VII Международная студенческая научная конференция Студенческий научный форум - 2015

ВВЕДЕНИЕ

В современных условиях деятельность любой организации подвержена угрозе возникновения нештатных ситуаций, например, в случае аварии, пожара, отключения электроэнергии, компьютерных сбоев и т.п. При нарушении непрерывности бизнеса, даже минимальные простои могут нанести вред организации и обернуться значительными убытками.

На сегодняшний день эффективность функционирования информационно образовательных технологий напрямую зависит от нормального функционирования ИТ-инфраструктуры. Хотя это представляется очевидным, не все уделяют этому аспекту должного внимания. Именно поэтому мы считаем, нужным разработать проект по обеспечению непрерывности сервиса электронной почты, которая заключается в дальнейшей возможности предотвратить нарушение непрерывности деятельности. Ведь если не уделять достаточного внимания непрерывности деятельности образовательных учреждений, то могут случиться такие ситуации как: потеря данных, нарушение критически важных бизнес-процессов и как следствие, известно, что любой, пусть даже небольшой перерыв в деятельности организации, как правило, оборачивается для нее потерей, клиентов, наносит ущерб деловой репутации. Поэтому обеспечение непрерывной работы образовательного учреждения является важной задачей.

Таким образом, процесс управления обеспечением непрерывности деятельности представляет собой важную стратегическую задачу для руководства любой организации. Технология обеспечения непрерывности деятельности является неотъемлемой частью деятельности компаний и государственных организаций, что позволяет им обеспечить практически бесперебойное функционирование в случае чрезвычайных происшествий малого и среднего масштаба и восстанавливать свою деятельность с минимальными, заранее просчитанными убытками в случае широкомасштабных бедствий. Управление непрерывностью сегодня рассматривается не как дорогостоящий процесс планирования, а как непрерывный процесс, который повышает стоимость организации.

Целью настоящей работы является разработка проекта по обеспечению непрерывной работы сервиса электронной почты образовательного учреждения, позволяющего минимизировать издержки образовательного учреждения в результате прерывания ключевых бизнес-процессов.

В соответствии с поставленной целью исследования определены следующие основные задачи.

1. Провести обзор теоретического и практического материала, существующих стандартов в области управления непрерывностью деятельности организации и установить степень изученности проблемы;

2. Разработать программу управления непрерывности ИТ-сервисов образовательного учреждения, включающую в себя:

• Анализ требований к обеспечению непрерывности деятельности образовательного учреждения

• Методику разработки программы управления непрерывностью ИТ-сервиса.

3. Разработать проект по обеспечению непрерывности сервиса электронной почты образовательного учреждения включающую в себя:

• анализ влияния на деятельность (businessimpactanalysis, bia) возможного прерывания бизнес-процессов вуза;

• выделение ключевых процессов, которые требуют приоритетного восстановления, и оценка ресурсов, требуемых для их восстановления;

• анализ рисков (riskassessment, ra), определяющий возможные риски, вероятности их возникновения, возможность управления этими рисками;

• выбор стратегии воздействия на риски (обеспечение непрерывности, допущение риска, передача риска и прекращение активности);

• определение целевых показателей восстановления процессов, для которых выбрана стратегия обеспечения непрерывности.

Объект исследования – непрерывность ИТ-сервисов образовательного учреждения.

Предмет исследования – обеспечение непрерывности сервера электронной почты образовательного учреждения и снижение воздействия на него разрушающих факторов.

Теоретической и методологической основой диссертационной работы послужили научные труды отечественных (С.А.Петренко,В. И.Дрожжинов, Г. Е. Моисеенко и др.)и зарубежных авторов (Барнс, Р. Джинн, Е.Д.Джоунс, Дж.У.Тойго, М. Уолланс, Л.Веббер, Д.М.Хендерсон, Дж. Левинсо) специалистов в области риск-менеджмента, управления непрерывностью бизнес-процессов и восстановления бизнеса после катастроф; законодательные и нормативные акты, стандарты управления непрерывностью бизнеса (серия стандартов ГОСТ Р 53647;BS 25999, PubliclyAvailableSpecification, PAS 56, PubliclyAvailableSpecification, PAS 77); данные ряда российских и зарубежных информационно-аналитических и консультационных агентств.

Исследования базируются на методах управления проектами, методах сравнения, методах социологического опроса и экспертных оценок. В работе используется аналитический материал, описывающий степень разработанности функции управления непрерывностью бизнес-процессов и важность разработки программы обеспечения непрерывности процессов для нормального функционирования организаций в долгосрочной перспективе.

Научная новизна диссертационного исследования заключается в следующем:

• Разработана методологическая база инновационного процесса управления непрерывностью деятельности, сутью которой является выделение ключевых процессов образовательного учреждения, их ранжирование и формирование инновационной программы управления, обеспечивающей непрерывность процессов или минимизацию возможных ущербов;

• Предложена методика проведения анализа рисков образовательного учреждения на основе построения реестра рисков и стандарта COBIT;

• Разработан шаблон программы управления непрерывностью деятельности образовательного учреждения;

• Приведены рекомендации использования проектного менеджмента в управлении непрерывностью деятельности.

Практическая значимость результатов магистерской диссертации состоит в обосновании необходимости формирования и развития функции управления непрерывностью бизнеса образовательного учреждения, а также в разработке рекомендаций по разработке и мониторинга плана обеспечения непрерывности бизнеса. Разработанный проект по обеспечению непрерывностью сервиса электронной почты образовательного учреждения, может быть использованы в качестве методической основы для дальнейшей разработки плана обеспечения непрерывности бизнеса в образовательном учреждении. В то же время, предложенные мониторинговые мероприятия и специально разработанные тесты являются универсальными методами анализа программы управления непрерывностью бизнеса и могут быть непосредственно использованы на практике.

На защиту выносится:

1. Устав проекта по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения;

2. Планы проекта по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения;

3. Программа управления непрерывностью ИТ-сервисов образовательного учреждения;

4. Шаблон плана управления непрерывностью деятельности образовательного учреждения.

Апробация результатов данного исследования была проведена на региональной научно-практической конференции «Студент и наука – 2013», состоявшаяся в апреле 2013 года, где были представлены тезисы на тему «Непрерывность бизнеса ключ к здоровью любой организации». А также на всероссийской научно-практической конференции «Современные проблемы информационных систем и информационных технологий», состоявшаяся в 2013 году, где была представлена статья на тему «Применение методологии PMBOK при разработке проекта анализа непрерывность деятельности вуза в сфере оказания дистанционных образовательных услуг».

Автор принимала участие в 2013 году в областном конкурсе научно-исследовательских работ студентов, аспирантов и молодых ученых высших учебных заведений, расположенных на территории Челябинской области с научной работой на тему: «Разработка информационной системы поддержки формирования и диагностирования уровня сформированности компетенции специалиста в сфере управления непрерывности бизнеса», научный руководитель профессор кафедры информационных технологий Г.Н. Чусавитина. Во внутривузовском конкурсе 2013 г. научно-исследовательских работ студентов и магистрантов МаГУ заняла 2 место с научной работой на тему: «Разработка проекта по созданию стратегии непрерывности деятельности ВУЗа»(научный руководитель профессор кафедры информационных технологий Г.Н. Чусавитина).

Состав магистерской диссертации. Диссертация состоит из введения, трех глав, заключения, списка литературы. Общий объем работы составляет 108 страниц текста, в том числе 7 таблиц, 21 рисунок и 7 приложений.

ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕТЫ УПРАВЛЕНИЯ НЕПРЕРЫВНОСТЬЮ ДЕЯТЕЛЬНОСТИ

1.  
   1. Менеджмент непрерывности деятельности организации и его основные характеристики

В современном мире все усиливается зависимость бизнеса от ИТ-услуг. Если в прошлом информационные технологии лишь поддерживали бизнес, помогая ему более эффективно решать некоторые насущные задачи, то в настоящее время информационные технологии глубоко интегрированы в бизнес-процессы компаний. Это означает, что раньше при сбое в предоставлении ИТ-услуг бизнес-процессы компаний продолжали функционировать, лишь незначительно снижая производительность. При современном подходе, когда происходит более глубокая интеграция информационных технологий в бизнес, прекратить предоставление ИТ-услуг означает прекратить функционирование бизнеса в целом. Сейчас сложно представить и еще сложнее воплотить в жизнь возврат к старым «бумажным» процедурам. Таким образом, с развитием современных информационных технологий многократно возросла опасность техногенных и природных катастроф, выводящих из строя ИТ-инфраструктуру.

Изучение аспектов обеспечения функционирования хозяйствующего субъекта и сохранение ключевых ресурсов приводит к появлению нового подхода в риск-менеджменте – концепции управления непрерывностью бизнеса. Данный подход основывается на изучении процессов функционирования компании и определении событий-прерывателей, которые могут впоследствии приостановить деятельность предприятия на продолжительный срок. Использование данной концепции позволяет различным организациям снизить величину потерь в случае наступления события, которое приостанавливает функционирование.

Непрерывность бизнеса(business continuity) – стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне. Наряду с понятием непрерывности бизнеса существует такое понятие как менеджмент непрерывности бизнеса [67].

Менеджмент непрерывности бизнеса – это процесс, связанный с собственниками бизнеса и активизирующий работу других процессов, в рамках которого устанавливают стратегические цели и структуру управления в соответствии с целями организации в области непрерывности бизнеса, которые [67-69]:

• активно улучшают устойчивость организации, обеспечивают стабильность ее

• способности достигать основные поставленные цели;

• обеспечивают отработанный метод восстановления способности организации

• поставлять ключевые продукцию и услуги на установленном уровне в пределах согласованного времени после возникновения нарушения деятельности;

• обеспечивают верифицированную способность организации управлять нарушениями функционирования и защищать ее бизнес, репутацию, конкурентоспособность и бренд.

В России вероятность техногенных и природных катастроф достаточна высока, чрезвычайные ситуации возникают, чуть ли не ежедневно. При этом спектр угроз экономической, физической и информационной безопасности, а также перечь уязвимостей технической инфраструктуры постоянно растет. Оценку причин, которые способны привести к различного рода непредвиденным обстоятельствам, достаточно адекватно раскрывают результаты опроса (рис.1), проведенного компанией «АйТи». Так, например, выяснилось что самыми распространенными причинами простоев являются: перебои электроэнергии, отказ и сбои аппаратного и программного обеспечения [78].

Рисунок – Причины простоев

В России термин «непрерывность бизнеса» появился в конце 90-х годов прошлого столетия. С тех пор необходимость подготовки к нештатным ситуациям очень неторопливо, пробивает себе дорогу в различных отраслях. Многие компании занимаются обеспечением непрерывности бизнеса. В основном это предприятия, бизнес которых невозможен без информационно-коммуникационных технологий (ИКТ) и стоимость простоя бизнеса при отказе ИКТ можно вычислить и заранее оправдать затраты на проведение работ по обеспечению непрерывности бизнеса (табл.1). В этом случае применяются структурные методы повышения надежности ИКТ (катастрофоустойчивые ИС). Однако от теракта, природной стихии или техногенной катастрофы они не спасут. Также, это компании, находящиеся в зонах повышенного риска природной стихии (землетрясения, наводнения, торнадо и др.) или техногенного фактора (аэродром, опасное производство и др.) [76].

Таблица – Стоимость простоя бизнеса на мировом рынке

Вид бизнеса	Средняя стоимость 1 часа простоя, $
Финансовый сервис	6,5 млн.
Процессинг кредитных карт	2,6 млн.
Каналы домашних закупок	199,5 тыс.
Продажи по каталогам	90,0 тыс.
Резервирование авиабилетов	89,5 тыс.
Продажи билетов по телефону	69,9 тыс.
Доставка посылок	28,3 тыс.
Производство	26,8 тыс.
Банки	17,1 тыс.
Транспорт	9,4 тыс.

Для образовательных организаций вопросы непрерывности бизнеса сегодня также актуальны и своевременны. Ведь в современном мире все усиливается зависимость образовательной деятельности от информационных технологий. На сегодняшний день эффективность работы образовательного учреждения напрямую зависит от нормального функционирования ИТ-инфраструктуры. Хотя это представляется очевидным, не все образовательные организации уделяют этому аспекту должного внимания.

Понятно, что использование планов непрерывности бизнеса требует дополнительных затрат, однако менеджмент непрерывности бизнеса целесообразно рассматривать не как дорогостоящий процесс планирования, а как процесс, добавляющий ценность организации. Вместе с этим каждая компания получает ряд существенных преимуществ, к которым относятся[9]:

• Быстрое и эффективное восстановление бизнеса в чрезвычайных ситуациях;

• Минимизация финансовых потерь;

• Удовлетворение требований клиентов, акционеров, руководства, аудиторов и других заинтересованных структур;

• Уменьшение стоимости страховых контрактов;

• идентификация, защита от негативных воздействий и обеспечение непрерывной поставки ключевых продукции и услуг;

• способность управлять инцидентом, достаточная для обеспечения эффективных ответных мер в конкретной ситуации;

• разработка, документирование и понимание организацией себя и своих отношений с другими организациями, соответствующими законодательными и правительственными структурами, органами местного самоуправления и аварийными службами;

• обучение персонала выполнению эффективных ответных мер в случае инцидента или нарушений деятельности организации;

• понимание и установление требований причастных сторон;

• обеспечение персонала необходимой поддержкой и средствами обмена информацией в случае возникновения инцидентов и нарушений деятельности организации;

• дополнительная защита цепи поставок организации;

• дополнительная защита репутации организации;

• сохранение устойчивости организации при выполнении обязательных и законодательных требований.

Исходя из вышесказанного, очевидно, что разработка проекта обеспечения непрерывности деятельности образовательного учреждения является актуальной. При этом менеджмент непрерывности бизнеса целесообразно рассматривать не как дорогостоящий процесс планирования, а как процесс, добавляющий ценность организации. При разработке программы УНБ образовательное учреждение получит ряд существенных преимуществ, к которым относятся [9]:

• Маневренность и доступность основных бизнес-процессов, несмотря на изменения, сбои и аварии;

• Возможность обезопасить и эффективно восстановить необходимые бизнес-процессы в чрезвычайных ситуациях в необходимых временных пределах;

• Защита и доступность информации при сохранении качества предоставляемых услуг;

• Использование адекватных и проверенных решений, способных обеспечить эффективность работы и уровень отказоустойчивости системы;

• Повышение имиджа образовательного учреждения, увеличение доверия к нему в глазах ее абитуриентов и конкурентов;

• Удовлетворенность требований клиентов, руководства, аудиторов и других заинтересованных структур;

• Минимизация финансовых потерь на обеспечение и восстановление деятельности.

1.  
   1. Стандарты в области управления непрерывностью деятельности

В настоящее время в разных странах появилось новое поколение стандартов в области управления непрерывностью, содержащее лучшие практики управления непрерывностью бизнеса и аварийного восстановления инфраструктуры компании в чрезвычайных ситуациях. Это практики непрерывности бизнеса британского института BCI (www.thebci.org), а также американских институтов DRI (www.drii.org) и SANS (www.sans.org); британские стандарты и спецификации BS 25999, Publicly Available Specification, PAS 56, Publicly Available Specification, PAS 77; стандарты США NIST SP800-34. Contingency Planning Guide for Information Technology, NYSE Rule 446 — Business Continuity and Contingency (SR-NYSE-2002-35), NFPA 1600 Standard on Disaster/Emergency Management and Business Continuity Programs; австралийские руководства ANAO, в частности, Business Continuity Management Handbook HB 221:2003; 14-й раздел международного стандарта по информационной безопасности ISO/IEC 27001; стандарты и библиотеки COBIT, ITIL, MOF в части непрерывности бизнеса и некоторые другие, аналогичные им. В России также известны отраслевые (указания Банка России) и внутренние корпоративные нормативные документы (для операторов связи, объектов ФОМС, энергетических компаний и пр.)

Примечательно, что большая часть из них была создана на основе анализа иобобщения лучших методов, опробованных различными специалистами в разных странах на практике. Т.е. по сути, рассмотренные стандарты управления непрерывностью бизнеса являются стандартами defactoи носят рекомендательный характер вместо обязательных стандартов dejure.При этом упомянутые стандарты не являются результатами научных изысканий и подпадаютпод так называемую категорию «народное творчество». Однако это нисколько не умаляет их практическую пользу [9].

К настоящему во всем мире наибольшее распространение получили стандарты BS 25999-х Business Continuity Management. Рассмотрим подробнее данные стандарты, так как они послужили основой для серии российских стандартов по непрерывности бизнеса, которые вступили в действие с 1.12.2010 года. Эти стандарты, «идентичны национальным стандартам Великобритании BS 25999-x»:

•  
  •  
    •  

      • ГОСТ Р 53647.1 − 2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство»

• ГОСТ Р 53647.2 − 2009 «Менеджмент непрерывности бизнеса. Часть 2. Требования»

• ГОСТ Р 53647.3 – 2010 «Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению»

• ГОСТ Р 53647.4 – 2011 «Менеджмент непрерывности бизнеса. Часть 4. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности»

• ГОСТ Р 53647.5– 2012 «Менеджмент непрерывности бизнеса. Часть 5. Готовность к опасным ситуациям и инцидентам»

• ГОСТ Р 53647.6 – 2012 «Менеджмент непрерывности бизнеса. Часть 6. Требования к системе менеджмента персональной информации для обеспечения защиты данных»

Британский стандарт BS 25999 – первый в мире стандарт по управлению непрерывностью бизнеса (BCM) стал основой международного стандарта ISO 2230. Британский стандарт BS 25999 опубликован в двух частей. Первая часть содержит общие рекомендации по управлению непрерывностью бизнеса в государственных и коммерческих организациях. Здесь под управлением непрерывностью бизнеса, ВСМ, понимается системный процесс оценивания текущего уровня зрелости компании в области непрерывности бизнеса и его приведение к более зрелому уровню в соответствии с целями и задачами бизнеса. Дословно под названным процессом понимается «Целостный процесс управления, в рамках которого идентифицируются потенциальные угрозы деятельности организации, оцениваются возможные воздействия на бизнес-операции в случае осуществления этих угроз, а также создается основа для обеспечения способности организации восстанавливать свою деятельность и эффективно реагировать на инциденты, что позволяет гарантировать соблюдение интересов заинтересованных сторон, обеспечить защиту репутации, бренда и создающих стоимость операций». Вторая часть устанавливает требования к системе управления непрерывностью бизнеса, причем только те, соблюдение которых может быть объективно проверено. Используя эти требования, компании могут проводить оценку существующей системы управления непрерывностью бизнеса, как самостоятельно, так и привлекая внешних консультантов. На основании именно второй части стандарта сертификационные органы будут выдавать заключение о соответствии системы управления непрерывностью бизнеса требованиям стандарта BS 25999. Вторая часть разбита на четыре раздела, которые соответствуют циклу Де-минга (Plan-Do-Check-Act), и содержит сертификационные требования к системе управления непрерывностью бизнеса [61, 66].

В данном конкретном случае этапы цикла ПРПД соответствуют следующим разделам стандарта: этап Plan соответствует разделу Планирование СУНБ; этап Do – разделу Внедрение и эксплуатация СУНБ; этап Check – разделу Мониторинг и анализ СУНБ; этап Act – разделу Сопровождение и совершенствование СУНБ.

Жизненный цикл процесса управления непрерывностью деятельности согласно BS 25999 включает шесть элементов, которые могут быть реализованы организациями любого масштаба, функционирующими в любом секторе экономики: государственном, частном, некоммерческом, образовательном, производственном и т.д. (см. рис. 2):

Рисунок – Жизненный цикл процесса управления непрерывностью бизнеса согласно стандарту BS 25999

• Управление программой построения процесса обеспечения непрерывности деятельности;

• Анализ организации;

• Определение стратегии обеспечения непрерывности деятельности;

• Разработка и внедрение процедур реагирования;

• Тестирование, поддержка и пересмотр мероприятий процесса управления непрерывностью деятельности;

• Встраивание процесса управления непрерывностью деятельности в культуру организации.

Очень многие организации сегодня получают сертификацию BS25999. Сертификация свидетельствует клиентам, поставщикам, сотрудникам и инвесторам, что организация следует лучшей практике управления компанией, изложенной в стандарте. Сертификация показывает, что система управления непрерывностью бизнеса (BCM) прошла независимую инспекцию. Так же, это видимый способ удовлетворения ожиданий ваших клиентов, подчеркивая им должную осмотрительность для ключевых заинтересованных сторон [61].

В 2008 году был разработан Британский стандарт BS 25777:2008, «Управление непрерывностью информационных и коммуникационных технологий – Практические правил» на базе существующих стандартов обеспечения непрерывности бизнеса BS 25999 и дополняющей их публичной спецификации PAS 77, обобщающей лучшую мировую практику в области обеспечения непрерывности ИТ сервисов. Управление непрерывностью ИКТ обеспечивает необходимую жизнеспособность информационно-коммуникационных технологий и сервисов и возможность их восстановления до заранее определенного уровня в необходимые сроки, согласованные с руководством организации. Эффективное управление непрерывностью бизнеса зависит от управления непрерывностью ИКТ, чтобы гарантировать, что организация всегда способна достичь своих целей, особенно в моменты сбоя [66].

BS 25777 раскрывает такие вопросы, как [69]:

• Управление программной обеспечения непрерывности ИКТ;

• Внедрение принципов управления непрерывностью ИКТ в культуру организации;

• Документирование системы управления непрерывностью ИКТ;

• Определение требований к непрерывности ИКТ;

• Разработка и реализация стратегии обеспечения непрерывности ИКТ;

• Разработка и тестирование планов обеспечения непрерывности ИКТ;

• Проведение учений по восстановлению ИКТ сервисов;

• Сопровождение, анализ и совершенствование системы управления непрерывностью ИКТ и др.

AS 77:2006, «Управление непрерывностью ИТ сервисов». Руководство по управлению непрерывностью ИТ сервисов объясняет принципы и некоторые рекомендуемые методы управления ИТ сервисами. Оно предназначено для использования людьми, ответственными за внедрение, предоставление и управление непрерывностью ИТ сервисами в организации. Это руководство предназначено для того, чтобы дополнить (но не заменить) другие публикации на эту тему, такие как PAS 56, BS ISO/IEC 20000, BS ISO/IEC 17799:2005 и ISO 9001. Оно не должно рассматриваться как пошаговые инструкции по внедрению процессов управления непрерывностью ИТ сервисов, а скорее как руководство по некоторым аспектам ITSCM, которые организации должны учитывать при инвестировании в эту область [65].

Таким образом, ценность использования стандартов заключается в экономии значительных ресурсов за счет возможности использования чужого опыта и лучших практик для собственной выгоды. Другие преимущества от использования стандартов становятся очевидными тогда, когда организация решает отдать часть своих функций на аутсорсинг. Применение стандартов в качестве основы при заключении соглашений об уровне обслуживания между партнерами ведет к уменьшению разногласий и снижению сопутствующих затрат и рисков. Однако никакой стандарт не охватывает весь объект управления в деталях. Каждый профессионал в своем деле должен быть знаком со всеми основными стандартами своей профессии. Их содержание и идеи должны быть в наборе его инструментов и готовы к использованию в соответствующей ситуации. Профессионалы должны быть способны строить систему управления непрерывности бизнеса, используя лучшее из этих стандартов. Следует учитывать тот факт, что стандарт будет не всегда соответствовать текущим условиям. Его адаптация к ним, если она вообще возможна, вызывает дополнительные затраты. Внедрение стандартов, из-за их формальной природы, может делать процессы менее гибкими и более статичными. В некоторых организациях это может привести к серьезным проблемам.

1.3 Экономическая целесообразность системы управления непрерывностью деятельности

С точки зрения целевой аудитории, программы управления непрерывностью бизнеса актуальны как для коммерческих, так и для образовательных учреждений. Ведь правильно разработанная и реализованная программа управления непрерывностью бизнеса позволяет увеличить время доступности и коэффициент готовности бизнес-процессов и ИТ-сервисов организации. Что позволит, увеличить конкурентоспособность ВУЗа, а также позволит проводить более качественное обучение без риска его прерывания.

По рекомендациям специалистов от 60 до 80 процентов всех усилий по обеспечению непрерывности бизнеса должны быть направлены на разработку процедур непрерывности бизнеса и сопутствующих Планов ВСР и регламентов непрерывности бизнеса. Как видно из диаграммы (рис. 3), разработанной Стивеном Россом (Delloitte&Touche), программа ВСМ и соответствующие Планы (в частности, ВСР) могут являться как самым дешевым, так и одновременно самым эффективным способом обеспечения непрерывности бизнеса [9].

Рисунок – Оценка эффективности в области BCM

Экономические преимущества при внедрение планов ВСМ:

Преимущество 1. Непосредственное снижение степени влияния инцидента на деятельность организации

Основными причинами снижения ущерба в результате инцидентов нарушения непрерывности бизнеса при наличии разработанных и внедренных планов ВСМ:

• минимизация времени принятия персоналом (сотрудниками ИТ-службы, преподавателями) решений о требуемых действиях в случае наступления инцидента;

• снижение риска человеческой ошибки из-за стрессовой ситуации;

• обеспеченность персонала средствами (в т.ч. коммуникаций) как для ликвидации аварии, так и для выполнения некоторой части своих служебных обязанностей;

• наличие у персонала опыта и навыков действий в чрезвычайных ситуациях.

Кроме того, комплексная программа ВСМ, реализуемая в организации как следствие анализа проблемы с учетом принципов системного подхода, дает в результате своего внедрения отдачу, превышающую даже сумму отдельных защитных мер по каждому конкретному направлению.

Программа ВСМ нацелена на восстановление работоспособности организации в случаях крупных негативных воздействий, затрагивающих чаще всего несколько объектов и направлений инфраструктуры, обеспечивающей бизнес. При таких воздействиях отдельные планы DRP, зачастую разрабатываемые структурными подразделениями изолированно друг от друга и исходящие из предположения о работоспособности остальных сервисов, не способны адекватно отражать действительно требующиеся меры по восстановлению бизнеса. Только комплексная программа, учитывающая различные сценарии и охватывающая многие направления, может формировать оптимальную стратегию поведения в таких ситуациях [45].

Преимущество 2. Снижение риска материальной ответственности перед клиентами

Внедрение мероприятий по обеспечению непрерывности позволяет избегать либо значительно снижать значимый для многих организаций риск юридической ответственности перед клиентами и заказчиками и, как следствие, уменьшать и объемы страховых выплат, неустоек и т.п.

Преимущество 3. Снижение риска ущерба репутации

Риск ущерба репутации ВУЗа тесно связан с инцидентами нарушения работоспособности организации и при этом является одним из не страхуемых рисков. В связи с этим внедрение плана ВСМ и его соответствующее техническое обеспечение является одним из немногих средств управления данным видом риска.

Рассматривая вопросы мотивации руководства при внедрении программы управления непрерывностью, нельзя не отметить и то, что подобный процесс всегда приносит организации ряд дополнительных преимуществ, не связанных напрямую с целями обеспечения непрерывности [45].

Преимущество 4. Осознание организацией «самой себя»

Тщательно проработанная программа обеспечения непрерывности позволяет ключевым лицам организации осознать структуру поддерживающих процессов и внутренних сервисов учреждения, степень их важности для процесса образования, значение существующих на текущий момент связей со сторонними организациями, степень зависимости процессов от них.

Преимущество 5. Документирование подсистем

В организациях, не проводивших ранее единообразной инвентаризации существующих сервисов, процессов и подсистем, с точки зрения влияния на работоспособность организации, обеспечения конфиденциальности, целостности и доступности ключевой информации, процесс построения планов ВСМ в качестве дополнительного результата формирует детальный и, что важно, «бизнес-ориентированный» пакет документации о структуре подсистем компании [47].

Данный материал будет полезен и ректорату ВУЗА, и среднему управленческому звену и даже вновь принимаемым на работу сотруднику (например, с целью быстрого и адресного ознакомления с принципами функционирования бизнес-процессов компании и обслуживающих их систем).

Преимущество 6. Снижение зависимости от «незаменимых» людей и функций

Степень зависимости организации от ключевых фигур в своем персонале, обладающих монопольными знаниями о предметной области или бизнес-контактах, всегда являлась и является одним из серьезных рисков, мероприятиям по снижению которых уделяют особое внимание и собственные службы риск-менеджмента и внешние аудиторы. Частичное снижение данного вида риска возможно и в результате внедрения программы непрерывности бизнеса.

Таким образом, можно сделать вывод, что внедрение программы управления непрерывностью деятельностью образовательного учреждения даст положительный экономический эффект. Решение по обеспечению непрерывности деятельности ОУ значительно снизит объем финансовых потерь, за счет снижения возможных простоев и сбоев в работе. Хотя обеспечение непрерывности бизнеса приводит к дополнительным «непроизводительным» расходам, руководству организации следует на них пойти, чтобы не подвергать организацию риску потенциальных огромных потерь. В среднем затраты на обеспечение непрерывности бизнеса составляют примерно 2% от общего бюджета в сфере информационных технологий.

ВЫВОДЫ ПО ГЛАВЕ 1

В ходе изучения теоретических аспектов УНБ было доказано, что менеджмент непрерывности бизнеса является необходимым для каждой организации, особенно он необходим для образовательных учреждений, чья деятельность в современном информационном обществе на прямую связанна с информационными технологиями. Сложность современных информационных технологий растет с каждым днем, и, следовательно, растет и сложность обеспечения непрерывной и безопасной работы ИТ-сервисов. Поэтому необходимо разрабатывать и внедрять программы УНБ. В современных условиях наиболее актуальны разработки:

• Планов действий в чрезвычайных ситуациях для продолжения выполнения критически важных функций в резервных или поврежденных бизнес-структурах и единицах;

• Планов восстановления критически важных технологий и приложений бизнеса;

• Планов восстановления бизнеса в целом для продолжения выполнения критически важных функций в условиях внешних и внутренних воздействий.

Также было выявлено, что обеспечение непрерывности бизнеса приводит к дополнительным «непроизводительным» расходам, но вместе с этим каждая компания получает ряд существенных преимуществ, к которым относятся:

• Быстрое и эффективное восстановление бизнеса в чрезвычайных ситуациях;

• Минимизация финансовых потерь;

• Удовлетворение требований клиентов, акционеров, руководства, аудиторов и других заинтересованных структур;

• Уменьшение стоимости страховых контрактов;

• идентификация, защита от негативных воздействий и обеспечение непрерывной поставки ключевых продукции и услуг;

• способность управлять инцидентом, достаточная для обеспечения эффективных ответных мер в конкретной ситуации;

• разработка, документирование и понимание организацией себя и своих отношений с другими организациями, соответствующими законодательными и правительственными структурами, органами местного самоуправления и аварийными службами;

• обучение персонала выполнению эффективных ответных мер в случае инцидента или нарушений деятельности организации;

• понимание и установление требований причастных сторон;

• обеспечение персонала необходимой поддержкой и средствами обмена информацией в случае возникновения инцидентов и нарушений деятельности организации;

• дополнительная защита цепи поставок организации;

• дополнительная защита репутации организации;

• сохранение устойчивости организации при выполнении обязательных и законодательных требований.

При изучении стандартов в области УНБ установлено, что ценность использования стандартов заключается в экономии значительных ресурсов за счет возможности использования чужого опыта и лучших практик для собственной выгоды. В качества стандарта для дальнейшей работы выбран стандарт BS 25999 и российская серия стандартов ГОСТ 53647.

ГЛАВА 2. РАЗРАБОТКА ПРОГРАММЫ УПРАВЛЕНИЯ НЕПРЕРЫВНОСТИ ИТ-СЕРВИСОВ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ

1.  
   1. Анализ требований к обеспечению непрерывности деятельности образовательного учреждения

В современном ВУЗе хранится и обрабатывается огромное количество различных документов связанных не только с обеспечением учебного процесса, но и с научно-исследовательскими и проектными разработками, персональные данные сотрудников и студентов, служебная, коммерческая и иная конфиденциальная информация.

Рост количества преступлений в сфере высоких технологий, чрезвычайные ситуации, техногенные катастрофы диктует свои требования к защите ресурсов вычислительных сетей образовательного учреждения и ставит задачу построения собственной системы непрерывности деятельности образовательного учреждение. Ее решение предполагает наличие нормативно – правовой базы формирование концепции безопасности и непрерывности работы образовательного учреждения, разработку мероприятий по обеспечению непрерывности деятельности образовательного учреждения, их реализацию и сопровождение.

Специфика предоставления непрерывности образовательного учреждения заключается в том, что ВУЗ – публичное заведение с непостоянной аудиторией. Основную группу потенциальных нарушителей в ВУЗе составляют студенты. Особенности ВУЗа как объекта информатизации связана также с многопрофильным характером деятельности, обилием форм и методов научной работы, пространственной распределенностью инфраструктуры (филиалы), необходимость адаптации к меняющемуся рынку образовательных услуг, потребность в анализе рынка труда, необходимость электронного взаимодействия с вышестоящими организациями.

Проблемы комплексной защиты образовательного учреждения гораздо шире, разнообразнее, чем в других системах. Это связано со следующими особенностями:

• Корпоративная сеть ВУЗа строится обычно на концепции «скудного финансирования»;

• Как правило, корпоративные сети не имеют стратегического развития. Это значит, что топология сетей их техническое и программное обеспечение рассматривается с позиции текущих задач;

• В одной корпоративной сети ВУЗа решаются две задачи: обеспечение образовательной и научной деятельности и решение задач управления образовательными и научными процессами;

• Планы комплексной информационной безопасности, как правило, либо отсутствуют либо не соответствуют современным требованиям.

При проведении анализа бизнес-процессов были выявлены бизнес- процессы образовательного учреждения, которые подвержены угрозам (рис.3). Основываясь на модели видов деятельности образовательного учреждения определим содержание основных бизнес-процессов (рис.4).

1. Учебно-воспитательная деятельность:

   1. Дистанционно образовательные услуги;

   2. Ведение аудиторных занятий на очном и заочном и других отделениях;

   3. Проведение консультаций и индивидуальной работы на очном и заочном отделениях;

   4. Проведение открытых занятий;

   5. Организация производственных и учебных практик;

   6. Входной и итоговый контроль, промежуточная аттестация;

   7. Курсовое и дипломное проектирование;

   8. Государственная аттестация выпускников;

   9. Работа кураторов групп;

   10. Взаимодействие с родителями;

Рисунок 3 – Бизнес-процессы образовательного учреждения

1. Научно-исследовательская деятельность:

   1. Разработка учебных и рабочих программ;

   2. Участие в методических семинарах и конференциях;

   3. Разработка учебников, учебно-методических пособий;

   4. Участие в конкурсах, грантов;

   5. Работа с аспирантами;

   6. Подготовка научных публикаций;

   7. Проведение научных конференций;

   8. Организация НИР (научно-исследовательских работ) студентов;

   9. Организация работ научных семинаров.

2. Организационно-методическая деятельность:

   1. Расчет учебной нагрузки кафедры;

   2. Распределение учебной нагрузки между преподавателями кафедры;

   3. Контроль посещаемости студентов;

   4. Введение планов и отчетов по учебно-воспитательной работе;

   5. Планирование, контроль и отчетность НИР;

3. Социальная деятельность:

   1. Выпуск и трудоустройство студентов;

   2. Поддержка трудовой дисциплины;

   3. Организация внешних связей.

Рисунок 4 – Основная деятельность образовательного учреждения

В таком перечне критически важных процессов возможны как внутренние, так и внешние угрозы безопасности.

Анализ возможных сценариев нарушения непрерывности деятельности образовательного учреждения содержит оценку вероятностей сценария и его влияния на ИТ-сервис. В рассмотрение включены внутренние и внешние угрозы, стихийные, техногенные и антропогенные (как непреднамеренные так и умышленные) воздействия.

Некоррелированные сценарии выхода из строя ресурса

Некоррелированные сценарии предполагают выход из строя только одного ресурса (чаще всего одного из его компонентов в связи с технической неисправностью или истечением срока службы). В случае применения технология обеспечения отказоустойчивости, таких как резервирование и/или дублирование, предполагается выход из строя только одного дублируемого элемента [9].

Сценарий 1. Не корректно работает системный блок.

Затронутые ресурсы: материнская карта, видео карта, блок питания, hdd(жесткий диск), дисковод, сетевая карта, оперативная память, звуковая карта.

Факторы влияющие на вероятность инцидента:

• физическая поломка (преднамеренная);

• физическая поломка (непреднамеренная);

• вынули кнопку включения/выключения;

• срок службы оборудования;

• условия работы оборудования (стабильность электропитания и окружающей среды).

Факторы, влияющие на ущерб от инцидента:

• наличие другого системного блока;

• камеры слежения;

• наличие блока бесперебойного питания.

Сценарий 2. Поломка хранилища данных

Затронутые ресурсы: жесткие диски

Факторы влияющие на вероятность инцидента:

• быстрое устаревание и изнашивание;

• срок службы оборудования;

• условия работы оборудования (стабильность электропитания и окружающей среды).

Факторы, влияющие на ущерб от инцидента:

• наличие резервной копии.

Сценарий 3. Поломка активного сетевого оборудования

Затронутые ресурсы: сетевая карта, маршрутизатор, коммуникатор

Факторы влияющие на вероятность инцидента:

• срок службы оборудования;

• условия работы оборудования (стабильность электропитания и окружающей среды).

Факторы, влияющие на ущерб от инцидента:

• наличие аналогичного сетевого оборудования

Сценарий 4. Выход из строя пассивного сетевого оборудования

Затронутые ресурсы: кабель, вилка/розетка, повторитель, патч-панель, концентратор.

Факторы влияющие на вероятность инцидента:

• срок службы оборудования;

• условия работы оборудования (стабильность электропитания и окружающей среды).

Факторы, влияющие на ущерб от инцидента:

• сетевая архитектура;

• наличие дублирующих источников;

• наличие резервных источников.

Сценарий 5. Потеря персонала обслуживающего ИТ-сервис (увольнение, болезнь, несчастный случай и т.п.)

Факторы влияющие на вероятность инцидента:

• резерв квалифицированного персонала

Факторы, влияющие на ущерб от инцидента:

• кадровый резерв организации;

• политика управления парольной информацией

• политики информационной безопасности организации.

Коррелированные сценарии

Коррелированные сценарии предполагают реализацию инцидента, приводящую с большой вероятностью к повреждению нескольких ресурсов или связанных ИТ-сервисов. При разработке плана восстановления сервиса после коррелированных сценариев реализаций на первый план выходит [9]:

• планирование последовательности (параллельности) мероприятий, выявление зависимостей, ограничивающих параллельность действий;

• оценка ресурсов (в первую очередь, оборудования и персонала), требуемых для полного либо частичного восстановления сервиса, приоритезация мероприятий.

Сценарий 1. Выход из строя подсистемы обеспечения электропитанием

Факторы влияющие на вероятность инцидента:

• стабильность обеспечения электропитания от текущего источника;

Факторы, влияющие на ущерб от инцидента:

• архитектура системы обеспечения электропитанием;

• наличие дублирующих источников;

• наличие резервных источников;

• наличие системы бесперебойного питания.

Сценарий 2. Выход из строя подсистемы обеспечения параметров окружающей среды (кондиционер)

Затронутые ресурсы: в зависимости от точки выхода из строя.

Факторы влияющие на вероятность инцидента:

• срок службы оборудования;

• условия работы оборудования (стабильность электропитания и окружающей среды).

Факторы, влияющие на ущерб от инцидента:

• характеристика помещения, позволяющие ресурсам функционировать при определенных условиях и при вышедшей из строя системе.

Сценарий 3. Пожар

Затронутые ресурсы: в зависимости от характера ущерба.

Факторы влияющие на вероятность инцидента:

• наличие условий или оборудования с повышенной пожароопасностью.

Факторы, влияющие на ущерб от инцидента:

• система оповещения о пожаре;

• система автоматического пожаротушения;

Сценарий 4. Затопление

Затронутые ресурсы: в зависимости от характера ущерба.

Факторы влияющие на вероятность инцидента:

• наличие объектов инфраструктуры, потенциально опасных с точки зрения возникновения риска затопления.

Факторы, влияющие на ущерб от инцидента:

• физическое размещение оборудования.

Сценарий 5. Несанкционированный доступ.

Затронутые ресурсы: в зависимости от характера ущерба (база тестов, рейтинговая система, презентации, лабораторные и практические работы).

Факторы влияющие на вероятность инцидента:

• уязвимость баз данных;

• уязвимость системы

Факторы, влияющие на ущерб от инцидента:

• наличие антивируса;

• наличие камер слежения;

• политика разграничения доступа.

Сценарий 6. Вирусные атаки

Затронутые ресурсы: компьютеры в аудиториях, сервера

Факторы влияющие на вероятность инцидента:

• уязвимость систем;

• отсутствие ограничения доступа в помещениях

Факторы, влияющие на ущерб от инцидента:

• наличие антивируса;

• наличие политики разграничения доступа;

• наличие резервных копий.

Стратегии непрерывности для ИТ-ресурсов

Для стратегии нам необходимо посчитать допустимое время восстановления (pRTO), которое рассчитывается по формуле (1).

pRTO=T0+T1+T2-H(1)

где T0 – время обнаружения факта нештатной ситуации, мин;

Т1 – время принятия решения о контрмерах, мин;

T2-H – время на восстановление услуг, мин.

Сценарий 1. Не корректно работает системный блок

Стратегия: Холодный резерв.

pRTO = 35 мин. (T0 = 10 мин., T1 = 10 мин., T2-H= 15 мин.)

RTO = 35 мин.

Сценарий 2. Поломка хранилища данных

Стратегия: Восстановление сервиса

pRTO = 30 мин. (T0 = 5 мин., T1 = 10 мин., T2-H= 15 мин.)

RTO =30 мин.

Сценарий 3. Поломка активного сетевого оборудования

Стратегия: резерв.

pRTO = 35 мин. (T0 = 10 мин., T1 = 10 мин., T2-H= 15 мин.)

RTO = 35 мин.

Сценарий 4. Выход из строя пассивного сетевого оборудования

Стратегия: восстановление оборудования.

pRTO = 45 мин. (T0 = 15 мин., T1 = 15 мин., T2-H= 15 мин.)

RTO = 45 мин.

Сценарий 5. Потеря персонала обслуживающего ИТ-сервис (увольнение, болезнь, несчастный случай и т.п.)

Стратегия 1. Дублирование функций, процессов подготовки и переподготовки обслуживающего персонала двумя (ведущий/резервный) и более специалистами.

Дополнительные затраты: расходы на подготовку и обучение резервного персонала.

Стратегия 2. Формирование базы знаний по существующей ИТ- инфраструктуре.

Дополнительные затраты: выделение рабочего времени на подготовку материалов.

Стратегия 3. Частичная передача прав по управлению ИТ-ресурсами в группу технической поддержки с возможностью временной передачи полных прав в экстренных случаях.

Дополнительные затраты: политика хранения и предоставления в экстренных случаях авторизационной информации

Стратегия 4. Территориальное отделение резервных специалистов, либо части группы технической поддержки в другое здание, либо в другой город.

Дополнительные затраты: дублирующее помещение

Стратегия 5. Аутсорсинг обслуживающего персонала.

Дополнительные затраты: расходы на аутсорсинг.

Указанные выше особенности обусловливаются необходимостью соблюдения следующих требований:

• комплексная проработка задач информационной безопасности;

• привлечение большого числа специалистов;

• использование надежных и масштабируемых аппаратно-программных платформ;

• разработка и применение программы обеспечения непрерывности деятельности образовательного учреждения.

Также был построен реестр риска прерывания образовательной деятельности учреждения Приложение Б. И разработаны требования к программе обеспечения непрерывности ОУ (Приложение В).

Итак, проблемы обеспечения непрерывности деятельности образовательного учреждения имеет ряд специфических особенностей. Это связано со следующими особенностями:

• Корпоративная сеть ВУЗа строится обычно на концепции «скудного финансирования»;

• Как правило, корпоративные сети не имеют стратегического развития. Это значит, что топология сетей их техническое и программное обеспечение рассматривается с позиции текущих задач;

• В одной корпоративной сети ВУЗа решаются две задачи: обеспечение образовательной и научной деятельности и решение задач управления образовательными и научными процессами;

• Планы комплексной информационной безопасности, как правило, либо отсутствуют либо не соответствуют современным требованиям.

Поэтому крайне необходимо уделять особое внимание информационной безопасности в образовательном учреждении. А также необходимо разрабатывать программу управления непрерывностью деятельностью образовательного учреждения с учетом специфики ВУЗа.

1.  
   1. Методика разработки программы управления непрерывностью ИТ-сервиса

При разработки методики управления непрерывностью ИТ-сервиса образовательного учреждения мы опирались на описанный раннее британский стандарт BS 25999 – 1:2006 Business Continuity Management.

Для разработки программы управления непрерывностью ИТ-сервиса мы выделяем шесть крупных этапов:

1. Анализ воздействия на бизнес (BIA);

2. Анализ рисков прерывания деятельности (RIA) образовательного учреждения;

3. Разработка стратегии непрерывности деятельности образовательного учреждения;

4. Разработка и реализация планов обеспечения непрерывности образовательной деятельности;

5. Тестирование планов обеспечения непрерывности образовательной деятельности;

6. Обучения сотрудников образовательного учреждения вопросам управления непрерывностью бизнеса.

Рассмотрим каждый из этапов более подробно:

1.Анализ влияния на бизнес – процесс анализа бизнес-функций и эффекта, который может оказать на эти функции возникшая в организации нештатная ситуация. В начале данного этапа необходимо получить поддержку руководства, сформировать команду, поставить цели и задачи перед командой и приступить к выполнению этапа. При выполнении анализа воздействия на бизнес необходимо определить критичные бизнес процессы и активы обеспечивающих их работу: персонал, приложение, инфраструктура. Необходимо дать краткую характеристику образовательного учреждения: определить цели и задачи образовательного учреждения, рассмотреть требования законодательства и местного самоуправления, определить обязательства перед партнерами, определить основные бизнес и процессы и ранжировать их по степени значимости. На данном этапе возможно привлечение внешних исполнителей или использование соответствующих автоматизированных средств, например SunGard CMS BIA Professional. Если проведение данного этапе образовательное учреждение решит собственными силами то необходимо определить каким методом будет проходить сбор и обработка данных – анкетирование (пример анкеты в приложении 3), интервью, круглые столы [67-69]. Также необходимо задать критерии классификации собираемой информации, табл.2.

Таблица 2 – Пример критериев классификации собираемой информации

№	Наименование бизнес-процесса	Ответственный за процес	Уровень критичности	Задействованные ресурсы
1.	Расчет учебной нагрузки	Иванова Е.С.	Второй	Сотрудник, аппаратное обеспечение (компьютер), программное обеспечение
….

Уровни критичности:

Первый – наиболее критичные для сохранения деятельности ОУ. Требуется немедленное восстановление для сокращения текущих потерь.

Второй – относительно критично для восстановления деятельности ОУ. Восстановление в течение 8 часов.

Третий – важно для сохранения деятельности ОУ. Восстановление в течение одного дня.

Четвертый – важно для эффективной деятельности ОУ. Восстановление в течение 5 дней.

Для данного этапа мы предлагаем следующие шаги:

• Подготовка опросников для проведения интервью, тестирования

• Идентификация критически важных бизнес процессов

• Ранжирование критически важных процессов

• Идентификация критически важных ресурсов

• Ранжирование критически важных ресурсов

• Выявление существующих взаимосвязей между бизнес-процессами

• Декомпозиция бизнес-процессов на обеспечивающие ресурсы

• Согласование модели с сотрудниками

На данном шаге основные результаты проделанной работы предоставляются руководству для утверждения.

2. Анализ рисков прерывания деятельности (RIA) образовательного учреждения – полный процесс, включающий в себя идентификацию и анализ рисков, а также определение уровня рисков. Анализ рисков позволяет оценить полноту и достаточность организационных и технических контрмер образовательного учреждения для парирования угроз непрерывности бизнеса. Кроме того, анализ рисков в дальнейшем позволяет принять экономически оправданные решения по управлению непрерывностью бизнеса. Анализ рисков для каждого образовательного учреждения индивидуален. Индивидуальность обеспечивает первый параметр – размер ущерба. Ведь он связан как с самими информационными ресурсами, так и с оценкой их важности, которая уникальна у каждого образовательного учреждения[68-70].

На данном этапе необходимо решить следующие вопросы: оценка угроз (террористические акты, пожары, наводнения, землетрясения, отключение электричества, потеря персонала, компьютерные атаки, отказы и сбои аппаратных средств и пр.); оценка уязвимостей (недостаточная отказоустойчивость, неукомплектованность кадрами, неисправности системы пожаротушения, недостатки системы электроснабжения и пр.); определение рисков непрерывности деятельности ОУ; выбор стратегии управления рисками (принять, минимизировать, управлять).

Этап анализ рисков рекомендуем выполнять с привлечение внешних исполнителей, если же это невозможно, то приводим ряд рекомендаций, которые помогут справиться с данным этапом.

Для начало нужно выделить сотрудника владеющими знаниями в области информационной безопасности. Данный сотрудник должен владеть следующими знаниями:

• понимание деятельности образовательного учреждения;

• понимание концепции риска;

• понимание угроз и уязвимостей;

• понимание типов контрольных механизмов (контролей) информационной безопасности;

• навыки использования методик оценки рисков;

• аналитические способности;

• способность определять необходимые контактные лица;

• коммуникабельность.

Необходимо подготовить опросник для сотрудников, рекомендуется использовать наводящие вопросы («Что будет, если злоумышленник сможет изменить эти данные в свою пользу?»; «Что будет, если эти данные будут недоступны в течение определенного времени?; Какова допустимая продолжительность этого периода? »), так как не все сотрудники понимают концепцию управления рисками.

Далее полученную информацию необходимо будет занести в отчет (Приложение Д), который представляется для утверждения руководству.

Для данного этапа мы предлагаем следующие шаги:

• Подготовка опросников для проведения интервью;

• Проведение интервью с компетентными сотрудниками ИТ-службы;

• Подготовка методики для проведения обследования;

• Подготовка инструкций для проведения обследования;

• Выявления актуальных уязвимостей;

• Верификация актуальных уязвимостей;

• Выявление актуальных угроз;

• Верификация актуальных угроз;

• Проведение интервью с сотрудниками ИТ-службы с целью выявить риски;

• Построение реестра рисков (Приложение Г);

• Оценивание потенциальных убытков в случае инцидента.

3.Разработка стратегии непрерывности деятельности образовательного учреждения – используемый организацией подход, который позволит обеспечить восстановление и непрерывность ее бизнеса в случае аварии или другого крупного инцидента, или в случае возникновения в организации нештатной ситуации [69].

На данном этапе необходимо провести оценку технических и организационных решений, которые могут быть использованы для улучшения показателей процесса обеспечения непрерывности применительно к данному процессу расчет ключевых параметров обеспечения непрерывности и требуемых дополнительных затрат. Нужно рассчитать ресурсы для различных стратегий применения решений; выбрать стратегии, имеющие приемлемые значения характеристик.

По результатам проведенных на предыдущих этапах образовательное учреждение должно выбрать подходящую для нее стратегию УНБ, соответствующую установленным целям и ресурсам, необходимым для восстановления ключевых процессов.

Стратегия УНБ должна быть направлена на повышение устойчивости образовательного учреждения к нарушениям, что достигается путем обеспечения непрерывности деятельности процессов и/или их восстановления на приемлемом минимальном уровне и в сроки, установленные в результате анализа воздействий на бизнес.

Разработанная стратегия УНБ должна решать целый ряд задач:

• обеспечение безопасности сотрудников;

• обеспечение персонала рабочими помещениями;

• обеспечение техническими средствами;

• обеспечение доступа к необходимой информации;

• обеспечение необходимыми материалами;

• обеспечение взаимодействия с партнерами, подрядчиками, поставщиками, клиентами и другими заинтересованными сторонами.

Нужно обратить внимание для решения каждой из этих задач нужно разрабатывать собственную стратегию.

Высшее руководство утверждает выбранные документированные стратегии УНБ для подтверждения того, что они выбраны должным образом, учитывают вероятные характеристики причин и последствий нарушений и соответствуют поставленным целям организации в пределах допустимого совокупного риска организации.

Для реализации стратегии УНБ требуются следующие ресурсы: персонал, производственные площади, технологии, информация, запасы.

Персонал. Нужно определить соответствующие стратегии для поддержания квалификации, основных навыков и знаний персонала.

Пример стратегии защиты или обеспечения подобных навыков включают в себя:

• Обучение разносторонним навыкам персонала;

• Планирование преемственности;

• Хранение знаний и управление ими.

Производственные площади. Образовательное учреждение должно определить стратегию снижения воздействия опасной ситуации, при которой обычное рабочее место становится недоступным.

Пример стратегии:

• Предоставление альтернативного рабочего места

Альтернативное рабочее место, не должно располагаться слишком далеко. Переход на альтернативное рабочее место должен быть детально описан в стратегии.

Технологии.Стратегия, применяемая к технологии зависит от характера используемых технологий ОУ. Стратегия должна включать в себя:

• Географическое распределение технологий, т.е. использование одной технологии на различных филиалах.

• Сохранение старого оборудование, которое можно использовать в случае ЧС

• Снижение дополнительного риска для уникального оборудования.

Полные рекомендации приведены в стандартах ISO/IEC 27001:2005 и ГОСТ ИСО/МЭК 27001-2006.

Информация.Стратегия должна обеспечивать защиту и восстановление жизненно важно информации для деятельности образовательного учреждения. Информация должна быть восстановлена до установленного момента времени, согласованного с руководством. Хранение и восстановление информации должно соответствовать законодательным требованиям. К таким нормативным актам, выполнение которых требуется от образовательного учреждения в первую очередь относятся:

• Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных»

• Федеральный закон от 28 июля 2012 года №139-ФЗ «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации по вопросу ограничения доступа к противоправной информации в сети Интернет»

• Федеральный закон от 2 июля 2013 года № 187-ФЗ «О внесении изменений в законодательные акты Российской Федерации по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях».

Запасы.Образовательное учреждение должно поддерживать в рабочем состоянии перечень основных запасов (материалов, канцтоваров, сырья), которые обеспечивают основные процессы ОУ. Стратегия может включать в себя:

• Хранение дополнительных запасов;

• Изменения пункта поставок «точно в срок»;

• Идентификацию дополнительных поставок;

• Увеличение дополнительных поставщиков.

4.Разработка и реализация планов обеспечения непрерывности образовательной деятельности.

Данный этап представляет собой объединение результатов предыдущих этапов и создание документа, который собран и поддерживается в состоянии готовности для использования в случае инцидента, чтобы обеспечить организации возможность продолжить выполнение ее критических производственных процессов на некотором приемлемом, заранее определенном уровне.

План обеспечения непрерывности образовательной деятельности (шаблон представлен в приложении 5) должен включать в себя:

• контактные данные лица, ответственные за план;

• результаты ранжирования критичных процессов ОУ;

• состав, полномочия и ответственность руководящей команды управления, а также функциональных команд аварийного восстановления;

• основные контактные данные должностных лиц (ФИО, должность, служебный, домашний и мобильный телефоны, домашний адрес) и способы их оповещения в чрезвычайной ситуации;

• вопросы выполнения критически важных бизнес-процессов;

• вопросы размещения требуемого персонала на альтернативных площадях;

• перечень ресурсов, минимально необходимых для аварийного восстановления, включая архивную информацию, первичные документы, бланки, формы, шаблоны;

• требования к аварийному восстановлению основных бизнес-процессов и обеспечивающей инфраструктуры, включая приоритеты и время восстановления;

• процедуры аварийного восстановления функциональной архитектуры;

• порядок пересмотра и сопровождения плана

5.Тестирование планов обеспечения непрерывности образовательной деятельности

Состоит из 3 шагов: Планирование теста, подготовка теста, тестирование, документирование результатов.

Планирование теста. Тщательное планирование теста является непременным условием успешного (действенного)тестирования. На этой фазе должны быть определены и документированы: объем, задачи, сценарии, ожидаемые результаты, начальные и конечные условия теста. План тестирования должен быть согласован с затронутыми сторонами и утвержден соответствующим уровнем руководства.

Подготовка теста.Включает в себя: Уведомление и привлечение к тестированию сотрудников.

Подготовка необходимых ресурсов. Извещение о дате/времени проведения теста всех затронутых внутренних подразделений и внешних контактов за разумное и достаточное время.

Тестирование.Включает в себя: Выполнение процедур в порядке, предусмотренном планом и утвержденным сценарием.

Документирование результатов.Фиксирование результатов очень важно в процессе тестирования. Все участники должны представить отчеты о проведенных ими работах или действиях. Виды тестов представлены в таблице 3.

Рекомендации повыбору тестовых сценариев:

• Сценарии должны соответствовать реальным условиям функционирования;

• В начале должны планироваться легкие и частичные тесты, при успешном ИХ выполнении можно переходить к постепенному усложнению и расширению тестов вплоть до полного теста плана;

• Минимальный интервал между тестами не должен превышать 3-х месяцев;

• Тесты и сценарии должны быть разнообразными;

• Участие всех вовлеченных является ключевым фактором. Все члены групп должны принимать участие, а не только руководители;

• Тесты не должны мешать нормальной работе и, по возможности, должны планироваться на период минимума деловой активности или во внерабочее время.

• Некоторые тесты могут проводиться без предварительного уведомления персонала.

Таблица 3 – Виды тестирования

Вид тестирования	Цель	Особенности и ограничения
Тест проверки списков вызова и инвентаризации	проверить и подтвердить точность и полноту информации на дату проверки	рекомендуется проводить вместе с настольным тестом, а не как отдельный тест; требует минимальных усилий и ресурсов по планированию, подготовке, проведению

Продолжение таблицы 3 – Виды тестирования

Вид тестирования	Цель	Особенности и ограничения
Настольный тест	продемонстрировать действенность ВСР, применяя его к выбранному сценарию, и возможно, выявить несоответствия в процедурах плана; проверить процессы и связи внутри аварийной команды; тренировка персонала в применении плана.	при вызове аварийные процессы активируются, но сами процедуры не выполняются; объем тестирования может включать как весь ВСР, так и любую его часть, процесс или подразделение внутри организации; тестирование безопасно для работы основных производственных процессов и экономное использование ресурсов; результат имеет ограниченную ценность
Частичный тест	проверить процедуры восстановления критических подсистем, резервных данных в течение отведенного планом времени и в соответствии с известными зависимостями между приложениями и сервисами.	фокусируется на восстановлении ИТ инфраструктуры и ИТ-процессов, а не бизнес-процесса; требует участия ИТ персонала для выполнения и представителей бизнес-пользователей для проверки; может быть дорогостоящим и мешать нормальной деловой активности при ненадлежащем планировании и выделении ресурсов
Полный тест	определить насколько хорошо план отрабатывает выбранный сценарий аварии внутри и вне организации; тренировка персонала в реальном времени и в близких к реальным условиям.	фокусируется на плане в целом, а не на отдельных подразделениях, функциях или процессах.; все ВСР процессы активируются, процедуры выполняются в полном объеме от начала до конца (т.е. производится реальное переключение производственных систем в аварийный режим работы, эвакуация здания и пр.); объем тестирования может включать участие/взаимодействие с внешними сторонами (поставщики, государственные и городские аварийные службы); дорогостоящее, время- и ресурсоёмкое мероприятие; может представлять опасность для функционирования организации при ненадлежащем планировании и выделении ресурсов.

6.Обучения сотрудников образовательного учреждения вопросам управления непрерывностью бизнеса.

Данный этап предполагает подготовку материала и проведение семинаров среди сотрудников образовательного учреждения по вопросам управления непрерывностью бизнеса.

Разработанная методика программы управления непрерывностью ИТ-сервисов образовательного учреждения позволит:

• выявить критичные бизнес процессы образовательного учреждения, провести анализ рисков, составить реестр риска на основе предложенного шаблона, оценить уровень зрелости организации на основе стандарта COBIT, разработать стратегию непрерывности деятельности образовательного учреждения;

• разработать планы обеспечения непрерывности образовательной деятельности;

• Протестировать планы обеспечения непрерывности образовательной деятельности.

А разработанный шаблон программы управления непрерывностью ОУ поможет объединить всё необходимую информацию в одном документе, которая поможет избежать риски или при их возникновении снизить ущерб.

1.  
   1. Применение проектного менеджмента при разработке программы управления непрерывностью деятельностью образовательного учреждения

Проектный менеджмент (англ. project management)в широком понимании – это профессиональная деятельность, основанная на использовании современных научных знаний, навыков, методов, средств и технологий и ориентированная на получение эффективных результатов путем воздействия на работников для успешного осуществления проектов.

Проектный менеджмент представляет собой также методологию организации, планирования и координации использования, человеческих и материальных ресурсов на всем протяжении жизненного цикла проекта (говорят также – проектного цикла), направленную на эффективное достижение целей проекта путем применения системы современных методов, техники и технологий управления [4].

Для проведения проекта нами в качестве методологии используется Американский национальный стандарт по управлению проектами – Project Management Body of Knowledge (PMBOK). PMBoK предоставляет богатый инструментарий по управлению проектами, преимуществами которого являются:

• комплексный и законченный подход к управлению проектом;

• ориентированность на процесс;

• описание знаний, необходимых для управления жизненным циклом проекта через процессы;

• определение для процесса всех ресурсов, инструментов и результатов;

• изначально выявляются риски, которые ставят под угрозу успех проекта, и заранее разрабатываются меры по их предотвращению;

• деятельность участников проекта становится прозрачной, легко контролируемой и управляемой. Ведь о проекте всегда известно, в какой стадии он находится: каковы результаты, сколько ресурсов уже истрачено, и сколько их еще потребуется при сохранении нынешних тенденций.

Жизненный цикл проекта по обеспечению непрерывности образовательного учреждения состоит из 5 этапов (рис.5), краткое описание каждого этапа представлено в таблице 4.

Рисунок 5 – Жизненный цикл проекта по обеспечению непрерывности образовательного учреждения

Таблица 4 – Этапы проекта

Этап	Описание этапа
Инициация	Разработка устава проекта (цели, масштаб, границы проекта), решение о запуске, утверждение руководством
Планирование	Вовлечение в обсуждение заинтересованных сторон, разработка планов, разработка вспомогательных планов, составление бюджета проекта.
Организация выполнения	Работа по плану, организация, управление рисками
Контроль	Совещание команды, составление этапных отчетов
Завершение	Акт сдачи-приемки, приказ о завершение проекта, архив проекта

Как видно из жизненного цикла проекта первым шагом в разработке проекта по обеспечению непрерывности деятельности образовательного учреждения необходимо провести инициацию проекта. Инициация проекта – стадия процесса управления проектом, результатом которого является санкционирование начала проекта. На данном этапе проекта нужно решить такие вопросы как:

• Формирование команды проекта для обеспечения непрерывности образовательной деятельности;

• Определение цели проекта;

• Определение масштаба проекта;

• Первоначальное планирование;

• Разработка устава проекта.

Устава проекта – основополагающий документ проекта. В нем необходимо отразить: экономическую обоснованность проекта, масштаб проекта, критические факторы успеха, ограничения и предложения, полномочия участников проекта, примерный план график проекта [4].

После того как устав проекта подписан у руководителей образовательного учреждения необходимо перейти к планированию проекта. Планирование проекта по обеспечению непрерывности образовательного учреждения можно разбить на 2 части: разработка базовых планов, разработка вспомогательных планов.

Планирование проекта мы рекомендуем начать с описания структуры проекта, то есть описания состава входящих в проект работ и взаимосвязей между ними.Структурный план проекта – WBS (Work Breakdown Structure) представляет собой стройную иерархическую декомпозицию проекта на составные части (элементы, модули), необходимые и достаточные для планирования и контроля осуществления проекта для различных участников проекта. На первом этапе нам понадобится составить только укрупненный структурный план проекта, ограничившись первой ступенью иерархии работ.

Далее мы рекомендуем разработать детализированный структурный план по обеспечению непрерывности деятельности образовательного учреждения. При разработке детализированного структурного плана можно опираться на рекомендации данные в параграфе выше.

Календарное планирование в управлении проектами – это ключевой и важный процесс, результатом которого является утвержденный руководством организации календарный план проекта (часто его называют еще планом-графиком, календарным графиком, планом управления проектом). Цель календарного планирования – получить точное и полное расписание проекта с учетом работ, их длительностей, необходимых ресурсов, которое служит основой для исполнения проекта [4].

Составление календарного плана-графика проекта включает в себя несколько аспектов. Мы должны спланировать сроки и длительности работ по обеспечению непрерывности деятельности образовательного учреждения, определить их последовательность и взаимосвязи, подумать о необходимых ресурсах, учесть стоимость этих работ и ресурсов. В дальнейшем, когда проект перейдет на стадию исполнения, то есть практической реализации запланированных действий, именно по этому плану-графику мы отслеживаем ход выполнения работ. И, если что-то в проекте пойдет не так, можно, сверив с первоначальным планом проекта, внести соответствующие изменения.

Как правило, план-график проекта разрабатывается менеджером проекта с привлечением людей, которые являются экспертами в той или иной области. В результате мы получаем полный перечень работ, структурированный по иерархическому признаку, то есть структурную декомпозицию работ.

Детализированный структурный план необходим для четкого определения задач, которые будут решаться для выполнения проекта по обеспечению непрерывности функционирования образовательного учреждения.

Далее нужно перейти к планированию вспомогательных планов проекта, к ним относятся: планирование рисков, планирование ресурсов, планирование стоимости, планирование времени.

Начнем с планирование времени. При планирование времени для проекта по обеспечению непрерывности образовательного учреждения необходимо опираться на статистические данные. Но для новых видов работ, а также работ, выполняемых в иных условиях, единственным способом определения их объема и сроков выполнения являются экспертные оценки.

Для того чтобы спланировать время целесообразно начать с расстановки вех. Для начала нужно определить ключевые вехи проекта по обеспечению непрерывности деятельности образовательного учреждения.Веха – контрольная точка, значимый, ключевой момент (например, переход на новую стадию, новый этап в ходе выполнения проекта). Как правило, с этим моментом связано завершение какого-либо ключевого мероприятия, подписание важных документов или любые другие значительные действия, предусмотренные планом проекта.

Правильное определение объема и длительность выполнения работ является решающим условием для реалистичного и в то же время достаточно напряженного графика работ по проекту.

Кроме составления перечня работ, календарное планирование включает в себя также создание ресурсной модели проекта. Нам нужно подумать о том, кто будет выполнять те или иные работы или этапы работ, какие люди нам для этого нужны, кто является ответственным за результат работы или этапа. Кроме человеческих ресурсов, в проектах могут потребоваться расходные материалы, сырье, а также – использование машин и механизмов, техники, транспорта и т.д.

Наличие подробного ресурсного плана проекта позволяет приступить к финансовому планированию. В результате может быть определена плановая стоимость отдельных рабочих пакетов и их сумм по иерархической цепочке вплоть до стоимости проекта в целом. Одновременно могут быть получены графики расхода средств во времени.

Детальное финансовое планирование позволяет не только получить четкое представление об истинной стоимости проекта, но и оптимизировать расходы. Вместе с тем финансовый учет дело – трудоемкое и, соответственно, достаточно дорогое. При анализе стоимости проекта обычно оценивается его бюджет (суммарные затраты на проект) и соотношение составляющих бюджета.

Очень значимым для проекта по обеспечению непрерывности деятельности образовательного учреждения является планирование рисков. Управление рисками проекта включает в себя процессы, относящиеся к планированию управления рисками, их идентификации и анализу, реагированию на риски, а также контролю и управлению рисками в рамках проекта. Целями управления рисками проекта являются повышение вероятности возникновения и воздействия благоприятных событий и снижение вероятности возникновения и воздействия, неблагоприятных для проекта событий в ходе его реализации.

После планирование проекта по обеспечению нужно перейти к выполнению данного проекта. При выполнении проекта необходимо проводить постоянный контроллинг проекта. Задача контроллинга заключается в том, чтобы зафиксировать отклонения в сроках, издержках и в предметной области проекта путем сравнения планового и фактического состояния дел и привлечь внимание руководства проекта к необходимости принять необходимые встречные меры или откорректировать планы. При контроле проекта нужно использовать метод анализ освоенного объема. В методе анализа освоенного объема для расчетов используются отклонения фактических издержек от плановых значений и отклонения времени выполнения работ от планового расписания проекта.

Последними этапом является завершение проекта. Завершение проекта – процесс формального завершения работ по проекту.

Завершение проекта по обеспечению непрерывности деятельности образовательного учреждения должен включать следующие процедуры:

• отчетов по проведенным проверкам;

• заключительная оценка финансовой ситуации (постпроектный отчет);

• заключительный отчет по проекту и проектная документация;

• список открытых вопросов и заключительных работ;

• документирование и анализ опыта выполнения данного проекта.

Таким образом, описанный процесс создания проекта по обеспечению непрерывности деятельности образовательного учреждения позволит создать программу непрерывности деятельности ОУ. В ходе исследования, мы сделали выводы о том, что применение проектного менеджмента даст определенные выгоды при разработке программы управления непрерывностью деятельности образовательного учреждения. Во-первых, комплексный и законченный подход к управлению проектом; во-вторых, определение для процесса всех ресурсов, инструментов и результатов; в третьих, изначально выявляются риски, которые ставят под угрозу успех проекта, и заранее разрабатываются меры по их предотвращению; в четвертых, деятельность участников проекта становится прозрачной, легко контролируемой и управляемой. Ведь о проекте всегда известно, в какой стадии он находится: каковы результаты, сколько ресурсов уже истрачено, и сколько их еще потребуется при сохранении нынешних тенденций.

ВЫВОДЫ ПО ГЛАВЕ 2

Проблемы обеспечения непрерывности деятельности образовательного учреждения имеет ряд специфических особенностей. Это связано со следующими особенностями:

• Корпоративная сеть ВУЗа строится обычно на концепции «скудного финансирования»;

• Как правило, корпоративные сети не имеют стратегического развития. Это значит, что топология сетей их техническое и программное обеспечение рассматривается с позиции текущих задач;

• В одной корпоративной сети ВУЗа решаются две задачи: обеспечение образовательной и научной деятельности и решение задач управления образовательными и научными процессами;

• Планы комплексной информационной безопасности, как правило, либо отсутствуют либо не соответствуют современным требованиям.

Поэтому крайне необходимо уделять особое внимание информационной безопасности в образовательном учреждении. А также необходимо разрабатывать программу управления непрерывностью деятельностью образовательного учреждения с учетом специфики ВУЗа.

Для этого мы разработали методику создания программы управления непрерывностью ИТ-сервиса, которая состоит из 6 этапов (Анализ воздействия на деятельность (BIA); Анализ рисков прерывания деятельности (RIA) образовательного учреждения; Разработка стратегии непрерывности деятельности образовательного учреждения; Разработка и реализация планов обеспечения непрерывности образовательной деятельности; Тестирование планов обеспечения непрерывности образовательной деятельности; Обучения сотрудников образовательного учреждения вопросам управления непрерывностью бизнеса). Данная методика позволит выявить критичные бизнес процессы образовательного учреждения, провести анализ рисков, составить реестр риска на основе предложенного шаблона, оценить уровень зрелости организации на основе стандарта COBIT, разработать стратегию непрерывности деятельности образовательного учреждения; разработать планы обеспечения непрерывности образовательной деятельности; Протестировать планы обеспечения непрерывности образовательной деятельности. А разработанный шаблон программы управления непрерывностью ОУ поможет объединить всё необходимую информацию в одном документе, которая поможет избежать риски или при их возникновении снизить ущерб.

Для создания программы управления непрерывностью ИТ-сервисов мы рекомендуем использовать проектный менеджмент, которые дает следующие преимущества:

• комплексный и законченный подход к управлению проектом;

• определение для процесса всех ресурсов, инструментов и результатов;

• изначально выявляются риски, которые ставят под угрозу успех проекта, и заранее разрабатываются меры по их предотвращению; в четвертых, деятельность участников проекта становится прозрачной, легко контролируемой и управляемой.

ГЛАВА 3. ОБЕСПЕЧЕНИЕ ФУНКЦИОНИРОВАНИЯ СЕРВИСА ЭЛЕКТРОННОЙ ПОЧТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ 3.1. Инициация проекта по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения

ИТ-сервис – это процесс предоставления пользователям ресурсов информационных технологий для обеспечения выполнения ими своих бизнес функций.

Рассмотрим основные ИТ сервисы образовательного учреждения:

• Сервис аутентификации пользователей, предназначенный для проверки подлинности пользователя. В зависимости от роли пользователя в ОУ ему предоставляются права на доступ к ИТ-ресурсам. Аутентификация выполняется при подключении пользователя к сети и запросе ИТ сервисов;

• Сервис разрешения имен (DNS, WINS) позволяет переводить имена хостов в IP-адреса и наоборот. Данный сервис необходим для поиска и взаимодействия хостов в сети. Для реализации сервиса настраиваются службы DNS;

• Сервис распределения IP-адресов (DHCP) выдает каждому хосту в сети свой уникальный IP-адрес. Если IP-адрес по каким-то причинам не получен, то данный хост не сможет воспользоваться ИТ-сервисами и ресурсами сети;

• Сервис доступа удаленных пользователей обеспечивает возможность подключения к сети ОУ для пользования ее ИТ-сервисами и ресурсами. В качестве удаленных пользователей могут выступать преподаватели, находящиеся в филиале, где есть возможность подключиться к телефонной линии или к интернету;

• Сервис электронной почты позволяет обмениваться электронными сообщениями, как с локальными пользователями, так и с удаленными. Для реализации сервиса предлагается использовать почтовый сервер, с возможностью фильтрации рекламных сообщений и сообщений, содержащих вирусы, и дополнительный почтовый сервер, которые оба устанавливаются в демилитаризованную зону;

• Сервис печати позволяет выводить на печать документы с помощью сетевых принтеров и плоттеров. Для реализации сервиса используется сервер печати с возможностью мониторинга работы печатающих устройств;

• Сервис доступа в интернет предоставляет пользователям доступ в глобальную сеть Интернет;

• Файловый сервис предназначен для общего хранения данных (документов), пользователями;

• FTP-сервис позволяет пользователям обмениваться файлами (данными) как внутри ОУ, так и через интернет;

• Использование программного обеспечения (ОС и Office) по программе корпоративного лицензирования Microsoft Academic and School Agreement;

• Доступ для решения академических задач к общенаучному и специализированному ПО;

• Доступ к Интернет-сервису «Антиплагиат».

В качестве примера рассмотрим работу сервиса электронной почты.

Образовательное учреждение обеспокоено работой электронной почты. Отправленные электронные письма часто не доходят до адресата. На электронную почту приходит много спама. Сервис электронной почты часто не доступен. Из-за этого происходит потеря важной информации и как следствие простои, которые ведут к убыткам. На решение проблемы у учреждения уходит много времени, так как незапланированные простои электронной почты сложны для точного диагностирования. Когда такая проблема возникает, ее причины могут варьироваться от аппаратных или программных проблем до хакерского нападения, или человеческой ошибки, которая может вызвать некорректную работу системы. Природными явлениями и различными несчастными случаями также не следует пренебрегать. Для решения данной проблемы было решено разработать проект по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения.

Образовательное учреждение заинтересовано в улучшение качества работы сервиса электронной почты. Это будет достигнуто при разработке проекта по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения. Так как это поможет избежать непредвиденных простоев электронной почты, а в случае чрезвычайно ситуации быстро нормализовать ее работу с минимальными потерями для учреждения.

Основные нематериальные выгоды от реализации проекта:

• улучшится устойчивость, стабильность электронной почты;

• быстрое и эффективное восстановление работы электронной почты в чрезвычайных ситуациях;

• удовлетворение требований преподавателей, руководства, студентов, аудиторов и других заинтересованных структур;

• идентификация, защита от негативных воздействий и обеспечение непрерывной работы электронной почты;

• способность управлять инцидентом, достаточная для обеспечения эффективных ответных мер в конкретной ситуации;

• обучение персонала выполнению эффективных ответных мер в случае инцидента или нарушений работы электронной почты;

• понимание и установление требований причастных сторон;

• обеспечение персонала необходимой поддержкой и средствами обмена информацией в случае возникновения инцидентов и нарушений деятельности;

• дополнительная защита репутации организации;

• сохранение устойчивости организации при выполнении обязательных и законодательных требований;

• минимизация времени принятия персоналом (сотрудниками ИТ-службы, преподавателями) решений о требуемых действиях в случае наступления инцидента;

• снижение риска человеческой ошибки из-за стрессовой ситуации;

• обеспеченность персонала средствами (в т.ч. коммуникаций) как для ликвидации аварии, так и для выполнения некоторой части своих служебных обязанностей;

• наличие у персонала опыта и навыков действий в чрезвычайных ситуациях.

Материальную выгоду планируется получать:

• за счет снижения издержек вызванными простоями электронной почты и повышения эффективности работы её;

• снижение издержек на восстановления сервиса электронной почты в случае инцидента;

• снижение риска материальной ответственности перед клиентами.

Продукт проекта – программа по обеспечению непрерывности работы сервиса электронной почты образовательного учреждения. Программа по обеспечению непрерывности работы сервиса электронной почты – это документированный набор процедур и информации, который разработан, собран и поддерживается в состоянии готовности для поддержания непрерывности сервиса электронной почты или в случае инцидента, минимизировать простои электронной почты.

Основные результаты, которые могут быть достигнуты:

• совершенствование работы сервиса электронной почты за счет внедрения программы управления непрерывностью функционирования сервиса электронной почты, которая способствует поддержанию сервиса на приемлемой уровне, а в случае инцидента минимизировать потери;

• достижение коммерческого эффекта за счет минимизации простоев, и снижения стоимости восстановления сервиса электронной почты в случае непредвиденного инцидента.

Для разработки проекта обеспечению непрерывности функционирования сервиса электронной почты был составлен основной документ, регламентирующий жизненный цикл проекта – устав проекта (Приложение Ж)

Цель проекта: Повышение эффективности, стабильности сервиса электронной почты образовательного учреждения в срок до 31 мая 2014 года.

Задачи проекта:

1. На основании системного анализа применения информационных технологий в деятельности образовательного учреждения определить перечень и характеристики факторов, влияющих на непрерывность функционирования сервиса электронной почты учреждения;

2. Провести оценку текущего состояния показателей непрерывности функционирования сервиса электронной почты образовательного учреждения;

3. Выявить и ранжировать угрозы и уязвимости;

4. Выбрать стратегию воздействия на риски (обеспечение непрерывности, допущение риска, передача риска и прекращение активности);

5. Определить целевые показатели восстановления бизнес-процессов, для которых выбрана стратегия обеспечения непрерывности.

Для проекта необходимо определить заинтересованные стороны проекта (рис.6) и ожидание заинтересованных сторон (табл.5). Заинтересованные стороны проекта – это лица или организации (например, заказчики, спонсоры, исполняющая организация или общественность), которые активно участвуют в проекте или интересы которых могут быть затронуты как положительно, так и отрицательно в ходе исполнения или в результате завершения проекта. Заинтересованные стороны проекта также могут оказывать влияние на проект, его результаты и на членов команды проекта.

Рисунок 6 – Заинтересованные стороны проекта по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения

Таблица 5 – Ожидания заинтересованных сторон проекта по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения

Заинтересованная сторона	Ожидание
Руководство образовательного учреждения	Выполнение поставленных целей проекта; Стабильная работа электронной почты; Минимизация простоев; Снижение издержек при восстановление сервиса электронной почты.
Руководитель проекта	Успешная реализация проекта; Карьерный рост
Менеджер проекта	Полная реализация поставленной задачи; Карьерный рост
Системный администратор	Полная реализация поставленной задачи; Своевременная оплата работ
Аналитик	Полная реализация поставленной задачи; Своевременная оплата работ
Обучающиеся	Доступный сервис электронной почты
Преподаватели	Доступный сервис электронной почты

Участники проекта – основной элемент структуры проекта, т.к. именно они обеспечивают реализацию его замысла. Поэтому мы определили необходимых участников проекта по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения и определили их взаимодействие (рис.7). Основные и промежуточные результаты проекта (табл.6)

Рисунок 7 – Участники проекта по обеспечению непрерывности сервиса электронной почты образовательного учреждения

Таблица 6 – Основные и промежуточные результаты проекта

Этап	Результат
Инициация и запуск проекта	На первом этапе должно быть реализовано: Сформированы требования заказчика; Проведен анализ состояния непрерывности предоставления «услуги электронная почта».

Продолжение таблицы 6 – Основные и промежуточные результаты проекта

Этап	Результат
Анализ воздействия на бизнес	Результаты: Проведен анализ бизнес процессов и информационных потоков образовательного учреждения; Проведен анализ сервиса электронной почты; Проведен анализ воздействия сервиса электронной почты на деятельность образовательного учреждения.
Анализ рисков прерывания бизнеса	Результат: Карта рисков; Реестр рисков.
Разработка стратегии управления непрерывностью сервиса электронной почты образовательного учреждения	Результат: Разработан план и выработаны необходимые сценарии действия при нарушении предоставления услуги электронная почта; Распределены полномочия и ответственные; Создание резервного оборудования сервиса электронная почта.
Тестирование стратегии управления непрерывностью сервиса электронной почты образовательного учреждения	Результаты: Разработаны сценарии тестирования сервиса электронной почты: Определены и исправлены недостатки разработанной стратегии непрерывности сервиса электронной почты
Проведение тренингов по обучению «управления непрерывностью бизнеса»	Результат: Разработана программа обучения сотрудников образовательного учреждения «Управлению непрерывности бизнеса»; Произведено обучение сотрудников «Управлению непрерывностью бизнеса».
Завершение проекта	Основные результаты: Проведена сдача-приемка работ заказчика. Документация проекта заархивирована.

В процессе инициации проекта были определены основные выгоды от реализации проекта, такие как улучшение устойчивости, стабильности электронной почты; быстрое и эффективное восстановление работы электронной почты в чрезвычайных ситуациях и т.д. Был составлен основной документ проекта – устав проекта, в нем задокументированы основные требования заказчика, определены участника проекта и их функции (руководитель проекта со стороны заказчика, руководитель проекта со стороны исполнителя, аналитик, инженеры, внешний эксперт), определены основные задачи и их результат. Определен бюджет проекта, он составляет 26750 рублей.

3.2. Планирование проекта по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения

Разработка базовых планов управления проектом

Группа процессов планирования состоит из процессов, осуществляемых для определения общего содержания работ, постановки и уточнения целей и разработки последовательности действий, требуемых для достижения данных целей. Планирование проекта мы начали с описания структуры проекта, то есть описания состава входящих в проект работ и взаимосвязей между ними.Структурный план проекта – WBS (Work Breakdown Structure) представляет собой стройную иерархическую декомпозицию проекта на составные части (элементы, модули), необходимые и достаточные для планирования и контроля осуществления проекта для различных участников проекта. На первом этапе мы составили укрупненный структурный план проекта, ограничившись первой ступенью иерархии работ (рис. 8).

Далее мы разработали детализированный структурный план по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения (рис.9). Данный детализированный структурный план был разработан с учетом рекомендаций предложенных С.А.Петренко «Управление непрерывностью бизнеса. Ваш бизнес будет продолжаться» [4,9].

Рисунок 8 – Укрупненный структурный план

Рисунок 9 – Структурный план проекта

Календарное планирование в управлении проектами – это ключевой и важный процесс, результатом которого является утвержденный руководством организации календарный план проекта (часто его называют еще планом-графиком, календарным графиком, планом управления проектом). Цель календарного планирования – получить точное и полное расписание проекта с учетом работ, их длительностей, необходимых ресурсов, которое служит основой для исполнения проекта [4].

Составление календарного плана-графика проекта включает в себя несколько аспектов. Мы должны спланировать сроки и длительности работ, определить их последовательность и взаимосвязи, подумать о необходимых ресурсах, учесть стоимость этих работ и ресурсов. В дальнейшем, когда проект перейдет на стадию исполнения, то есть практической реализации запланированных действий, именно по этому плану-графику мы отслеживаем ход выполнения работ. И, если что-то в проекте пойдет не так, можно, сверив с первоначальным планом проекта, внести соответствующие изменения.

Как правило, план-график проекта разрабатывается менеджером проекта с привлечением людей, которые являются экспертами в той или иной области. В результате мы получаем полный перечень работ, структурированный по иерархическому признаку, то есть структурную декомпозицию работ.

Детализированный структурный план необходим для четкого определения задач, которые будут решаться для выполнения проекта по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения.

Разработка вспомогательных планов управления проектом

Менеджмент рисков проекта

Управление рисками проекта включает в себя процессы, относящиеся к планированию управления рисками, их идентификации и анализу, реагированию на риски, а также контролю и управлению рисками в рамках проекта. Целями управления рисками проекта являются повышение вероятности возникновения и воздействия благоприятных событий и снижение вероятности возникновения и воздействия, неблагоприятных для проекта событий в ходе его реализации. Менеджмент рисков основывается на политике рисков организации. В нашем случае структура управления рисками проекта обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения представлена на рис. 10. Данная структура была построена с применением PMBOK 4-2008 [4,12].

Рисунок 10 – Структура управления рисками проекта

Для проекта по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения был построен реестр риска. В реестре риска был просчитан фактор риска. Если фактор риска составляет от 0 до 0.1 то он относится к малозначимым, от 0.1 до 0.35 к среднезначимым, а свыше 0.35 риск считается критическим. Те риски которые относятся к среднезначимым и критические риски нуждаются в особом внимании. Так для подготовительного этапа был выявлен следующий критический риск.

Сотрудники образовательного учреждения не доступны для проведения интервью и встреч. Для этого были сформулированы проактивные мероприятия:

• Планировать встречи заблаговременно и согласовывать эти планы с сотрудниками;

• В случае срыва встреч своевременно фиксировать эту информацию и доносить ее до руководства заказчика.

Для второго этапа проекта – анализ воздействия на бизнес были выявлены следующие критически риски:

1. Неполный или неточный анализ воздействия на бизнес. Проактивные меры:

• Построить список отдельных результатов;

• Встречи с руководителем организации;

• Постоянный контроль анализа воздействия на бизнес.

1. Возникла высокая вероятность выхода за рамки сроков и/или бюджета проекта. Проактивные меры:

• Переход на выполнение высокоприоритетных задач в ущерб задачам более низкого приоритета;

• Согласование с заказчиком: либо уменьшения объема работ, либо увеличения сроков и/или бюджета проекта.

1. Срыв сроков и выход за рамки бюджета. Проактивные меры:

• Планировать анализ непрерывности бизнеса таким образом, чтобы наиболее важные функции были реализованы как можно ранее. Таким образом, анализ может быть принят без менее важных функций, от которых можно отказаться или перенести в последующие проекты;

• Заложить в план проекта некоторый страховой запас по времени на возможную неточность оценок времени на выполнение отдельных модификаций.

1. Изменяющиеся/ растущие требования. Проактивные меры:

• Установить четкое управление изменениями

• Следить за тем, что все требования на изменения задокументированы

• Придерживаться жесткой позиции в отношении того, какие требования будут реализованы.

Для третьего этапа проекта – анализ рисков прерывания деятельности сервиса электронной почты был выявлен следующий критический риск:

Срыв сроков и выход за рамки бюджета. Проактивные меры:

• Заложить в план проекта некоторый страховой запас по времени на возможную неточность оценок времени на выполнение отдельных изменений

Реактивные мероприятия:

• В случае, если отставание стало актуальным, перейти к корректирующим воздействиям (чтобы удержать сроки): Привлечение дополнительных ресурсов для устранения отставания (либо работа текущей команды во внеурочное время, либо переключение сотрудников команды проекта с задач, не находящихся на критическом пути, либо привлечение дополнительных сотрудников). Спланировать параллельное выполнение фаз и работ проекта, которые в обычной практике выполняются последовательно.

• Сформировать изменение базового плана и последующих сроков проекта. Согласовать это изменение с заказчиком (Возможны финансовые потери)

Для четвертого этапа проекта – разработка стратегии обеспечения непрерывности функционирования сервиса электронной почты образовательного учреждения был выявлен следующий критичный риск:

Срыв сроков и выход за рамки бюджета. Проактивные меры:

• Заложить в план проекта некоторый страховой запас по времени на возможную неточность оценок времени на выполнение отдельных изменений

Реактивные мероприятия:

• Привлечение дополнительных ресурсов для устранения отставания (либо работа текущей команды во внеурочное время, либо переключение сотрудников команды проекта с задач, не находящихся на критическом пути, либо привлечение дополнительных сотрудников).

• Спланировать параллельное выполнение фаз и работ проекта, которые в обычной практике выполняются последовательно.

Для пятого этапа проекта – тестирование стратегии обеспечения непрерывности функционирования сервиса электронной почты возникла высокая вероятность выхода за рамки сроков и/или бюджета проекта. Проактивные меры:

• Переход на выполнение высокоприоритетных задач в ущерб задачам более низкого приоритета;

• Согласование с заказчиком: увеличения сроков и/или бюджета проекта;

Для шестого этапа проекта – обучение сотрудников УНБ, был выявлен риск – cотрудники образовательного учреждения не доступны для проведения обучения УНБ. Для этого были сформулированы проактивные мероприятия:

• Планировать встречи заблаговременно и согласовывать эти планы с сотрудниками.

Для седьмого этапа проекта – завершение проекта был выявлен следующий критический риск:

Изменяющиеся/ растущие требования к проведенному анализу (документация). Реактивные мероприятия:

• Увеличить время работ для отражения нового плана работ и бюджета. Это должно повысить прозрачность картины для старшего руководства;

• Вынести на обсуждение Управляющего Комитета;

• Все некритичные дополнительные требования перенести на дополнительный этап работ после завершения основных работ. Оформить эти дополнительные работы отдельным приложением.

Планирование времени и ресурсов проекта

Для того чтобы спланировать время целесообразно начать с расстановки вех. Для начала нужно определить ключевые вехи проекта по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения. Ключевыми вехами проекта являются:

• Рабочая группа по обеспечению непрерывности деятельности сформирована;

• Подготовительный этап по созданию корпоративной программы управления непрерывностью ИТ-сервисов завершен;

• Анализ бизнес процессов и информационных потоков завершен;

• Анализ ИТ-сервисов факультета информатики завершен;

• Анализ воздействия ИТ-сервисов на деятельность факультета информатики завершен;

• Анализ воздействия на бизнес(BIA) завершен;

• Анализ рисков (RA) завершен;

• Разработка стратегии завершена;

• Тестирование стратегии завершено;

• Обучение сотрудников УНБ завершено;

• Проект завершен.

Данные типы вех, связанные с внешними обязательствами или сроками, например сроки выдачи результатов заказчику. Далее для каждой вехи необходимо определить критические работы, которые должны быть обязательно выполнены для достижения вехи проекта (табл.7).

Таблица 7 –Критические работы, критерии выполнения и факторы успеха

Вехи	Критические работы	Базовая плановая дата	Ответственный	Критерии выполнения
Рабочая группа по обеспечению непрерывности сервиса электронной почты сформирована	Проведение коммуникации ключевым подразделениям и бизнес-единицам компании о начале проекта Подготовка команды	03.02.2014	Менеджер проекта Сотрудники образовательного учреждения	Наличие нужных специалистов Своевременное уведомление специалистов
Подготовительный этап по обеспечению непрерывности сервиса электронной почты завершен;	Изучение состояние непрерывности сервиса электронной почты образовательного учреждения	17.02.2014	Менеджер проекта Сотрудники образовательного учреждения	Документ проектного решения, выдвинуты требования
Анализ бизнес процессов и информационных потоков завершен;	Идентификация и ранжирование важных бизнес-процессов и ресурсов факультета информатики	03.03.2014	Менеджер проекта	Перечень процессов и ресурсов
Анализ сервиса электронной почты завершен;	Построение карты использования сервиса электронной почты процессами ОУ	06.03.2014	Менеджер проекта, руководитель проекта со стороны заказчика	Регулярное обсуждение; Своевременно составленный устав проекта
Анализ воздействия сервиса электронной почты на деятельность ОУ завершен	Построение аналитической модели причинно-следственных взаимосвязей между сервисом электронной почты и бизнес-процессов ОУ	13.03.2014	Менеджер проекта, руководитель проекта со стороны заказчика	Наличие грамотных специалистов; Регулярные совещания и обсуждения

Продолжение таблицы 7 – Критические работы, критерии выполнения и

факторы успеха

Вехи	Критические работы	Базовая плановая дата	Ответственный	Критерии выполнения
Анализ воздействия на бизнес(BIA) завершен;	Анализ бизнес процессов и информационных потоков компании; Анализ сервиса электронной почты; Анализ воздействия сервиса электронной почты на деятельность ОУ	13.03.2014	Менеджер проекта, руководитель проекта со стороны заказчика	Наличие грамотных специалистов; Регулярное обсуждение; Своевременно составленный устав проекта
Анализ рисков (RA) завершен;	Выявить актуальные угрозы и уязвимости; Оценить основные риски; Верифицировать актуальные угрозы и уязвимости	18.04.2014	Менеджер проекта, руководитель проекта со стороны заказчика	Наличие грамотных специалистов; Регулярные совещания и обсуждения
Разработка стратегии обеспечения непрерывности сервиса электронной почты завершена;	Определение состава и структура стратегии; Порядок приведения плана в действие; Утверждение результатов руководством	08.05.2014	Менеджер проекта, руководитель проекта со стороны заказчика	Наличие грамотных специалистов; Регулярное обсуждение
Тестирование стратегии обеспечении непрерывности сервиса электронной почты завершено;	Определение методики тестирования; Доведение результатов тестирования до руководства	16.05.2014	Менеджер проекта, руководитель проекта со стороны заказчика	Наличие грамотных специалистов;
Обучение сотрудников УНБ завершено;	Разработка обучающих материалов; Проведение обучения команды УНБ	26.05.2014	Менеджер проекта; Специалист УНБ; Сотрудники	Наличие грамотных специалистов.
Проект завершен	Документальное описание и оценка выявленных уязвимостей; Оценка эффективности контрмер обеспечения непрерывности бизнеса; Оценка анализа воздействия на бизнес	30.05.2014	Менеджер проекта, руководитель проекта со стороны заказчика	Наличие грамотных специалистов; Регулярные совещания и обсуждения; Своевременно составленные документы

Для дальнейшей работы мы произвели установку параметров проекта в целом и параметров работ проекта.

Для начала мы установили параметры проекта в целом:

• Создали календарь рабочего времени. Для начала мы приняли стандартный календарь (рис.11). Впоследствии он был скорректирован для конкретных работ и ресурсов;

• Создали способ привязки временных параметров проекта к календарю (к текущей или к заданной дате)

• Установили единицы измерения длительностей и объемов работ в часах;

Далее мы установили параметры работ (рис.12), в частности:

• длительность;

• способ планирования («как можно раньше», как можно позже» или с фиксированными датами начала/окончания)(рис.12);

• вид связи с предшествующими работами («окончание – начало», «начало – начало», «окончание – окончание», «начало – окончание»);

• приоритет.

Рисунок 11 – Календарь рабочего времени

Рисунок 12 – Способ привязки временных параметров проекта к календарю

Правильное определение объема и длительность выполнения работ является решающим условием для реалистичного и в то же время достаточно напряженного графика работ по проекту. Для многих видов работ объем и длительность была определена с помощью книги Петренко «Управление непрерывностью бизнеса. Ваш бизнес будет продолжаться». Но для новых видов работ, а также работ, выполняемых в иных условиях, единственным способом определения их объема и сроков выполнения являлись экспертные оценки.

Рисунок 13 – Диаграмма Ганта

Ресурсный план проекта

Кроме составления перечня работ, календарное планирование включает в себя также создание ресурсной модели проекта. Нам нужно подумать о том, кто будет выполнять те или иные работы или этапы работ, какие люди нам для этого нужны, кто является ответственным за результат работы или этапа. Кроме человеческих ресурсов, в проектах могут потребоваться расходные материалы, сырье, а также – использование машин и механизмов, техники, транспорта и т.д. Все это – ресурсы для проекта, и все они имеют свою стоимость.

В общем случае под ресурсами понимается все, что необходимо для реального выполнения работ проекта: исполнители (люди или механизмы), энергоносители, различные расходные материалы.

Для данного проекта были выделены два вида ресурсов: трудовые ресурсы (возобновляемые ресурсы – исполнители) и материальные ресурсы (невозобновляемые ресурсы, т. е. расходные материалы и энергоносители) (рис.14). Также ресурсы были распределены по задачам (рис.15)[2, 12].

Рисунок 14 – Лист ресурсов

Рисунок 15 – Использование ресурсов

Продолжение рисунка 15 – Использование ресурсов

Управление стоимостью проекта

Наличие подробного ресурсного плана проекта позволяет приступить к финансовому планированию, для чего MS Project предоставляет довольно широкие возможности. В результате может быть определена плановая стоимость отдельных рабочих пакетов и их сумм по иерархической цепочке вплоть до стоимости проекта в целом. Одновременно могут быть получены графики расхода средств во времени.

Детальное финансовое планирование позволяет не только получить четкое представление об истинной стоимости проекта, но и оптимизировать расходы. Вместе с тем финансовый учет дело – трудоемкое и, соответственно, достаточно дорогое. При анализе стоимости проекта обычно оценивается его бюджет (суммарные затраты на проект) и соотношение составляющих бюджета.

В общем случае при анализе структуры затрат рассматриваются:

• общая стоимость проекта (рис. 16);

• распределение затрат по фазам проекта (рис.17);

Общая стоимость проекта по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения составит 26 750, 00 рублей. Самый дорогие этапы проекта проведения анализа воздействия на бизнес и анализ риска прерывания деятельности сервиса электронной почты, их стоимость составляет 6 000,00 рублей и 5 900,00 рублей соответственно. Самая высокая стоимость объясняется тем, что от результата данных этапов будет, зависит дальнейшая разработка программы непрерывности сервиса электронной почты. Если результаты этапов будут задержаны, то весь проект будет под угрозой срыва. А если результаты будут не точны, то дальнейшая разработка программы будет неправильной.

Рисунок 16 – Общая стоимость проекта

Рисунок 17 – Распределение затрат по фазам проекта

При планировании проекта были выделены 7 основных этапов:

• Подготовка проекта по обеспечению непрерывности сервиса электронной почты ОУ

• Анализ воздействия на бизнес

• Анализ рисков прерывания функционирования сервиса электронной почты

• Разработка стратегии управления непрерывностью сервиса электронной почты ОУ

• Тестирование стратегии управления непрерывностью сервиса электронной почты ОУ

• Проведение тренингов по УНБ

• Завершение проекта

Определен структурный план проекта в него входит 97 задач. Были определены риски и разработаны мероприятия по снижению рисков. В результате планирование времени было определено, что проект должен закончиться 30 мая 2014 года, длительность проекта 86 дней.

3.3. Мониторинг и контроль проекта по обеспечению непрерывности функционирования сервиса электронной почты

Взаимосвязь планирования и контроллинга проекта и основные информационные и коммуникационные потоки представлены на рис. 18. Видно, что изменение плана издержек может приводить к необходимости корректировки всех остальных планов. Во время выполнения проекта достаточно часто появляется необходимость в частичном изменении планов либо в обратной связи, поскольку фактическое состояние дел отличается от планового[4].

Рис.13 . Взаимосвязь планирования и контроллинга проекта

Рисунок 18 – Взаимосвязь планирования и контроллинга

Для сравнения фактического и планового состояния дел и установления отклонений очень важно, чтобы фактическое состояние могло быть четко приурочено к определенному моменту времени так, чтобы сравнение было действительно проведено для одного момента времени. В противном случае можно прийти к ошибочным выводам.

В качестве примеры сымитируем проект по обеспечению непрерывности функционирования сервиса электронной почты.

При анализе освоенного объема используются производные от основных параметров индикаторы, позволяющие легко определить, как ход работ соотносится с планом.

Индикаторы методик освоенного объема распределены в MS Project по трем таблицам:

1. Освоенный объем (рис.19).

Разница между текущим и запланированным ходом выполнения задачи называетсяотклонением от календарного планаОКП и рассчитывается путем вычитания из приобретенной стоимости БСВР той стоимости, которую

Рисунок 19 – Метод освоенного объема

проект (или задача) должен был приобрести на текущий момент БСЗР. Если ОКП равен нулю, значит, проект выполняется точно по расписанию. Если значение индикатора больше нуля, то проект выполняется с опережением, а если меньше нуля – то опаздывает. В нашем случае в проекте были задержки, поэтому ОКП равен минус 400 рублей, задержка произошли на этапе проведение интервью с компетентными сотрудниками ИТ-службы образовательного учреждения, так как сотрудники были заняты на момент интервью, но так как данная задержка была предусмотрена в рисках проекта, проблема была решена.

Отклонение по стоимостиОПС – это разность между запланированными БСВР и фактическими затратами ФСВР на выполнение текущего объема работ. Если значение индикатора равно нулю, значит, динамика расходования бюджета соответствует плану. Если значение больше нуля, значит, потрачено меньше, чем запланировано, и проект экономит средства. Отрицательное значение индикатора сообщает о том, что средства расходуются быстрее, чем предусмотрено планом. В нашем проекте отклонение нет, значит, затраты по проекту к дате отчета составили ровно столько сколько предполагалось.

1. Показатели затрат (освоенный объем) (рис.20).

Чтобы определить, насколько значительно отклонение по стоимости, нужно знать, какой процент от запланированных затрат БСВР составляет отклонение ОПС. Это определяет индикатор относительного отклонения по стоимости ООПС. Например, в нашем случае отклонение по стоимости равно 0%, следовательно, средства тратятся, как запланировано. Как и отклонение по стоимости, относительное отклонение по стоимости может принимать положительное, отрицательное и нулевое значения. Нулевое значение свидетельствует о полном соответствии текущих затрат на проект плану, положительное – об экономии средств, а отрицательное – о перерасходе.

Индикатор для определения соотношения текущих проектных затрат с запланированными – индекс отклонения стоимости ИОС. Значение этого индикатора определяется путем деления базовой стоимости выполненных работ БСВР на их фактическую стоимость ФСВР. Если значение индекса равно единице, значит, бюджет проекта расходуется по плану. Если индекс меньше единицы, значит, фактические затраты превышают запланированные, а если больше единицы – значит, бюджет расходуется медленнее, чем предусмотрено планом. В нашем проекте бюджет расходуется по плану, и поэтому ИОС равен 1.

1. Показатели календарного, плана (освоенный объем) (рис.21).

Относительное отклонение от календарного плана ООКП служит для определения соотношения между отклонением от календарного плана ОКП и собственно календарным планом БСЗР. Фактически этот индикатор определяет, какой процент от базовой стоимости запланированных работ БСЗР составляет отклонение от календарного плана ОКП. В нашем случае отклонение от календарного плана равно 0 р., следовательно отклонений нет, полное соответствие календарному плану. Соответственно, значение поля ООКП равно 0%. Аналогично относительному отклонению по стоимости, индикатор может принимать положительное, отрицательное и нулевое значения. Нулевое отклонение означает полное соответствие календарному плану (как в нашем случае), положительное – опережение плана, а отрицательное – отставание. В нашем случае ООКП отрицательное так как было отставание от плана, но данный риск был предусмотрен рисками проекта и один день для проекта был в запасе.

Для определения соотношения между выполненными работами БСВР и запланированными на текущий момент БСЗР служитиндекс отклонения от календарного плана ИОКП. Его значение определяется путем деления базовой стоимости выполненных работ БСВР на базовую стоимость запланированных работ БСЗР. Если значение индекса равно единице, значит, работы выполняются точно по календарному плану. Если значение превышает единицу, значит, ход работ опережает календарный план, а если оно меньше единицы – значит, работы выполняются с отставанием.

Рисунок 20 – Показатели затрат (освоенный объем)

Рисунок 21 – Показатели календарного плана

Вернемся к индикаторам, используемым в таблицах Освоенный объем и Показатели затрат (освоенный объем). Они служат для определения перспектив проекта при сохранении текущего хода работ.

Плановые сводные затраты на проект (или задачу) обозначаются индикаторомбюджет по завершении БПЗ. Его значение соответствует затратам, запланированным на проект (задачу) в базовом плане (поле Базовые затраты).

Когда фактический ход работ по проекту отклоняется от запланированного, сводные затраты по проекту также отклоняются от плановых. Для определения сводных затрат на проект при сохранении текущего темпа работ служит индикатор предварительной оценки по завершении ПОПЗ. Значение этого индикатора определяется сложением фактической стоимости выполненных работ ФСВР и стоимости оставшихся работ. Эта стоимость определяется вычитанием запланированной стоимости выполненных работ БСВР из бюджета по завершении БПЗ и делением результата на индекс отклонения стоимости ИОС.

Разность между бюджетом по завершении БПЗ и предварительной оценкой по завершении ПОПЗ обозначается индикатором отклонения по завершении ОПЗ. Например, в нашем случае отклонение составляет 0 р., поскольку при сохранении текущих темпов работ мы потратим ровно столько сколько было запланировано. Нулевое значение этого индикатора означает соответствие бюджета плану при сохранении текущего темпа работ. Если же индикатор принимает отрицательное значение, значит, затраты на проект могут превысить запланированные.

С помощью последнего индикатора, показателя эффективности выполнения ПЭВ, можно определить соотношение между оставшимся объемом работ и оставшимся бюджетом. Индикатор вычисляется путем деления результата вычитания приобретенной стоимости БСВР из бюджета по завершении БПЗ на результат вычитания фактической стоимости выполненных работ ФСВР из бюджета по завершении БПЗ.

Если значение индикатора равно единице, значит, проект выполняется точно по плану и оставшаяся работа будет выполнена в рамках бюджета. Если значение индикатора больше единицы, значит, объем оставшейся работы превышает бюджет и нужно либо увеличить его, либо работать с большей эффективностью. Если же значение индикатора меньше единицы, значит, у проекта есть запас бюджета и можно увеличить качество работы, реализовать дополнительные задачи и т. п.

При осуществлении мониторинга и контроля проекта, был использован метод освоенного объема. Метод основан на применении ряда числовых показателей, рассчитываемых по ходу проекта. Информационное обеспечение данного метода опирается на данные бухгалтерского и управленческого учёта и последующем калькулировании себестоимости проекта, разложенного в рамках финансового планирования по видам затрат на единой временной шкале. В рамках контроля исполнения отслеживается поэтапное исполнение соответствующих этапов. Постоянное отслеживание освоенного объёма и других показателей позволяет менеджеру проекта прогнозировать как успешность его завершения, так и риски выхода из намеченных сроков, бюджета и др.

ВЫВОДЫ ПО ГЛАВЕ 3

В процессе инициации проекта были определены основные выгоды от реализации проекта:

• улучшится устойчивость, стабильность электронной почты;

• быстрое и эффективное восстановление работы электронной почты в чрезвычайных ситуациях;

• удовлетворение требований преподавателей, руководства, студентов, аудиторов и других заинтересованных структур;

• идентификация, защита от негативных воздействий и обеспечение непрерывной работы электронной почты;

• обучение персонала выполнению эффективных ответных мер в случае инцидента или нарушений работы электронной почты;

• понимание и установление требований причастных сторон;

• обеспечение персонала необходимой поддержкой и средствами обмена информацией в случае возникновения инцидентов и нарушений деятельности;

• дополнительная защита репутации организации;

• и т.д.

Был составлен основной документ проекта – устав проекта, в нем задокументированы основные требования заказчика, определены участника проекта и их функции (руководитель проекта со стороны заказчика, руководитель проекта со стороны исполнителя, аналитик, инженеры, внешний эксперт), определены основные задачи и их результат. Определен бюджет проекта, он составляет 26750 рублей.

При разработке проекта был составлен структурный план проекта состоящий из 7 крупных этапов (Подготовка проекта по обеспечению непрерывности сервиса электронной почты ОУ;Анализ воздействия на бизнес; Анализ рисков прерывания функционирования сервиса электронной почты; Разработка стратегии управления непрерывностью сервиса электронной почты ОУ; Тестирование стратегии управления непрерывностью сервиса электронной почты ОУ; Проведение тренингов по УНБ; Завершение проекта) и 97 задач. Длительность проекта 86 дней.

ЗАКЛЮЧЕНИЕ

В магистерской диссертационной работе автор изучает процесс управления непрерывностью бизнеса. По результатам проделанной работы можно сделать следующие выводы:

•  

  1. Недостаточная научно-теоретическая разработанность нового подхода – управления непрерывностью бизнеса обусловила необходимость создания соответствующей методологической базы. Для этого автором был исследован один из основополагающих аспектов управления непрерывности бизнеса – непрерывность деятельности ИТ-сервисов образовательного учреждения.

  2. Проведен обзор наиболее известных отечественных (серия стандартов ГОСТ 53647) и зарубежных (BS 25999, BS 25777:2008, AS 77:2006) стандартов в области управления непрерывностью деятельности. Ценность использования стандартов УНБ заключается в экономии значительных ресурсов за счет возможности использования чужого опыта и лучших практик для собственной выгоды. Однако никакой стандарт не охватывает весь объект управления в деталях. Каждый профессионал в своем деле должен быть знаком со всеми основными стандартами своей профессии.

  3. Установлена экономическая целесообразность внедрения системы управления непрерывностью бизнеса. Внедрение программы управления непрерывностью деятельностью образовательного учреждения даст положительный экономический эффект. Решение по обеспечению непрерывности деятельности ОУ значительно снизит объем финансовых потерь, за счет снижения возможных простоев и сбоев в работе. Хотя обеспечение непрерывности бизнеса приводит к дополнительным «непроизводительным» расходам, руководству организации следует на них пойти, чтобы не подвергать организацию риску потенциальных огромных потерь. В среднем затраты на обеспечение непрерывности бизнеса составляют примерно 2% от общего бюджета в сфере информационных технологий.

  4. Проанализированы требования к обеспечению непрерывности деятельности образовательного учреждения. Проблемы обеспечения непрерывности деятельности образовательного учреждения имеет ряд специфических особенностей. Это связано со следующими особенностями:

• Корпоративная сеть ВУЗа строится обычно на концепции «скудного финансирования»;

• Как правило, корпоративные сети не имеют стратегического развития. Это значит, что топология сетей их техническое и программное обеспечение рассматривается с позиции текущих задач;

• В одной корпоративной сети ВУЗа решаются две задачи: обеспечение образовательной и научной деятельности и решение задач управления образовательными и научными процессами;

• Планы комплексной информационной безопасности, как правило, либо отсутствуют либо не соответствуют современным требованиям.

Поэтому крайне необходимо уделять особое внимание информационной безопасности в образовательном учреждении. А также необходимо разрабатывать программу управления непрерывностью деятельностью образовательного учреждения с учетом специфики ВУЗа.

•  

  1. Разработанна методика программы управления непрерывностью ИТ-сервисов образовательного учреждения. Которая позволит:

• выявить критичные бизнес процессы образовательного учреждения, провести анализ рисков, составить реестр риска на основе предложенного шаблона, оценить уровень зрелости организации на основе стандарта COBIT, разработать стратегию непрерывности деятельности образовательного учреждения;

• разработать планы обеспечения непрерывности образовательной деятельности;

• Протестировать планы обеспечения непрерывности образовательной деятельности.

•  

  1. Разработан шаблон программы управления непрерывностью образовательного учреждения. Целью данного документа является в случае сбоев в работе критически важных сервисов обеспечить их восстановление на резервном оборудовании, определив четкую последовательность действий, которые должны выполнить сотрудники организации.

  2. Предложены рекомендации по применению проектного менеджмента при разработке программы управления непрерывностью ИТ-сервисами образовательного учреждения. А также установлены преимущества, применения проектного менеджмента при разработке программы управления непрерывностью деятельности образовательного учреждения. Во-первых, комплексный и законченный подход к управлению проектом; во-вторых, определение для процесса всех ресурсов, инструментов и результатов; в-третьих, изначально выявляются риски, которые ставят под угрозу успех проекта, и заранее разрабатываются меры по их предотвращению; в-четвертых, деятельность участников проекта становится прозрачной, легко контролируемой и управляемой. Ведь о проекте всегда известно, в какой стадии он находится: каковы результаты, сколько ресурсов уже истрачено, и сколько их еще потребуется при сохранении нынешних тенденций.

  3. Предложена методика проведения анализа рисков образовательного учреждения на основе построения реестра рисков и стандарта COBIT, для этого разработаны соответствующие шаблоны;

  4. Для практической реализации предложенных рекомендаций разработан проект по обеспечению непрерывности функционирования сервиса электронной почты образовательного учреждения.

Таким образом, реализация основных положений выполненного исследования позволяет комплексно подойти к осуществлению мероприятий по управлению непрерывностью деятельности образовательного учреждения с методической, организационной точек зрения. Содержащиеся в магистерской диссертационной работе положения могут быть использованы образовательными учреждениями, обладающими любой организационной структурой, что подчеркивает широкий методический характер исследования.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

Книги

1. Басовский Л. Е., Протасьев В.Б.“Управление качеством”, учебник, М, ИНФРА-М, 2008г.

2. Гультяев А.К.,Управление проектами Microsoft Project 2000.-2002

3. Дрожжинов В.И., Моисеенко Г.Е. Непрерывность бизнеса и проблема 2000 года. Серия изданий «Связь и бизнес». — М.: МЦНТИ, 2002. 86 с.

4. Дульзон. А.А.Управление проектами: учебно-методическое пособие по курсовому проекту – Toмск : Изд-во Томского политехнического университета, 2010. – 112 с.

5. Ипатова Э.Р., Ипатов Ю.В. Практикум по проектированию информационных систем: Учеб. пособие. – Магнитогорск: МаГУ, 2004. – 116 с.

6. Козлов, А.С. Проектирование и исследование бизнес-процессов: учеб. пособие/ А. С. Козлов. – М.: Флинта: МПСИ, 2006. – 272 с.

7. Куликова Е. Е. Управление рисками. Инновационный аспект: учебник, -Бератор-Паблишинг, 2008-112с.

8. Литвак, Б.Г. Разработка управленческого решения: Учеб. / Б.Г. Литвак. – М.: Дело, 2000. – 392с.

9. Петренко С.А., Симонов С. В. Непрерывность бизнеса. Ваш бизнес будет продолжаться. – Компания АйТи ; ДМК Пресс, 2011.

10. Петренко С.А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. - М.: Компания АйТи ; ДМК Пресс, 2004. - 384 с.

11. Хохлов Н. В. Управление риском. «Юнити-Дана», 2006. -240с.

12. Project Management Institute, Inc Руководство к своду знаний по управлению проектами (руководство PMBOK). Четвертое издание.-2008г

Авторефераты

1. Andrea McGee Prud'homme. Business continuity in the supply chain: planning for disruptive events. Michigan State University, 2008. - p.207

2. Davison Christopher B. Leadership characteristics as determinants of business continuity and disaster recovery planning: A correlational research investigation within institutions of higher education - Capella University, 2008 , - p. 132.

3. Laseck Anthony J. Assessing and Exploring Strategic Business Continuity Planning Methods in Michigan Small Businesses - Prescott Valley, Arizona: - 2009, - p. 132

4. McGee Andrea Prud'homme Continuity in the supply chain: planning for disruptive events - Michigan State University: - 2008, - p. 219

5. Michael Barbara Determining the critical success factors of an effective business continuity/disaster recovery program in a post 9/11 world: A multi-method approach - Canada: Concordia University, 2006, -p.161

6. Siloing Baker Mark W amongst practitioners of business continuity and other risk-based disciplines - Canada: Royal Roads University, 2009, - p.98.

7. Андреев М.В. Оценка рисков и их влияния на непрерывность бизнеса на рынке недвижимости : диссертация кандидата экономических наук : 08.00.10 / Андреев Максим Владимирович; (Место защиты: Рос. гос. торгово-эконом. ун-т). - Москва, 2008. - 154 с.

Статьи в периодических журналах

1. Cerullo Virginia, Michael J Cerullo Business continuity planning: a comprehensive approach // information systems management 2004, № 21, p.9

2. Cooke, D. L., & Rohleder, T.R. . Learning from incidents: from normal accidents to high reliability. System Dynamics Review, 22(3),2006. p.213

3. Elaine S Price The Technology of business continuity // Risk Management. New York: Apr 2004. Том 51, p. 48

4. Nollau Barbara Disaster Recovery and Business Continuity // Journal of GXP Compliance 2009, 13, 3, p.51

5. Акатьева М. Непрерывность бизнеса. Подходы к использованию нового Указания ЦБ РФ 21946У: поиск «золотой середины». // Jet Info, 2009, №10.

6. Альтерман Б. Управление непрерывностью бизнеса и управление операционными рисками. Где курица и где яйцо? // Jet Info, 2008, №7.

7. Альтерман Б.Д., Дрожжинов В.И., Моисеенко Г.Е. Обеспечение непрерывности деятельности организации в нештатных ситуациях. // Jet Info, 2003, №5.

8. Альтерман Б.Д., Дрожжинов В.И., Моисеенко Г.Е. Руководство по составлению Плана действий для Отдела Информационных технологий. // Jet Info, 2003, № 8.

9. Альтерман Б.Д., Задорожный В.В., Лукин Р.В., Лукичев А.Е., Мусатов К.В., Шилин С.Н. Обзор технологий обеспечения непрерывности ИТ- сервисов в чрезвычайных ситуациях. // Jet Info, 2005, № 11.

10. Британский стандарт BS 25999_1:2006. Управление непрерывностью бизнеса. Часть 1: свод правил. ICS 03.100.0 // Jet Info, 2007, 8, -С. 2-12.

11. Великанова О. Не стоит обольщаться // «Эксперт Северо-Запад» №5 (451) 08 февраля – 15 февраля 2010.

12. Вендров А.М. Методы и средства моделирования бизнес-процессов (обзор). // Jet Info, 2004 № 10.

13. Гузик С. Стандарт управления информационными технологиями на предприятии CobiT // Jet Info, 2003. №1.

14. Давлеткиреева Л.З., Чусавитина Г.Н. Анализ и установление уровня зрелости информационной инфраструктуры организации для управления непрерывностью бизнеса // Современные информационные технологии и ИТ-образование Сборник избранных трудов VII Международной научно-практической конференции. Под редакцией профессора В.А. Сухомлина. 2012. С. 529-544.

15. Кайль В.Н. Методические подходы к оценке рисков предприятия // Вестник СГСЭУ, 2008 – №1 (20). – С. 29-33.

16. Кайль В.Н. Управление рисками на основе комплексного подхода. Социально-экономические процессы: эффективность и качество управления: Сборник научных трудов – Саратов: СГСЭУ, 2006. – С. 166-171

17. Козина И.М. Case study: некоторые методические проблемы //Рубеж (альманах социальных исследований). 1997. № 10-11. - С. 177-189

18. Муравьев, Д. Обеспечение непрерывности и создание отказоустойчивых решений. //Защита информации/ -2009. - № 2 – С.32-34.

19. Муравьев, Д. Надежность приложений в виртуальной среде. //Защита информации/ -2009. - № 2– С.30-31.

20. Мусатов К. Комментарии ко второй части стандарта «BS 25999: Управление непрерывностью бизнеса. Спецификации». Jet Info №7 (2008).

21. Мусатов К. Комментарии ко второй части стандарта «BS 25999: Управление непрерывностью бизнеса. Спецификации». // Jet Info №7, 2008 г. - C. 3-25.

22. Мусатов К. Непрерывность бизнеса. Подходы и решения.// Jet Info №5, 2007 г. - C. 4-19.

23. Мусатов К. Этюды об управлении непрерывностью бизнеса // Jet Info №11, 2008 г.

24. Непрерывность бизнеса. Подходы и решения.// Jet Info, 2007 №5

25. Пестун В., Андреев Н., Гуткин Б., Поздняков В. Функциональная стабильность и непрерывность бизнес-процессов на основе динамического моделирования// Intelligence. №13 (188), 11 сентября 2008 г.

26. Петренко, С.А. Декомпозиция процессов организации. //Защита информации/ -2010. - №4– С.8-17.

27. Петренко, С.А. Жить по правилам непрерывности //Защита информации/ -2008. - № 5 – С.60-67.

28. Петренко, С.А. Жить по правилам непрерывности //Защита информации/ -2008. - № 4 – С.44-52.

29. Петренко, С.А. Лучшая практика создания корпоративных программ BCM //Защита информации/ -2009. - № 2 – С.12-29.

30. Петренко, С.А. Учебные программы по вопросам устойчивости критически важных инфраструктур //Защита информации/ -2010. - № 6 – С.44-45.

31. Петренко, Ю.А. Стандарты непрерывности и устойчивости деятельности //Защита информации/ -2011. - № 2 – С.38-48.

32. Петренко, Ю.А. Стандарты непрерывности и устойчивости деятельности //Защита информации/ -2011. - № 3 – С.33-38.

33. Петросян Е.Р., Шолкин В.Г., Мелентьева Н.М. «Менеджмент непрерывности бизнеса» - Мир стандартов № 5 (36), 2009. - С. 11.

34. Ремизова О., Петренко С. Управление непрерывностью вашего бизнеса. // IT Manager #1, 2004, - С.13.

35. Симонов С. Технологии и инструментарий для управления рисками. // Jet Info 2003, №2.

36. Улфелдер С. Непрерывность бизнеса: классические ошибки – «Открытые системы» Computerworld: 2008, - с. 13.

37. Управление рисками: обзор употребительных подходов (часть 1) // Jet Info, 2006, №11.

38. Управление рисками: обзор употребительных подходов (часть 2) // Jet Info, 2006, №12.

39. Чусавитина Г.Н. Исследование и разработка методов и средств управления непрерывностью бизнеса в системе высшего профессионального образования // Современные проблемы науки и образования Материалы внутривузовской научной конференции преподавателей МаГУ. Магнитогорский государственный университет, 2012. С. 260.

40. Чусавитина Г.Н. Формирование компетентности в области менеджмента непрерывности бизнеса// Инновационные информационные технологии, 2012, № 1. С. 573-575.

41. Чусавитина Г.Н., Чусавитин М.О. Анализ непрерывности бизнес-процессов и поддерживающей инфраструктуры вуза в сфере электронного образования // Современные проблемы науки и образования, 2012, № 5. С. 266.

Стандарты

1. BS-25999 (2006). Business continuity management – Part 1: Code of practice. London:BSI.

2. Federal Financial Institutions Examination Council. Business Continuity Planning. IT Examination Handbook. - FFIEC ,2008 - p. 50

3. Financial Services Authority Business Continuity Management Practice Guide- FSA ,2006 -p. 40

4. HB 292-2006 A Practitioners Guide to Business Continuity Management.- Standards Australia, 2006 - p. 171

5. ISO/PAS 22399:2007 Societal Security: Guideline for Incident Preparedness and Operational Continuity Management. International Standards Organisation, Geneva, 2007 -p. 99

6. Британский стандарт «BS 25999-2:2007: Управление непрерывностью бизнеса. Часть 2: Спецификация» (перевод на русский язык ООО «Глобалтраст солюшинс».)

7. ГОСТ Р 53647.1-2009. Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство

8. ГОСТ Р 53647.2-2009. Менеджмент непрерывности бизнеса. Часть 2. Требования

9. ГОСТ Р 53647.3-2010. Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению

10. ГОСТ Р 53647.4 – 2011 «Менеджмент непрерывности бизнеса. Часть 4. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности»

11. ГОСТ Р 53647.5– 2012 «Менеджмент непрерывности бизнеса. Часть 5. Готовность к опасным ситуациям и инцидентам»

12. ГОСТ Р 53647.6 – 2011 «Менеджмент непрерывности бизнеса. Часть 6. Требования к системе менеджмента персональной информации для обеспечения защиты данных»

Интернет источники

1. Disaster Recovery Institute International (DRII) – The Institute for the Continuity Management (образовательная независимая организация, сертифицирующая специалистов в области планирования непрерывности бизнеса) Режим доступа

2. Information Systems Audit and Control Association (ISACA) Режим доступа

3. Башкаев Д.В. Внедрение инновационных технологий управления бизнес-кризисами на основе стандартов менеджмента непрерывности бизнеса// Всероссийская научно-практическая конференция «Инновационные технологии и управление бизнес-кризисами» Режим доступа

4. Дрожжинов В.И. Непрерывность бизнеса: рынок формируется. Режим доступа

5. Занин С.Г. План обеспечения непрерывности бизнеса// Режим доступа

6. Концепция Непрерывности Бизнеса // ЗАО «Депозитарно-Клиринговая Компания» Режим доступа

7. Культура безопасности жизнедеятельности. // МЧС России. Режим доступа

8. Международная специализированная конференция по непрерывности бизнеса и управлению рисками BCR – business continuity Russia 2009 Режим доступа от 02-07-2009 13:58

9. Непрерывность бизнес-процессов и отказоустойчивость.// Веб-сайт компании АйБиЭм, Режим доступа

10. Раздел сервера, посвящённый планированию непрерывности бизнеса. // Администрации малого бизнеса США. Режим доступа

11. Режим доступа — сервер независимого американского журнала по вопросам восстановления после бедствия (Disaster Recovery Journal).

12. Русскоязычный информационный портал по вопросам управления и планирования непрерывности бизнеса. Режим доступа 0,7, это означает, что организация находится в весьма зрелой стадии применения ИТ и уже нуждается не в разработке полномасштабной ИТ-стратегии, а скорее в планировании их развития, наращивания функциональности и расширения контуров внедрения;

13. если M находится в интервале от 0,3 до 0,7, это означает, что организация, с одной стороны, имеет достаточный уровень зрелости, а с другой стороны, нуждается в определении ИТ-стратегии.

Код для цитирования: Скопировать