Все в ваших руках (С. Грищенко, "БДМ. Банки и деловой мир", N 6, июнь 2007 г.)

Все в ваших руках

Что значит для финансовой компании, чьи клиенты и контрагенты разбросаны по всему миру, остановка бизнес-процессов на несколько минут? Это неисполненные поручения, прерванные транзакции. Это не просто упущенная выгода. Такие ситуации грозят не только финансовыми потерями. Они могут нанести невосполнимый ущерб репутации компании и даже привести к ее краху. Какую стратегию выбирают организации для защиты собственного бизнеса и капитала? Об этом журналу "БДМ" рассказал Сергей Грищенко.

Связанные одной цепью

После террористического нападения на небоскребы в Нью-Йорке, где располагались несколько крупных финансовых компаний, и последовавшей за этим суматохе на финансовом рынке все заговорили о "непрерывности бизнеса". Нельзя сказать, чтобы это была новая тема, но после терактов в Нью-Йорке и Лондоне, перебоев с электричеством в Калифорнии и Москве, ураганов вроде знаменитой Катрин стало понятно, что обеспечивать непрерывность бизнеса необходимо не в отдельной компании, а в отрасли в целом. Ведь проблемы одной крупной финансовой структуры отражаются на всем рынке.

Однако настоящая непрерывность - дорогое удовольствие. Многие фирмы не имеют необходимых ресурсов для ее организации либо надеются на авось. Часто руководителям не хватает понимания проблемы и путей ее решения. А это угрожает стабильности всей финансовой отрасли.

В этом контексте логичным шагом стало создание в США в 2002 году Координационного совета по защите критических инфраструктур и национальной безопасности в секторе финансовых услуг (FSSCC), призванного способствовать укреплению финансовой устойчивости сектора услуг против террористических нападений и других угроз.

Тревоги отрасли

В 2006 году FSSCC опубликовал отчет на тему: "Какие инициативы члены FSSCC считают наиболее важными?". Исследование четко показало: финансовым учреждениям сегодня важнее чем когда бы то ни было гарантировать непрерывную доступность своих данных и основных приложений.

Чаще всего респонденты говорили о необходимости реализовать структурированный и координируемый подход к проверке устойчивости сектора. Сотрудники финансовых компаний, опрошенные в ходе подготовки отчета, утверждали, что отрасли требуются действительно эффективные, практические меры по обеспечению непрерывности бизнеса. А для этого нужно продвигать соответствующие отраслевые стандарты и рекомендации по обеспечению непрерывности и устойчивости бизнеса. Причем эти стандарты должны постоянно развиваться и совершенствоваться вместе с финансовым сектором.

Это, что называется, требования рынка. Какие же шаги предпринял сектор финансовых услуг для укрепления своей катастрофоустойчивости и обеспечения непрерывности бизнеса?

Что делается

Прежде всего свою деятельность активизировали надзорные органы, контролирующие работу компаний в отдельных секторах финансового рынка. Ассоциация фьючерсной индустрии и Ассоциация индустрии ценных бумаг организовали проверки участников своих отраслей.

Ряд организаций выдвинули требования по обеспечению непрерывности бизнеса для своих членов (например, Постановление N 446 Нью-йоркской фондовой биржи (NYSE) или Постановления N 3510 и 3520 Национальной ассоциации дилеров по ценным бумагам (NASD)). Эти правила требуют от фирм ведения журнала контактов с NYSE и NASD по вопросам безопасности, а также обязывают их в случае непредвиденных ситуаций и чрезвычайных происшествий предоставлять своим клиентам быстрый доступ к ценным бумагам и фондам. Кроме того, они указывают, что в планах по обеспечению непрерывности бизнес-процессов должны учитываться все критически важные составляющие бизнеса.

В современной экономике поставщики услуг и финансовые организации сталкиваются с необходимостью обеспечить целостность и конфиденциальность данных, передаваемых с использованием электронных средств связи. Программа сертификации от BITS призвана беспристрастно и профессионально оценить технологические и информационные продукты на соответствие строгим требованиям, предъявляемым финансовой отраслью.

Свои способы повышения катастрофоустойчивости выработали и сами участники рынка. Значительно усилился обмен критически важной информацией между финансовыми организациями. В качестве примера можно привести центр управления аварийными ситуациями SIA в Нью-Йорке, официальные отношения, установившиеся у ChicagoFIRST с государственными структурами и администрациями штатов, а также центральную базу контактной информации участников фьючерснойин-дустрии FIA, которую в аварийной ситуации можно использовать для поддержки кризисного управления.

Входящие в FSSCC деловые ассоциации помогают другим финансовым компаниям выявлять слабые звенья в своих информационно-технологических инфраструктурах и устранять их. Например, BITS - технологическое подразделение организации Financial Services Roundtable, опубликовало несколько документов с практическими рекомендациями по решению этих проблем отрасли: "BITS Kalculator: ключевой инструмент управления рисками для операционных рисков информационной безопасности", отчет "Практические рекомендации по управлению исправлениями программного обеспечения для специалистов по информационным технологиям", "IТ-служба BITS предлагает матрицу ожиданий" и другие.

Это хороший признак. Ведь какая бы устойчивая и защищенная ни была отдельная компания, если возникнут проблемы у отрасли, это отразится на всех. Поэтому жить изолированно сейчас нельзя.

Однако все это действия на уровне отрасли и компаний. На уровне отдельных сотрудников ситуация обстоит несколько по-иному.

Взгляд изнутри

С целью более подробно исследовать ситуацию с обеспечением непрерывности бизнеса в финансовой отрасли в 2006 году совместное исследование провели компания Symantec и газета The Financial Times.

Это исследование показало, что отчасти под влиянием недавних событий и отчасти в силу требований соблюдения нормативов руководители предприятий банковской сферы, сферы финансовых услуг и телекоммуникационной индустрии уделяют повышенное внимание вопросам стоимости и эффективности своих программ обеспечения непрерывности бизнеса. Респонденты отметили существенный рост соответствующих расходов в 2004 и 2005 годах и единодушно прогнозируют их дальнейшее увеличение на период до 2008 года.

Руководители подразделений стали принимать более активное участие в управлении обеспечением непрерывности бизнеса и после-аварийного восстановления. Традиционный разрыв между непрерывностью бизнеса (которой управляют руководители отделов) и задачами послеаварийного восстановления (решаемыми IТ-персоналом) сократился, так как обе группы начали понимать важность совместной работы над этими взаимосвязанными проблемами.

Однако до сих пор в большинстве компаний на уровне терминов непрерывность бизнеса подменяется защитой данных и гораздо боль-шее внимание уделяется послеаварийному восстановлению центральных хранилищ, чем сохранению или восстановлению нарушенных технологических процессов.

Но, по мнению большинства респондентов, даже при таком "усеченном" понимании проблемы компании делают явно недостаточно. Руководители, отвечающие за непрерывность бизнеса, указывают на значительные пробелы в общей готовности к аварийным ситуациям.

На сегодняшний день катастрофоустойчивость становится важным конкурентным преимуществом на финансовом рынке. Необходимость управления рисками повышает важность обеспе-чения непрерывности бизнеса. Кроме этого, несоблюдение нормативов карается суровыми санкциями. Финансовые организации могут столкнуться со все более строгими взысканиями - как за любые излишние расходы на планирование и подготовку, так и за отсутствие адекватных планов и подготовки к форс-мажорным ситуациям.

Symantec специализируется на аппаратных и программных продуктах для обеспечения сохранности данных и непрерывности бизнеса. Компания помогает финансовым учреждениям поддерживать самый высокий уровень готовности данных для клиентов и обеспечения непрерывности бизнеса перед лицом вероятных катастроф.

С. Грищенко,

руководитель отдела технических

консультантов компании Symantec

в России и СНГ

"БДМ. Банки и деловой мир", N 6, июнь 2007 г.