Embed Size (px)
Citation preview
DISASTER RECOVERY PLAN (DRP).НЕОБХОДИМОСТЬ ИЛИНЕОБХОДИМОСТЬ ИЛИ ВЫНУЖДЕННАЯ МЕРА? Д
Равиль Сафиуллин
МЕНЕДЖЕР ПРОЕКТОВКОМПАНИИ КРОК
ОБРАТИМСЯ К ТЕРМИНОЛОГИИ:ОБРАТИМСЯ К ТЕРМИНОЛОГИИ:• Disaster – это внезапное незапланированное событие, приводящее к существенным
повреждениям или потерям в процессе деятельности организации. В результате организация оказывается не в состоянии выполнять критичные бизнес функцииорганизация оказывается не в состоянии выполнять критичные бизнес-функции в течении определенных промежутков времени
• DR (Disaster Recovery) – это процессы, политики и процедуры направленные на подготовку к восстановлению или продолжению деятельности организации в условиях возникновения катастрофы (природного или техногенного характера)
• BC (Business Continuity) – стратегическая и тактическая способность организации ( y) р р цпланировать свои действия и реагировать на инциденты и нарушения нормального хода бизнеса с целью продолжения хозяйственных операций наприемлемом уровне
• BCP (Business Continuity Plan) – совокупность документированных процедур и информации, которая разработана, собрана и готова к использованию на случай инцидента с целью обеспечения возможности продолжения организацией ц д ц р д р цкритически важных видов деятельности на определенном приемлемом уровне
• DRP (Disaster Recovery Plan) – это BCP в применении к ИТ
С КАКОЙ ЦЕЛЬЮС КАКОЙ ЦЕЛЬЮ РАЗРАБАТЫВАЮТСЯ DRP?
• DRP – один из инструментов обеспечения непрерывности ( й(наряду с технологическими решениями – репликацией данныхи кластеризацией приложений)
• DRP регламентирует процесс восстановления. Процесс становится управляемым, прогнозируемым и контролируемым
• При прохождении некоторых аудитов (например на соответствие SOX)наличие DRP является необходимымналичие DRP является необходимым
• Для некоторых видов деятельности необходимо наличие планов BCP/DRP
НАИБОЛЕЕ ВАЖНЫЕ АКТЫНАИБОЛЕЕ ВАЖНЫЕ АКТЫ И СТАНДАРТЫ BCP
С• Стандарты
– British Standard S25999-1:2007, BS25999-2:2007 (Взамен BS7799)
ISO 17799– ISO 17799
– NFPA 1600
• Нормативные акты:• Нормативные акты:
– Sarbanes-Oxley Act of 2002 (параграф 103 и 404)
– The New Basel Capital Accord– The New Basel Capital Accord
– NASD Proposed Regulation
– NYSE Proposed RegulationNYSE Proposed Regulation
– Health Insurance Portability and Accountability Act (HIPAA)
УКАЗАНИЕ ЦБР РФ
О й Б Р 16 б 2003
УКАЗАНИЕ ЦБР РФ ОТ 5 МАРТА 2009 № 2194-У«О внесении изменений в положение Банка России от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в банковских организациях и кредитных группах»• Кредитные организации должны иметь «план действий направленный• Кредитные организации должны иметь «план действий, направленный
на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации (ОНиВД)»
• Разработку плана ОНиВД рекомендуется проводить согласно• Разработку плана ОНиВД рекомендуется проводить согласно разработанным ЦБ Приложениям с учетом анализа следующих факторов:− Видов и характера возможных непредвиденных обстоятельств
Перечня критически важных бизнес процессов а также информационных− Перечня критически важных бизнес-процессов, а также информационных систем, их поддерживающих
− Показателей восстановления банковских процессов, в том числе такие, как: срок восстановления допустимый размер материальных затраткак: срок восстановления, допустимый размер материальных затрат, допустимый размер потерь информации
ЧТО ВКЛЮЧАЕТ В СЕБЯ РАБОТА
Изучение
НАД ВНЕДРЕНИЕМ DR?Изучение
Оценка рисков непрерывности Аудит и анализ текущих возможностей восстановления
Планирование
Семинар по непрерывности Разработка стратегий восстановления
Дизайн/ВнедрениеПроектирование и внедрение отказоустойчивых решений
Разработка планов восстановления, регламентов, инструкций для ИТ и бизнес -персонала
ЭксплуатацияСоздание, размещение, мониторинг, эксплуатация
ИТ-инфраструктурыТехническая поддержка /
аутсорсингУправление данными –резервное копирование,
политики храненияРезервные офисы
и мощности
ОЦЕНКА РИСКОВ, АНАЛИЗ
• Цели работ
Ц ,ВОЗМОЖНОГО ВЛИЯНИЯ НА БИЗНЕС
• Цели работ– Качественная и количественная оценка рисков
непрерывности бизнеса– Определение наиболее критичных бизнес-процессов р р р
и элементов, обеспечивающих их работу– Определение максимально допустимых времени простоя
(RTO) и потери информации (RPO) для каждого процессаП• Процесс– Изучение документации– Интервью с владельцами бизнес-процессов
и ключевыми пользователямии ключевыми пользователями– Оценка среды работы компании
• Результат– Детальное описание рисков непрерывности, возможных
финансовых и иных потерь, сопровождаемое перечнем критичных бизнес- процессов и параметров RTO / RPO для каждого из них
АУДИТ И АНАЛИЗ ТЕКУЩИХ
Цели работ
АУДИТ И АНАЛИЗ ТЕКУЩИХ ВОЗМОЖНОСТЕЙ ВОССТАНОВЛЕНИЯ• Цели работ
– Оценка текущих показателей времени восстановления и потери данных для критичных бизнес процессовдля критичных бизнес-процессов
• Процесс– Изучение документации
И б– Интервью с владельцами бизнес-процессови ключевыми пользователями, ИТ-персоналом
– Тестирование отказоустойчивости ИТ-систем, восстановления данных с резервных носителейс резервных носителей
– Учения по отработке плана восстановления бизнеса (действия персонала, коммуникации, резервный офис и пр.)
• Результат• Результат– Описание существующих возможностей восстановления
РАЗРАБОТКА СТРАТЕГИИ
• Цели работ
ВОССТАНОВЛЕНИЯЦели работ– Высокоуровневый план по достижению целевых
показателей RTO / RPO для критичных бизнес-процессов• Процесс
– Анализ результатов обследования– Выработка стратегических инициатив– Разработка портфеля проектов, направленных
на реализацию инициатив– Приоретизация проектов и оптимизация портфеля
• Результат– Детальное описание стратегических инициатив– Детальное описание стратегических инициатив,
направленных на обеспечение непрерывности, и портфеля проектов, который включает:• Цели и описание каждого проекта• Критерии успешного завершения• Требования к ресурсам – финансовым, людским, временным• Структуру и план реализации всех проектов в рамках портфеля
ПРОЕКТИРОВАНИЕ И ВНЕДРЕНИЕ
• Цели работ
ДОТКАЗОУСТОЙЧИВЫХ РЕШЕНИЙЦели работ– Создание отказоустойчивой ИТ инфраструктуры, удовлетворяющей заданным
требованиям RTO / RPO• ОсобенностиОсобенности
– Широкий спектр используемых технологий позволяет обеспечить практически любой уровень отказоустойчивости – вплоть до постоянно доступных систем с временем простоя не более нескольких минут в годр р у
– За счет применения комбинаций лучших в своих отраслях решений по соотношению цена/функционал можно добиться наиболее оптимальных характеристик для разных задач
РАЗРАБОТКА ПЛАНОВ ВОССТАНОВЛЕНИЯ• Цели работ
– Создание организационной инфраструктуры для обеспечения непрерывности функционирования бизнес-процессов (ИТ-систем)
• Процесс– Анализ требований к непрерывности ключевых
бизнес-процессов– Анализ существующих решений для обеспечения
й ИТ фотказоустойчивости ИТ-инфраструктуры– Разработка бизнес ориентированной документации– Разработка технологической документации
• Результат– Комплект документов, регламентирующих процессы
обеспечения непрерывности
DRP. ВЫНУЖДЕННАЯ МЕРА
• Основные тезисы:
DRP. ВЫНУЖДЕННАЯ МЕРА ИЛИ НЕОБХОДИМОСТЬ?
– План DRP является составным элементом программы управления непрерывности бизнеса (Business Continuity)
– Для современных организаций непрерывность бизнеса = непрывномуДля современных организаций непрерывность бизнеса непрывному функционированию ИТ
– Регулирующие органы уделяют большое внимание процедурам обеспечения непрерывности бизнеса. На западе данная сфера активно регулируется, р р д д ф р р у ру ,в России начинают предприниматься первые шаги
– В условиях кризиса цена ошибки (незапланированного простоя/сбоя, потери данных и т.д.) может поставить под вопрос дальнейшее существование бизнеса
– Для компаний активно работающих на зарубежных рынках наличие BCP/DRP насущная необходимость, т.к. прямым образом влияет на оценку/положение компании
Вывод: для большинства организаций наличие DRP абсолютно необходимо, что также признается регулирующими органами и мировым опытом.
ДРАЙВЕРЫ DRP ОПЫТДРАЙВЕРЫ DRP. ОПЫТ РЕАЛИЗОВАННЫХ ПРОЕКТОВ • Исходя из опыта КРОК заказчикам был необходим DRP
в следующих случаях: – Необходимо обеспечить готовность организации к работе в случае
возникновения аварий в ИТ-системах– Бизнес-подразделения и руководство компании не могло адекватно
( )оценить возможные потери от простоя (недоступности) информационных систем в случае возникновения кризисной ситуации
– Наличие DRP необходимо для успешного прохождения аудита и/или в виду наличия требований регулирующих органовв виду наличия требований регулирующих органов
– Текущий уровень развития процессов ITIL\ITSM подразумевал наличие планов DRP
ПРИМЕРЫ ПРОЕКТОВ 2008 ГОДПРИМЕРЫ ПРОЕКТОВ, 2008 ГОД• Проектирование резервного вычислительного центра, резервного
б DRP А ф Бпроцессингового центра и разработка DRP для Альфа-Банка• Разработка DRP для восьми макрорегионов для ОАО МТС• Проектирование катастрофоустойчивого решения для резервированияПроектирование катастрофоустойчивого решения для резервирования ИТ-сервисов крупного ипотечного банка
• Разработка концепции развития ИТ-систем для крупной страховой компании• Проектирование системы обеспечения жизненного цикла информации (ILM) в одном из крупнейших частных банков в России
УСЛУГИ КРОК В ОБЛАСТИ ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОСТИ• Анализ технических параметров эксплуатации
оборудования и ИТ-систем
• Обследование ИТ-инфраструктуры и бизнес-процессов заказчика
• Анализ рисков ИТ-инфраструктуры и выбор стратегии их минимизации
• Разработка концепции развития и оптимизации ИТ-инфраструктуры
• Проектирование вычислительных комплексов, ЦОД и РВЦ
• Создание надежного плана послеаварийного восстановления ИТ (DRP)восстановления ИТ (DRP)
• Создание эффективного плана обеспечениянепрерывности бизнеса средствами ИТ (BCP)
КВАЛИФИКАЦИЯ СОТРУДНИКОВ КРОККВАЛИФИКАЦИЯ СОТРУДНИКОВ КРОК
• Управление непрерывностью бизнеса на базе• Управление непрерывностью бизнеса на базе стандарта BS 25999 — 6 сотрудников
• Внедрение системы управления непрерывностью бизнеса поВнедрение системы управления непрерывностью бизнеса по стандарту BS 25999-2:2007 — 3 сотрудника
• Подготовка внутренних аудиторов системы управления д у р уд р у рнепрерывностью бизнеса по стандарту BS 25999-2:2007 —2 сотрудника
• MIS Training Institute: Business Continuity Planning — 8 сотрудников
СПАСИБО ЗА ВНИМАНИЕ!
Равиль Сафиуллин
МЕНЕДЖЕР ПРОЕКТОВКОМПАНИИ КРОККОМПАНИИ КРОК
Тел: (495) 974 2274
E-mail: [email protected]@
