Управление непрерывностью услуг и информационной безопасностью в рамках этапа Проектирования. Управление поставщиками

6.1. Управление непрерывностью услуг

Управление непрерывностью услуг (IT Service Continuity Management или ITSCM) - процесс, ответственный за управление рисками, которые влияют на услуги. ITSCM обеспечивает возможность поставщику услуг постоянно предоставлять минимально согласованный Уровень услуг, через снижение рисков до приемлемого уровня и Планирование восстановления услуг[1].

Основная цель Управления непрерывностью услуг (далее просто Управление непрерывностью) - поддерживать процесс Управления непрерывностью бизнеса. Управление непрерывностью бизнеса (Business Continuity Management или BCM) - бизнес-процесс, отвечающий за управление рисками, которые могут серьезно повлиять на бизнес. BCM защищает интересы ключевых заинтересованных сторон, репутацию, бренд и деятельность по созданию ценности. Процесс BCM включает в себя снижение рисков до приемлемого уровня и планирование способов восстановления бизнес-процессов в случае нарушения бизнеса. BCM устанавливает цели, охват и требования по отношению к Управлению непрерывности ИТ-услуг[1].

В настоящее время технологии являются основным компонентом многих бизнес процессов, поэтому обеспечение их непрерывности и доступности является необходимым для существования бизнеса в целом. ITSCM управляет способностью услуг и их компонентов к восстановлению.

Промежуточные цели ITSCM:

1. управление набором Планов обеспечения непрерывности услуг и Планов восстановления услуг, которые являются частью Планов обеспечения непрерывности бизнеса. План обеспечения непрерывности услуг (IT Service Continuity Plan) - план, определяющий шаги, необходимые для восстановления одной или нескольких услуг. План также должен определять события, которые являются основанием для его инициации, людей, которые должны быть задействованы, средства коммуникаций и т.п.

   План обеспечения непрерывности бизнеса (Business Continuity Plan или BCP) - план определяет шаги, необходимые для восстановления бизнес-процессов в случае нарушения их функционирования. План также должен содержать информацию о событиях, которые являются основанием для его инициирования; людях, которые должны быть задействованы в реализации плана; средствах коммуникаций и т.п.[1]
2. завершение Анализа влияния на бизнес в части гарантии управления планами обеспечения непрерывности в соответствии с изменяющимися требованиями и потребностями бизнеса;
3. сопровождение Анализа рисков и менеджмента, в частности при взаимодействии с бизнесом и процессами Управления доступностью и Управления безопасностью, которые управляют услугами в соответствии с согласованным Уровнем услуг;
4. предоставление рекомендаций и руководств другим областям IT в вопросах, связанных с непрерывностью и восстановлением услуг;
5. обеспечение механизмов непрерывности и восстановления, которые позволят достигнуть целевых показателей, установленных бизнесом;
6. оценка влияния изменений на Планы обеспечения непрерывности услуг и Планы восстановления услуг;
7. проактивное улучшение непрерывности услуг там, где это экономически эффективно;
8. ведение переговоров и заключение контрактов с поставщиками об обеспечении необходимой способности к восстановлению в целях поддержки непрерывности (с участием процесса Управления поставщиками)[10].

Управление непрерывностью фокусируется на значимых негативных событиях, которые ITIL называет "катастрофами" для бизнеса. Менее значимые события рассматриваются в рамках процесса Управления инцидентами. То, является ли какое-то конкретное событие катастрофой, зависит от организации, в которой оно произошло. Размер и значимость негативного влияния события на бизнес, например, финансовые потери или потеря репутации, измеряется в рамках Анализа влияния на бизнес. Анализ влияния на бизнес определяет минимальные требования к критичности, конкретные требования к технологиям и услугам определяются в рамках Управления непрерывностью.

ITSCM главным образом рассматривает активы IT и конфигурации, которые поддерживают бизнес-процессы. В случае катастрофы бизнесу необходимо перестроиться на альтернативную рабочую локацию. При этом необходимо предоставить такие элементы как удобство офиса для персонала, копии критических бумажных отчетов, услуги курьеров и телефонную связь для связи с клиентами и партнерами. В этой связи Управление непрерывностью должно учитывать количество и месторасположение офисов организации, а также услуги, предоставляемые в каждом из них.

В рамках Управления непрерывностью должны выполняться следующие деятельности:

1. Согласование границ ITSCM и применяемых политик;
2. Анализ влияния на бизнес для количественной оценки влияния потери услуги на бизнес;
3. Анализ рисков - идентификация и оценка рисков с целью определения потенциальных угроз непрерывности и оценки вероятности их осуществления. Сюда также входит применение механизмов управления угрозами там, где это экономически эффективно;
4. формирование стратегии ITSCM, интегрированной в стратегию BCM.
5. формирование Планов обеспечения непрерывности, интегрированных в планы BCM.
6. Тестирование планов обеспечения непрерывности;
7. Непрерывное осуществление планов и управление ими.

На рис. 6.1 показан жизненный цикл ITSCM.

Рис. 6.1. Жизненный цикл ITSCM

ITSCM циклически повторяется на всем жизненном цикле услуги и гарантирует то, что однажды разработанные планы по восстановлению и обеспечению непрерывности услуг будут соответствовать в дальнейшем приоритетам бизнеса и Планам обеспечения непрерывности бизнеса. На рис. 6.1 также показана роль BCM в ITSCM.

Стадии инициализации и формирования требований относятся к BCM. ITSCM должен только участвовать в этих стадиях, чтобы поддержать BCM и понять связи между бизнес-процессами и влияние потери услуг на них. В результате этих начальных стадий BCM формирует Стратегию обеспечения непрерывности бизнеса. Для ITSCM первой серьезной задачей становится сформировать свою стратегию, которая сделает возможной и поддержит Стратегию непрерывности бизнеса. Рассмотрим стадии жизненного цикла ITSCM.

Стадия 1 - Запуск

Эта стадия ITSCM состоит из следующих действий:

• формирование политики обеспечения непрерывности - должно быть осуществлено как можно быстрее. Политика, как минимум, должна определять цели и моменты и вопросы, на которые менеджмент должен обратить внимание;
• определение терминов охвата и компетенции - определение границ ITSCM и распределение ответственности для всего персонала в организации;
• распределение ресурсов - формирование окружения для обеспечения непрерывности бизнеса, требующего значительных ресурсов как денежных, так и людских.
• определение проекта для организации процесса ITSCM и структуры его контроля - ITSCM и BCM являются сложными процессами, требующими тщательной организации и контроля.
• согласование проекта и планов качества - планы обеспечивают контроль проекта и его применимость для различных ситуаций.

Стадия 2 - Требования и стратегия

Установление требований бизнеса к непрерывности услуг является критически важным, так как именно от этого этапа зависит устойчивость организации к катастрофам и соответствующие затраты. Если требования некорректны или пропущена какая-то важная информация, все механизмы ITSCM будут неэффективны. Эта стадия разделяется на две подстадии:

• требования - Анализ влияния на бизнес и оценка рисков
• стратегия - стратегия формулирует меры уменьшения риска и опции восстановления.

Анализ влияния на бизнес (Business Impact Analysis или BIA) - деятельность в рамках процесса Управления непрерывностью бизнеса, которая определяет критичные бизнес-функции и их зависимость от факторов окружения. Этими факторами могут быть поставщики, люди, другие бизнес-процессы, услуги и т.д[1]. BIA определяет последствия потери услуг для бизнеса. Потери могут быть значительными, например, крупные финансовые потери, и "мягкими" - моральные потери, потеря репутации, конкурентного преимущества и т.п.

Анализ влияния на бизнес определяет:

• форму, которую может приобретать разрушение или потеря, например:
  • потерянный доход;
  • дополнительные затраты;
  • вред репутации;
  • потеря благосклонности клиентов;
  • потеря конкурентного преимущества;
  • повреждение и нарушение здоровья, законности и безопасности;
  • риск безопасности персонала;
  • потеря рынка сбыта в краткосрочном и долгосрочном периодах;
  • потеря операционных возможностей, например, контроля.
• как будут увеличиваться негативные последствия разрушения или потери после неблагоприятного события, а также время суток, недели, месяца, когда они будут наиболее серьезными;
• кадровое обеспечение, навыки, аппаратура и услуги, которые необходимы для поддержки минимальных уровней непрерывности критичных бизнес-процессов;
• временные рамки, в пределах которых необходимо обеспечить минимальный уровень восстановления кадрового обеспечения, аппаратуры, услуг и других возможностей;
• временные рамки, в пределах которых необходимо полностью восстановить критичные бизнес-процессы и поддерживающие их кадровое обеспечение, аппаратуру, услуги и другие возможности;
• приоритеты восстановления для услуг.

Одним из основных выходов BIA является построение диаграммы оценки влияния потери услуги или бизнес-процесса на бизнес в целом (рис. 6.2).

увеличить изображение
Рис. 6.2. Графическое представление влияния на бизнес

Анализ влияния на бизнес предоставляет базис для осуществления ITSCM. На основе анализа формируется перечень услуг, приложений и других компонентов, которые станут предметами рассмотрения ITSCM.

Второй этап определения требований для ITSCM заключается в оценке вероятности возникновения неприятных событий.

Оценка рисков (Risk Assessment) - начальные шаги Управления рисками. Анализируется ценность активов для бизнеса, идентифицируются угрозы по отношению к этим активам, и оценивается уязвимость активов по отношению к этим угрозам[1].

Для оценки рисков и управления ими применяется стандартная методология M_o_R (Management of Risks), которая состоит из следующего:

• принципы M_o_R - базируются на принципах управления организацией и являются необходимыми для эффективного управления рисками;
• подход M_o_R - подход организации к указанным выше принципам должен быть отображен в ряде документов, в частности, в Политике управления рисками.
• процессы M_o_R. Выделяют четыре процесса в рамках M_o_R:
  • Определение - определение угроз для деятельности, которые могут повлиять на достижение ею намеченного результата;
  • Оценка - оценка суммарного влияния всех определенных угроз;
  • Планирование - определение набора управленческих действий, которые уменьшат риски;
  • Реализация - осуществление запланированных управленческих действий, их контроль, определение эффективности и корректирование в случае необходимости.
• пересмотр и внедрение M_o_R - внедрение процессов, политик и подхода M_o_R так, чтобы они непрерывно контролировались и оставались эффективными;
• взаимодействие - обеспечение взаимодействия всех действий в рамках M_o_R с целью поддержки актуальности информации об угрозах, возможностях и других аспектах Управления рисками.