Jan van Bon - ИТ СЕРВИС–МЕНЕДЖМЕНТ. Вводный курс на основе ITIL

Рис. 13.2. Метод оценки рисков ассоциации CCTA (источник: OGC)

Данная модель позволяет поддерживать эффективное планирование на случай чрезвычайных обсто­ятельств путем реализации поэтапного подхода.

Анализ рисков

? Во-первых, должны быть определены вовлеченные компоненты (активы), такие как здания, сис­темы, данные и т. д. Эффективная идентификация активов требует определения владельцев и на­значения активов.

? Следующий этап – анализ угроз и зависимостей, а также оценка вероятности возникновения чрезвычайной ситуации (высокая, средняя, низкая), например, комбинация ненадежной системы энергоснабжения и района с большим количеством бурь и гроз.

? Далее – идентификация и классификация (высокая, средняя, низкая) уязвимостей. Молниеотвод может дать некоторую защиту от ударов молний, но они все же могут серьезно повлиять на работу сети и систем.

? И последний этап – оценка угроз и уязвимостей в контексте ИТ-компонентов для получения оценки риска.

При оценке риска следует учитывать область действия [214] Scope. процесса; фактически такая оценка является частью начала внедрения Процесса Управления Непрерывностью ИТ-сервисов (этап 1). Например, незначительные проблемы можно решить с помощью мер, принимаемых Процессом Управления До­ступностью, в то время как другие риски для бизнеса могут выходить за сферу действия процесса ITSCM.

13.4.4. Стратегия обеспечения непрерывности ИТ-сервисов

Многие направления бизнеса стараются найти равновесие между сокращением степени риска и пла­нированием работ по восстановлению. Следует понимать разницу между такими понятиями, как со­кращение риска, работы по восстановлению бизнес-деятельности и способы восстановления ИТ. Ниже обсуждается связь между сокращением степени риска (предотвращение) и планированием восстановления (способы восстановления).

Угрозы никогда нельзя устранить полностью. Например, пожар в соседнем здании может повредить ваше здание. Уменьшение одного вида риска может вызвать повышение другого. Например, аутсор­синг может привести к повышению рисков в области безопасности.

Превентивные меры

Превентивные меры можно принимать на основе анализа рисков при тщательном учете затрат и ри­сков. Такие меры могут помочь в уменьшении вероятности непредвиденных обстоятельств или сте­пени их воздействия, и тем самым сократить сферу действия Плана восстановления. Превентивные меры действенны против пыли, чрезвычайно высоких или низких температур, пожаров, утечек во­ды, прекращения энергоснабжения и воровства. Остальные виды рисков будут учтены в Плане вос­становления.

Метод "Неприступной крепости" [215] Stronghold/Fortress approach. является самой дорогой превентивной мерой. Он позволяет уст­ранить большинство видов уязвимости, например, путем строительства бункера с собственным энерго- и водоснабжением. Однако такой подход может привести к появлению других уязвимых мест, например, риску сбоя сети или появлению пробок на дорогах, что только затруднит восстанов­ление. Подход "Неприступной крепости" пригоден для крупных вычислительных центров, которые слишком сложны для разработки для них Плана восстановления. В наше время важно дополнять данный подход возможностью быстрого реагирования [216] Skirmish Capability. , т. е. возможностью направляться туда, где есть проблема, и быстро ее решать, пока она не вышла из-под контроля.

Выбор способов восстановления [217] Recovery Options.

Если остались еще виды рисков, которые не удалось устранить с помощью превентивных мер, тогда для них производится планирование восстановления. Способы восстановления должны включать в себя:

? Персонал и размещение – помещение, мебель, транспорт, способ перемещения и т. д.

? ИТ-системы и сети – способы восстановления будут обсуждаться ниже.

? Вспомогательные службы – электро- и водоснабжение, телефон, почта и курьерская связь.

? Архивы – дела, документы, архив на бумажных носителях и справочные материалы.

? Услуги сторонних организаций – таких, как поставщиков услуг электронной почты и Интернета.

Существует несколько способов для быстрого восстановления ИТ-услуг:

? Ничего не делать – лишь немногие бизнес-организации могут себе это позволить. Это больше на­поминает стремление уйти от проблем, устраниться от решения. Подразделения, которые думают, что могут обойтись без средств восстановления ИТ-сервиса, создают о себе впечатление, как о структурах, ничего не значащих для целей бизнеса, которые могут не потребоваться в случае чрез­вычайной ситуации. Тем не менее для каждого ИТ-сервиса должна быть рассмотрена такая возможность.