Нужно ли сегодня планировать непрерывность бизнеса?

“В ЛИДЕРЫ РЫНКА УСЛУГ BCP ВЫЙДУТ ТЕ, КТО В СОСТОЯНИИ ПРЕДЛОЖИТЬ ЗАКАЗЧИКУ КОМПЛЕКСНОЕ РЕШЕНИЕ ИЗ ОДНИХ РУК”

Потери от нарушения непрерывности бизнеса становятся все более критичными. Поэтому задачи BCP (Business Continuity Planning — планирование непрерывности бизнеса) приобретают огромную значимость. Аналитики из агентства Gartner Group подтверждают общемировой характер этой тенденции: их данные говорят о том, что проблемы в данной области входят в первую пятерку наиболее приоритетных. Связанные с этим риски растут, опережая по значимости остальные.

Заместитель директора Центра информационной безопасности компании “Инфосистемы Джет” Евгений Акимов рассказывает научному редактору еженедельника PC Week/RE Валерию Васильеву о своем видении ситуации с внедрением решений BCP в России.

PC Week: Как давно, по вашим наблюдениям, в бизнес-риски, прежде всего связанные с использованием ИТ, российские компании начали включать риски обеспечения информационной безопасности (ИБ)?

Евгений Акимов: В нашей стране — всего три-пять лет назад. Именно тогда в компаниях ответственность за сбои ИТ-систем стали возлагать на подразделения ИТ-безопасности. На мой взгляд, связано это прежде всего с тем, что до этого времени управлением ИТ-безопасностью в российских компаниях вообще мало кто был озадачен — история систем управления информбезопасностью (СУИБ) в России насчитывает примерно те же 3—5 лет.

Когда оценки бизнес-рисков начали применять в информационных системах массово, стало ясно, что риски, связанные с вирусными заражениями, хакерскими атаками и т. п., рассчитываются по схожим методикам, что и риски прерывания ИТ-сервисов, и разделять ответственность за их минимизацию между разными подразделениями неэффективно. Для бизнеса безразлично, из-за чего возникает простой: то ли вирус проник в сеть, то ли серверную залило водой. Решение этих задач начали передавать в структуры обеспечения ИБ. Вот так ответственность за надежность и непрерывность работы ИТ-систем начала сосредотачиваться в одних руках — в подразделениях ИБ. Такой подход закреплен и в лучших международных практиках, в том числе в стандарте ISO 27001, в котором процесс обеспечения непрерывности определяется как один из основных в обеспечении ИБ.

В ответ на эту тенденцию рынка компании-интеграторы, которые занимались информбезопасностью и планированием непрерывности бизнеса, стали оба направления в своих проектах объединять. Ранее этим у интеграторов ведали подразделения, занимающимися вычислительными комплексами или сетями. Теперь данные задачи рассматриваются комплексно и постепенно перекладываются на подразделения, специализирующиеся на ИБ.

PC Week: Кто в России по вашим наблюдениям лидирует в направлении услуг по BCP?

Е. А.: Сегодня проектами BCP начали активно заниматься системные интеграторы. Именно они, а не компании, специализирующиеся на задачах информационной безопасности или консалтинге, выходят на лидирующие позиции в области услуг BCP. Хотя роль компаний-консультантов в становлении и развитии рынка BCP не стоит преуменьшать, но все же из своей практики могу заключить, что они не могут своими силами обеспечить весь комплекс работ в BCP-проектах, прежде всего их техническую составляющую.

В методологии BCP выделяют несколько этапов, и этап Business Impact Analyses (которым занимаются консультанты) является всего лишь началом работы. После того как заказчику разъяснят, от чего ему следует защищаться, нужно переходить собственно к реализации защиты. А здесь важен сплав консалтинговой и технической составляющих. От правильности выстраивания бизнес-процессов зависит многое, но нужно учитывать их связь с обеспечивающей инфраструктурой. Без ее знания, к примеру, повиснет в воздухе план восстановления бизнеса, один из основных компонентов BCM (Business Continuity Management — управление непрерывностью бизнеса). А здесь без технической экспертизы качественный результат получить невозможно. Важно и то, как будут построены резервный вычислительный комплекс, система резервного копирования и другие компоненты обеспечения непрерывности бизнеса. В лидеры рынка услуг BCP выйдут те, кто в состоянии предложить заказчику комплексное решение из одних рук. В последнее время мы, системные интеграторы, ощущаем преимущество по сравнению с компаниями, специализирующимися на более узких задачах.

PC Week: А хватает ли российским интеграторам квалификации, чтобы соревноваться с консультантами и безопасниками? Может, логичнее работать с ними в субподряде, используя разделение труда?

Е. А.: Всё зависит от опыта интегратора в области ИБ. Если он исчисляется двумя-тремя годами, а в штате всего несколько специалистов, то компания не справится с ролью генподрядчика в проекте BCP. Мы в инфраструктурной интеграции пятнадцать лет, из них более десяти занимаемся ИБ. Проекты по ИБ у нас ведут сто с лишним человек, а всего мы располагаем более чем восемьюстами высококвалифицированными специалистами по вычислительным комплексам, сетям и т. д. Как видите, и по масштабам, и по квалификации мы не уступаем (а зачастую превосходим их) специализированным компаниям. Поэтому для нас такой проблемы не существует. Разумеется, опыт и квалификация пришли со временем, и свой первый проект в области BCP мы начинали как генподрядчики, а для обследования заказчика пригласили тогда консалтинговую компанию с мировым именем. Мы двигались вперед, перенимая и развивая опыт партнеров по проектам.

Нужно признать, что в среде системных интеграторов мы не одиноки — в инфраструктурных проектах и проектах, связанных с ИБ, у нас есть конкуренты. Кстати, заказчику, согласившемуся на реализацию проекта с разделением труда, нужно учитывать риски, связанные со стыковкой результатов работы каждого из подрядчиков. Случается, что проекты завершаются на стадии обследования только из-за нестыковок между консалтинговой и технологической частями. О неуспешных проектах стараются не говорить ни заказчики, ни исполнители, но, к сожалению, таких примеров на рынке немало.

При разделении труда возможна и другая коллизия. Если консультант является специалистом еще и в области ИБ, он (в рамках проекта) невольно может вступить в конкуренцию с системным интегратором, например при решении задач сетевой безопасности, поскольку практически все системные интеграторы занимаются ими. Подрядчикам сложно будет договориться, если они не дополняют, а хотя бы в чём-то дублируют друг друга.

Большую роль в успехе проекта играет слаженность команды. Опыт совместной работы служит объективной предпосылкой обеспечения наилучшего соотношения стоимости проекта, сроков и качества исполнения работ.

На практике же встречаются оба варианта реализации проектов по построению системы BCP — как силами одного исполнителя, так и с привлечением нескольких компаний (по схеме генподряда либо привлекая на разных этапах равноправных исполнителей).

PC Week: Как, на ваш взгляд, различается активность разных клиентских сегментов в области BCP — кто лидирует, кто отстает, каковы причины этого?

Е. А.: Первые проекты по BCP в России реализованы в телекоммуникационных компаниях. Этому есть логичное объяснение: прерывание в работе ИТ для таких компаний означает немедленное прерывание оказания услуг клиентам. И сегодня самые крупные BCP-проекты идут в телекоме.

К наиболее активным потребителям BCP-решений следует отнести и финансовые организации. Это объясняется тем, что за последние два-три года после внедрений АБС, систем “клиент — банк”, CRM-систем и т. п. обозначилась критичная завязка на ИТ финансового бизнеса. Согласно экспертным оценкам, дневной простой приводит к краху бизнеса в телекоме, а недельный — в банковской сфере. Внедрив критичные ИТ-системы, финансовые компании накопили достаточный опыт их эксплуатации и осознали необходимость защиты своего бизнеса от сбоев в ИТ. Они начали рассчитывать связанные с их отказами риски.

Конечно, было бы неправильно считать, что только телекоммуникационные компании и банки озадачены проблемами обеспечения непрерывности бизнеса. Вот пример из моей практики: простой ERP-системы в течение часа у одного крупного российского трубопрокатного завода, по оценке его финансового директора, грозит предприятию потерями в миллион долларов.

Сегодня ИТ активно внедряются в госсекторе, это один из наиболее быстро растущих потребительских сегментов. Через пару лет госструктуры, по тем же причинам, что и банки, начнут испытывать потребность в BCP, и поэтому мы рассматриваем госструктуры как потенциальных потребителей услуг BCP.

PC Week: Какие средства минимизации рисков, связанных с непрерывностью бизнеса, вы считаете сегодня наиболее востребованными?

Е. А.: Современный бизнес настолько динамичен (я говорю о тех сегментах, в которых уже осознана потребность в решениях BCP), что для обеспечения требуемых показателей непрерывности деятельности ему уже не хватает даже сервисов резервного копирования. Поэтому все более востребованными становятся резервные вычислительные комплексы [РВК], обеспечивающие подключение дублирующих ресурсов за минуты (а не за часы в лучшем случае, как при восстановлении данных с помощью систем резервного копирования) при отказе основного вычислительного комплекса. Но заказчикам следует четко понимать, что техническая реализация РВК будет неэффективной, если компания не захочет внедрять комплекс процессов обеспечения непрерывности своей деятельности.

PC Week: Какую ответственность несет консультант в случае неэффективности BCP, подтвержденной практикой заказчика?

Е. А.: Ошибочно перекладывать ответственность за непрерывность деятельности компании на консультантов и исполнителей технической части проекта BCP. Сразу за внедрением решения BCP нужно переходить к управлению непрерывностью бизнеса — BCM, в необходимости которого консультанты должны убедить заказчика и в соответствии с этим построить свою работу: консультант составляет план обеспечения непрерывности, а потом внедряет у заказчика процесс его актуализации. Только в таком случае проект можно считать завершенным. Дальше все работы по управлению непрерывностью должна выполнять сама компания — на аутсорсинг можно отдать всё, кроме ответственности за бизнес.

При реализации технологической части BCM-проекта, особенно при аутсорсинге технических систем, хорошей практикой является подписание соглашения об уровне предоставляемых услуг [SLA — Service Level Agreement]. В данном случае внешний исполнитель несет ответственность в соответствии со SLA.

Как одну из мер преодоления последствий неучтенных рисков можно рассматривать страхование. Однако опыт последних лет нашей работы свидетельствует, что компании к этой мере практически не прибегают. В этом есть резон: когда допустимый простой исчисляется минутами или десятками минут, страхование не поможет. Страховое возмещение, полученное спустя месяц, вряд ли спасет высококритичный к простоям бизнес. Здесь выручат только технические решения. Хотя всегда нужно помнить, что обеспечение непрерывности бизнеса — это комплексное организационно-техническое решение.

PC Week: Благодарю за беседу.