Андрей Тищенко: «На проекты по обеспечению непрерывности бизнеса кризис практически не повлиял»

02 Июля 2015 06:01

Успешный бизнес должен быть не только эффективным, но и устойчивым. Это утверждение в полной мере относится к участникам финансового рынка, банкам и кредитным организациям. Между тем еще сравнительно недавно основное внимание владельцев финансовых компаний уделялось поиску более низкозатратного фондирования, снижению кредитных рисков и т. п., а вопросы обеспечения непрерывности деятельности перемещались на второй план. О том, какое значение для участников финансового рынка имеет обеспечение непрерывности деятельности сейчас, взглядах регулятора на эти вопросы и перспективах развития отрасли журналу «Банковские технологии» рассказал заместитель директора департамента вычислительных систем компании КРОК Андрей Тищенко.

«Банковские технологии»: Андрей, на ваш взгляд, какое место в списке приоритетов руководителей финансовых компаний занимают вопросы обеспечения непрерывности бизнеса и катастрофоустойчивости IT-структур? Насколько важными считают эти вопросы топ-менеджеры банков?

Андрей Тищенко: Мы работаем с компаниями из разных отраслей и, хочу отметить, что банки и финансовые учреждения внимательней других относятся к этой теме. IТ в банке являются основой его бизнеса, поэтому внимание к их надежности и гарантии бесперебойной работы - обязательное условие.

Существуют международные стандарты в области обеспечения непрерывности и катастрофоустойчивости бизнеса, которым стараются соответствовать и российские компании. Для банков есть специфические требования, сформулированные как в рекомендациях Ассоциации российских банков (АРБ), так и в нормативных актах регулятора - Банка России.

«Б. Т.»: Кто в банке отвечает за соблюдение этих требований? В чьей ответственности находятся эти вопросы?

А. Т.: Обеспечение непрерывности бизнеса - область ответственности высшего руководства банка, в том числе согласно требованиям регулятора. Наш опыт сотрудничества с банками показывает, что чаще всего решение этих вопросов находится в ведении IT-подразделения и подразделения, связанного с управлением рисками, поскольку нестабильное функционирование IT-инфраструктуры - это одна из угроз, существенно влияющая на работу банка. Кто именно выступает ответственным, решает руководство каждого конкретного банка. Многое зависит от уровня его зрелости, от того, каким стандартам в своей деятельности стремится соответствовать банк, как строится работа внутри банка.

Есть нормативные требования к обеспечению непрерывности деятельности финансового учреждения, но эти требования не содержат конкретных указаний к проведению тех или иных работ, а лишь указывают направления развития в области непрерывности. Как банк будет решать эту задачу, сколько денег он готов на это потратить, зависит только от решения руководства.

«Б. Т.»: Каким образом принимаются решения о проведении необходимых работ?

А. Т.: Представители банка могут сами решить, какие именно процессы и структуры им необходимо защитить, но, как правило, к таким работам привлекаются специалисты. Первым этапом проекта по обеспечению непрерывности бизнеса является определение бизнес-процессов и систем, которые оказывают основное влияние на бизнес банка - business impact analysis. В нашей практике это осуществляется так: мы приходим к заказчику, проводим обследование бизнес-процессов и инфраструктуры, анкетирование потребителей IT-систем и выясняем, какие бизнес-процессы являются критичными. В зависимости от их количества, характеристик и объема средств, которые необходимы для их защиты, по согласованию с руководством банка определяется бюджет проекта.

Стоит отметить, что у зарубежных компаний тема регламентации мер, направленных на обеспечение непрерывности, более развита. Дочерние банки западных финансовых групп, как правило, руководствуются теми стандартами, которые имеются в материнских компаниях, у них есть перечень тех процессов и элементов IT-структур, которые нуждаются в усиленной защите.

«Б. Т.»: Представители банка, которые знают все процессы изнутри, не могут сами решить, что именно им нужно защищать?

А. Т.: Могут, конечно, но всегда лучше иметь взгляд со стороны. Представители IT банка могут при реализации такого проекта решать свои задачи, например, дополнительно обосновывать IT-бюджет, представители бизнеса - потребовать резервировать все процессы и системы с минимальным временем простоя, не думая о том, сколько будет стоить такое резервирование. Наша задача состоит в том, чтобы помочь найти приемлемое для всех решение в рамках утвержденного бюджета.

В крупных банках могут быть выделенные специалисты, которые занимаются этими процессами на постоянной основе, учитывают изменения в IT-инфраструктуре, в характере деятельности учреждения и исходя из этого принимают решение о защите тех или иных систем. Но для небольших банков это не характерно. Специалистов с подобным опытом и навыками не так много на рынке, и не все компании могут себе позволить содержать их в штате. В таком случае вопрос решается привлечением специалистов из сторонних компаний, для которых эта деятельность является профильной.

«Б. Т.»: Такие проекты, очевидно, являются длительными и дорогими для заказчиков. Насколько текущая сложная экономическая ситуация повлияла на спрос на подобные проекты?

А. Т.: Не секрет, что в связи с кризисными явлениями многие компании стремятся сократить свои расходы, в том числе на IT-задачи. Но на проекты по непрерывности кризис практически не повлиял. Те проекты, которые уже были запущены, не останавливаются, потому что заказчики осознают необходимость защиты своего бизнеса. Возможно, происходит пересмотр решений, которыми осуществляется эта защита. Например, компания может не строить собственный резервный ЦОД, а воспользоваться услугами коммерческих ЦОДов в режиме аренды. Это существенная экономия на капитальных вложениях. У компании КРОК есть коммерческие ЦОДы, в которых мы предоставляем услуги аренды, и я могу сказать, что спрос на эти услуги заметно вырос, в том числе со стороны финансовых организаций. Кроме того, сегодня многие IТ-производители, оценивая экономическую ситуацию на российском рынке, стремятся оказать заказчикам финансовую поддержку. Например, компания HP в этом году запустила в нашей стране программу HP Flexible Capacity Service. У нас она идет под названием «IT-инфраструктура как услуга» и позволяет тем заказчикам, которые предполагают рост данных ближайшем будущем, воспользоваться вычислительным оборудованием - серверами, СХД, сетевым оборудованием - по очень удобной схеме. Оборудование не нужно приобретать в собственность, а просто пользоваться четыре года, при этом, если потребность в ресурсах у заказчика резко возрастает на каком-то этапе, вендор гибко наращивает мощности за символическую плату. Если банк по этой схеме использует оборудование HP, у него автоматически пропадает головная боль на тему того, как гарантировать растущие потребности бизнеса в IT при сокращении всего бюджета банка, как модернизировать серверное оборудования в кратчайшие сроки, как обеспечивать высокую доступность приложений при пиковых нагрузках, например, в праздники, как во время запуска новых услуг быстро наращивать мощности без необходимости длительных поставок. Но все же основное преимущество программы «IT-инфраструктура как услуга» - мгновенный доступ к дополнительным ресурсам с оплатой по мере их использования, а также замещение одного большого начального платежа ежемесячными оплатами, распределенными на 4 года.

Объем проекта также можно снизить за счет снижения требований к параметрам катастрофоустойчивости и непрерывности бизнеса. Так, если в более благоприятные периоды компания хотела построить максимально устойчивую систему, со временем восстановления в несколько минут, то во время кризиса заказчики могут снижать планку. Для тех компаний, которые могут позволить себе чуть более долгое время восстановления работоспособности систем, стоимость проекта за этот счет может существенно снизиться.

«Б. Т.»: Какие существуют требования к обеспечению непрерывности деятельности банка со стороны регулятора?

А. Т.: Основные требования содержатся в Положении 242-П Банка России «Об организации внутреннего контроля в кредитных организациях». Этот документ во многом повторяет требования стандарта ISO22301 и рекомендации Базельского комитета по банковскому надзору. Он определяет порядок действий по обеспечению непрерывности деятельности, а какими средствами ее обеспечивать, остается на усмотрение кредитной организации.

Стандарт ISO22301 был разработан Британским институтом стандартов (British Standard Institute, BSI). Компания КРОК является партнером BSI, наши специалисты обладают соответствующей экспертизой.

«Б. Т.»: Обеспечение катастрофоустойчивости и непрерывности бизнеса - это разовый проект, который может быть закончен, или методология, которая определяет деятельность банка на постоянной основе?

А. Т.: Это методология, которая требует соответствующего подхода. В наших проектах мы начинаем с исследования систем банка, определяем риски и составляем план работ по их минимизации. Деятельность по обеспечению непрерывности бизнеса включает в себя организационную часть и техническое решение. Частью проекта является разработка стратегий и политик банка в области обеспечения непрерывности бизнеса. В этих документах описывается то, какими мерами и средствами банк будет обеспечивать непрерывность своей деятельности и катастрофоустойчивость. По итогам проекта мы составляем disaster recovery plan (DRP) - в этом документе описываются технические шаги по переводу деятельности банка, например, в резервный ЦОД. В случаях, когда это применимо, проводим тестирование DRP для того, чтобы убедиться в работоспособности технических средств обеспечения непрерывности.

«Б. Т.»: После построения системы непрерывности бизнеса вы прекращаете работу с заказчиком или берете его на постоянное обслуживание?

А. Т.: Это зависит от желания заказчика и особенностей технической реализации проекта. Есть проекты, где мы готовили только организационную часть и выполняли проектирование технического решения, а резервный ЦОД и прочие технические элементы строились на площадках заказчика и оставались в его владении. В таком случае заказчик может обеспечивать дальнейшую эксплуатацию самостоятельно или пригласить другого подрядчика. Есть проекты, в которых заказчик располагает резервные системы в нашем ЦОДе. Тогда нам проще осуществлять техническую поддержку, мониторинг систем, модернизацию и прочее. Фактически мы оказываем услуги по сопровождению.

Очень важно поддерживать в актуальном состоянии разработанные организационные документы и технические решения. В противном случае через очень короткое время разработанные меры обеспечения непрерывности деятельности станут неактуальны и, как следствие, потеряют свою работоспособность. Поддержка мер обеспечения непрерывности в актуальном состоянии тоже является частью наших услуг. Для этого применяются специальные методики и программное обеспечение.

«Б. Т.»: Сегодня много говорят об облачных услугах. Возможно ли решение задач обеспечения непрерывности бизнеса с помощью аутсорсинга?

А. Т.: Финансовый сектор постепенно идет в облака. Заказчики этого сегмента сегодня потребляют четверть ресурсов нашего публичного облака. Правда, банки пока предпочитают выносить во внешнюю среду в основном сервисы, поддерживающие бизнес, тестируют в облаках функционал новых систем, обучают персонал. Однако молодые финансовые компании, например, работающие в сфере микрофинансирования, могут размещать в облаке также и ядро своей IT-инфраструктуры. Что касается аутсорсинга, то это уже вполне развитый бизнес. Как правило, базовый ЦОД не передается на аутсорсинг, а для резервного ЦОДа услугами аутсорсера пользуются довольно часто. С технической точки зрения это тоже один из способов решения задачи обеспечения непрерывности бизнеса. На нашей площадке на обслуживании находится резервный ЦОД одного из западных банков, наше сотрудничество продолжается уже несколько лет.

«Б. Т.»: Требования зарубежных банков при решении задач катастрофоустойчивости и непрерывности бизнеса отличаются от требований российских кредитных учреждений?

А. Т.: Дело, скорее, не в месте происхождения банка, а в его размере. Нужно иметь в виду, что зарубежные банки, действующие в России, это дочерние компании крупных и известных зарубежных финансовых структур. У них сложились определенные стандарты деятельности, сформированы подходы к решению тех или иных вопросов. Трудно их сравнивать с российскими банками, скажем, второй-третьей сотни. Российские банки топ-уровня по набору требований практически не отличаются от зарубежных коллег.

«Б. Т.»: Каков опыт вашей компании по реализации проектов по обеспечению катастрофоустойчивости и непрерывности бизнеса?

А. Т.: Проекты по защите критичных сервисов в финансовом секторе мы реализовываем достаточно давно. Например, еще в конце 1990-х гг. КРОК внедрял IT-решения с использованием программной репликации данных для процессинговых систем. По мере развития IT-технологий, в частности появления технологий сетей хранения данных (SAN), инфраструктуры и каналов для передачи данных по оптоволокну, количество таких проектов стало расти. При этом банки оставались основными потребителями данных технологий, поскольку для них остановка работы или потеря данных наиболее критичны. Большим толчком в 2009 г. к дальнейшему развитию послужили указания ЦБ № 2194-У «О внесении изменений в Положение Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Согласно ему кредитные организации должны «иметь разработанные планы действий на случай непредвиденных обстоятельств с использованием резервных автоматизированных систем и (или) устройств, включая восстановление критических для деятельности кредитной организации систем, поддерживаемых внешним поставщиком услуг». Таким образом, 242-П обязало организации не только обеспечить резервную инфраструктуру технологически, но и обеспечить наличие внутренней документации, определяющей как сами планы восстановления в рамках сбоев, так и порядки их периодических проверок. Все это подстегнуло спрос на рынке, и у нас появились серьезные комплексные проекты в этой области с большой долей консалтинга. К сожалению, многие банки не дают раскрывать детали своих проектов, поскольку считают это дополнительным риском.

Мы считаем, что этот рынок находится еще на стадии развития. Нужно отметить, что большая часть созданных на сегодня в России резервных структур сосредоточена в двух городах -- Москве и Санкт-Петербурге. Это значит, что система все-таки уязвима, поскольку при возникновении проблем в масштабах города, резервные системы тоже окажутся под ударом. С точки зрения обеспечения катастрофоустойчивости резервные мощности нужно выносить в другие города, но пока технических возможностей для этого в регионах мало. Думаю, что рынок в России будет развиваться именно в этом направлении.

Юрий Швыдченко, руководитель направления систем управления непрерывностью бизнеса компании КРОК

Мы реализуем ежегодно порядка 3-5 проектов по обеспечению непрерывности бизнеса в банках. Из недавних можно отметить крупный проект в РосЕвроБанке. Наша компания провела масштабное исследование инфраструктуры и бизнес-процессов банка, подобрала площадку для резервного ЦОДа с учетом доступности каналов связи, потребностей банка, разработала и внедрила техническое решение. Были также модернизированы сети и системы хранения данных, серверные комплексы, организованы независимые магистральные каналы, оптимизированы системы управления базами данных, система резервного копирования. Созданное решение позволяет банку обеспечить минимальное время простоя - работоспособность всех критичных информационных систем и сервисов может быть восстановлена в течение одного часа.

Помимо этого, сейчас мы выполняем ряд интересных проектов в банке, входящем в топ-5. В рамках этих проектов разрабатываем не только планы восстановления IT-систем (DRP), но и планы обеспечения непрерывности неавтоматизированных процессов. Автоматизировать процессы обеспечения непрерывности планируем за счет использования специализированного ПО, позволяющего существенно упростить процесс ежегодной актуализации планов и регламентов.

Андрей Заикин, руководитель направления информационной безопасности компании КРОК

Помимо обеспечения катастрофоустойчивости бизнеса путем резервирования IT-мощностей, крайне важно обеспечить надежную защиту ресурсов и данных компании. Только наличием резервной площадки задачу непрерывности бизнеса мы, к сожалению, не решаем, если при первой же DDoS-атаке банк на сутки вылетает с рынка. Или если в ходе плановой проверки регулятором банку блокируют хранилище персональных данных клиентов из-за несоответствия требованиям законодательства. Последствия и в том и в другом случае могут быть крайне плачевными - вплоть до потери бизнеса из-за испорченной репутации. Поэтому помимо физического переноса систем в резервный ЦОД, важно также правильно рассчитать и взвесить все риски безопасности информации и последствия, к которым может привести неустойчивость защиты IT-ресурсов банка к тем или иным видам атак, мошеннических действий или требований регуляторов. Риски, которые могут привести к серьезным негативным последствиям, должны быть обработаны в первую очередь. В крупных компаниях составлением Business Continuity Plan (BCP, план восстановления бизнеса в случае чрезвычайных ситуаций) занимается внутреннее подразделение банка по экономической безопасности или управлению рисками. Однако это всегда происходит с привлечением IT- и ИБ-служб или внешних консультантов, таких как КРОК. В BCP-плане расписывается, какие процессы и системы будет резервировать компания, сколько по времени может составить некритичный для бизнеса простой, какими мерами обеспечить информационную и физическую безопасность, какие действия должны быть предприняты в случае той или иной внештатной ситуации.

Журнал «Банковские технологии», №5, 2015 г.

вернуться назад

События

Новости

Корпоративные новости