Буквально вчера встречались с крупным банком, обсуждали вопросы непрерывности бизнеса. Среди прочего речь зашла про восстановление рабочих мест в случае ЧС. Ну, естественно, как вариант предложили органзацию удаленной работы из дома — например с использованием виртуальных рабочих мест. Первой реакцией, которую мы получили (впрочем, вполне предсказуемо) — давайте вы сначала с ИБ договоритесь…

И вот сегодня в новостях прочитал, что NIST выпустил руководство по обеспечению безопасности при удаленной работе — Guide to Enterprise Telework and Remote Access Security (Special Publication 800-46 Revision 1).

Неплохой документ, имеет смысл прочитать, если проектируете решение для удаленного доступа. По крайней мере, можно ссылаться, что сделано в соответствии с авторитетными рекомендациями.

Реклама

На BCR-2009 неоднократно начиналось обсуждение темы, как строить систему обеспечения непрерывности бизнеса организациям среднего и малого размера.

Среди предлагаемых вариантов активно обсуждалась тема аутсорсинга всего, что только бывает — от managed backup services до резервных рабочих мест. В связи с этим, попробуем собрать некоторую статистику — для организаций размером до 1000 человек.

Искал сегодня свежую статистику для очередной статьи. В процессе наткнулся на любопытную заметку на Continuity Central, посвященную анализу статистики восстановления после ЧС в духе «50% организаций закрываются сразу после ЧС, а еще 50% медленно умирают в течение 3 лет».

В результате, нашел хоть и не очень актуальный (2005), зато информативный аналитический отчет от BCI.

Итак, в отличие от гораздо более знаменитой лондонской BC Expo — наша родная BCR-2009 состоялась, несмотря на кризис. Что не может не радовать.

Первый день начался с серии официальных мероприятий — большое пленарное заседание, потом пресс-конференция в маленькой комнатке — о них и так напишут в прессе, поэтому пойдем дальше.

Первая тематическая секция была посвящена стандартизации. Как и следовало ожидать, хитом стали изменения в Положение Банка России 242-П. Эта тема не забылась и на последующих секциях, и в кулуарах мероприятия. Налицо было заметное расслоение общества — крупные банки были готовы не только к чрезвычайным ситуациям, но и к новым требованиям регулятора, а вот для небольших кредитных организаций вопросы «как быть» и «где взять дополнительный бюджет на новую задачу» так и остались открытыми. Мой следующий пост будет отдельно посвящен поиску пути решения для небольших организаций, и я очень надеюсь на участие читателей в обсуждении этой темы.

Как водится, те, кому есть чем похвалиться — поделились своим опытом, как профессиональным, так и «личным», но относящимся к теме мероприятия — ВымпелКом, РайффайзенБанк, CitiBank и РосЕвроБанк. Очень наглядно тему осведомленности (awareness) раскрыл Юрий Лысенко на примере борьбы со стихийным бедствием в виде залива квартиры 🙂

Второй день собрал немного меньше народу, причем более разнородного. С утра на секции по безопасности был заметный перевес специалистов по ИБ, что было ожидаемо — программа была насыщенной. Презентацию Алексея Лукацкого можно посмотреть у него на блоге, остальные, надеюсь, появятся или на сайте организаторов, или на блогах выступающих.

К 12 собрались желающие послушать  именитого гостя — CTO VMware Стива Херрода. Стив своим выступлением открыл секцию «Виртуализация и непрерывность бизнеса», которая заметно заинтересовала аудиторию идеей того, что используя технологии виртуализации, можно и непрерывность бизнеса обеспечить, и при этом денег не то, чтобы потратить, а даже и сэкономить. Евгений Турчак из «Газпром Комплектации» подтвердил этот тезис, рассказав о внедрении у cебя решений VMware с конкретными цифрами. Продолжил тему Сергей Халяпин из Citrix с идеей виртуализации офиса — здесь одним выстрелом можно убить сразу толпу зайцев — и сэкономить на содержании офиса, и решить проблему восстановления рабочих мест после ЧС,  и подготовиться к борьбе с эпидемиями. Уже после выставки я общался с коллегами из английского Symantec, и получил еще одно подтверждение активного использования технологии виртуализации рабочих станций — рынок услуг по восстановлению рабочих мест путем аренды временных офисов заметно сокращается. По крайней мере в UK и Европе, где он был достаточно развит.

Следующая секция была посвящена подходам к созданию системы управления непрерывности бизнеса. Я немного рассказал про вопросы, связанные с разработкой стратегии, Стив Кокол из SunGard как всегда увлекательно рассказал про новую линейку решений по автоматизации процессов управления непрерывностью — Continuity Management Solution. Вообще, секция получилась сбалансированной — выступали и компании с рассказом о себе (г-жа Голубкова, «Фирма Август»), и интеграторы (Мария Акатьева из Джета), и провайдеры услуг (Денис Калинин из IBS DataFort). Отдельно хотелось бы поблагодарить Максима Малежина из Ernst&Young, которому выпала нелегкая задача вести секцию, и уместить все эти выступления в полтора часа, и с которой он успешно справился…ну или почти справился 🙂

Завершающей секцией стала секция по управлению рисками под чутким руководством Сергея Романовского. Мы и там отметились, в лице Константина Смирнова с весьма образной презентацией Управление рисками и непрерывность бизнеса-всё более тесная связь.

В целом — мероприятие мне понравилось. Да, можно к чему-то придираться, мало было компаний со стендами, иногда не хватало времени — но, на мой взгляд, для первого мероприятия получилось хорошо. За что большое спасибо и организаторам — компании Рестэк, и всем участникам.

Итак, до Business Continuity Russia 2009 осталось 3 дня. Первое профильное мероприятие такого уровня — это серьезно.

Особенный колорит мероприятию добавляет то, что в этом году с одной стороны появилось обязательное регулирование (новая редакция постановления 242-П Банка России), а с другой — последствия кризиса еще в полной мере ощущаются, и компании стремятся экономить на всем, чем можно. Как найти компромисс — думаю, будет говориться довольно много.

Из выступлений, которые точно соберут большую аудиторию  — CTO VMware Steve Herrod выступит с докладом «How Virtualization Enables Practical, Affordable Business Continuity from the Desktop to the Datacenter». Виртуализация как раз является той технологией, которая может позволить и затраты снизить, и построить хорошее отказо- и катастрофоустойчивое решение. Другие игроки рынка виртуализации также не останутся в стороне — Citrix в лице Сергея Халяпина расскажет про построение виртуального офиса.

Еще из заморских людей приедет Steve Kokol из SunGard. Стив будет рассказывать про новую линейку решений по управлению непрерывностью бизнеса, часть из которых уже появилась на рынке, а часть будет выпущена в ближайшие месяцы. После приобретения SunGard’ом Strohl Systems, SunGard заметно укрепил свои лидерские позиции, а на Российском рынке это вообще единственное представленное решение.

Ну и, конечно, интересно послушать докладчиков из совершенно разных отраслей бизнеса (телко, банки, металлургия, и проч.) о том, что им уже удалось построить в своих компаниях.

Требования по наличию у кредитных организация системы обеспечения непрерывности бизнеса со стороны Банка России присутствуют аж в двух местах.

С одной стороны, это стандарт по информационной безопасности СТО БР ИББС-1.0-2008. Невзирая на рекомендательный характер документа, банковское сообщество относится к нему с достаточным уважением, ибо понятно — просто так Банк России чего-то рекомендовать не будет.

Второй документ, выдвигающий гораздо более серьезные требования — положение 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Требования по наличию планов обеспечения непрерывности бизнеса были в нем и раньше, но только с 2009 года в нем появилось подробное описание того, что, собственно, Банк России рассчитывает увидеть. В документе достаточно подробно расписаны требования практически ко всем этапам жизненного цикла СУНБ. Само постановление носит обязательный характер, а вот «Рекомендации по структуре и содержанию плана…», как это следует из их названия — рекомендательный. Появление новой редакции 242-П заставило банки гораздо серьезнее присмотреться к вопросам обеспечения непрерывности бизнеса.

Здесь я попробую собрать всю ранее публиковавшуюся информацию о национальных и международных стандартах в области непрерывности бизнеса.

На первом месте заслуженно идет BS 25999 (в двух частях).

Часть первая — Business Continuity Management — Part 1: Code of Practice (2006)

Часть вторая — Business Continuity Management — Part 2: Specification (2007) 

Стандарт претендует на роль международного, используется в большинстве стран мира, в том числе и при сертификации компаний. Оригинальную версию можно приобрести на сайте BSI, русский перевод можно купить в ГлобалТрасте. На сегодняшний день в России сертификаций нет, хотя несколько компаний двигаются в этом направлении.

Через год, в 2008 г., BSI выпустил еще один стандарт, BS25777, посвященный непрерывности ИТ-сервисов. Русской версии пока нет, английская доступна для приобретения опять же на сайте BSI.

Тем временем американский NFPA в 2007 выпустил новую версию своего стандарта, NFPA 1600
Standard on Disaster/EmergencyManagement and Business Continuity Programs.
Приятным отличием является присутствие в бесплатном доступе на сайте NFPA.

Вскоре, в 2008 году, вышел Сингапурский стандарт SS 540:2008, пользующийся вниманием в основном в азиатских странах. Небесплатен, но стоит заметно меньше своего английского собрата. Купить можно здесь.

И, наконец, американский ответ BSI. В 2009 году выходит стандарт ASIC SPC.1-2009. Также бесплатен.

%d такие блоггеры, как: