Учет ИТ рисков при инвестировании Святослав Сорокин Старший вице-президент ЗАО «Би-Эй-Си» Обеспечение непрерывности бизнеса

От построения сетей – к управлению знаниями О чем пойдет речь Разрешите представится Значимость ИТ в бизнесе компании Оценки потерь бизнеса из-за ИТ Классификация рисков Международные стандарты Методология обеспечения непрерывности бизнеса Типичные ошибки

От построения сетей – к управлению знаниями Структура портфолио Би-Эй-Си Индустриальный и ИТ консалтинг Консалтинг по бизнес-процессам Разработка бизнес-приложений Разработка ИТ стратегии Информационная безопасность Инженерные системы Системы центров обработки данных Создание инженерных систем зданий Системы безопасности Бизнес приложения Системы мониторинга и управления ИКТ Операторские центры Документооборот ИКТ инфраструктура Центры обработки и хранения данных Системы доступа Системы передачи данных Телефония и видеоконференции Аутсорсинг Аутсорсинг ИКТ-инфраструктуры Сервисное обслуживание Обучение и тестирование

От построения сетей – к управлению знаниями Компания сегодня Более сотрудников Партнер более 40 мировых лидеров Более 300 сертификатов Реализовано более 6 00 крупных проектов 10 лет успешной работы на ИТ-рынке России и за ее пределами Государственная аккредитация на право осуществления деятельности в области информационных технологий Сертификация по ISO 9001:2001

От построения сетей – к управлению знаниями Широкий географический охват Россия Москва Санкт-Петербург Краснодар Саранск Омск Пермь Казахстан Астана Украина Киев

От построения сетей – к управлению знаниями Динамика оборота компании М $ M $ M $ M $

От построения сетей – к управлению знаниями Нам доверяют лидеры

От построения сетей – к управлению знаниями Типичные вопросы Акционерная стоимость и приоритеты CEO Значимость ИТ, эффективность, рентабельность инвестиций CIO Как ИТ могут способствовать увеличению стоимости компании? Как ИТ могут помочь в управлении бизнесом и решении текущих задач? Как обеспечить принятие эффективных решений по инвестициям в ИТ и, как измерить влияние инвестиций в ИТ на бизнес? Какие существующие ИТ проекты принесут стратегические выгоды, какие проекты следует остановить? Как установить контроль над расходами в области ИТ? Каковы приоритеты бизнеса и требования к ИТ? Каким образом должны быть интегрированы организация ИТ, процессы, архитектура и инфраструктура в компании? Как принимать решения в области ИТ, как контролировать их исполнение? Как распределить ответственность? Как обеспечить прозрачность и контроль над инвестициями в ИТ? Как управлять портфелем ИТ проектов? Р оль ИТ для бизнеса © 2006 Accenture

От построения сетей – к управлению знаниями Мировая статистика 85% Компаний сильно или полностью зависит от вычислительных систем; В среднем на 6-й день после перерыва ИТ в работе теряется 25% бизнеса, а на 25-й день – 40%; Спустя 14 дней после прекращения работы вычислительных систем у 75% компаний потеря функционирования становится критической; Свыше 40% компаний, испытавших бедствие и не имевших Плана обеспечения бесперебойного функционирования в течение 3-5 лет теряли бизнес © 2007 Gartner

От построения сетей – к управлению знаниями Пример оценки эффективности затрат 500 Стоимость, тыс. долларов США 262,80 Стоимость владения или аренды ИТ системы, в год Доступность, % 26,28 2, Потери из-за недоступности, в год 99,900 99,990 99,999

От построения сетей – к управлению знаниями Вопросы к себе С какими рисками сталкивается ваш бизнес и ИТ? Какие прямые и косвенные убытки понесет бизнес из-за простоя ИТ? Накладывается ли на ваш бизнес государственное регулирование? Когда в последний раз проводилась проверка плана обеспечения непрерывности бизнеса и какие она дала результаты?

От построения сетей – к управлению знаниями Стандарты оценки и управления информационной безопасностью: ISO ISO BSI Стандарты ИТ аудита: CobiT SAC COSO SAS 55/78 Методики анализа рисков – существует общий подход к анализу рисков, однако единой универсальной методики нет. Международные стандарты в области ИТ

От построения сетей – к управлению знаниями Метрики управления доступностью Простой, недоступность обслуживания Недоступность компонента Время обнаружения неполадки Время реагирования на неполадку Время ремонта в случае неполадки Время восстановления в случае неполадки Время возобновления обслуживания в случае неполадок Время устранения неполадки MTBSI, среднее время между системными неполадками MTTR, среднее время прекращения простоя, среднее время восстановления Критическое время сбоя Недоступность услуг третьей стороны Недоступность компонентов, предоставляемых третьей стороной Время возобновления недоступных услуг Количество повторных сбоев ITSM

От построения сетей – к управлению знаниями Return Point Objective (RPO) Целевая точка восстановления Согласованный с бизнесом интервал времени, предшествующий аварии, за который допускается потеря данных Return Time Objective (RTO) Целевое время восстановления Согласованный с бизнесом интервал времени после аварии, необходимый для восстановления ИТ-сервиса Основные метрики

От построения сетей – к управлению знаниями Классификация рисков © 2005 Hewlett-Packard Development Company

От построения сетей – к управлению знаниями Причины и следствия простоя ИТ © 2005 Hewlett-Packard Development Company

От построения сетей – к управлению знаниями Методика оценки потерь © 2005 Hewlett-Packard Development Company

От построения сетей – к управлению знаниями Оценки потерь бизнеса из-за простоя ИТ © 2005 Hewlett-Packard Development Company

От построения сетей – к управлению знаниями Business Continuity Plan (BCP) План обеспечения непрерывности бизнеса Комплекс технических и организационных мер по снижению рисков прерывания бизнеса в случае бедствия Disaster Recovery Plan (DRP) План аварийного восстановления Важнейшая составляющая ВСР, содержащая суть и порядок действий аварийных команд по восстановлению критически важных ИТ-сервисов Основные мероприятия по снижению ИТ рисков

От построения сетей – к управлению знаниями Число услуг, не охватываемых планом Задержка с подготовкой/обновлением плана Задержка с тестированием плана Число проблем, выявленных при последнем тестировании, которые еще не решены на данный момент времени Результаты опроса по осведомленности о непрерывности предоставления ИТ-услуг Число выявленных за данный период проблем, которые ставят под угрозу план Число неверных записей в справочнике группы кризисного контроля Запаздывание готовности резервных мощностей Степень удовлетворенности клиентов ITSM Метрики непрерывности предоставления ИТ услуг

От построения сетей – к управлению знаниями УГРОЗЫ 1.Физические (техногенные, терроризм) 2.Логические (хакерские атаки, саботаж) РИСКУЯЗВИМОСТЬ БИЗНЕС RPORTO ИТ-сервисы Логика снижения ИТ рисков

От построения сетей – к управлению знаниями Разработка ТЭО проектов по повышению надежности ИТ систем Исполнение проектов по повышению надежности ИТ систем Аудит надежности ИТ систем Разработка решений по повышению надежности ИТ систем Жизненный цикл по обеспечению надежности ИТ систем

От построения сетей – к управлению знаниями Результаты Общая координация и управление проектом Сбор информации о текущей надежности и отказоустойчивости ИТ систем Определение требований к повышению надежности и отказоустойчивости Анализ информации о надежности и отказоустойчивости ИТ систем Оценка информации Разработка решений по повышению надежности ИТ систем Анализ и выбор метода ТЭО проектов по повышению надежности ИТ систем ТЭО проектов по повышению надежности ИТ систем. Разработка и согласование сводного текста отчета Карта проблем надежности и отказоустойчивости ИТ систем Карта «блокируемых» рисков Требования к повышению надежности и отказоустойчивости Решения по повышению надежности и отказоустойчивости ИТ систем Перечень мероприятий для повышения надежности ИТ систем Отчет по результатам работ, включающий рекомендации по повышению надежности и отказоустойчивости ИТ систем и их ТЭО Итоговая презентация по результатам работ Работы Работы и результаты по обеспечению надежности ИТ

От построения сетей – к управлению знаниями Сбор информации о надежности ИТ систем Составление карты рисков ухудшения надежности Определение требований бизнеса Анализ и оценка информации Согласование с бизнесом изменения требований Формирование комплекса технических решений Формирование комплекса организацион. решений Определение стоимости потерь Разработка ТЭО Разработка итогового отчета ТЭО приемлемо? Да Нет Мероприятия по обеспечению надежности ИТ систем и их ТЭО

От построения сетей – к управлению знаниями Анализ и разработка решений по повышению надежности ИТ NGOSS ITSM Корпоративные стандарты, требования подразделений Бизнес процессы ИТ системы Проекты Обоснование эффективности REVENUE ARPU EBITDA / OIBDA Bad Debts CHURN REVENUE ASSURENCE Анализ и разработка решений по повышению надежности ИТ систем Риск- менеджмент

От построения сетей – к управлению знаниями Запуск проекта Разработка концепции обеспечения непрерывности Техническое проектирование Разработка документов и регламентов Ввод Программы в эксплуатацию Программа аварийного восстановления комплекс технологических и организационно-методических мер, которые позволяют обеспечить непрерывность предоставления ИТ- сервисов организации. Пример проекта Внедрение Программы аварийного восстановления

От построения сетей – к управлению знаниями 1 этап: Разработка Концепции Первичные угрозы 1.Превентивные меры снижение вероятности ЧС снижение уязвимости при ЧС снижение потенциального ущерба 2.Аварийное восстановление Типы сценариев: полная потеря ВЦ потеря серверов/приложений частичная потеря данных серьезный сбой сети логическое повреждение данных Типы сценариев: потеря приложения (данные/сервис) Ущерб от потери приложения Классификация (классы критичности) RTO/RPO IMission critical 2Business critical 3Business operat 4Operational RTO/ RPO Техническое решение / $ защита данных восстановление сервиса Классы решений Load balancing Синхронная репликация Cross-site backup ОБЩЕЕ РЕШЕНИЕ (сроки + деньги) (возможно, изменение решений)

От построения сетей – к управлению знаниями Стратегия резервирования ИТ-сервисов Резервные площадки («холодные, горячие»); Каналы связи основной и резервной площадок; Резервное оборудование: «Холодное» (на складе, либо по предварительным договорам у вендоров) «Теплое» (предварительно инсталлированное для целей резервирования, используемое для производственных нужд в штатном режиме) «Горячее» (работающее как резервное в режиме On-Line) Организационная структура и Планы обучения Высокоуровневые решения по способам эксплуатации резервных систем Стратегия защиты данных Способы резервного копирования; Способы репликации данных. Стратегия восстановления ИТ-сервисов Привязка классов критичности ИТ-сервисов (RPO/RTO) к способам резервирования и защиты данных; Стратегия реализации Программы Укрупненный план-график с описанием этапов реализации 1 этап Разделы концепции

От построения сетей – к управлению знаниями Полная потеря центра данных В этом случае будет прекращено предоставление всех услуг центра данных. Предполагается, что физическая инфраструктура ИТ станет совершенно недоступной, равно как и все хранящиеся в ней данные. Значительная частичная потеря серверов или прикладных сред В этом сценарии некоторые сервисы будут продолжать работать, но по меньшей мере, один из самых важных сервисов окажется недоступен. Тем не менее, данные восстановить можно. Значительная частичная потеря данных В этом случае значительная часть данных оказывается утрачена или недоступна. Хотя некоторые сервисы могут продолжать работать, хотя бы один из самых важных сервисов недоступен из-за потери данных. Однако часть физической инфраструктуры ИТ может быть по-прежнему доступна для использования. Серьезный сбой сети При таком сценарии теряется связь по локальной сети или связь с Интернетом. Хотя непосредственного влияния на серверы и данные это не окажет, сбой в сетевой инфраструктуре означает, что бизнес-пользователи, клиенты и партнеры не смогут получить доступа к ИТ-услугам, предоставляемым ГВЦ. Значительная потеря данных вследствие логического повреждения В этом случае, хотя инфраструктура ИТ останется невредимой, бизнес-услуги окажутся недоступны, потому что необходимые им данные будут недоступны вследствие повреждения. Следует исходить из допущения, что все копии данных, сделанные в реальном времени, будут также повреждены, и приложения/сервисы придется вернуть к предыдущей моментальной копии. 1 этап Разработка типов сценариев

От построения сетей – к управлению знаниями НАЗВАНИЕОПИСАНИЕ Очень высокий приоритет – критично для миссии компании Приложения, без которых Компания не сможет предоставлять основные услуги после аварии в центре данных или вести учет потребления услуг. Высокий приоритет – критично для бизнеса Приложения, без которых Компания не сможет поддерживать и увеличивать свою клиентскую базу. Средний приоритет – важно для деловых операций Приложения, без которых Компания не сможет выполнять свои основные бизнес-функции. Низкий приоритет – производительность офисной работы Приложения, для восстановления которых в случае чрезвычайной ситуации можно не предусматривать специальных средств. 1 этап Классификация критичности ИТ приложений

От построения сетей – к управлению знаниями Главный и резервный вычислительные центры Распределенный вычислительный центр Смешанный вычислительный центр ГВЦРЦ 1 этап Варианты разработки ИТ инфраструктуры

От построения сетей – к управлению знаниями 2 этап: Техническое проектирование Среда доступаLAN, MAN, WAN в случае бедствия автоматическое перенаправление всех внутренних пользователей с основного на резервный ВЦ наличие доступа к ресурсам компании из внешних сетей Internet к корпоративным порталам и почте для внешних пользователей ОптоволокноSAN, DWDM, Multipathing, Gigabit Ethernet единый SAN для резервирование данных критичных систем в РВЦ РВЦ хранение данных Интеллектуальные дисковые массивы, резервное копирование, внешнее хранение лент РВЦ системы Dedicated, COD, Procurement, Non-production Инфраструктура (восстановление критичных систем) Сервисы авторизации, Корпоративная почта, DNS, Сетевые каталоги наличие в РВЦ основных сетевых служб, таких как DNS, MSAD и т.д. наличие у пользователей систем привычной и актуальной рабочей среды (общие каталоги корпоративная почта доступ к внешней почте) Репликация данныхАппаратная, программная, средствами резервного копирования Восстановление сервисовПеренос нагрузки из ГВЦ в РВЦ Резервный офисРезервные рабочие места конечных пользователей

От построения сетей – к управлению знаниями 3 этап: Разработка документов Реализация DR- системы Разработка концепции Разработка DR-плана Ввод в действие DR-плана Техническое проектирование Разработка планов и регламентов Ввод в действие Программы Угрозы Таблицы критичных ИТ-сервисов Превентивные меры по снижению вероятности реализации угроз Превентивные меры по снижению ущерба от реализации угроз РИСК План первичного реагирования План аварийного восстановления ИТ-сервисов в РВЦ План перехода от аварийного к штатному функц-ию План переноса ИТ-сервисов обратно в ГВЦ Превентивные меры

От построения сетей – к управлению знаниями Разработка организационной структуры групп восстановления Разработка регламентов и процедур аварийного восстановления Разработка планов обучения Разработка планов тестирования (учебных переключений) Внедрение организационной структуры, регламентов и процедур аварийного восстановления 3 этап: Разработка документов Реализация DR- системы Разработка концепции Ввод в действие DR-плана Техническое проектирование Разработка DR-плана Разработка планов и регламентов Ввод в действие Программы

От построения сетей – к управлению знаниями 4 этап: Ввод в действие Программы План внедрения Глубина проработки 18 месяцев; Пересмотр 6-12 месяцев; Мониторинг, улучшение Стратегический уровень; Тактический уровень; Операционный уровень «Опорная инф-ра» Превентивные меры; РЦ с инфраструктурой Резервное копирование Техническая реализацияПланы разного уровня Критичные/важные/остальные Пошаговое внедрение; Проверка работоспособности; Высокая доп. нагрузка Обеспечение непрерывности ИТ-сервисов Оптимизация основной инфраструктуры Резервные раб. места/резервный офис Реализация DR- системы Разработка концепции Разработка DR-плана Техническое проектирование Разработка планов и регламентов Ввод в действие DR-плана Ввод в действие Программы Контроль изменений Необходимо встроить в основной процесс развития ИТ

От построения сетей – к управлению знаниями 1.Переоценка или недооценка рисков (неадекватность используемого решения для предотвращения возможных потерь) 2.Передача руководства проектом обеспечения непрерывности бизнеса ИТ-руководителям Обеспечение непрерывности достигается не только (и не столько) за счет технических средств, сколько благодаря управленческим процессам, таким как контроль рисков, контроль изменений, регулярное тестирование Плана и т.д. Типичные организационные ошибки (1)

От построения сетей – к управлению знаниями 3.Недооценка скорости изменений в Компании Проект обеспечения непрерывности, в котором не учитываются изменения структуры Компании или быстрые темпы ее роста, может не улучшить, а ухудшить способность восстановления в случае ЧС 4.«Мы сами справимся!» Участие внешних консультантов позволяет: разработать целостный и всеобъемлющий подход; формализовать используемые процедуры и методы; воспользоваться экспертным опытом. Типичные организационные ошибки (2)

От построения сетей – к управлению знаниями 5.«Расскажем, когда всё будет готово!» Реализация проекта по обеспечению непрерывности бизнеса занимает длительное время. Естественно, что руководство будет интересоваться успехами, не дожидаясь окончания проекта. Поэтому необходимо регулярно информировать его о ходе выполнения работ, возникающих проблемах и ближайших планах, чтобы избежать ситуации, в которой достигнутые результаты не соответствуют ожиданиям. Нельзя допустить, чтобы потраченные усилия получили оценку «ГОРА РОДИЛА МЫШЬ». Типичные организационные ошибки (3)

От построения сетей – к управлению знаниями 1.Дублирование существующей ИТ-инфраструктуры Если не проводить оптимизации существующей ИТ-инфраструктуры, то ее усложнение за счет реализации DR-решений вместо способности обеспечить непрерывность бизнеса приведет лишь к уменьшению надежности 2.Недостаточность выделенных ресурсов Реализация стратегии обеспечения непрерывности бизнеса требует большого количества ресурсов, выделенных в нужное время и в нужном месте. Особенно важно иметь достаточно технических специалистов, способных участвовать в реализации и последующей эксплуатации примененных технологических решений. Типичные технологические ошибки (1)

От построения сетей – к управлению знаниями 3.«Всё и сразу!» Поскольку ИТ-инфраструктура современных компаний состоит из большого количества компонент, невозможно обеспечить непрерывность функционирования их всех за один шаг. Работы должны быть спланированы таким образом, чтобы на каждом этапе постепенно повышать степень непрерывности бизнеса, не подвергая его дополнительным рискам на протяжении всего проекта. Типичные технологические ошибки (2)

От построения сетей – к управлению знаниями Заключение Не рискуйте! Не дожидайтесь безвозвратных потерь Выступайте с инициативой Управляйте проектом Берегите свои нервы и своего босса

От построения сетей – к управлению знаниями Наши предложения Количественный и качественный анализ рисков и его согласование с бизнес-подразделениями Аудит ИКТ компании и деятельности ИТ-служб на предмет готовности к рискам Разработка ТЭО, концепции и внедрение плана по поддержанию непрерывности бизнеса в области ИТ (BCP) Разработка ТЭО, концепции и внедрение плана восстановления работоспособности информационной системы в области ИТ (DRP) Разработка и внедрение архитектурных решений по реорганизации ИКТ предприятия в соответствии с BPC и DRP

Святослав Сорокин Тел: +7 (495) (доб. 1262)