УДК 338.2
ББК 65.050.2
Л61
Петренко, Сергей Анатольевич.
Л61
Управление непрерывностью бизнеса. Ваш бизнес будет продолжаться.
Информационные технологии для инженеров [Электронный
ресурс] : учебное пособие / С. А. Петренко, А. В. Беляев. — 2-е изд.
(эл.). — Электрон. текстовые дан. (1 файл pdf : 402 с.). — М. : ДМК
Пресс, 2018. — (БизнесПро). — Систем. требования: Adobe Reader
XI либо Adobe Digital Editions 4.5 ; экран 10".
ISBN 978-5-93700-059-0
В книге подробно рассмотрены возможные постановки задач управления
непрерывностью бизнеса (BCM) и аварийного восстановления (DRM) в отечественных
компаниях. Последовательно изложены все основные вопросы разработки
и внедрения соответствующих корпоративных программ управления
непрерывностью бизнеса (ECP). Рассмотрены особенности модели жизненного
цикла BCM британского института BCI (www.thebci.org), а также практики
обеспечения непрерывности бизнеса и аварийного восстановления институтов
США DRI (www.drii.org) и SANS (www.sans.org). Приведены рекомендации
международных стандартов BS25999 (PAS 56), ASIS SPC.1-2009, ISO/DIS
22399:2008, ISO/IEC 22301:2008, NIST SP800-34, NFPA 1600, AS/NZS 5050
(HB 292:2006), SS540:2009 (TR19:2004), SI 24001:2007, ISO/IEC 27002:2005
(BS ISO/IEC 17799:2005) (14 раздел), COBIT 5.0, ITIL V3 и MOF 4.0 в части
BCM и др.
В настоящем издании подробно рассмотрены возможные методики ведения
проектов в области BCM, разработки и совершенствования корпоративных
программ управления непрерывностью бизнеса (ECP). Отражена отечественная
специфика обеспечения непрерывности бизнеса и аварийного восстановления.
На основе практического опыта работы авторов приведены примеры
анализа рисков (RA) и оценивания воздействия на бизнес (BIA), разработки
стратегий непрерывности бизнеса, планов BCP&DRP и соответствующих планов
тестирования.
Книга будет полезна руководителям служб автоматизации (CIO) и служб информационной
безопасности (CISO), внутренним и внешним аудиторам (CISA),
менеджерам высшего эшелона компаний, ответственных за обеспечение непрерывности
бизнеса, а также преподавателям и слушателям программ MBA,
CIO и CSO, студентам и аспирантам соответствующих специальностей.
УДК 338.2
ББК 65.050.2
рывностьюДеривативное электронное издание на основе печатного издания: Управление непребизнеса.
Ваш бизнес будет продолжаться. Информационные технологии
для инженеров : учебное пособие / С. А. Петренко, А. В. Беляев. — М. : ДМК Пресс,
2011. — (БизнесПро) — 400 с. — ISBN 978-5-94074-624-9.
В соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техническими
средствами защиты авторских прав, правообладатель вправе требовать от нарушителя
возмещения убытков или выплаты компенсации.
ISBN 978-5-93700-059-0
© ДМК Пресс, 2011
Стр.3
Содержание
Предисловие президента ГК АйТи Тагира Яппарова........................................9
Предисловие директора Business Continuity Institute (BCI)
Линдона Бирда.......................................................................................................11
Предисловие партнера Ernst&Young Николая Самодаева.................................14
Введение................................................................................................................16
Глава 1. АКТУАЛЬНОСТЬ УПРАВЛЕНИЯ НЕПРЕРЫВНОСТЬЮ
БИЗНЕСА...............................................................................................23
1.1. Мотивация и преимущества BCM.......................................................................23
1.1.1. Примеры инцидентов...........................................................................24
1.1.2. Основные мотивы.................................................................................27
1.1.3. Экономическая целесообразность......................................................33
1.1.4. Дополнительные преимущества..........................................................34
1.2. Основные компоненты программы ECP..............................................................35
1.2.1. История вопроса..................................................................................36
1.2.2. Содержание BCM.................................................................................37
1.2.3. Практика BCM......................................................................................39
1.3. Постановка задачи построения ВСР....................................................................48
1.3.1. Цель и задачи работы..........................................................................48
1.3.2. Ожидаемый эффект..............................................................................49
1.3.3. Требования к разработке....................................................................50
1.3.4. Требования к составу работ.................................................................53
1.3.5. Требования к отчетным материалам...................................................54
1.3.6. Продолжительность работ...................................................................55
1.3.7. Область реализации............................................................................55
1.3.8. Дополнительные требования..............................................................55
1.3.9. Квалификационные требования к Исполнителю.....................................56
1.4. Анализ технологий.......................................................................................56
1.4.1. Классификация уровня поставленной задачи....................................57
1.4.2. Общие подходы и направления...........................................................58
1.4.3. Инфраструктура ЦОД...........................................................................60
1.4.4. Мультисервисная сеть.........................................................................68
1.4.5. Помещения и инженерные системы....................................................73
1.4.6. Обеспечение непрерывности функционирования
программного обеспечения..................................................................76
1.4.7. Системы мониторинга и управления...................................................79
Глава 2. ЛУЧШИЕ ПРАКТИКИ УПРАВЛЕНИЯ НЕПРЕРЫВНОСТЬЮ
БИЗНЕСА...............................................................................................82
2.1. Практика BCI...............................................................................................84
Стр.5
Содержание
5
2.1.1. Характеристика деятельности...........................................................84
2.1.2. Основные достижения.......................................................................85
2.2. Практика института DRII..............................................................................88
2.2.1. Направления деятельности...............................................................88
2.2.2. Модель DRII.......................................................................................88
2.3. Практика SANS............................................................................................91
2.3.1. Инициация проекта...........................................................................92
2.3.2. Анализ рисков– Risk Analysis (RA).....................................................94
2.3.3. Анализ воздействия на бизнес – Business Impact Analysis (BIA).............96
2.3.4. Разработка планов BCP&DRP............................................................97
2.3.5. Тестирование планов BCP&DRP........................................................99
2.3.6. Сопровождение планов BCP&DRP.....................................................101
2.3.7.Утверждение и внедрение планов BCP&DRP.....................................102
2.4. Стандарт BS25999 (PAS 56)........................................................................102
2.4.1. Управление программой BCM...........................................................104
2.4.2. Анализ требований к программе BCM..............................................105
2.4.3. Определение стратегии BCM.............................................................107
2.4.4. Разработка и реализация планов BCM.............................................108
2.4.5. Поддержка и сопровождение программы BCM................................110
2.4.6. Формирование культуры BCM в организации..................................111
2.5. Стандарт AS/NZS 5050 (HB 292:2006).......................................................111
2.5.1. Рекомендации стандарта..................................................................112
2.5.2. Особенности BCM..............................................................................114
2.6. Практика управления рисками....................................................................118
2.6.1. Стандарт NIST SP 800-30...................................................................121
2.6.2. Методология OCTAVE..........................................................................123
2.6.3. Жизненный цикл MG-2......................................................................126
2.6.4. Стандарт CobIT...................................................................................127
2.6.5. Модель зрелости SA-CMM.................................................................127
2.7. Практика описания бизнес-процессов.......................................................129
2.7.1. Практика моделирования процессов...............................................131
2.7.2. Методология NGOSS.........................................................................133
2.8. Стандарт COBIT............................................................................................141
2.8.1. Характеристика стандарта................................................................142
2.8.2. Процесс DS4......................................................................................144
2.8.3. Уровни зрелости DS4.........................................................................148
2.9. Библиотека ITIL...........................................................................................150
2.9.1. Инициация процесса ITSCM..............................................................153
2.9.2. Анализ требований и выработка стратегии ITSCM...........................154
2.9.3. Внедрение ITSCM...............................................................................156
2.9.4. Операционное управление...............................................................159
2.9.5. Дополнительные вопросы.................................................................160
2.10. Стандарт ISO/IEC 27002:2005 (BS ISO/IEC 17799:2005)........................162
2.10.1. Аспекты управления непрерывностью бизнеса.............................163
2.10.2. Взаимосвязь непрерывности и безопасности...............................164
Стр.6
6
Содержание
2.10.3. Непрерывность бизнеса и оценка рисков......................................165
2.10.4. Разработка и внедрение Плана непрерывности бизнеса..............165
2.10.5. Структура Плана непрерывности бизнеса......................................166
2.10.6. Поддержка и сопровождение Плана непрерывности бизнеса......167
2.11. Отечественная практика BCM...................................................................170
2.11.1. Развитие практики BCM..................................................................170
2.11.2. Инициативы Банка России..............................................................170
Глава 3. УПРАВЛЕНИЕ ПРОЕКТАМИ В ОБЛАСТИ ВСМ....................................183
3.1. Практика Accenture......................................................................................183
3.1.1. Определение рисков.........................................................................186
3.1.2. Разработки стратегии BCM...............................................................193
3.1.3. Внедрение стратегии BCM.................................................................200
3.2. Практика Ernst&Young.................................................................................203
3.2.1. Оценка зрелости программы ECP......................................................211
3.2.2. Разработка стратегии BCM...............................................................219
3.2.3. Внедрение стратегии BCM................................................................222
3.3. Практика IBM..............................................................................................223
3.3.1. Методы выполнения работ................................................................224
3.3.2. Подход IBM BCRS...............................................................................226
3.3.3. Услуги IBM BCRS................................................................................230
3.3.4. Пример выбора решения..................................................................239
3.3.5. Пример постановки задачи...............................................................247
3.4. Практика Hewlett-Packard............................................................................253
3.4.1. Оценка текущего состояния ECP........................................................256
3.4.2. Разработка стратегии BCM...............................................................264
3.4.5. Внедрение стратегии BCM................................................................266
3.5. Практика EMC.............................................................................................269
3.5.1. Виды работ........................................................................................269
3.5.2. Методология EMC.............................................................................273
3.6. Практика Microsoft......................................................................................278
3.6.1. Характеристика подхода...................................................................280
3.6.2. Функция ITCM....................................................................................284
Глава 4. ПРИМЕРЫ РАЗРАБОТКИ ПРОГРАММЫ ECP.....................................286
4.1. Описание объекта.......................................................................................286
4.1.1. Текущая архитектура объекта...........................................................287
4.1.2. Целевая архитектура объекта...........................................................287
4.2. Пример оценки воздействия на бизнес, BIA..............................................289
4.2.1. Основные цели и задачи BIA.............................................................289
4.2.2. Методика BIA.....................................................................................289
4.2.3. Определение ИТ-услуг.......................................................................290
4.2.4. Определение ИТ-ресурсов................................................................290
4.2.5. Анализ рисков и сценариев нарушения непрерывности сервиса........292
4.2.6. Определение зависимых бизнес-сервисов......................................302
Стр.7
Содержание
7
4.2.7. Определение требований к параметрам доступности
ИТ-ресурсов........................................................................................ 302
4.3. Пример стратегии непрерывности бизнеса...............................................302
4.3.1. Заявление Руководства (Политика в области непрерывности
бизнеса).............................................................................................. 305
4.3.2. Методика выработки стратегии обеспечения непрерывности........305
4.3.3. Методика расчета временных показателей процесса
восстановления ИТ-ресурса............................................................... 305
4.3.4. Перечень общих технических решений для ИТ-ресурсов.................310
4.3.5. Описание частных технических решений для ИТ-ресурсов..............311
4.3.6. Анализ вариантов стратегий непрерывности для ИТ-ресурсов.......314
4.3.7. Оценка состояния процесса обеспечения непрерывности
для ИТ-сервисов................................................................................. 320
4.3.8. Описание частных технических решений для ИТ-сервисов..............322
4.3.9. Анализ вариантов стратегий размещения серверной площадки....322
4.3.10. Анализ вариантов стратегий непрерывности для ИТ-сервисов.....324
4.3.11. Описание частных технических решений обеспечения
непрерывности бизнеса.................................................................... 324
4.3.12. Анализ вариантов стратегий непрерывности бизнеса..................326
4.3.13. Принятые решения..........................................................................326
4.4. Пример разработки Плана непрерывности бизнеса, BCP..........................327
4.4.1. Цель и подход к созданию плана обеспечения непрерывности.......327
4.4.2. Задачи плана обеспечения непрерывности.....................................328
4.4.3. Состав плана BCP...............................................................................328
4.4.4. Управление планом BCP....................................................................329
4.4.5. Аварийно-восстановительная команда............................................330
4.4.6. Резервные центры управления.........................................................336
4.4.7. Мероприятия по обеспечению непрерывности................................337
4.5. Пример Плана тестирования BCP................................................................343
4.5.1. Цель тестирования............................................................................343
4.5.2. Задачи тестирования........................................................................343
4.5.3. Виды тестов плана BCP......................................................................343
4.5.4. Программа тестирования..................................................................345
4.5.5. Методика процесса тестирования....................................................345
4.5.6. Пример настольного теста плана BCP...............................................347
4.5.7. Пример частичного теста плана BCP418..........................................349
Заключение......................................................................................................353
Приложение 1. Непрерывность бизнеса и акт Сарбэйнса-Оксли...................357
Приложение 2. План действий Мининформсвязи России
в кризисных ситуациях....................................................................371
Приложение 3. Перечень возможных инструкций для надлежащего
обеспечения непрерывностью бизнеса..........................................376
Приложение 4. Пример представления контактных данных для BCM............377
Стр.8
8
Содержание
Приложение 4.1. АВК: контактная информация и лист
ознакомления.............................................................................377
Приложение 4.2. Контактная информация ключевых служб
Компании.................................................................................379
Приложение 4.3. Контактная информация поставщиков
оборудования и услуг...............................................................380
Список литературы..........................................................................................382
Стр.9