Критические требования к безопасности информационных систем и бесперебойности бизнеса заставляют многие компании обзаводиться резервными площадками, дублируя функции основного офиса. Что такое резервный офис? В каких случаях востребована данная услуга? Кто ее основные потребители?

Резервный офис – это помещение для организации работы сотрудников на случай чрезвычайных происшествий. Если в результате форсмажорной ситуации – террористического акта, вирусной атаки, сбоев в работе инженерных систем, пожара и т. д. выполнение ключевых функций компании затруднено или невозможно, часть сотрудников перемещается на удаленную резервную площадку с готовой инфраструктурой и уже оттуда возобновляет свою профессиональную деятельность. Другими словами, резервный офис – это «запасной» ITцентр плюс помещение с полностью оборудованными рабочими местами для персонала.
На Западе крупные компании уже давно имеют так называемые планы непрерывности бизнеса – документированное описание действий персонала по восстановлению/продолжению ключевых бизнесфункций в случае чрезвычайного происшествия. Понятно, что продолжать рабочий процесс в здании, охваченном огнем, невозможно. Сделать это можно только на удаленной площадке, где продублирована (или может быть быстро развернута) корпоративная информационная система и оборудованы рабочие места. Поэтому одно из требований плана – резервирование важнейших для компании функций, а без «запасного» офиса сделать это весьма проблематично.
Сегодня предоставление резервных офисных помещений, помещений датацентров – отдельная сфера деятельности, получившая на Западе достаточно широкое распространение. В первую очередь услуга востребована компаниями, которые стремятся минимизировать риски, связанные с остановкой производственной деятельности и потерей основных ресурсов: информационных систем, связи и т. д. Все они вкладывают немалые средства, чтобы продублировать критические для компании функции на удаленных площадках.

Требования рынка
Как отмечают специалисты, никаких жестких требований, обязывающих компании обзаводиться резервными офисами (за исключением отдельных отраслей экономики, о которых речь пойдет чуть ниже), не существует. Техническая оснащенность также индивидуальна. Все зависит от потребностей конкретной компании. Для когото организация резервного офиса не является насущной проблемой. Существует масса примеров, когда остановка в производстве не сказывается существенным образом на благосостоянии компании. Совсем другое дело, если это крупная корпорация с большим штатом сотрудников и высокими требованиями к бесперебойности осуществляемых бизнеспроцессов. «Кредитные организации, страховые общества, крупные отраслевые компании, электронные биржи... Специфика деятельности подобных компаний требует каждодневного предоставления услуг. Чтобы риск невыполнения своих прямых контрактных обязательств, а соответственно, и риски серьезных финансовых потерь были сведены к минимуму, этим игрокам рынка крайне необходимы резервные мощности», – говорит Алексей Грачев, директор по ITконсалтингу компании EMC в России и СНГ.

Закон есть закон
Поскольку полностью застраховаться от внештатных ситуаций невозможно и аварии разного рода случаются постоянно, во многих странах для критических отраслей экономики (оборона, транспорт, связь, энергетика, банковская система) существует комплекс требований по обеспечению непрерывности бизнеса. Специальные акты предписывают компаниям иметь резервные и аварийные активы, которые позволят оставаться «на плаву» что бы ни случилось. «Сейчас широкую огласку получило международное регулирование работы банковской сферы, известное как Basel II (Basel Committee on Banking Supervision, located Basel, Switherland), которое устанавливает жесткие стандарты управления рисками в банковской сфере, – рассказывает Алексей Грачев. – Одно из требований Basel II – хранить и анализировать бизнесинформацию в течение длительного времени, как минимум 7 лет. Существуют и другие требования. Наличие индивидуального для банка плана обеспечения непрерывности критических функций – одно из них».
Также можно вспомнить о существовании другого требования, в значительной степени обязывающего крупные компании предусматривать резервирование основных функций. Причиной появления этого акта послужил один неприятный факт, несколько лет назад всплывший в Соединенных Штатах. Выяснилось, что многие компании искажали финансовую отчетность, намеренно завышая свои доходы. В ответ в 2002 году вышел закон – SarbanesOxley Act – о борьбе с корпоративным и бухгалтерским мошенничеством, обязывающий проводить сторонний аудит тех компаний, которые торгуют своими акциями на фондовом рынке (действие данного законодательства, принятого в США, распространяется на все страны, входящие в ВТО). Один из пунктов проверки – аудит плана непрерывности бизнеса. Следует оговориться: требования к безопасности бизнеса не для всех одинаковые. В зависимости от конкретной компании они могут быть индивидуальны, главный критерий – план непрерывности бизнеса должен быть эффективен и адекватен тем рискам, которым подвергается данная компания.
Как действует этот механизм? «Независимые специалисты проводят аудит компании, в том числе и с точки зрения безопасности информационных систем и бесперебойности бизнеспроцессов, – рассказывает Дмитрий Иванов, директор по развитию компании «Статус Недвижимость». – Если в результате проверки выяснится, что план непрерывности бизнеса неэффективен, компания не имеет резервного офиса, не продублирована ITсистема, составляется соответствующий документ. В нем отмечается, что данная организация не отвечает установленным требованиям. Соответственно, эта информация становится открытой для акционеров, которые оценивают, насколько «непотопляем» проинвестированный ими бизнес». «Ранее требования к непрерывности бизнеса носили скорее формальный характер: любая бумага, на которой был написан план и поставлена подпись с печатью, считалась пригодной для пользования, – комментирует ситуацию Алексей Грачев. – Сегодня – после финансовых скандалов – аудит приобрел реальные очертания. Даже если никакой аварии не произошло, но аудиторская проверка выявила серьезные нарушения, компанию берут на заметку проверяющие органы. И на Западе известны случаи, когда к корпорациям предъявлялись миллионные иски за недостаточное соблюдение требований этого законодательства».

Продавцы резервов
Для создания резервного офиса не всегда требуется аренда специализированного помещения: компании, располагающие несколькими удаленными друг от друга офисами или зданиями, могут выйти из положения за счет гибкости собственной инфраструктуры. В случае аварии или сбоя в работе одного из зданий рабочие места в оставшемся производственном фонде – согласно плану аварийного восстановления бизнеса – перераспределяются так, чтобы обеспечить основные бизнесфункции. Такое решение имеет право на жизнь, и вполне можно доказать, что оно работоспособно. В крайнем случае, отмечают специалисты, расположить резервную площадку можно в другом крыле большого здания, если исключить риск аварии, способной вывести из строя все здание целиком.
Если здание одно и все критические функции находятся там, единственным выходом будет создать собственный резервный офис или арендовать его. Однако, как отмечают специалисты, наличие собственного резервного центра – удовольствие недешевое. «Это дорогостоящий проект. И для того, чтобы компания приняла решение о необходимости создания собственного резервного офиса, требуются очень веские причины, – поясняет Леонид Дариенко, первый заместитель генерального директора ЗАО «АМТ». – Это могут позволить себе только крупные, высокобюджетные организации. Другие компании, сталкиваясь с необходимостью дублирования функций основного офиса, пользуются услугами центров для хранения данных коллективного пользования (датацентр)».
Кроме того, услугу «резервный офис» могут предоставлять непрофильные компании, волей случая ставшие обладателями объекта с избыточной площадью. Никто не мешает им получать дополнительный доход, сдавая свободные помещения под нужды резервного офиса. Также собственник комплекса может часть площадей сдавать в аренду для целей резервирования основных функций компании.

Датацентр
Существуют специализированные компании, для которых предоставление резервных площадей является частью или основным видом деятельности. В одном из предыдущих номеров мы писали о датацентрах – специализированных площадках для хранения и эксплуатации ITсистем, работающих по принципу аутсорсинга. Еще одна услуга центра обработки данных – предоставление помещений для размещения резервного офиса. «Инфраструктура резервного офиса включает в себя серверное оборудование клиента, рабочие станции и инфраструктуру корпоративной сети, – рассказывает Рустем Накипов, директор по развитию ITкомпании Stack Group. – Кроме того, здесь организована телефонная и факсовая связь, предусмотрено подключение различного оборудования, необходимого для продолжения коммерческой деятельности клиента, и обеспечение необходимых дополнительных каналов связи».
Технические возможности датацентра позволяют резервировать ITсистемы и организовать резервный офис компаниям с высокими требованиями к безопасности бизнеса. В таких центрах есть несколько систем, обеспечивающих информационную безопасность на самых разных уровнях: системы обнаружения вторжений, резервирование данных, физическая защита оборудования, система контроля доступа. Критические требования, которые предъявляются к информационному оборудованию датацентра, в полной мере распространяются и на инженерные системы, которые в данном случае являются дополнительным гарантом надежности. Так, на объекте должен быть предусмотрен климатический контроль с резервной системой, система естественного вентилирования, обнаружения источников возгорания, газового пожаротушения, бесперебойного электропитания с двойным резервированием, резервная дизельгенераторная установка, дублированные волоконнооптические линии и т. д.
«Как правило, собственные серверные или инфраструктура bаckофиса по своим возможностям не могут обеспечить даже близкий уровень безопасности и надежности, свойственный специализированному центру обработки данных (ЦОД), – считает Людмила Старикова, директор по маркетингу WideXs. – Сложно представить, что компании будут держать в штате собственных специалистов по дизельгенераторам, по системам кондиционирования и т. д. Следует отметить: размещая у себя ITсистемы заказчиков, ЦОД разделяет с клиентом риски, связанные с безопасностью и непрерывностью бизнеса. Именно поэтому Basel II настоятельно рекомендует финансовым организациям создавать резервные площадки по принципу аутсорсинга. То есть не создавать собственными силами всю систему, а именно арендовать специализированное помещение, обеспечивающее физическую безопасность, работоспособность и высокую доступность размещенного там оборудования. Подобные опции наглядно иллюстрируют западные стандарты: обеспечение непрерывности не является профильным видом деятельности, поэтому инвесторы просто не поверят, что все можно сделать своими руками».

Стоимость услуг
Центр обработки данных предлагает корпоративным клиентам два вида услуг: эксклюзивную аренду резервного офиса (здесь ставки сравнимы с обычной арендой) и совместное пользование, так называемый share, когда на одни и те же рабочие места претендуют несколько компаний. «Этот вариант пользуется наибольшим спросом, – комментирует Рустем Накипов. – Данная услуга позволяет клиентам значительно сэкономить на арендных ставках: за счет большего количества участников стоимость аренды значительно снижается».
Воспользоваться такой услугой могут и те, кому не по карману эксклюзивная аренда. Однако здесь многим компаниям приходится преодолевать психологический барьер. Так, например, специалисты часто сталкиваются с проблемой: как делить одни и те же рабочие места, если чрезвычайное происшествие в одно и то же время случится у нескольких арендаторов? Не будет ли заблокирован доступ только потому, что ктото объявил об аварии первым (по правилам подобных контрактов сначала обслуживается именно этот арендатор). «Объяснение простое: любое резервирование не является панацеей – это лишь средство максимально минимизировать риск, – рассказывает Алексей Грачев. – Потенциальные пользователи не всегда понимают, что при соблюдении определенных условий совместная аренда может быть не менее надежна, чем эксклюзивное пользование. Снизить риск возникновения подобных ситуаций можно, предусмотрев ряд мер. К примеру, офисы компаний на случай пожара должны быть удалены друг от друга. Компании должны пользоваться разными телекоммуникационными провайдерами. Здания, в которых расположено производство, не должны питаться от одной электрической подстанции и иметь одного собственника – на случай ареста имущества, и располагаться на одной стороне реки – во избежание паводка и т. д. Все эти риски просчитываются и снижаются до весьма приемлемого уровня, цена же становится существенно ниже».
В среднем резервный офис стоит от $300 до $500/кв. м в год. Плюс аренда сетевой инфраструктуры (стоек), расположенной в других модулях (помещениях). По мнению Людмилы Стариковой, в среднем стоимость стоек в зависимости от потребления энергии колеблется в диапазоне от $800 до $1500 за стойку в месяц (42U).

Пока гром не грянет...
Пока данная услуга датацентра (как и аутсорсинг ITсистем в целом) в России мало востребована. Специалисты отмечают несколько причин. Одна из них – многие компании опасаются отдавать свои информационные системы на аутсорсинг изза боязни утечки информации. «Пока российские компании неохотно доверяют сторонним организациям хранение своей конфиденциальной информации, опасаясь, что ущерб от утечки информации может быть не менее глобальным, чем несколько часов «простоя», – комментирует ситуацию Леонид Дариенко. – Большинство российских компаний для резервного хранения данных предпочитают использовать стриммеры или резервировать информацию на территориально распределенных офисах».
«Руководители крупных корпораций не могут преодолеть психологический барьер, ошибочно полагая, что за счет собственных средств им в большей степени удастся обеспечить конфиденциальность секретной информации, – считает Алексей Грачев. – Однако, как показывает практика, основной риск утечки исходит не от администраторов датацентра, для которых любая информация – это только мегабайты данных, а от собственных сотрудников. Решить эту проблему могла бы практика проведения внешнего (или независимого) аудита процессов обеспечения информационной безопасности – ISO 27001, процессов IT – ISO 20000, процессов управления качеством предоставляемого сервиса – ISO 9001. Эти международные стандарты позволили бы поставщикам услуг сертифицировать свои процессы управления и гарантировать клиентам уровень сервиса, который они вправе ожидать от поставщика».
«Для центра обработки данных обслуживание корпоративных систем – основной вид бизнеса, – рассказывает Дмитрий Иванов. – Обеспечение информационной безопасности – одно из требований к датацентру и вопрос репутации компании. Мы не устаем повторять: в случае потери секретных данных проще выйти из игры, чем потом восстанавливать на рынке запятнанную репутацию».
Кроме всего прочего многие российские компании – даже очень крупные – не хотят тратить средства на создание резервных мощностей либо изза отсутствия конкурентной среды, либо по причине юридической безграмотности своих клиентов, которые, к сожалению, не имеют привычки обращаться в судебные органы в случае неполучения оплаченных ими услуг.
Однако, как отмечают специалисты, многое может измениться после вступления России в ВТО. «Как только российские компании выходят на международный рынок (например, размещают IPO на биржах), к ним предъявляются соответствующие требования: проводится сторонний аудит и оценивается степень безопасности бизнеса, – рассказывает Людмила Старикова. – Причем, согласно западным стандартам, таким компаниям рекомендуется резервировать свои функции – желательно у стороннего провайдера с международным именем».
«Россия толькотолько начинает выходить на международный рынок ценных бумаг, – поясняет Дмитрий Иванов. – Понятно, что невозможно разместить свои акции на Лондонской бирже, не соблюдая все соответствующие требования. Это заставляет российских игроков принимать международные правила игры, в том числе предусматривать резервные системы».
Кроме того, существует стандарт информационной безопасности ЦБ России (242П). Он рекомендует российским кредитным организациям резервировать свои функции. Пока стандарт не является обязательным, однако в конце этого – начале следующего года ожидается третья редакция, которая, видимо, будет регулировать этот вопрос гораздо жестче. «Услуга, по сути, только начинает развиваться. Прежде всего ею интересуются финансовые и кредитные организации, для которых вопрос даже кратковременного прерывания деятельности или потери информации очень критичен. Тем более что есть уже вторая редакция стандарта ЦБ по обеспечению информационной безопасности и непрерывности бизнеса. Думаю, что спрос на услугу будет расти, хотя на данном этапе трудно прогнозировать темпы роста», – заключает Рустем Накипов.