13.4. Виды деятельности

На рис 13.1 показаны виды работ, выполняемые в рамках процесса ITSCM. Цифры обозначают под­разделы раздела 13.4, в которых описывается тот или иной вид деятельности.

Рис. 13.1. Модель Процесса Управления Непрерывностью ИТ-Сервисов (на основе модели OGC)

13.4.1. Определение охвата (области действия)^[212] Процесса Управления Непрерывностью ИТ-сервисов

При инициализации процесса ITSCM необходимо рассмотрение всей организации в целом и выпол­нение следующих действий:

? Определение политики – определение политики организации в отношении Управления Непре­рывностью ИТ-сервисов следует осуществить по возможности быстрее и довести ее до сведения каждого сотрудника организации, чтобы все знали о необходимости процесса ITSCM. Руководст­во должно продемонстрировать свое твердое намерение реализовать данный процесс.

? Определение области действия процесса и других важных для процесса областей – при выборе подхода к оценке риска и Анализу воздействия на бизнес (Business Impact Analysis) и методов их выполнения используются страховые требования, стандарты качества, такие как серия ISO-9000, стандарты Управления Безопасностью, например, BS7799 и общие принципы определения поли­тики в области бизнеса. На этом этапе также определяются соответствующая структура менедж­мента и процессов на случай чрезвычайной ситуации.

? Выделение ресурсов – развертывание ИТ-среды на случай чрезвычайных обстоятельств потре­бует значительных затрат на персонал и ресурсы. Должно быть проведено обучение персонала для подготовки к выполнению второго этапа процесса ITSCM (Требования и стратегия).

? Подготовка проектной организации – рекомендуется использовать формальные методы Управ­ления Проектом, такие как PRINCE 2, совместно с программным обеспечением, предназначенным для целей планирования.

13.4.2. Анализ воздействия на бизнес^[213]

Перед проведением анализа ИТ-услуг рекомендуется установить причины, почему компании необ­ходимо включать Процесс Управления Непрерывностью ИТ-сервисов в общий Процесс Управле­ния Непрерывностью Бизнеса, и определить потенциальное воздействие серьезных сбоев услуг. В некоторых случаях при возникновении чрезвычайной ситуации бизнес некоторое время еще может функционировать, и тогда основное внимание уделяется восстановлению услуг, в других случаях бизнес не может работать без ИТ-услуг, поэтому основное внимание уделяется предотвращению чрезвычайных ситуаций. В большинстве случаев необходимо найти баланс между этими двумя крайностями.

Среди возможных причин внедрения этого процесса могут быть следующие:

? защита бизнес-процессов;

? быстрое восстановление сервиса;

? необходимость выдержать конкуренцию;

? сохранение позиций на рынке;

? сохранение прибыльности;

? защита репутации компании.

Эти причины могут быть комбинированы. В финансовой сфере, например, в торговле валютными средствами, отсутствие информации о рынке ведет к приостановке торговли (основного бизнес-про­цесса), что означает потерю денег. Более того, если существует государственное требование регист­рировать все валютные операции с использованием специализированной системы, то можно про­должать ведение бизнеса даже в случае повреждения этой системы, но рано или поздно это требова­ние все равно будет нарушено, и тогда возможно наложение штрафа. В обоих случаях компания мо­жет потерять заказчиков и свои позиции на рынке.

Анализ сервисов

После того, как определена необходимость внедрения Процесса Управления Непрерывностью ИТ-сервисов, следует провести анализ ИТ-услуг, необходимых для бизнеса (например, информацион­ные системы, офисные приложения, бухгалтерские приложения, электронная почта и т. д.), которые должны быть доступны в соответствии Соглашениям об Уровне Сервиса. Для некоторых услуг не­высокой значимости могут быть достигнуты договоренности о предоставлении экстренного сервиса с ограниченными возможностями и доступностью. Уровни Сервиса во время восстановления могут быть изменены только по договоренности с заказчиком. Для критически важных услуг необходимо найти компромисс между превентивными мерами и способами восстановления.

Инфраструктура

После анализа сервисов выполняется оценка зависимостей между сервисами и ИТ-ресурсами. Ин­формация из Процесса Управления Доступностью используется для анализа степени критичности ИТ-ресурсов для поддержки описанных ранее ИТ-услуг. Процесс Управления Возможностями пре­доставляет информацию о необходимых мощностях, а также помогает определить, на какое время эти услуги могут быть приостановлены с момента сбоя сервиса до его восстановления. В последст­вии такая информация может быть использована для определения способов восстановления по каж­дой услуге.

13.4.3. Оценка рисков

Официальная статистика по чрезвычайным ситуациям отсутствует, но во всем мире известны такие катастрофы, как:

Отравление газом	Токийское метро, Япония (март 1995)
Отключение электроэнергии	Окланд, Новая Зеландия (декабрь 1997)
Землетрясения	Лос-Анджелес, США (январь 1994)
	Кобе, Япония (январь 1995)
Атаки террористов	Всемирный торговый центр, Нью-Йорк, США (февраль 1993)
	Бишопсгейт, Лондон, Англия (апрель 1993)
	Оклахома-сити, Оклахома, США (апрель 1995)
	Доклэндс, Лондон, Англия (февраль 1996)
	Манчестер, Англия (июнь 1996)
	Всемирный торговый центр, Нью-Йорк, США (сентябрь 2001)
Наводнения	Бангладеш (июль 1996)
	Пакистан (август 1996)

Анализ рисков способен помочь в определении рисков, угрожающих бизнесу. Такой анализ дает цен­ную информацию руководству, т. к. он позволяет выявить вероятные угрозы и виды уязвимости и определить соответствующие превентивные меры. Поскольку поддержка Плана восстановления по­сле чрезвычайной ситуации является относительно дорогим мероприятием, то сначала можно вос­пользоваться превентивными мерами. После того, как такие меры предприняты против наиболее серьезных рисков, следует определить, остались ли еще риски, для которых необходим План обеспе­чения непрерывности работы (Contingency Plan). На рис. 13.2 показаны связи между Анализом рис­ков и Управлением Рисками; они основываются на методе Анализа и Управления Рисками, разрабо­танного ассоциацией CCTA (CCTA Risk Analysis and Management Method – CRAMM).

Рис. 13.2. Метод оценки рисков ассоциации CCTA (источник: OGC)

Данная модель позволяет поддерживать эффективное планирование на случай чрезвычайных обсто­ятельств путем реализации поэтапного подхода.

Анализ рисков

? Во-первых, должны быть определены вовлеченные компоненты (активы), такие как здания, сис­темы, данные и т. д. Эффективная идентификация активов требует определения владельцев и на­значения активов.

? Следующий этап – анализ угроз и зависимостей, а также оценка вероятности возникновения чрезвычайной ситуации (высокая, средняя, низкая), например, комбинация ненадежной системы энергоснабжения и района с большим количеством бурь и гроз.

? Далее – идентификация и классификация (высокая, средняя, низкая) уязвимостей. Молниеотвод может дать некоторую защиту от ударов молний, но они все же могут серьезно повлиять на работу сети и систем.

? И последний этап – оценка угроз и уязвимостей в контексте ИТ-компонентов для получения оценки риска.

При оценке риска следует учитывать область действия^[214] процесса; фактически такая оценка является частью начала внедрения Процесса Управления Непрерывностью ИТ-сервисов (этап 1). Например, незначительные проблемы можно решить с помощью мер, принимаемых Процессом Управления До­ступностью, в то время как другие риски для бизнеса могут выходить за сферу действия процесса ITSCM.