Опубликован: 17.05.2012 | Уровень: для всех | Доступ: платный
Лекция 6:

Управление непрерывностью услуг и информационной безопасностью в рамках этапа Проектирования. Управление поставщиками

< Лекция 5 || Лекция 6: 1234 || Лекция 7 >

Действия в рамках ITSCM должны быть направлены на уменьшение влияния рисков и вероятности их возникновения.

Результаты Анализа влияния на бизнес и Оценки рисков являются основой для построения Стратегии непрерывности услуг в соответствии с потребностями бизнеса. Большинство организаций должны соблюдать баланс уменьшения рисков и формирования механизмов восстановления. Как бы хорошо ни проводились действия по уменьшению рисков, невозможно исключить их все. Поэтому всегда необходимо внедрять механизмы восстановления в интеграции с процессом Управления доступностью, так как именно доступность услуг пострадает в первую очередь при возникновении неприятных для бизнеса событий. Типичные меры уменьшения рисков включают в себя:

  • инсталляция UPS и резервного питания для компьютеров;
  • обеспечение отказоустойчивости систем с критичными приложениями, для которых неприемлем любой простой (например, банковская система);
  • использование RAID и зеркальных дисков для серверов для избегания потери информации и обеспечения непрерывности работы;
  • наличие запасных компонентов/оборудования, которые будут использованы в случае сбоя основных. Например, запасной сервер с минимально необходимой конфигурацией, который будет задействован в кратчайшее время в случае отказа основного сервера;
  • устранение SPOFов, например, единой точки доступа в сеть или единой точки электропитания.
  • использование надежных IT-систем и сетей;
  • аутсорсинг услуг нескольким поставщикам услуг;
  • увеличение контроля над безопасностью;
  • увеличение контроля над обнаружением нарушений в работе услуг;
  • всеобъемлющая стратегия восстановления и резервного копирования, включающая в себя внешнее хранение. Внешнее хранение предполагает регулярное (чаще всего ежедневное) копирование критичной информации во внешнее хранилище.

Перечисленные выше меры не решат всех вопросов ITSCM, но их использование позволит сильно сократить риск потерь для бизнеса в случае возникновения непредвиденных обстоятельств.

Опции восстановления в рамках ITSCM, которые должны быть учтены при формировании стратегии:

  • переход на ручную работу для некоторых типов услуг может стать хорошей альтернативой на короткий период до восстановления услуги. Например, Сервис-деск может работать какое-то время с бумажными заявками и журналами;
  • взаимные соглашения являются еще одной опцией для восстановления. Предполагают заключение соглашений между организациями, использующими похожие технологии. В настоящее время являются неприемлемыми для большинства IT-систем, но могут использоваться в отдельных случаях - например, для внешнего резервного копирования или использования принтеров;
  • постепенное восстановление (Gradual Recovery) - способ восстановления, также известный как "холодное резервирование". Предусматривается восстановление услуги в течение более чем 72 часов. При постепенном восстановлении обычно задействован мобильный или стационарный резервный центр, оснащенный элементами жизнеобеспечения и сетевой разводкой, без компьютерных систем[1]. Эта опция восстановления рекомендована для некритичных услуг, предоставление которых может быть задержано на дни и недели без значительного влияния на бизнес;
  • промежуточное восстановление (Intermediate Recovery) - способ восстановления, также известный как "теплое резервирование". Предусматривается восстановление услуги в течение 24 - 72 часов. При промежуточном восстановлении обычно используется общий мобильный или стационарный резервный центр, оснащенный компьютерными системами и сетевыми компонентами. Конфигурирование аппаратного и программного обеспечения, а также восстановление данных выполняются в рамках Плана обеспечения непрерывности услуг[1]. Данная опция восстановления обычно предлагается третьими сторонами, которые имеют для этого все необходимое оборудование и квалифицированный персонал. Стоимость этой опции восстановления зависит от ресурсов третьей стороны, которые должны быть задействованы для восстановления, а также от времени, в течение которого требуется восстановить услугу. Преимуществом данного метода является его прозрачность для пользователей. Недостатком - то, что информация (в том числе конфиденциальная) будет храниться у сторонней организации. Последнее делает неприемлемым данный способ восстановления для многих организаций.
  • быстрое восстановление (Fast Recovery) - способ восстановления. Предусматривается восстановление услуги за короткий промежуток времени, обычно менее 24 часов. При быстром восстановлении обычно используется выделенный стационарный резервный центр с компьютерными системами и ПО, сконфигурированными для работы услуг. Немедленное восстановление может занимать до 24 часов, если требуется восстановление данных резервного копирования[1].
  • немедленное восстановление (Immediate recovery) - способ восстановления, также известный как "горячее резервирование". Предусматривается восстановление услуги без прерывания услуги. Немедленное восстановление обычно использует технологии зеркалирования, балансировки загрузки и разделения площадок установки оборудования[1]. Этот способ чаще всего предусматривает "двойную локацию" компонентов системы, то есть полное дублирование. Он является самым дорогим и применяется только для критичных бизнес-процессов, простой которых может оказать значительное негативное влияние на бизнес. Копии должны быть расположены на максимальном удалении от оригиналов, чтобы не быть задетыми разрушающим событием.

Стратегия обеспечения непрерывности должна включать в себя все рассмотренные выше способы восстановления. Различные услуги, используемые организацией, требуют различных подходов к восстановлению и уменьшению рисков сбоя. Какая бы опция ни выбиралась, она должна быть экономически эффективной. Главное правило - чем дольше бизнес может обходиться без услуги, тем дешевле должно быть решение по обеспечению ее непрерывности.

Стадия 3 - Реализация

После того, как Стратегия обеспечения непрерывности определена, необходимо разработать Планы обеспечения непрерывности услуг в соответствии с Планами обеспечения непрерывности бизнеса. Планы ITSCM должны рассматривать все действия, которые необходимо предпринять для предоставления требуемых услуг, возможностей и ресурсов с соответствующими уровнями непрерывности. Это значит не только рассмотрение вопросов, связанных с восстановлением услуг и возможностей, но и понимание зависимостей между ними, тестирование, проверка целостности и последовательности данных. Планы ITSCM также должны включать документацию о средствах обеспечения надежности и мерах восстановления, обоснование применения конкретных мер в зависимости от ситуации. При формировании планов необходимо убедиться в том, что в них детально рассмотрены и документированы все действия по восстановлению в случае сбоя. Планы ITSCM должны включать в себя такие основные моменты как точка восстановления данных, перечень зависимых систем, природа этой зависимости, требования к программному и аппаратному обеспечению, конфигурационные детали и другую важную информацию о системах и услугах.

Одним из наиболее важных источников информации для формирования планов является Анализ влияния на бизнес. Другие области также должны быть проанализированы: SLA, требования безопасности, инструкции эксплуатации, процедуры, внешние контракты.

Помимо разработки Планов обеспечения непрерывности для того, чтобы следовать принятой Стратегии обеспечения непрерывности, необходимы следующие действия:

  1. Планирование организационной структуры

    В случае возникновения катастрофы, организационная структура вероятнее всего претерпит изменения и будет основана, прежде всего, на следующем:

    • руководство - топ-менеджеры и правление организации, которые обладают властью и средствами контроля над организацией. Именно руководство ответственно за управление в кризисной ситуации;
    • координация - уровень, ответственный за координацию внутри процесса восстановления;
    • восстановление - совокупность групп бизнеса и IT, которые представляют критичные бизнес-функции и услуги, поддерживающие эти функции. Каждая группа ответственна за исполнение планов восстановления своей области при взаимодействии с персоналом, пользователями и третьими сторонами[10].
  2. Тестирование

Планы по восстановлению должны пройти тестирование. Тестирование является важной частью ITSCM. Именно оно гарантирует то, что принятые стратегия, соглашения, планы и процедуры будут действительно работать на практике.

Поставщик услуг ответственен за то, что в случае катастрофы услуги могут быть восстановлены в заданный временной интервал с требуемой функциональностью и производительностью. Тесты должны проводиться по максимально реалистичным сценариям. Тем не менее, необходимо понимать, что даже самое тщательное тестирование не может учесть все нюансы, которые могут возникнуть в реальности.

Стадия 4 - Непрерывная эксплуатация

Эта стадия состоит из следующего:

  1. Обучение, готовность, тренинги - персонал должен быть готов к возникновению непредвиденных обстоятельств и знать, что необходимо делать при их возникновении;
  2. Пересмотр - все выходы процесса ITSCM должны регулярно пересматриваться на предмет актуальности и корректироваться в случае необходимости;
  3. Тестирование - помимо начального тестирования, необходимо предусмотреть регулярное тестирование стратегии, планов и других выходов ITSCM. Резервные копии и механизмы восстановления также должны тестироваться;
  4. Управление изменениями - процесс, ответственный за оценку изменений с точки зрения их влияния на планы ITSCM.

Инициирование является заключительным тестом для Планов обеспечения непрерывности бизнеса и услуг. Этот процесс должен рассматривать процедуру запуска планов по восстановлению в случае непредвиденных обстоятельств. Необходимо помнить, что решение об инициации планов должно быть хорошо взвешенным, особенно в случае использования услуг восстановления третьих сторон. Сбой может произойти в любое время дня и ночи, поэтому важно иметь возможность незамедлительно инициировать планы по восстановлению.

Входами ITSCM являются:

  1. информация от бизнеса - стратегия, планы и бюджет организации, текущие и будущие требования;
  2. информация от IT - стратегия, планы и бюджет IT;
  3. стратегия и планы обеспечения непрерывности бизнеса;
  4. информация об услугах - информация от SLM, в частности из Портфеля услуг и Каталога услуг, SLA/SLR;
  5. финансовая информация - информация от процесса Управления финансами о стоимости предоставления услуг, ресурсов и компонентов;
  6. информация об изменениях - информация от процесса Управления изменениями, в частности расписание изменений и их влияние на Планы обеспечения непрерывности;
  7. информация о взаимоотношениях бизнеса с услугами, вспомогательными услугами и технологиями.
  8. расписания Управления непрерывностью бизнеса и Управления доступностью;
  9. Планы обеспечения непрерывности услуг и отчеты тестирования партнеров, поставщиков.

Выходами ITSCM являются:

  1. политика и стратегия ITSCM;
  2. набор планов, в том числе планы Антикризисного управления, Срочных ответных действий, Восстановления после катастрофы, а также совокупность вспомогательных планов и контрактов с поставщиками услуг по восстановлению.

    Антикризисное управление (Crisis Management) - процесс, отвечающий за управление непрерывностью бизнеса в самом широком смысле. Команда антикризисного управления отвечает за стратегические вопросы, такие как управление взаимодействием со средствами массовой информации и доверием акционеров, а также принимает решение об инициации планов обеспечения непрерывности бизнеса[1].

  3. Анализ влияния на бизнес и соответствующие отчеты;
  4. Анализ рисков и управленческие обзоры и отчеты;
  5. расписание тестирования ITSCM;
  6. сценарии для проведения тестирования;
  7. обзоры и отчеты по тестированию ITSCM[10].

Ключевым показателем производительности ITSCM является то, что предоставляемые услуги могут быть восстановлены с целью поддержки бизнеса в достижении поставленных целей:

  1. проводится регулярный аудит планов ITSCM с целью проверки того, что требования бизнеса к восстановлению могут быть удовлетворены;
  2. все целевые показатели восстановления услуг документированы, согласованы в SLA и могут быть достигнуты с помощью планов ITSCM;
  3. проводится регулярное и всеобъемлющее тестирование планов ITSCM;
  4. заключены все необходимые для ITSCM контракты с третьими сторонами;
  5. обеспечивается уменьшение рисков и негативного влияния сбоев услуг.

В качестве показателя эффективности может также выступать готовность организации к действиям в соответствии с планами ITSCM.

Основными рисками для ITSCM являются недостаточность и некорректность информации, поступающей от бизнеса, IT и других процессов, а также нехватка ресурсов для обеспечения непрерывности.

< Лекция 5 || Лекция 6: 1234 || Лекция 7 >
Александр Колотов
Александр Колотов

Прошу вас уточнить по курсу ITIL. IT Service Management по стандартам V.3.1 вопрос о количестве версий ITIL.
Судя по названию и по материалу лекции версий 3. По факту версий 4. Т.е. как ответчать как правильно (4) или как по курсу который чуть устарел? Система оценки скорее всего будет согласно материала лекции.

Грета Березовская
Грета Березовская
Михаил Милюткин
Михаил Милюткин
Россия, г. Самара
Антон Букин
Антон Букин
Россия, НИТУ "МИСиС", 2011