Xотите стать партнером?

На Форуме «IT-ЛИДЕР» CIO обсудили неожиданные аспекты старых и новых технологий.Там ли риски, где мы их ждем?

09 ноября 2005

Прошедший 8 ноября второй ежегодный Форум «IT-ЛИДЕР» собрал CIO крупнейших компаний страны. Ведущие эксперты ИТ-отрасли обсудили вопросы минимизации рисков при внедрении ИТ-решений, существующие технологии, а также поделились своим опытом в области обеспечения непрерывности бизнеса средствами ИТ.

Форум начался с пленарного заседания, на котором с докладом выступил д-р Александр Петерс, главный аналитик, руководитель CIO Group (Dr Alexander Peters, CIO Group Principal Analyst) международной исследовательской компании Forrester Research. В своем выступлении д-р Александр Петерс поделился с участниками мировым опытом применения концепции непрерывности бизнеса, ее экономических и технологических аспектах, а также рассказал о тех выводах, которые сделало мировое ИТ-сообщество из уроков 11-го сентября и урагана «Катрина».

Продолжили Форум ставшие традиционными панельные дискуссии. В этом году организаторы предложили три темы для обсуждения.

Первая панельная дискуссия была посвящена вопросам обеспечения гарантированной доступности критичных приложений, ее модератором был Руслан Заединов, руководитель направления центров обработки данных компании КРОК. Руслан предложил обсудить основные, по его мнению, пути преодоления рисков. Это технологический путь, включающий построение основного и резервного центров обработки данных, а также комплекс мер по информационной и физической защите данных, по развитию систем мониторинга и оповещения, резервированию систем жизнеобеспечения. И организационный - стратегический подход, включающий в себя полный цикл проектирования ЦОД и регламенты обеспечения непрерывности бизнеса.

Участвующие в дискуссии CIO приняли активное участие в обсуждении, так Руслан Русавский, начальник отдела системного программирования и администрирования МДМ-Банка поделился своим опытом в области обеспечения гарантированной доступности критичных приложений:
"Распределенную структуру хранения данных мы построили около года назад: банковские приложения предъявляют достаточно жесткие требования к допустимому времени простоя. Сейчас к сети хранения данных подключено около 40 серверов, этот комплекс обеспечивает надежную работу четырех действительно критичных приложений. Использовать подобные решения для приложений, которые допускают простой в течение одних-двух суток, нецелесообразно, поэтому нам потребовалось разработать критерии, с помощью которых мы можем определять степень критичности работы наших приложений для бизнеса банка. Очень важным стал процесс формализации требований представителей бизнес-подразделений банка к надежности и доступности приложений. К тому же просто построить инфраструктуру, соответствующую запросам бизнеса по доступности приложений, еще недостаточно для того, чтобы обеспечить непрерывность бизнеса. Важно, чтобы сотрудники банка четко представляли последовательность своих действий в случае возникновения критических ситуаций. Поэтому в МДМ-Банке существует утвержденный топ-менеджерами план регулярных тренировок как для ИТ-специалистов, так и для руководителей бизнес-подразделений".

Дмитрий Устюжанин, начальник отдела информационной безопасности компании "ВымпелКом" рассказал о том, каким образом в компании было принято решение о разработке плана восстановления после чрезвычайной ситуации (Disaster recovery plan, DRP):
"Запускать процесс легко, когда бизнес созрел для этого. А это время - осознания критичности обеспечения непрерывности бизнеса - наступило для большинства крупных российских компаний. Два года назад мне в руки попала уникальная видеозапись пожара в серверной комнате некой компании, которую я продемонстрировал на заседании правления. Этот довод, наряду с представленными оценками возможных потерь в случае, если подобное произойдет в нашем центре обработки данных, окончательно убедил руководство в том, насколько критична физическая защита данных. Ведь в такой компании как "ВымпелКом" простой сервисов может нанести бренду серьезный ущерб. Так было принято решение строить резервный центр обработки и хранения данных. Запуск такого дорогостоящего проекта оправдан только в случае, когда он поддерживается на уровне топ-менеджмента, и проведена тщательная оценка влияния недоступности ИТ-сервисов на бизнес (Business Impact Assesment), в которой принимают участие ключевые специалисты бизнес-подразделений компании".

Евгений Аксенов, генеральный директор ОАО "ГВЦ Энергетики" рассказал об уникальном опыте, которым обладает его компания, в области построения центров обработки данных (ЦОД) для предприятий энергетики:
"Исторически сложилось так, что уже почти сорок лет "ГВЦ Энергетики" занимается поддержкой работы информационных систем предприятий советской и российской энергетики. Нет такой компании в отрасли, которая бы не использовала наши решения и методики. Мы одними из первых в стране построили ЦОД еще задолго до того, как другие крупные компании осознали необходимость такого подхода к построению своей ИТ-инфраструктуры. Эффективность нашего решения была подтверждена во время майского энергетического кризиса этого года. В то время как часть Москвы осталась без электричества, клиенты нашего центра не пострадали.
Мы постоянно работаем над улучшением наших решений, совершенствуем методологию внедрения и технические характеристики систем. В настоящее время специалисты ОАО "ГВЦ Энергетики" активно участвуют в подготовке проекта по построению территориально-распределенной сети ЦОД для компаний энергетической отрасли".

Модератором второй панельной дискуссии выступил Михаил Башлыков, руководитель направления информационной безопасности компании КРОК. Темой стали вопросы обеспечения информационной безопасности критичных приложений. Михаил рассказал о наиболее часто применяющихся подходах, а участвующие в дискуссии CIO поделились опытом решения тех или иных задач в их компаниях, своим видением того, что сейчас является наиболее важным риском. По мнению собравшихся, одной из наиболее серьезных и недооцененной сегодня угрозой являются действия внутренних нарушителей.

Михаил Емельянников, начальник отдела информационной безопасности управляющей компании "Связьинвест" поделился своим мнением о наиболее важных факторах, являющихся определяющими для информационной безопасности:
"Я не считаю, что обеспечение информационной безопасности нужно рассматривать как самостоятельный бизнес-процесс. О бизнес-процессе можно говорить лишь тогда, когда речь идет о продаже услуг безопасности. Построение же собственной системы информационной безопасности - это создание очень сложной, но все-таки поддерживающей инфраструктуры для основных бизнес-процессов предприятия или организации.
Система информационной безопасности - это кирпичная стена, охраняющая весь периметр вашей ИТ-инфраструктуры. И количество, качество, типы, размеры и стоимость этих кирпичей, из которых складывается стена, должны определять топ-менеджеры. Это они должны брать на себя оценку и принятие рисков в информационных системах компании, а не те, кто берет их на себя сейчас - руководители подразделения безопасности или ИТ-подразделения.
По данным исследования InfoWatch, самые опасные для компаний риски, связанные с ИТ, это действия инсайдеров и халатность сотрудников. А самыми распространенными путями утечки информации являются почта, Интернет и интернет-пейджеры, такие, как ICQ. И в то же самое время системы защиты от утечки данных составляет всего 1% среди внедряемых систем ИБ, тогда как антиспам- и антивирус-системы сверхпопулярны. Основным препятствием для внедрения систем защиты от утечки информации 58% опрошенных считают отсутствие соответствующих технологических решений. Хотя и мы с вами, и присутствующие в зале интеграторы и поставщики продуктов с ходу назовут не один десяток таких решений и технологий. Думаю, что подобные результаты анкетирования говорят о проблеме недостаточной квалификации многих ИТ-специалистов и специалистов по безопасности."

Дмитрий Устюжанин, начальник отдела информационной безопасности компании "ВымпелКом" продолжил тему рисков информационной безопасности и рассказал о некоторых практических мерах борьбы с ними:
"Мы говорим о безопасности, а безопасность оценивается рисками. Основные риски, я считаю, связаны с самими бизнес-процессами и людьми, которые ими занимаются. Например, у нас в компании 350 информационных систем и около 15 тысяч пользователей по всей России. В связи с этим возникает масса вопросов: кто имеет доступ к информационным ресурсам, кем и как распределяется доступ... Поэтому мы простроили процесс предоставления доступа и внедряем у себя систему IBM Tivoli Identity Manager, которая консолидирует информацию о пользователях и системах и позволяет автоматизировать исполнение заявок в процессе предоставления доступа. Для доступа к наиболее критичной информации и удаленного доступа внедрена система использования смарт-карт и цифровых сертификатов. Все это в совокупности дает возможность решать проблемы информационной безопасности, связанные с организацией контроля доступа. Внедрение систем класса Identity Manager - трудная, но интересная и благодарная задача, ведь от ее использования выигрывают и системные администраторы, и руководство, и пользователи".

Константин Фетисов, начальник отдела информационной безопасности межрегионального филиала информационных сетевых технологий "Уралсвязьинформа" добавил замечания из своего опыта:
"В прошлом году в рамках проектирования ЦОД "Уралсвязьинформ" совместно с ИТ-консультантами разрабатывал большое количество необходимых документов, в том числе, естественно, план восстановления после аварии (Disaster recovery plan, DRP) и регламент резервирования данных. Интересно, что как показала практика, наиболее заинтересованным в их доработке и развитии в соответствии с требованиями "Уралсвязьинформа" подразделением оказался даже не ИТ-отдел, а именно отдел информационной безопасности, ведь эти документы являются неотъемлемой частью нашей комплексной политики информационной безопасности".

Третья панельная дискуссия Форума была посвящена технологиям, призванным обеспечить соответствие изменяющихся требований бизнеса и возможностей ИТ-решений. Модератор дискуссии - Александр Буйдов, директор по информационным технологиям компании КРОК, рассказал о существующих решениях этой задачи как с точки зрения обеспечения гибкости ИТ-инфраструктуры, так и бизнес-приложений.

Принявший участие в дискуссии Денис Илатовский, вице-президент Промышленной группы МАИР, рассказал об опыте своей компании, когда гибкость и изменяемость бизнеса под воздействием внешних факторов обеспечивается организационно. В МАИР все бизнес-процессы интегрированы в единую систему управления, обеспечивающую прямую связь руководящих вертикалей с конечными заказчиками, а также на каждом уровне реализован инструмент обратной связи - для более эффективного его использования до конца года компания планирует внедрить колл-центр. По словам Дениса Илатовского, такая модель позволяет оперативно реагировать на все изменения рынка.

Сергей Кирюшин, заместитель генерального директора по информационным технологиям ОАО "Аэрофлот - Российские авиалинии" поделился опытом построения ИТ-инфраструктуры, отвечающей меняющимся требованиям такого быстро развивающегося сегодня в России бизнеса, как авиационные перевозки:
"ИТ-инфраструктура является сегодня базовой составляющей для развития бизнеса, при этом обеспечение ее гибкости становится все более сложным, дорогим, требует все большего профессионализма специалистов, которые занимаются ее построением.
Практика показывает, что ИТ-инфраструктуру нужно проектировать, развивать, планировать ее расширение. Наиболее важные элементы, основополагающие для ИТ-инфраструктуры нашей компании - это центры обработки данных со всем необходимым инженерным обеспечением (кондиционирование, бесперебойное энергоснабжение), сетевая инфраструктура, эффективные серверные решения. Также мы конечно используем системы управления и мониторинга ИТ-инфраструктуры; информация, которую они предоставляют ИТ-департаменту, позволяет гибко наращивать ресурсы для решения наших бизнес-задач.
Говоря о гибкости, часто говорят о системах терминального доступа. По моему мнению, терминальные технологии не являются решением всех проблем, особенно при обеспечении доступа к уже существующим системам - это просто решение локальных задач. Другое дело, когда терминальные системы используются для оснащения новых рабочих мест - в этом случае это экономически выгодное решение".

Прошедший Форум организован Ассоциацией менеджеров России, группой компаний "РосБизнесКонсалтинг" и компанией КРОК. Информационную поддержку Форуму оказали журналы "CIO", "Intelligent Enterprise" и еженедельник "Computerworld Россия". Официальные спонсоры Форума - корпорации IBM, EMC, Sun Microsystems, Oracle, Avaya. Спонсоры панельных дискуссий - Polycom, Symantec. Специальный партнер Форума - Коминфо Консалтинг.


Возврат к списку

В начало страницы