Доклады Второй Конференции «BCM: теория и практика управления непрерывностью бизнеса»

По моему скромному мнению данное мероприятие отличалось в лучшую сторону от конференции Business Continuity Russia 2010 и по количеству участников, и по содержанию докладов. На конференции присутствовали представители около полутора десятков банков, семи страховых компаний, а также промышленных предприятий, розничных сетей, телекоммуникационных и транспортных компаний и нескольких деловых журналов.

Ниже у вас есть возможность познакомиться со всеми презентациями, представленными на конференции.

Диалог топ-менеджмента и ИТ: как убедить бизнес в необходимости вложения средств в управление рисками и защиту инвестиций?
Марина Аншина, начальник управления ИТ, Сибур-Русские шины

Открыл первую сессию доклад представителя не банка и не интегратора, а крупнейшего производителя шин в Центральной и Восточной Европе. Одним из моментов, особенно понравившихся мне в этом докладе, было упоминание британского стандарта BS 25777, посвященного обеспечению непрерывности информационно-коммуникационных систем организации. Еще одним запоминающимся моментом оказался тезис «Лучше отсутствие плана, чем плохой план». Наконец, последним, что хотелось бы отметить, был прогноз развития технологий в области непрерывности ИТ, которого не было больше ни в одном из докладов на этой конференции.

Презентацию вы можете скачать по этой ссылке.   

 

Вопросы обеспечения непрерывности бизнеса в ЦБ РФ

Михаил Сенаторов, заместитель председателя правления, директор департамента информационных технологий, Центральный Банк РФ

Среди организаций, занимающихся решением вопросов ОНиВД, Центральный Банк стоит особняком, поскольку масштаб как решаемых задач, так и доступных ресурсов несопоставим с тем, какие задачи и с помощью каких ресурсов приходится решать другим организациям. Для подтверждения этой мысли я могу привести фразу, которая как-то прозвучала во время переговоров с сотрудниками этой почтенной организации: «Мы не считаем деньги, мы их печатаем». Еще в качестве доказательства уникальности Центрального Банка (хм, если ее вообще надо доказывать…) можно отметить упомянутое в докладе восьмикратное резервирование оборудования и тот факт, что для разработки теоретической базы обеспечения непрерывности деятельности был привлечен Институт Проблем Управления Российской Академии Наук.

Презентацию вы можете скачать по этой ссылке. 

Страховка от технологических рисков

Руслан Заединов, заместитель генерального директора, КРОК

Это был рассказ о правильной методике обеспечения непрерывности работы любой компании, независимо от рода ее деятельности.

1. Разберитесь с приоритетами бизнес-процессов

2. Найдите соответствие между ИТ и бизнесом

3. Решайте задачу по шагам: от более приоритетных процессов к менее приоритетным

4. Не забывайте об организационном аспекте: должен быть план восстановления!

5. Ключевой элемент страховки – ваши сотрудники, тренируйте их регулярно

С этими рекомендациями невозможно не согласиться.

Презентацию вы можете скачать по этой ссылке.  

 

Построение резервного ЦОД в компании Лента
Борис Шойхет, заместитель ИТ-директора, Лента

Это был краткий, но подробный рассказ о том, при каких начальных условиях, каким образом, с какими техническими параметрами было обеспечено резервирование одной из российских продуктовых розничных сетей. Слушателям несомненно были интересно услышать о сложностях, с которыми пришлось столкнуться в ходе проекта, тем более, что среди слушателей были представители других розничных сетей.
Презентацию вы можете скачать по этой ссылке.


Непрерывность бизнеса за разумные деньги
Константин Смирнов, старший консультант по IT-рискам, Symantec

 

Презентация Константина мне особенно запомнилась тем, что была прекрасно проиллюстрирована и содержала лучшую цитату, относящуюся к теме непрерывности бизнеса, которую я до сих пор слышал.

Что же касается обеспечения непрерывности за разумные деньги, то основополагающим принципом, который позволит этого добиться, согласно Константину, является следующее соображение:

«Общая стоимость применяемых мер никогда не должна превышать величины снижения риска достигаемого за счёт применения этих мер».

И с этим также невозможно не согласиться.

Презентацию вы можете скачать по этой ссылке.

Тенденции и перспективы развития стандарта ISO/IEC 25999 ч.1, ч.2 в России
Сергей Петренко, экcперт по непрерывности бизнеса и безопасности, ГК АйТи

Как всегда, выступление Сергея было насыщенным и энциклопедически полным. Оно содержало не только теоретически безупречные тезисы, но и ряд высказываний, способных послужить самостоятельными темами других выступлений. Например, чего стоит высказывание мысли о том, что риск-менеджмент не нужен, или о важной роли, которую, как ожидают в европейских странах с более зрелой культурой УНБ, может сыграть Россия при формировании путей дальнейшего развития этой области.
Презентацию вы можете скачать по этой ссылке.


От теории к практике управления непрерывностью бизнеса
Константин Мусатов, консультант по непрерывности бизнеса, Инфосистемы Джет

Это был подробный и честный рассказ о том, как шло внедрение процесса управления непрерывностью бизнеса в одном из банков-клиентов. Были описаны этапы реализации мер УНБ, причем именно реальная ситуация, которая не всегда соответствует рекомендациям стандартов. Кроме того, в докладе были даны рекомендации по дальнейшему развитию мер ОНиВД и описано, на каких из этапов возникала необходимость в помощи внешних организаций.
Презентацию вы можете скачать по этой ссылке.


Разработка концепции обеспечения непрерывности бизнеса в банке. Взгляд со стороны бизнеса.
Айгюль Иксанова, менеджер по операционным рискам, ICICI Bank

В России многие проекты в области непрерывности именно бизнеса оказываются успешными благодаря тому, что организации входят в крупные западные группы или холдинги, в которых уже есть хорошо разработанные внутренние стандарты обеспечения непрерывности. Российским дочкам остается только их выполнять. Ценность данного доклада заключается именно в том, что в нем описан такой внутренний стандарт, используемый в ICICI Bank. На сегодня это второй по величине активов банк Индии, так что о непрерывности бизнеса в банке, наверное, задумались давно. В данный момент его дочерние структуры, отделения и представительства есть в 17 странах, так что методика ОНиВД уже прошла проверку. Доклад не содержит ничего неожиданного, например, «Разработка планов ВСМ является ответственностью каждого подразделения!», но в нем перечислены многие практические рекомендации и возможные проблемы, встречающиеся во время внедрения в организации процесса УНБ.
Презентацию вы можете скачать по этой ссылке.


Обеспечение непрерывности бизнеса в компании ВТБ Страхование
Игорь Парафейников, ИТ-директор, ВТБ Страхование

 Несомненно сильной стороной этого доклада является описание истории этой компании, которая за последние 4 года превратилась из «домашней», решавшей исключительно внутренние задачи группы ВТБ, в число крупнейших страховых компаний России. К недостаткам этого доклада я бы отнес его сосредоточенность вокруг технических вопросов, несмотря на заявленное название. Хотя по существу надо отдать компании справедливость — за столь короткий срок невозможно достичь всего, лучше двигаться в правильном направлении хорошо продуманными шагами.

Еще одна конференция, посвященная непрерывности бизнеса

Совсем недавно я очень переживал, что тема непрерывности бизнеса мало кого интересует. Казалось, что конференции, посвященные тематике непрерывности бизнеса, не привлекут посетителей, но, судя по всему, мои переживания были напрасны. До недавнего времени мне было известно о существовании лишь одного такого мероприятия, а именно о Business Continuity Russia, которое в этом году проводилось во второй раз и свои впечатления о котором я изложил здесь на блоге 6 октября 2010. Каково же было моя радость, когда я узнал о существовании еще одной. Она называется "BCM: теория и практика управления непрерывностью бизнеса", тоже является ежегодной, в этом году будет проходить во второй раз 15 декабря. Чтобы у читателей была возможность оценить уровень этого мероприятия, я перечислю докладчиков и перескажу содержание выступлений, прозвучавших в прошлом году. 

Сергей Петренко, эксперт по непрерывности бизнеса и защите информации, ГК АйТи

Тенденции и перспективы развития стандарта BS 25999 в России

 В своей презентации Сергей подробно рассмотрел предпосылки появления британского стандарта и его пошаговое применение в России. В качестве предпосылок были перечислены многие национальные стандарты и другие нормативные и регламентирующие документы, которые послужили основой для BS 25999. Было рассмотрено пошаговое развитие процесса BCM в компании. Для каждого из выделенных Сергеем 10 шагов были приведены реальные примеры результатов в виде таблиц с описанием сценариев аварий, примеров классификации ИТ-сервисов, вариантов стратегий непрерывности сервиса и др.

Вожегова Мария, вице-президент по ИТ и операциям, Росгосстрах

Модели обеспечения непрерывности бизнеса

 Свое выступление Мария начала с небольшой теоретической части, в которой определила суть процесса обеспечения непрерывности бизнеса, дала определение термину «операционный простой» и описала основные цели BCP. А далее, заметив, что «В России реализация BCP/BCM часто рассматривается только как ИТ-процесс», стала подробно рассматривать этапы реализации BCP для информационных систем и сервисов. Справедливости ради надо заметить, что «Развитие бизнес-составляющей» находит место лишь в «Планах на будущее» у большинства компаний, которые начинают реализовывать данный процесс на практике.

Лебедева Наталья, представитель по продажам, IBM России и СНГ

Обеспечение непрерывности и отказоустойчивости бизнес процессов. Методика IBM

 

Информационно насыщенным был рассказ о методике обеспечения непрерывности и отказоустойчивости, используемой IBM. Нельзя сказать, что методика IBMпринципиально отличается от методик других крупных компаний или стандартов и содержит следующие семь этапов:

• оценка угроз;
• анализ возможного ущерба;

• анализ существующих возможностей восстановления;
• разработка стратегии восстановления;
• выбор технологии, проектирование решения;
• обеспечение непрерывности функционирования организации;
• разработка плана восстановления информационных систем.

Очевидно, что если компания начала выполнять проекты в области обеспечения непрерывности бизнес-процессов более 40 лет назад и обеспечила более 400 успешных восстановлений, то на основе накопленного опыта вполне могла довести применяемые приемы и процедуры почти до совершенства. Скорее приятно отметить, что рекомендуемые к использованию стандарты, например, ГОСТ Р 53647, так близки к этому идеалу.

Хайретдинов Марат, вице-президент по ИТ, Еврофинанс Моснарбанк

Резервный ЦОД как элемент управления непрерывностью бизнеса. Практический опыт построения резервного ЦОД

Выступление Марата, возможно, было наиболее интересно для тех, кто надеялся получить полезные практические советы по реализации процесса УНБ. Оно состояло из двух частей. В первой части были описаны шаги, предпринятые банком для обеспечения технологической основы непрерывности бизнеса: этапы, используемые технологии и дальнейшие шаги. Вторая часть была посвящена ответам на вопросы, которые волнуют каждого, кто приступил к практической реализации:

• в каких случаях выгодно обойтись своими силами?
• в каких случаях выгодно привлекать сторонних специалистов?
• где находится «золотая середина»?
• что было сделано наилучшим образом?
• что следовало бы сделать иначе?

Городецкий Алексей, старший менеджер по развитию бизнеса, Linxtelecom

Практика реализации Business Continuity планов (BCP) на базе коммерческого ЦОД Linxtelecom, M8 

 

Как легко догадаться, Алексей убедительно рассказал о преимуществах коммерческого ЦОДа своей компании. Для принятия правильного решения, подходит ли в вашем случае такой способ, надо взвесить много факторов:

• степень зависимости от ИТ и телекоммуникаций;
• уровень квалификации персонала;
• необходимость расширения/уменьшения ИТ-инфраструктуры;
• наличие в компании опыта проектирования и создания катастрофоустойчивых технических решений;
• финансовые, временные и технические ограничения.

Без всякого сомнения, аренда коммерческого ЦОДа является для многих компаний оптимальным решением, которое позволяет обеспечить непрерывность бизнеса.

И в заключение хочу привести список докладов, которые будут прочитаны 15 декабря.

• Тенденции и перспективы развития стандарта ISO/IEC 25999 ч.1, ч.2 в России
  Петренко Сергей, эксперт по непрерывности бизнеса и защите информации, ГК АйТи

• Диалог топ-менеджмента и ИТ: как убедить бизнес в необходимости вложения средств в управление рисками и защиту инвестиций?
  Аншина Марина, начальник управления ИТ, Сибур-Русские шины

• Вопросы обеспечения непрерывности бизнеса в ЦБ РФ
  Сенаторов Михаил, заместитель председателя правления, директор департамента информационных технологий, Центральный Банк РФ

• Разработка концепции обеспечения непрерывности бизнеса в ICICI Bank. Взгляд со стороны бизнеса
  Иксанова Айгюль, менеджер по операционным рискам, ICICI Bank
  
• От теории к практике управления непрерывностью бизнеса
  Мусатов Константин, консультант по непрерывности бизнеса, Инфосистемы Джет
  
• Страховка от технологических рисков
  Заединов Руслан, заместитель генерального директора, КРОК
  
• Построение резервного ЦОД в компании Лента
  Шойхет Борис, заместитель ИТ-директора, Лента
  
• Непрерывность бизнеса за разумные деньги
  Смирнов Константин, старший консультант по IT-рискам,
  Symantec

Новая книга об управлении непрерывностью бизнеса

Свершилось! Издательство "ДМК Пресс" выпустило самую подробную на сегодняшний день книгу, относящуюся к теме непрерывности бизнеса. Книга представляет собой справочник, почти энциклопедию, т.е. содержит очень много информации, и проблема обеспечения непрерывности рассматривается в ней со многих сторон.

1. Глава 1. Актуальность управления непрерывностью бизнеса
• Мотивация и преимущества BCM
• Основные компоненты программы ECP
• Постановка задачи построения BCP
• Анализ технологий
2. Глава 2. Лучшие практики управления непрерывностью бизнеса
• Практика BCI
• Практика института DRII
• Практика SANS
• Стандарт BS 25999 (PAS 56)
• Стандарт AS/NZS 5050 (HB 292:2006)
• Практика управления рисками
• Практика описания бизнес-процессов
• Стандарт COBIT
• Библиотека ITIL
• Стандарт ISO/IEC 27002:2005 (BS ISO/IEC 17799:2005)
• Отечественная практика BCM
3. Глава 3. Управление проектами в области BCM
• Практика Accenture
• Практика Ernst&Young
• Практика IBM
• Практика Hewlett-Packard
• Практика EMC
• Практика Microsoft
4. Глава 4. Примеры разработки программы ECP
• Описание объекта
• Пример оценки воздействия на бизнес, BIA
• Пример стратегии непрерывности бизнеса
• Пример разработки Плана непрерывности бизнеса, BCP
• Пример Плана тестирования BCP
5. Приложение 1. Непрерывность бизнеса и акт Сарбейна-Оксли
6. Приложение 2. План действий Мининформсвязи России в кризисных ситуациях
7. Приложение 3. Перечень возможных инструкций для надлежащего обеспечения непрерывности бизнеса
8. Приложение 4. Пример представления контактных данных для BCM

Один из авторов Сергей Петренко дал небольшое интервью, в котором ответил на вопросы о создании книги и перспективах непрерывности бизнеса в России.

Константин Мусатов: Есть ли потребность в литературе по УНБ?

Сергей Петренко: Безусловно. В настоящее время в большинстве высокотехнологичных стран мира эта предметная область активно развивается.  По объективным причинам в России практика УНБ отстает от западной практики на 15-20 лет. Нам явно не хватает открытого и плодотворного обсуждения вопросов BCM, соответствующих русскоязычных программ повышения осведомленности, а также справочных и научно-практических источников литературы на русском языке. Поэтому пособия и книги, содержащие критический анализ известных подходов в области УНБ и позволяющие выработать по настоящему действенные на практике рекомендации УНБ,  остро необходимы. Хочется надеяться, что подготовленная мною совместно с Андреем Беляевым книга послужит в определенном смысле катализатором для взрывного роста профессиональных русскоязычных изданий на эту тему. 

К.М.: Какие разделы Вашей книги можно считать наиболее применимыми на практике?
С.П.: Изначально книга задумывалась как практическое руководство по вопросам разработки корпоративной программы BCM. В основе книги – сухой остаток более 20 проектов в упомянутой предметной области, а также собственное авторское осмысление ряда стандартов и лучших практик. Для специалистов и практиков я бы особенно выделил 3 и 4 главы.

К.М.: Сколько продолжалась работа над книгой?
С.П.: 7 лет. Для работы над книгой это достаточно большой срок. Обычно подготовка книги занимает 1-2 года. Здесь задержка по времени произошла из-за того, что потребовалось время для осмысления и проверки знаний из области УНБ. Свою лепту внесла и активная практическая деятельность авторов в этой области. В целом это сослужило хорошую роль. Материал книги был многократно проверен и апробирован на практике.

К.М.: Почувствовали ли Вы за время работы над книгой какие-нибудь изменения в отношении к теме непрерывности бизнеса?
С.П.: Да, за это время информационные технологии, технологии безопасности и DR из чисто инструментальных (и самодостаточных) превратились в бизнес ориентированные. Во главу угла были поставлены цели и задачи бизнеса, существующие остаточные риски и полученные оценки воздействия на бизнес. В начале работы над книгой было немного не так.
Также я бы отметил, что ряд наработанных и описанных в книге отечественных метрик и мер УНБ привлек к себе пристальное внимание известных западных специалистов и практиков (в частности, Линдона Бирда). По всей видимости, в настоящее время, это самый животрепещущий вопрос в области УНБ и здесь мы хорошо себя показали как практики УНБ.

К.М.: Как Вы относитесь к существующим нормативным актам, например, к Положению ЦБ РФ 242-П?
С.П.: Банк России лидирует в части отечественной практики обеспечения непрерывности бизнеса. За ним “подтягиваются” предприятия телекома, нефте и газоперерабатывающей отрасли, добычи и обработки полезных ископаемых, сектор государственного управления и пр. Соответствующая нормативно-методическая база просто необходима. И можно только надеяться, что примеру Банка России последуют и другие крупные государственные и коммерческие структуры и организации. И произойдет это в самое ближайшее время.

К.М.: Требуется ли России свои законодательные акты в области непрерывности бизнеса или достаточно воспользоваться западными наработками?
С.П.: Это очень интересный вопрос. Мое личное мнение – да. Необходимо критически переработать лучшие западные практики, взять лучшее из богатого отечественного опыта действия в чрезвычайных ситуациях и выработать надлежащую комплексную отечественную практику обеспечения непрерывности бизнеса. Затем довести дело до выработки и принятия соответствующих нормативных и законодательных актов. Только так мы сможем доказать, что мы способны не только перенимать, но и развивать лучший опыт УНБ.

К.М.: Полезно ли было бы существование какого-нибудь форума, площадки, группы для обмена мнениями и опытом в области УНБ или достаточно проходящих конференций?
С.П.: Думаю наличие такой площадки жизненно необходимо. Одно время существовал русскоязычный ресурс www.bcp.ru (к сожалению он перестал поддерживаться). Также есть площадки с отдельными секциями, посвященными теме BCM. Однако отечественного ресурса, подобного BCI или DRI нет. Рано или поздно он должен появиться.

К.М.: Каковы Ваши дальнейшие творческие планы?
С.П.: Если честно планов много. Это и книга по теме BIA и на тему – Метрики и меры управления непрерывностью бизнеса. Интересна подготовка книги на тему – Оценка экономической эффективности программ УНБ и пр. Хватило бы только сил и времени.

Что говорит наука об изменении климата?

Мне попалась запись интересной беседы с Георгием Сергеевичем Голициным, председателем Научного совета РАН по теории климата, бывшим с января 1990 г. и по 2008 г. директором Института физики атмосферы им. А. М. Обухова РАН. В беседе обсуждалось много вопросов, в том числе и проблема изменения климата. Учитывая признанный вклад этого ученого в изучение атмосферы Земли, стоит прислушаться к его словам. Ниже Вы можете посмотреть всю беседу, в ней было много интересного, здесь же я привожу краткий пересказ того, что имеет отношение к прогнозу изменений климата в ближайшем будущем.

Согласно определению, климат — это средняя погода за какой-то промежуток времени. В данный момент Всемирная метеорологическая организация считает климатом усредненную погоду за период с 1961 по 1990 год. Так вот, климат действительно меняется. Происходит повышение средней температуры земного шара. За XX век средняя температура по глобусу увеличилась на 0,75°C. Для того, чтобы понять, много это или мало, требуется задать масштаб температурных изменений, сравнить с известными науке колебаниями температур в прошлом. Это можно сделать, например, если рассмотреть изменения во время ледниковых периодов. Продолжительность последнего ледникового периода составляет 110 тыс. лет (100 тыс. ледники нарастали и 10 тыс. лет отступали). В период максимального покрытия Земли ледниками температура в среднем по глобусу была на 5°C ниже. Средняя скорость роста температуры составляла 5°C / 10000 = 0,05°C за 100 лет. Таким образом, в настоящее время скорость изменения температуры выросла в 15 раз! Очевидно, что к прежним «медленным» процессам, таким как колебания земной оси, присоединились новые «быстрые» процессы. Судя по всему, сказать, что это за процессы, зависят ли они от деятельности человека и может ли человек ими управлять, ученые (даже британские) пока не могут. На первый взгляд даже ускорение в 15 раз не кажется угрожающим, если речь идет о сотых и десятых долях градуса. Но не надо забывать, что при определении этих значений подсчитывалось среднее значение по всему глобусу. Это не мешает локальным температурным аномалиям достигать значений в десяток градусов. Например, жара этим летом охватывала территорию менее 1 млн. квадратных километров, что составляет менее 0,2% всей территории суши (540 млн. кв. км.).

Это, так сказать, качественная оценка происходящих изменений. И следом можно привести количественную оценку.

Австралийские ученые пришли к выводу, что в будущем мегаполисы окажутся непригодными для жизни. К концу XXIII века из-за климатических изменений влажность и температура в крупнейших городах мира, в том числе и в Москве, возрастут до таких значений, что людям станет просто невозможно существовать в этих условиях.

Такое открытие сделали специалисты Нового Университета Южного Уэльса в австралийском Сиднее. Свои прогнозы касательно будущего мегаполисов они опубликовали в журнале New Scientist. Исследователи считают, что в Москве, Дели, Сиднее, Рио-де-Жанейро и других крупных городах мира будет так жарко и влажно, что дышать в такой атмосфере станет практически невозможно. Люди будут вынуждены покинуть ставшие непригодными для обитания города.

Свои выводы специалисты университета делали, основываясь на информации о скорости климатических изменений в мире и динамике роста среднегодовых температур. По словам Стивена Шервуда, одного из участников исследования, он был поражен результатами расчетов: до времени, когда в городах станет невозможно жить, остается менее 300 лет.

Ученые подкрепляют свои выводы конкретными примерами: летом 2003г. из-за обрушившейся на Европу аномальной жары погибли десятки тысяч людей. В Италии число умерших составило свыше 4 тысяч, во Франции, которая сильнее всех из европейских стран пострадала от зноя, - свыше 13 тысяч. В этой связи стоит вспомнить и аномальную жару летом этого года, от которой страдали россияне. По некоторым данным, смертность в Москве в июле выросла в 4-5 раз.

(http://top.rbc.ru/wildworld/27/10/2010/488680.shtml)

Один из выводов, который можно сделать на основе всего вышесказанного заключается в том, что необходимость в реализации мер по обеспечению непрерывности и восстановлению деятельности (ОНиВД) в ближайшем будущем будет становиться все острее.