Форс-мажорные обстоятельства вроде пожара на соседнем этаже или внезапного отключения электричества в офисном здании, увы, не такая уж и редкость. Это приводит к сбоям в работе информационных систем, как локальных, так и интегрированных в рамках распределенных ИС и взаимодействующих по телекоммуникационным каналам. Существуют также и скрытые возможности ИТ-продуктов, вредоносное ПО и множество других рисков, которые могут привести к недоступности ИТ-сервисов корпоративной ИС. В условиях, когда критичные бизнес-процессы большинства компаний уже давно и плотно завязаны на четкое функционирование ИТ-систем, это может привести к длительным простоям и прямым убыткам. С целью разрешения таких проблем как поддержка непрерывности бизнеса, международными институтами выработано множество стандартов, регулярно проводятся конференции. Одно из таких мероприятий - семинар "Управление непрерывностью бизнеса (BCM) теория и практика в современных условиях" - было проведено компанией "АйТи".
На первом месте стоит необходимость выполнения законодательных норм и требований, в том числе стандартов. Существует множество международных институтов, выпускающих стандарты в сфере информационной безопасности - в том числе и в области поддержания непрерывности бизнеса. Кроме наиболее известной международной организации ISO (International Standard Organization), не менее авторитетен, американский Национальный институт стандартов и технологий NIST (The National Institute of Standards and Technology). Общее количество международных стандартов превышает тысячу документов, порождая порой хаос.
По уровням управления существующая методическая база распределена неравномерно. Порядка 20% имеет отношение к операционному уровню управления бизнесом, 70% - к стратегическому. На тактический уровень, самый близкий к практике, приходится не более 10% методической базы. Безопасность и непрерывность тактического уровня управления фактически отдана на откуп вендорам. Поставщики решений выпускают для клиентов специализированные рекомендации, которые, сделаны под конкретную конфигурацию конкретного производителя, поэтому, когда решения от различных поставщиков начинают работать в гетерогенных информационных средах, возникают проблемы с их взаимодействием.
Второй фактор, подвигающий компании создавать программы поддержки непрерывности бизнеса, - неизбежность инцидентов в ИС. И первый широкий класс угроз, которые становятся источниками инцидентов, так называемые программные закладки или недекларированные возможности. Они могут быть в программных продуктах изначально, а могут попадать в них через обновления. В определённое время такая закладка может сработать и привести к отказу в обслуживании. Еще один активный источник потенциальных инцидентов информационной безопасности вредоносное ПО и разнообразные внешние атаки на корпоративную информационную систему.
Третий фактор, обуславливающий возрастающий интерес к BCM, - здравый смысл. Большинство корпоративных информационных систем, по-прежнему строятся по методологии двадцатилетней давности - сначала нужно построить, а потом обеспечить отказоустойчивость и живучесть путем дублирования и резервирования. Даже если взять решения ведущих мировых вендоров, то и у них безопасность, обеспечение непрерывности декларируется с помощью двух-трехкратного резервирования. Здравый же смысл подсказывает, что при возросших рисках и угрозах, для устойчивой работы АСУТП или КИС этого уже явно недостаточно. Ведь если первая копия системы уязвима, то и следующие копии тоже уязвимы. При таком подходе весь контур, включая резервированный, может быть выведен из строя.
Как обеспечить непрерывный бизнес.