Управление непрерывностью бизнеса. Ваш бизнес будет продолжаться. Информационные технологии для инженеров

УПРАВЛЕНИЕ 
НЕПРЕРЫВНОСТЬЮ 
БИЗНЕСА

УПРАВЛЕНИЕ 
НЕПРЕРЫВНОСТЬЮ 
БИЗНЕСА

Москва, 2018

С.А. ПЕТРЕНКО, А.В. БЕЛЯЕВ

Информационные технологии для инженеров

Серия «БизнесПро»

Ваш бизнес будет продолжаться
Ваш бизнес будет продолжаться

Издание рекомендовано в качестве учебного пособия 
для студентов технических вузов

2-е издание (электронное)

УДК 338.2 
ББК 65.050.2

Л61

  Управление непрерывностью бизнеса. Ваш бизнес будет продолжаться. Информационные технологии для инженеров [Электронный 
ресурс] : учебное пособие / С. А. Петренко, А. В. Беляев. — 2-е изд. 
(эл.). — Электрон. текстовые дан. (1 файл pdf : 402 с.). — М. : ДМК 
Пресс, 2018. — (БизнесПро). — Систем. требования: Adobe Reader 
XI либо Adobe Digital Editions 4.5 ; экран 10".

ISBN 978-5-93700-059-0
В книге подробно рассмотрены возможные постановки задач управления 
непрерывностью бизнеса (BCM) и аварийного восстановления (DRM) в отечественных компаниях. Последовательно изложены все основные вопросы разработки и внедрения соответствующих корпоративных программ управления 
непрерывностью бизнеса (ECP). Рассмотрены особенности модели жизненного цикла BCM британского института BCI (www.thebci.org), а также практики 
обеспечения непрерывности бизнеса и аварийного восстановления институтов 
США DRI (www.drii.org) и SANS (www.sans.org). Приведены рекомендации 
международных стандартов BS25999 (PAS 56), ASIS SPC.1-2009, ISO/DIS 
22399:2008, ISO/IEC 22301:2008, NIST SP800-34, NFPA 1600, AS/NZS 5050 
(HB 292:2006), SS540:2009 (TR19:2004), SI 24001:2007, ISO/IEC 27002:2005 
(BS ISO/IEC 17799:2005) (14 раздел), COBIT 5.0, ITIL V3 и MOF 4.0 в части 
BCM и др.
В настоящем издании подробно рассмотрены возможные методики ведения 
проектов в области BCM, разработки и совершенствования корпоративных 
программ управления непрерывностью бизнеса (ECP). Отражена отечественная специфика обеспечения непрерывности бизнеса и аварийного восстановления. На основе практического опыта работы авторов приведены примеры 
анализа рисков (RA) и оценивания воздействия на бизнес (BIA), разработки 
стратегий непрерывности бизнеса, планов BCP&DRP и соответствующих планов тестирования.
Книга будет полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), внутренним и внешним аудиторам (CISA), 
менеджерам высшего эшелона компаний, ответственных за обеспечение непрерывности бизнеса, а также преподавателям и слушателям программ MBA, 
CIO и CSO, студентам и аспирантам соответствующих специальностей.

ISBN 978-5-93700-059-0 
 ©  ДМК Пресс, 2011

Петренко, Сергей Анатольевич.

Л61

Деривативное электронное издание на основе печатного издания: Управление непрерывностью бизнеса. Ваш бизнес будет продолжаться. Информационные технологии 
для инженеров : учебное пособие / С. А. Петренко, А. В. Беляев. — М. : ДМК Пресс, 
2011. — (БизнесПро) — 400 с. — ISBN 978-5-94074-624-9.

УДК 338.2 
ББК 65.050.2

В соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техническими средствами защиты авторских прав, правообладатель вправе требовать от нарушителя 
возмещения убытков или выплаты компенсации.

Посвящается 20-летию ГК «АйТи»

Предисловие президента ГК АйТи Тагира Яппарова........................................9
Предисловие директора Business Continuity Institute (BCI)
Линдона Бирда.......................................................................................................11
Предисловие партнера Ernst&Young Николая Самодаева.................................14
Введение................................................................................................................16
Глава 1. АКТУАЛЬНОСТЬ УПРАВЛЕНИЯ НЕПРЕРЫВНОСТЬЮ 

БИЗНЕСА...............................................................................................23

1.1. Мотивация и преимущества BCM.......................................................................23

1.1.1. Примеры инцидентов...........................................................................24
1.1.2. Основные мотивы.................................................................................27
1.1.3. Экономическая целесообразность......................................................33
1.1.4. Дополнительные преимущества..........................................................34
1.2. Основные компоненты программы ECP..............................................................35
1.2.1. История вопроса..................................................................................36
1.2.2. Содержание BCM.................................................................................37
1.2.3. Практика BCM......................................................................................39
 1.3. Постановка задачи построения ВСР....................................................................48
1.3.1. Цель и задачи работы..........................................................................48
1.3.2. Ожидаемый эффект..............................................................................49
1.3.3. Требования к разработке....................................................................50
1.3.4. Требования к составу работ.................................................................53
1.3.5. Требования к отчетным материалам...................................................54
1.3.6. Продолжительность работ...................................................................55
1.3.7. Область реализации............................................................................55
1.3.8. Дополнительные требования..............................................................55
1.3.9. Квалификационные требования к Исполнителю.....................................56
 1.4. Анализ технологий.......................................................................................56
1.4.1. Классификация уровня поставленной задачи....................................57
1.4.2. Общие подходы и направления...........................................................58
1.4.3. Инфраструктура ЦОД...........................................................................60
1.4.4. Мультисервисная сеть.........................................................................68
1.4.5. Помещения и инженерные системы....................................................73
1.4.6. Обеспечение непрерывности функционирования 
программного обеспечения..................................................................76
1.4.7. Системы мониторинга и управления...................................................79
Глава 2. ЛУЧШИЕ ПРАКТИКИ УПРАВЛЕНИЯ НЕПРЕРЫВНОСТЬЮ 
БИЗНЕСА...............................................................................................82
2.1. Практика BCI...............................................................................................84

Содержание

2.2

2.3

2.4

2.5

2.6

2.7

2.8

2.9

2.1

Содержание

....9

.11
.14
.16

.22
.22
.24
.27
.33
.34
.35
.36
.37
.39
..48
.48
.49
.50
.53
.54
.55
.55
.55
.56
.56
.57
.58
.60
.68
.73

.76
.79

.82
.84

е

2.1.1. Характеристика деятельности...........................................................84
2.1.2. Основные достижения.......................................................................85
2.2. Практика института DRII..............................................................................88
2.2.1. Направления деятельности...............................................................88
2.2.2. Модель DRII.......................................................................................88
2.3. Практика SANS............................................................................................91
2.3.1. Инициация проекта...........................................................................92
2.3.2. Анализ рисков– Risk Analysis (RA).....................................................94
2.3.3. Анализ воздействия на бизнес – Business Impact Analysis (BIA).............96
2.3.4. Разработка планов BCP&DRP............................................................97
2.3.5. Тестирование планов BCP&DRP........................................................99
2.3.6. Сопровождение планов BCP&DRP.....................................................101
2.3.7.Утверждение и внедрение планов BCP&DRP.....................................102
2.4. Стандарт BS25999 (PAS 56)........................................................................102
2.4.1. Управление программой BCM...........................................................104
2.4.2. Анализ требований к программе BCM..............................................105
2.4.3. Определение стратегии BCM.............................................................107
2.4.4. Разработка и реализация планов BCM.............................................108
2.4.5. Поддержка и сопровождение программы BCM................................110
2.4.6. Формирование культуры BCM в организации..................................111
2.5. Стандарт AS/NZS 5050 (HB 292:2006).......................................................111
2.5.1. Рекомендации стандарта..................................................................112
2.5.2. Особенности BCM..............................................................................114
2.6. Практика управления рисками....................................................................118
2.6.1. Стандарт NIST SP 800-30...................................................................121
2.6.2. Методология OCTAVE..........................................................................123
2.6.3. Жизненный цикл MG-2......................................................................126
2.6.4. Стандарт CobIT...................................................................................127
2.6.5. Модель зрелости SA-CMM.................................................................127
2.7. Практика описания бизнес-процессов.......................................................129
2.7.1. Практика моделирования процессов...............................................131
2.7.2. Методология NGOSS.........................................................................133
2.8. Стандарт COBIT............................................................................................141
2.8.1. Характеристика стандарта................................................................142
2.8.2. Процесс DS4......................................................................................144
2.8.3. Уровни зрелости DS4.........................................................................148
2.9. Библиотека ITIL...........................................................................................150
2.9.1. Инициация процесса ITSCM..............................................................153
2.9.2. Анализ требований и выработка стратегии ITSCM...........................154
2.9.3. Внедрение ITSCM...............................................................................156
2.9.4. Операционное управление...............................................................159
2.9.5. Дополнительные вопросы.................................................................160
2.10. Стандарт ISO/IEC 27002:2005 (BS ISO/IEC 17799:2005)........................162
2.10.1. Аспекты управления непрерывностью бизнеса.............................163
2.10.2. Взаимосвязь непрерывности и безопасности...............................164

Содержание
6

2.10.3. Непрерывность бизнеса и оценка рисков......................................165
2.10.4. Разработка и внедрение Плана непрерывности бизнеса..............165
2.10.5. Структура Плана непрерывности бизнеса......................................166
2.10.6. Поддержка и сопровождение Плана непрерывности бизнеса......167
2.11. Отечественная практика BCM...................................................................170
2.11.1. Развитие практики BCM..................................................................170
2.11.2. Инициативы Банка России..............................................................170
Глава 3. УПРАВЛЕНИЕ ПРОЕКТАМИ В ОБЛАСТИ ВСМ....................................183
3.1. Практика Accenture......................................................................................183
3.1.1. Определение рисков.........................................................................186
3.1.2. Разработки стратегии BCM...............................................................193
3.1.3. Внедрение стратегии BCM.................................................................200
3.2. Практика Ernst&Young.................................................................................203
3.2.1. Оценка зрелости программы ECP......................................................211
3.2.2. Разработка стратегии BCM...............................................................219
3.2.3. Внедрение стратегии BCM................................................................222
3.3. Практика IBM..............................................................................................223
3.3.1. Методы выполнения работ................................................................224
3.3.2. Подход IBM BCRS...............................................................................226
3.3.3. Услуги IBM BCRS................................................................................230
3.3.4. Пример выбора решения..................................................................239
3.3.5. Пример постановки задачи...............................................................247
3.4. Практика Hewlett-Packard............................................................................253
3.4.1. Оценка текущего состояния ECP........................................................256
3.4.2. Разработка стратегии BCM...............................................................264
3.4.5. Внедрение стратегии BCM................................................................266
3.5. Практика EMC.............................................................................................269
3.5.1. Виды работ........................................................................................269
3.5.2. Методология EMC.............................................................................273
3.6. Практика Microsoft......................................................................................278
3.6.1. Характеристика подхода...................................................................280
3.6.2. Функция ITCM....................................................................................284
Глава 4. ПРИМЕРЫ РАЗРАБОТКИ ПРОГРАММЫ ECP.....................................286
4.1. Описание объекта.......................................................................................286
4.1.1. Текущая архитектура объекта...........................................................287
4.1.2. Целевая архитектура объекта...........................................................287
4.2. Пример оценки воздействия на бизнес, BIA..............................................289
4.2.1. Основные цели и задачи BIA.............................................................289
4.2.2. Методика BIA.....................................................................................289
4.2.3. Определение ИТ-услуг.......................................................................290
4.2.4. Определение ИТ-ресурсов................................................................290
4.2.5. Анализ рисков и сценариев нарушения непрерывности сервиса........292
4.2.6. Определение зависимых бизнес-сервисов......................................302

4.3

4.4

4.5

За
Пр
Пр

Пр

Пр

Содержание

4.2.7. Определение требований к параметрам доступности 

ИТ-ресурсов........................................................................................ 302

4.3. Пример стратегии непрерывности бизнеса...............................................302
4.3.1. Заявление Руководства (Политика в области непрерывности 

бизнеса).............................................................................................. 305

4.3.2. Методика выработки стратегии обеспечения непрерывности........305
4.3.3. Методика расчета временных показателей процесса 

восстановления ИТ-ресурса............................................................... 305

4.3.4. Перечень общих технических решений для ИТ-ресурсов.................310
4.3.5. Описание частных технических решений для ИТ-ресурсов..............311
4.3.6. Анализ вариантов стратегий непрерывности для ИТ-ресурсов.......314
4.3.7. Оценка состояния процесса обеспечения непрерывности 

для ИТ-сервисов................................................................................. 320

4.3.8. Описание частных технических решений для ИТ-сервисов..............322
4.3.9. Анализ вариантов стратегий размещения серверной площадки....322
4.3.10. Анализ вариантов стратегий непрерывности для ИТ-сервисов.....324
4.3.11. Описание частных технических решений обеспечения 

непрерывности бизнеса....................................................................  324

4.3.12. Анализ вариантов стратегий непрерывности бизнеса..................326
4.3.13. Принятые решения..........................................................................326
4.4. Пример разработки Плана непрерывности бизнеса, BCP..........................327
4.4.1. Цель и подход к созданию плана обеспечения непрерывности.......327
4.4.2. Задачи плана обеспечения непрерывности.....................................328
4.4.3. Состав плана BCP...............................................................................328
4.4.4. Управление планом BCP....................................................................329
4.4.5. Аварийно-восстановительная команда............................................330
4.4.6. Резервные центры управления.........................................................336
4.4.7. Мероприятия по обеспечению непрерывности................................337
4.5. Пример Плана тестирования BCP................................................................343
4.5.1. Цель тестирования............................................................................343
4.5.2. Задачи тестирования........................................................................343
4.5.3. Виды тестов плана BCP......................................................................343
4.5.4. Программа тестирования..................................................................345
4.5.5. Методика процесса тестирования....................................................345
4.5.6. Пример настольного теста плана BCP...............................................347
4.5.7. Пример частичного теста плана BCP418..........................................349
Заключение......................................................................................................353
Приложение 1. Непрерывность бизнеса и акт Сарбэйнса-Оксли...................357
Приложение 2. План действий Мининформсвязи России
 в кризисных ситуациях....................................................................371
Приложение 3. Перечень возможных инструкций для надлежащего 
обеспечения непрерывностью бизнеса..........................................376

Приложение 4. Пример представления контактных данных для BCM............377

Содержание
8

Приложение 4.1. АВК: контактная информация и лист 
ознакомления.............................................................................377
Приложение 4.2. Контактная информация ключевых служб 
Компании.................................................................................379
Приложение 4.3. Контактная информация поставщиков 
оборудования и услуг...............................................................380

Список литературы..........................................................................................382

Предисловие директора 
ГК «АйТи» Тагира Яппарова

Предисловие директора 
ГК «АйТи» Тагира Яппарова 

Дорогие читатели!

Я уверен, что книга, которую вы держите в своих руках,  будет для вас очень 
важной и полезной. Ведь вопросы обеспечения безопасности и непрерывности 
бизнеса в сложных, часто чрезвычайных ситуациях, могут коснуться практически каждого. Крупные техногенные аварии последних лет стали отправной 
точкой для пересмотра существующих методологий и практик управления непрерывностью бизнеса. 
Я уделяю большое внимание теме обеспечения непрерывности бизнеса и в 
рамках руководства группой компаний АйТи и в рамках работ по многочисленным ИТ-проектам для наших корпоративных заказчиков. На сегодня вопросам 
обеспечения непрерывности бизнеса в русскоязычной специализированной 
литературе уделяется явно недостаточное внимание, поэтому выход в свет 
настоящей книги представляет собой весьма значимое явление в развитии 
отечественной практики в этой профессиональной области. 
Книга написана на основе многолетнего практического опыта работы авторов в области непрерывности бизнеса. Благодаря удачно выбранному методическому подходу им удалось найти ту форму изложения материала, которая 
без ущерба для понимания существа дела позволила найти разумный баланс 
между постановками задач в терминах целей и задач бизнеса и описанием возможных инженерных задач и технических решений для аварийного восстановления и возобновления бизнеса в чрезвычайных ситуациях. Авторам удалось 
провести читателя к намеченной цели кратчайшим путем, минуя дебри описания многочисленных составляющих процесса управления непрерывностью 
бизнеса, так часто оказывающиеся непреодолимым барьером для начинающих 
специалистов в области BCM&DRM, недостаточно подготовленных в области 
бизнес-ориентированного рассмотрения ИТ-сервисов. Подобное изложение 
дает ясную картину надлежащей организации программы обеспечения непрерывности бизнеса, ECP и четкое представление о планах BCP&DRP.
Книга выгодно отличается от ранее изданных переводных работ, как методом изложения, так и набором рассматриваемых вопросов. Систематичность 
изложения принципов и основных методических приемов создания и внедрения корпоративных программ обеспечения непрерывности бизнеса, ECP 
достигается практическим применением модели жизненного цикла BCM в 
соответствии с рекомендациями британского стандарта BS25999 (PAS 56). 
Это позволяет авторам с должной степенью методической строгости и в то 
же время в доступной форме рассматривать вопросы надлежащей органи

Предисловие
10

Как
рад
нед
мию
не 
так
сту
в Е
ров
вза
В

зна
стр
сер
ном
биз
В

нят
Пр
сер
про
гих
сли
заб
вне
лиш
неб
B

упр
рис
чен
или
воп
вли
пут
К

тях
рис

зации менеджмента непрерывностью бизнеса и аварийного восстановления 
в чрезвычайных ситуациях. По существу в книге представлены и обобщены 
основные задачи разработки, внедрения и поддержки корпоративной программы обеспечения непрерывности бизнеса, а также возможные пути решения 
упомянутых задач. В этой связи читателям предлагается большое количество 
постановок задач и примеров реализации проектов в области BCM.
Особенно следует подчеркнуть значимость и глубину проработки, а также 
новизну для читателя таких принципиальных вопросов, как оценка воздействия 
на бизнес, BIA и управление рисками прерывания бизнеса, RM. Так, Главы 2 и 
3, в которых представлен сравнительный анализ лучших практик управления 
непрерывностью бизнеса, а также описаны основные компоненты корпоративной программы ECP, являются примером методического и практического 
изучения сторон BCM и дают представление о возможной форме методологии обеспечения непрерывности бизнеса в средних и крупных ИТ-зависимых 
компаниях.
Несомненным положительным качеством книги является хорошая методическая проработка, последовательность и простота изложения, большое 
количество примеров и иллюстраций, наличие обширной библиографии. Все 
это помогает читателю в самостоятельном изучении материала, а наличие 
практических рекомендаций, например, вариант разработки корпоративной 
программы ECP в 4 Главе, способствует быстрому закреплению полученных 
знаний. 
Книга, безусловно, заинтересует специалистов, связанных с разработкой 
и реализацией современных программ обеспечения непрерывности бизнеса, 
ECP, руководителей проектов, аудиторов, а также менеджеров, отвечающих за 
непрерывность бизнеса. Она может служить прекрасным базовым пособием 
для студентов и аспирантов, обучающихся по общим программам менеджмента, в том числе программам MBA и CIO, CEO, CSO, CFO, ориентированных 
на практическое применение вопросов обеспечения непрерывности бизнеса, 
а также будет полезна преподавателям и бизнес тренерам при подготовке 
лекций, семинаров и практических занятий. 

Тагир Яппаров
Президент ГК АйТи