О необходимости разработки или актуализации ИТ-стратегии на основе процесса управления непрерывностью бизнеса говорит возникновение следующих проблем: 1) неудовлетворенность пользователей и/или топ-менеджеров текущим состоянием информатизации компании; 2) техническое, программное обеспечение и кадровый состав на должном уровне, а эффективность отдачи от информационных технологий ниже требуемой; 3) неопределенность направлений, по которым необходимо развивать имеющиеся информационные системы [5].
Как показывает анализ литературы, под ИТ-стратегией понимают весьма разные вещи. Большинство авторов, являющихся ИТ-директорами или ИТ-консультантами, под ИТ-стратегией понимают, долговременный план действий по информационному обеспечению предприятия. В общем случае в ИТ-стратегию могут быть включены следующие составляющие: информационные системы; ИТ-инфраструктура; ИТ-служба и ИТ-процессы.
С точки зрения предприятия ИТ-стратегия является частью корпоративной стратегии, в одном ряду со стратегиями маркетинга, финансов, персонала и др. Но роль ИТ постоянно возрастает и, более того, начинает сильно влиять на все остальные стороны деятельности предприятия. В любой организации подход к разработке ИТ-стратегии определяется реальными потребностями бизнеса и затратами ресурсов, необходимых для разработки этой стратегии. Полагаем, что стратегия бизнеса должна определять ИТ-стратегию компании. Окончательное решение принимается в результате рассмотрения миссии, образа будущего, основных функций, целей, задач компании, организационной структуры с учетом определения уровня зрелости компании с точки зрения соответствия состоянии ИТ бизнес-целям и информационным потребностям.
Проведенный анализ зарубежной и отечественной литературы в рамках проекта № 8.3023.2011 «Исследование и разработка методов и средств управления непрерывностью бизнеса» показал, что внешние факторы воздействуют только на критичные бизнес-процессы, владельцы этих процессов оценивают возможные негативные влияния [6]. Исходя из допустимых потерь владельцы процессов определяют минимально допустимый уровень функционирования бизнес-процессов в кризисной ситуации, в частности совместно с руководством ИТ-подразделения они фиксируют минимальный уровень тех ИТ-услуг, которые эти процессы поддерживают. Также определяется время восстановления ИТ-сервисов до минимального уровня и полное время восстановления до штатного уровня. Эти данные будут использоваться руководителями ИТ-отделов в дальнейшем при построении стратегии непрерывности ИТ-услуг [4].
При этом менеджеры и владельцы в рамках разработки ИТ-стратегии несут ответственность за поддержание способности организации к бесперебойному функционированию. Организации постоянно должны поставлять продукты и услуги, т.е. они заключают контракты и иным способом повышают ожидания заказчиков. Все организации имеют моральные и социальные обязательства, особенно если они обеспечивают помощь в чрезвычайных ситуациях или занимаются предоставлением общественных или добровольных услуг. В некоторых случаях обязанность организации реализовать процесс управления непрерывностью деятельности устанавливается в законодательном или нормативном порядке.
Деятельность всех организаций подвержена угрозе возникновения нештатных ситуаций, например в случае террористических актов, технологической аварии, наводнения, отключения электропитания и др. Наряду с обеспечением благополучия и безопасности, процесс управления непрерывностью деятельности обеспечивает способность адекватно реагировать на подобные нештатные ситуации. В настоящее время управление непрерывностью деятельности необходимо рассматривать не как дорогостоящий процесс планирования, а как процесс, который повышает стоимость организации.
К настоящему моменту наибольшее распространение в мире получил стандарт BS 25999 Business Continuity Management. В этом стандарте приведено следующее определение процесса управления непрерывностью деятельности: «Целостный процесс управления, в рамках которого идентифицируются потенциальные угрозы деятельности организации, оцениваются возможные воздействия на бизнес-операции в случае осуществления этих угроз, а также создается основа для обеспечения способности организации восстанавливать свою деятельность и эффективно реагировать на инциденты, что позволяет гарантировать соблюдение интересов заинтересованных сторон, обеспечить защиту репутации, бренда и создающих стоимость операций» [1-3].
Жизненный цикл процесса управления непрерывностью деятельности включает шесть элементов, которые могут быть реализованы организациями любого масштаба, функционирующими в любом секторе экономики: государственном, частном, некоммерческом, образовательном, производственном и т.д. Хотя область применения и структура программы построения процесса управления непрерывностью деятельности могут варьироваться, а объем затраченных усилий будет зависеть от потребностей конкретной организации, указанные шесть элементов всегда должны присутствовать.
Этап 1. Управление программой построения процесса обеспечения непрерывности деятельности. Согласно определению, программой называется план деятельности, совокупность действий и мероприятий для достижения намеченной цели.
Этап 2. Анализ организации. Действия, выполняемые на данном этапе, обеспечивают сбор информации, которая позволяет расставить приоритеты среди продуктов и услуг, предоставляемых клиентам организации, а также определить первоочередные действия, необходимые для предоставления этих продуктов и услуг.
Этап 3. Определение стратегии обеспечения непрерывности деятельности. Стратегия обеспечения непрерывности должна предусматривать решение целого ряда задач: обеспечение безопасности сотрудников; обеспечение персонала рабочими помещениями; обеспечение техническими средствами; обеспечение доступа к необходимой информации; обеспечение необходимыми материалами; обеспечение взаимодействия с бизнес-партнерами, подрядчиками, поставщиками, клиентами и другими заинтересованными сторонами.
Этап 4. Разработка и внедрение процедур реагирования. Результатом разработки и внедрения процедур реагирования процесса управления непрерывностью деятельности является создание инфраструктуры управления и структуры управления инцидентами, планов обеспечения непрерывности деятельности и планов восстановления деятельности, в которых подробно определяются действия, которые необходимо предпринять во время или после инцидента для поддержки или восстановления функционирования.
Этап 5. Тестирование, поддержка и пересмотр мероприятий процесса управления непрерывностью деятельности. Тестирование, поддержка, пересмотр и аудит системы управления непрерывностью деятельности обеспечивают для организации новые возможности.
Этап 6. Встраивание процесса управления непрерывностью деятельности в культуру организации. В ряде высокотехнологичных отраслей, таких как телекоммуникации, непрерывность деятельности является не просто потребностью бизнеса, но и требованием законодательства. Временный отказ от предоставления услуг вне зависимости от причин, вызвавших этот перерыв, может привести к отзыву лицензии и, следовательно, полному прекращению деятельности. Изменение корпоративной культуры является длительным и сложным процессом.
Преимущества эффективной программы управления непрерывностью деятельности состоят в том, что организация имеет возможность проактивно идентифицировать возможные последствия нештатной ситуации; разработанную процедуру эффективного реагирования на нештатные ситуации, позволяющую минимизировать воздействие таких ситуаций на организацию; возможность управлять рисками, не подлежащими страхованию; содействует совместной работе различных групп; способна продемонстрировать эффективность процедур реагирования посредством их тестирования; может улучшить свою репутацию; может получить конкурентное преимущество, которое дает продемонстрированная способность обеспечивать непрерывность поставок.
При управлении непрерывностью бизнеса в рамках разработки ИТ-стратегии необходимо уделить особое внимание технической инфраструктуре (совокупность технических и системных программных средств, линий связи, процедур, нормативных документов, обеспечивающая основу для функционирования всех информационных сервисов компании).
Разработка ИТ-стратегии, как долговременного плана действий по информационному и техническому обеспечению, предполагает предварительное проведение ИТ-аудита. Целями ИТ-аудита являются оценка функциональности и техническая оценка имеющихся в организации ИТ на предмет перспектив их дальнейшего развития и использования. Результаты ИТ-аудита ориентированы на руководителей компании, которых, в первую очередь, интересует: агрегация данных; динамика, перспективы, тенденции; корпоративные решения; минимальные затраты на поиск требуемой информации; полнота и непротиворечивость информации; аналитические срезы для поддержки принятия решений.
Рассмотрим на примере организации в отрасли страхования. В настоящее время, когда бизнес стремительно меняется и требуются дополнительные возможности для конкуренции с сильными отечественными и тем более западными компаниями на страховом рынке, важно понимать значение информационных технологий в этом процессе, соответствующий уровень которых во многом определяет завтрашний день любой компании. ИТ-аудит проводился по следующим направлениям.
- Аудит состояния информационных систем - направлен на инвентаризацию действующих ИТ-решений, степени их документированности, уровня обученности конечных пользователей.
- Аудит ИТ-инфраструктуры - направлен на выявление сильных и слабых сторон конфигурации оборудования и сетевой архитектуры, определение ее надежности ипропускных характеристик.
- Аудит ИТ-процессов - направлен на оценку уровня зрелости процессов, поддерживающих ИТ-деятельность в организации [5].
Границы проекта и перечень задач ИТ-аудита определялись в соответствии с составом бизнес-направлений (функциональных областей), в рамках которых анализируются компоненты информационной системы и их соответствие требованиям бизнеса. В качестве бизнес-направления выбрана организация взаимоотношений с клиентами, которая реализует один из главных и наиболее важных бизнес-процессов страховой компании - создание страхового фонда. При проведении обследования во внимание принимались только те подразделения, которые выполняют выбранный бизнес-процесс - это центры страхования. Пример взаимодействия подразделений страховой компании схематично изображен на рис. 1. Взаимосвязь элементов технической инфраструктуры представлена на рисунке 2.
Рис. 1. Инфраструктура взаимодействия подразделений страховой компании.
Рис. 2. Взаимосвязь элементов технической инфраструктуры.
Каждый сотрудник центра страхования имеет свое автоматизированное рабочее место (АРМ). Все компьютеры объединены в одну локальную сеть с помощью switch. К АРМ2 и АРМ3 подключены принтеры, АРМ1 осуществляет печать на одном из принтеров через сеть. Локальная сеть центра страхования подключена к сети центрального офиса посредством оптоволоконного кабеля, что обеспечивает высокую пропускную способность каналов связи при использовании АИС «Страхование» и общих сетевых каталогов.
ИТ-услуги, предоставляемые составом: автоматизированных рабочих мест (АРМ), программным (ПО) и аппаратным обеспечением (АО) - представлены в табл. 1.
Таблица 1 - Характеристика услуг АРМ+ПО+АО
|
Пользователь
|
ИТ-услуги |
Характеристика |
|
Специалисты по страхованию (АРМ1, АРМ2) |
|
Использование данных услуг происходит постоянно, непосредственно связано с функциями отдела |
|
Руководитель (АРМ3) |
|
В настоящее время техническое оснащение рабочих мест соответствует корпоративным требованиям. Можно дополнить АРМ1 принтером, чтобы не создавать помех в работе остальным сотрудникам, но при существующей интенсивности потока клиентов такой необходимости нет.
Выход в Интернет у сотрудников центра страхования осуществляется через локальную сеть. В большинстве случаев доступ в Интернет системные администраторы ограничивают или запрещают, поэтому когда требуется воспользоваться услугами электронной почты (получить/переслать какие-либо документы клиенту) или другими сервисами, специалисты данного отдела этого сделать не могут.
Реализация эффективной программы управления непрерывностью деятельности в рамках общей стратегии развития компании, в которой указан выбор путей и реализация комплекса спланированных действий в рамках ИТ, способствующих достижению стратегических бизнес-целей компании, позволяет добиться следующих результатов: идентифицированы и защищены основные продукты и услуги, что гарантирует непрерывность их поставки; используются средства управления инцидентами, что позволяет обеспечить эффективное реагирование; надлежащим образом собраны, документированы и проанализированы основные сведения о самой организации и ее отношениях с другими организациями, необходимыми регулирующими органами или правительственными учреждениями, местными органами власти и аварийными службами; персонал обучен эффективно реагировать на инциденты или нештатные ситуации с помощью надлежащего тестирования; требования заинтересованных сторон проанализированы и могут быть выполнены; в случае нештатной ситуации персонал получает надлежащую поддержку и необходимые контакты; обеспечивается надежность цепочки поставок организации; обеспечивается защита репутации организации; обеспечивается выполнение организацией правовых и нормативных обязательств.
Рецензенты
Девятов Диляур Хасанович, доктор технических наук, профессор, заведующий кафедрой вычислительной техники и прикладной математики ФГБОУ ВПО «Магнитогорский государственный технический университет», г. Магнитогорск.
Баранкова Инна Ильинична, доктор технических наук, профессор, заведующий кафедрой информатики и информационных технологий ФГБОУ ВПО «Магнитогорский государственный технический университет», г. Магнитогорск.