA определяет последствия потери услуг для бизнеса. Потери могут быть значительными, например, крупные финансовые потери, и "мягкими" - моральные потери, потеря репутации, конкурентного преимущества и т.п.

Анализ влияния на бизнес определяет:

  • форму, которую может приобретать разрушение или потеря, например:
    • потерянный доход;
    • дополнительные затраты;
    • вред репутации;
    • потеря благосклонности клиентов;
    • потеря конкурентного преимущества;
    • повреждение и нарушение здоровья, законности и безопасности;
    • риск безопасности персонала;
    • потеря рынка сбыта в краткосрочном и долгосрочном периодах;
    • потеря операционных возможностей, например, контроля.
  • как будут увеличиваться негативные последствия разрушения или потери после неблагоприятного события, а также время суток, недели, месяца, когда они будут наиболее серьезными;
  • кадровое обеспечение, навыки, аппаратура и услуги, которые необходимы для поддержки минимальных уровней непрерывности критичных бизнес-процессов;
  • временные рамки, в пределах которых необходимо обеспечить минимальный уровень восстановления кадрового обеспечения, аппаратуры, услуг и других возможностей;
  • временные рамки, в пределах которых необходимо полностью восстановить критичные бизнес-процессы и поддерживающие их кадровое обеспечение, аппаратуру, услуги и другие возможности;
  • приоритеты восстановления для услуг.

Одним из основных выходов BIA является построение диаграммы оценки влияния потери услуги или бизнес-процесса на бизнес в целом (рис. 6.2).

Графическое представление влияния на бизнес

увеличить изображение
Рис. 6.2. Графическое представление влияния на бизнес

Анализ влияния на бизнес предоставляет базис для осуществления ITSCM. На основе анализа формируется перечень услуг, приложений и других компонентов, которые станут предметами рассмотрения ITSCM.

Второй этап определения требований для ITSCM заключается в оценке вероятности возникновения неприятных событий.

Оценка рисков (Risk Assessment) - начальные шаги Управления рисками. Анализируется ценность активов для бизнеса, идентифицируются угрозы по отношению к этим активам, и оценивается уязвимость активов по отношению к этим угрозам[1].

Для оценки рисков и управления ими применяется стандартная методология M_o_R (Management of Risks), которая состоит из следующего:

  • принципы M_o_R - базируются на принципах управления организацией и являются необходимыми для эффективного управления рисками;
  • подход M_o_R - подход организации к указанным выше принципам должен быть отображен в ряде документов, в частности, в Политике управления рисками.
  • процессы M_o_R. Выделяют четыре процесса в рамках M_o_R:
    • Определение - определение угроз для деятельности, которые могут повлиять на достижение ею намеченного результата;
    • Оценка - оценка суммарного влияния всех определенных угроз;
    • Планирование - определение набора управленческих действий, которые уменьшат риски;
    • Реализация - осуществление запланированных управленческих действий, их контроль, определение эффективности и корректирование в случае необходимости.
  • пересмотр и внедрение M_o_R - внедрение процессов, политик и подхода M_o_R так, чтобы они непрерывно контролировались и оставались эффективными;
  • взаимодействие - обеспечение взаимодействия всех действий в рамках M_o_R с целью поддержки актуальности информации об угрозах, возможностях и других аспектах Управления рисками.
< Лекция 5 || Лекция 6: 1234 || Лекция 7 >
Александр Колотов
Александр Колотов

Прошу вас уточнить по курсу ITIL. IT Service Management по стандартам V.3.1 вопрос о количестве версий ITIL.
Судя по названию и по материалу лекции версий 3. По факту версий 4. Т.е. как ответчать как правильно (4) или как по курсу который чуть устарел? Система оценки скорее всего будет согласно материала лекции.

Грета Березовская
Грета Березовская
Алексей Зиневич
Алексей Зиневич
Россия, Пенза, Пензенский государственный университет архитектуры и строительства, 2003