ИТ-портал компании «Инфосистемы Джет»

Непрерывность бизнеса в контексте импортозамещения

Непрерывность бизнеса в контексте импортозамещения

Когда мы говорим о непрерывности, то в первую очередь имеем в виду непрерывность бизнеса, а не отдельных процессов. При этом если после 2014 года в рамках обеспечения непрерывности работы отдельных департаментов (например, ИТ) анализировались и исследовались сценарии, влияющие на оборудование и технологии, то ситуация 2018 года с компанией «РУСАЛ»  показала, что достижение непрерывности бизнеса получило наивысший приоритет для российских компаний. Это уже не только вопрос замены ИТ-оборудования или технологий, но и оценка и понимание того, как действовать в случае потери рынков сбыта, поставщиков и финансовых инструментов. Это особенно актуально для промышленного сектора экономики, где выход из строя ИТ-инфраструктуры, возможно, и не приведет к остановке бизнеса полностью, но может создать угрозу жизни и здоровью людей.

Очевидно, что подобные риски невозможно игнорировать: компании уже ощутили их влияние и готовят и/или претворяют в жизнь программы импортозамещения или даже импортоопережения. Рассматриваемые сценарии можно условно разделить на две категории. Мягкий вариант: некоторые зарубежные производители отказываются поставлять оборудование, оказывать гарантийную и техническую поддержку, поставлять новые версии ПО, а также отзывают лицензии. Жесткий вариант предусматривает в том числе атаки на инфраструктуру с использованием недокументированных возможностей (так называемых закладок).

Последствия первого варианта подразумевают отсутствие возможности модернизации инфраструктуры, добавления в приложения нового бизнес-функционала, решения возникающих проблем с оборудованием и ПО. Это означает, что time-to-market для новых услуг и сервисов будет непрогнозируемым (а точнее, непрогнозируемо великим), а развитие бизнес-функционала, возможно, будет вообще полностью остановлено. И даже если предположить, что бизнес в таких условиях будет развиваться, ИТ не смогут его поддержать. Также в случае возникновения инцидентов, связанных с оборудованием или ПО, компетенций ИТ-специалистов компании, скорее всего, будет недостаточно для их устранения, что при наихудшем сценарии повлечет за собой остановку бизнес-процессов.

При жестком варианте в час «Х» ИТ-инфраструктура, построенная на оборудовании некоторых зарубежных компаний, может быть отключена из-за использования недокументированных возможностей. К таким или похожим выводам при анализе ситуации приходят все крупные российские корпорации. Вопрос: что с этим делать? Ниже мы даем ответы — обозначаем главные пункты дорожной карты импортозамещения.

С чего начать?

Прежде всего в компании должен быть создан центр компетенций по обеспечению непрерывности деятельности и импортозамещению, причем его должен всесторонне поддерживать топ-менеджмент. Это ключевой фактор успеха, иначе все усилия по импортозамещению превратятся в профанацию и будут эффективны исключительно на бумаге.

Эксперты центра проведут оценку угроз и сформируют матрицу рисков. Это станет отправной точкой для планирования дальнейших действий. Если говорить об ИТ, то каждое решение здесь должно приниматься с учетом матрицы рисков и с пониманием того, что повлечет за собой использование той или иной технологии в ИТ-ландшафте предприятия.

Также центр компетенций сформирует дорожную карту превентивных мероприятий, которые снизят либо вероятность возникновения риска, либо потенциальные нежелательные последствия от его реализации.

Заключительным этапом будет разработка планов BCP/DRP/ОНиВД. Необходимо сформировать описание пошаговых действий в случае срабатывания рискового события из матрицы рисков. Отметим, что один из обязательных пунктов BCP (Business Continuity Planning) — это создание антикризисного комитета на уровне топ-менеджмента. В плане также прописываются действия на уровне отдельных подразделений и/или дочерних обществ.

И последнее, но не менее важное. Документы документами, но самое главное — это сделать все, для того чтобы описанные в них действия не остались словами на бумаге в случае наступления того или иного риска. Это означает, что необходимо проводить регулярное тестирование как решений, так и планов непрерывности деятельности.

Мягкий вариант. Отказ от поставки, поддержки, обслуживания

Превентивные мероприятия

• Планирование миграции приложений на российские аналоги или использование Open Source решений.

• Планирование миграции на серверы с отечественной элементной базой или на «машины» от производителей стран БРИКС.

• Планирование миграции сетевой инфраструктуры и ИБ-систем на российские аналоги.

• Локализация разработки (как вариант, предоставление исходных кодов ПО российской «ИТ-дочке»).

• Привлечение компаний-посредников для закупки оборудования.

• Наращивание внутренних компетенций, чтобы в случае отказа от поддержки можно было обеспечить работу ИТ-инфраструктуры на время переходного периода своими силами (пока поддержка не будет передана компании-подрядчику).

• Заблаговременная закупка ЗИП и оборудования для обеспечения модернизации ИТ-инфраструктуры в случае наступления риска.

Жесткий вариант. Ожидаем атаку на инфраструктуру

Превентивные мероприятия

• Защита периметра и инфраструктуры инструментами информационной безопасности российского производства, сертифицированными ФСТЭК.

• Проверка в специализированных компаниях ключевых узлов инфраструктуры на недокументированные возможности и закладки на уровне элементной базы.

• Подготовка горячего резерва — российских аналогов оборудования. Также стоит рассмотреть решения от производителей из стран БРИКС.

Мероприятия после срабатывания риска

• Замена «упавшего» оборудования на горячий резерв.

• Поиск оборудования для замены всех компонентов ИТ-инфраструктуры, включающих зарубежные решения.

Здесь стоит отметить, что китайские разработки оборудования, как и многие российские, базируются на процессорах Intel. И этот фактор нельзя сбрасывать со счетов при выборе «железа». Также необходимо учесть, что западные решения СХД довольно сложно полноценно заменить на российские аналоги, как минимум в части SAN и жестких дисков.

Мероприятия после срабатывания риска

• Старт проектов по плавной замене западных решений на российские аналоги или разработки стран БРИКС.

• Наращивание компетенций собственных ИТ-специалистов или привлечение подрядчика для обеспечения процессов эксплуатации и миграции.

При переходе на российские аналоги стоит учитывать, что они с высокой долей вероятности не закроют все 100% требуемого функционала. Будут и вопросы, связанные с поддержкой отечественных решений. У западных вендоров отлажены все процессы, накоплены огромные базы знаний, выстроено взаимодействие с клиентами и обеспечивается качественная поддержка силами квалифицированного персонала. Многие российские производители сделали лишь первые шаги на этом пути. Поэтому при планировании внедрения нужно будет учесть необходимость расширения штата ИТ-специалистов, организации их дополнительного обучения. Нужно также понимать, что на первых порах неизбежно возрастет срок решения проблем и устранения инцидентов.

***

Сегодня необходимо готовиться к различным вариантам развития событий, чтобы ни один из них не застал компанию врасплох. Это касается и ИТ, и общего управления компанией. Необходимо разработать матрицу рисков, дорожную карту мероприятий и постоянно осуществлять мониторинг угроз. Соответственно, и ИТ-стратегию компании на ближайшие 5–7 лет стоит обязательно рассматривать через призму импортозамещения: имеет смысл внедрять только те решения, которые не смогут создать в ИТ-инфраструктуре брешь самим фактом своего существования.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su