РАЗДЕЛ 4. ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на выполнение комплекса консалтинговых и аналитических услуг по повышению уровня непрерывности функционирования информационных и коммуникационных технологий и систем, бизнес-сервисов ООО «МультиКарта»
СПИСОК СОКРАЩЕНИЙ
ПЦ
|
Процессинговый центр ( Компания)
|
УС
|
Устройство самообслуживания (АТМ-банкомат, платёжный терминал)
|
ПВН
|
Пункт выдачи наличной валюты
|
АРМ
|
Автоматизированное рабочее место
|
ПТК
|
Программно-технический комплекс (ЦОД-центр обработки данных)
|
СПД
|
Системы передачи данных
|
ЛВС
|
Локальная вычислительная сеть
|
ТЗ
|
Техническое задание
|
BIA
|
Оценка воздействия на бизнес (Business Impact Analyses)
|
МПС
|
Международные платёжные системы
|
АБС
|
Автоматизированная банковская система
|
H2H
|
Межхостовое соединение
| ОПРЕДЕЛЕНИЯ, ПРИНЯТЫЕ В НАСТОЯЩЕМ ПРОЕКТЕ
Инцидент
|
Любое событие, не являющееся частью стандартных операций предоставления услуг и сервисов процессинга, которое привело или может привести к нарушению или снижению качества предоставления услуг или сервисов.
|
Критичный инцидент
|
Инцидент, приводящий к отказу систем ПТК ПЦ, поддерживающих критичные бизнес-процессы, услуги, сервисы Компании или к заметному снижению их способности выполнять далее свои функции.
|
План обеспечения непрерывности бизнеса (ВСР) / система управления непрерывностью бизнеса (СУНБ)
|
Business Continuity Plan – стратегия долгосрочного обеспечения непрерывности бизнеса в целом, рассматривает функционирование ПТК, технологических процедур как непрерывные бизнес-процессы, включает детальное описание политик управления IT-сервисами (ITSM) компании, описание процедур разрешения инцидентов (IMP) и организацию восстановления функционирования ПТК после критичных инцидентов или чрезвычайных ситуаций (DRP).
|
Управление IT-сервисами (ITSM)
|
Политика управления ключевыми аспектами IT-сервисов:
• конфигурации, релизы, изменения (включая технологические аспекты);
• мониторинг, инциденты, проблемы;
• мощности, доступность, резервирование;
• информационная безопасность (ИБ).
|
План разрешения инцидентов (IMP)
|
Incident Management Plan - план реагирования на инциденты, описывает порядок действий руководства и персонала при возникновении угроз критических инцидентов.
|
План аварийного восстановления ПТК критичных инцидентов или чрезвычайных ситуаций (DRP)
|
Disaster Recovery Plan - краткосрочный план аварийного восстановления ПТК, рассматривает восстановление функционирования ПТК после реализации критичных инцидентов или чрезвычайных ситуаций.
|
Целевое время восстановления ПТК (RTO)
|
Recovery Time Objective (RTO)
согласованное с бизнесом время восстановления функционирования услуг или сервисов до приемлемой (минимально необходимой) функциональности. RTO отсчитывается от момента отказа до возобновления функционирования.
|
Целевая точка восстановления ПТК (RPO)
|
Recovery Point Objective (RPO) - согласованный с бизнесом допустимый интервал времени потери данных без существенного ущерба для деятельности компании. RPO показывает возможное время отката состояния ПТК и данных при возникновении критичных инцидентов или чрезвычайных ситуаций .
| 1 ОБЩИЕ СВЕДЕНИЯ1.1 Полное наименование работыКомплекс консалтинговых и аналитических услуг по обследованию IT и бизнес-сервисов Компании, оценке их соответствия стандартам ISO 22301 и разработке планов обеспечения непрерывности бизнес-процессов ООО «МультиКарта», плана его внедрения. 1.2 Цели выполнения работыЦелью работ является создание технической и организационной систем управления непрерывностью бизнеса ООО «МультиКарта» путём разработки комплекса документов по организации повышения устойчивости, непрерывности функционирования информационных и коммуникационных технологий систем Компании, а также уменьшения рисков нарушения работоспособности ПЦ в т.ч. и при возникновении критических инцидентов и чрезвычайных ситуаций. Разработанная СУНБ должна служить основой для:
поддержания в актуальном состоянии достаточного и необходимого количества ресурсов всех видов, необходимых для стабильного функционирования и быстрого и эффективного восстановления ПТК ПЦ;
минимизации финансовых потерь от воздействия всех видов инцидентов и чрезвычайных ситуаций;
защиты репутации и имиджа Компании, удовлетворения требований клиентов, акционеров, аудиторов и других заинтересованных структур.
2 ХАРАКТЕРИСТИКА ОБЪЕКТА
Объектами исследования и выполнения работ являются организационные, технологические системы и инфраструктура процессинга Компании.
2.1 Краткие сведения об объекте
2.1.1 ПТК ПЦ обеспечивают информационное и технологическое взаимодействие между участниками электронных расчетов, использующих банковские карты и устройства их приёма - процессирование.
2.1.2 ПТК ПЦ ведут базы данных об обслуживаемых членах платежных систем и о банковских картах с целью:
авторизации запросов по операциям владельцев банковских карт обслуживаемых банков;
пересылки в банк-эмитент запросов, по операциям владельцев банковских карт других банков;
выполнения расчётных и клиринговых операций с использованием банковских карт, выдачи соответствующих сведений и отчётности;
эмиссии банковских карт обслуживаемых банков.
2.1.3 В состав ПТК ПЦ входит:
серверное оборудование;
системы хранения данных;
сетевое и телекоммуникационное оборудование для обеспечения работы ЛВС, каналов связи и передачи данных;
АРМ сотрудников, средства резервного копирования, устройства печати и т.д.;
устройства самообслуживания для приёма банковских карт.
2.1.4 Информация, обрабатываемая ПТК ПЦ не содержит сведений, составляющих государственную тайну или персональные данные. Все сведения, обрабатываемые ПТК ПЦ относятся к коммерческой (банковской) тайне.
2.1.5 ПТК ПЦ обеспечивает автоматизированное взаимодействие со следующими системами:
с МПС (Visa, MasterCard и др.);
с АБС обслуживаемых банков, в том числе с использованием H2H;
с УС;
с государственной системой СМЭВ.
2.1.6 Режим работы ПТК ПЦ непрерывный, круглосуточный (24х7х365).
2.1.7 ПТК и персонал Компании размещаются в зданиях по адресу: 109147, г. Москва, ул. Воронцовская, д.43, стр. 1 и 198095, г. Санкт-Петербург, ул. Маршала Говорова, д. 52.
2.2 Состав бизнес-сервисов и систем/приложений
Проект охватывает следующие критичные бизнес-сервисы Компании (Error: Reference source not found):
Табл.1
№ п/п
|
Бизнес-сервис
|
Краткая характеристика
|
1
|
Маршрутизация и авторизация операций по пластиковым картам (эмиссия, эквайринг/ финансовые, административные)
|
Данный сервис обеспечивают 5 функциональных IT-систем,
режим on-line
|
2
|
Взаимодействие с платежными системами и авторизационными хостами (МПС, российскими ПС)
|
Данный сервис обеспечивают 3 функциональных IT-систем,
режим on-line, off-line
|
3
|
Обеспечение СМС -информирования по операциям владельцев карт
|
Данный сервис обеспечивает 1 функциональная IT-система,
режим on-line
|
4
|
Обеспечение интернет/POS-эквайринга и проведения платежей on-line
|
Данный сервис обеспечивают 7 функциональных IT-систем,
режим on-line
|
5
|
Обеспечение функционирования интерфейсов доступа к данным процессинговой системы (FIMI)
|
Данный сервис обеспечивают 3 функциональных IT-систем,
режим on-line
|
6
|
Файловый обмен с обслуживаемыми банками в т.ч. электронный документооборот
|
Данный сервис обеспечивают 3 функциональных IT-систем,
режим off-line
|
7
|
Обеспечение функционирования УС (АТМ)
|
Данный сервис обеспечивают 10 функциональных IT-систем,
режим on-line , off-line
|
8
|
Обеспечение функционирования POS-терминалов, в том числе в ПВН
|
Данный сервис обеспечивают 5 функциональных IT-систем,
on-line , off-line
|
9
|
Обеспечение поддержки клиентов и собственных служб Компании
|
Данный сервис обеспечивают 11 функциональных IT-систем,
режим on-line , off-line
|
10
|
Бэк-офисные системы: ведение базы данных по картам, счетам, операциям, обработка и предоставление доступа к этой информации
|
Данный сервис обеспечивают 9 функциональных IT-систем,
режим on-line, off-line
|
11
|
Мониторинг функционирования систем ПЦ
|
Данный сервис обеспечивают 9 функциональных IT-систем,
режим on-line
|
12
|
Персонализация банковских карт
|
Данный сервис обеспечивают 4 функциональных IT-систем,
режим off-line
|
13
|
Обеспечение информационной безопасности
|
Данный сервис обеспечивают 4 функциональных IT-систем,
режим on-line, off-line
|
3 ТРЕБОВАНИЯ К КОМПЛЕКСУ РАБОТ
3.1 Общие требования к работам
3.1.1 При выполнении работ необходимо учитывать требования, рекомендации следующих российских и международных актов, стандартов:
Стандарт Банка России СТО БР ИББС-1.0-2014
Стандарт менеджмента непрерывности бизнеса ISO 22301
Стандарт BS 25999-1:2006 - Управление непрерывностью бизнеса Часть 1: Практические правила.
Стандарт BS 25999-2:2007 - Управление непрерывностью бизнеса Часть 2: Спецификация.
Стандарт BS 25777:2008 - Управление непрерывностью информационных и телекоммуникационных технологий - Практические правила.
3.1.2 На стадии сбора сведений об организационной и информационно-технологической (ПТК) инфраструктуре Компании разрабатываемые документы должны содержать анализ взаимосвязи технологических и бизнес-процессов в аспекте BCM (Business Continuity Management), анализ угроз непрерывности предоставления бизнес-сервисов, оценку зрелости действующих ITSM процедур, их соответствия стандартам СТО БР ИББС-1.0-2014, ISO 22301 с уровнем детализации, обеспечивающим решение задач ВСМ.
3.1.3 Документы, создаваемые на стадии планирования процессов управления и обеспечения непрерывности должны сочетать как контрольно-профилактические так и восстановительные организационные, технические и технологические аспекты BCP (ITSM и DRP). Они должны разрабатываться как организационно-технические процедуры верхнего уровня, в которых должна быть описана последовательность действий персонала и приведены ссылки на действующие нормативные документы Компании для руководителей, политики и рабочие инструкции системных инженеров, администраторов и других исполнителей по непосредственному выполнению операций восстановления ПТК, а при отсутствии или несовершенстве действующих документов должны содержать рекомендации по их подготовке или совершенствованию.
3.1.4 Работы по обследованию должны охватывать два ЦОД Компании (г. Москва, ул. Воронцовская, д.43, стр. 1 и г. Санкт-Петербург, ул. Маршала Говорова, д. 52).
3.2 Работы должны проводиться по следующим направлениям:
3.2.1 В части обследования инфраструктуры:
архитектура ПТК (состав и взаимосвязи инфраструктурных компонент);
инфраструктура ПТК, обеспечивающая работу основных критических ИТ-систем (вычислительный комплекс, система хранения данных и система резервного копирования);
сеть передачи данных, сеть УС;
управление непрерывностью ИТ-сервисов (действия сотрудников при штатной работе и в условиях прерывания основных бизнес-процессов);
системы мониторинга ПТК, IT–сервисов, физических параметров серверных помещений;
управление предоставлением ИТ-услуг (ITSM).
3.2.2 В части обследования системы управления ИТ-сервисами и инцидентами:
мониторинг (в т.ч. практики мониторинга доступности и качества предоставления ИТ-сервисов) и управление событиями;
управление проблемами;
управление изменениями;
управление релизами;
управление конфигурациями;
управление уровнем сервисов;
отчетность о перечисленных процессах.
3.3 Перечень выполняемых работ:
проведение анализа влияния прерывания ИТ-сервисов на деятельность Компании (BIA);
обследование архитектуры ПТК, ИТ-инфраструктуры и сети передачи данных;
обследование существующих механизмов мониторинга;
обследование системы управления ИТ-сервисами (ITSM-процессов) и разработка отчета об обследовании;
проведение анализа текущего состояния инфраструктуры, оценка обеспечиваемых параметров RTO/RPO, сравнение их с целевыми (GAP-анализ);
подготовка рекомендаций по устранению выявленных недостатков и минимизации рисков;
разработка комплекта планов восстановления в случае прерывания деятельности (DRP) (без тестирования);
разработка Положения о непрерывности ИТ-сервисов;
разработка Плана кризисного управления.
3.3.1 Проведение анализа влияния прерывания ИТ-сервисов на деятельность Компании (BIA) включает:
оценку имеющихся рисков непрерывности деятельности Компании, связанных с природными, техногенными, человеческими факторами;
оценку угроз, связанных с выявленными рисками, влияющих на непрерывность предоставления основных сервисов;
моделирование основных применимых сценариев сбоев и прерываний IT-сервисов, оценку их влияния на основные бизнес-процессы Компании в мерах финансовых, репутационных, регуляторных издержек;
оценка обеспечиваемых значений параметров восстановления (RTO и RPO) ИТ-сервисов, поддерживающих критичные бизнес-процессы Компании;
выяснение существующих правил и ограничений обеспечения непрерывности ИТ-сервисов.
Результатом работ является документ «Анализ воздействия сбоев и прерываний на деятельность Компании», включающий:
ранжированный список критичных бизнес-процессов Компании и обеспечивающих их ИТ-сервисов;
описание существующих правил и ограничений обеспечения непрерывности ИТ-сервисов;
GAP-анализ: на соответствие существующей инфраструктуры ПТК требованиям бизнеса к восстановлению бизнес-процессов и ИТ-сервисов;
краткосрочных рекомендаций по результатам GAP-анализа.
3.3.2 Обследование архитектуры ПТК, ИТ-инфраструктуры и сети передачи данных. Выполняются работы:
сбор и документирование информации о составе и взаимосвязях инфраструктурных компонент, обеспечивающих работу ИС-сервисов:
о ПТК, поддерживающей информационные системы (состав и основные характеристики серверов, дисковых массивов, коммутаторов SAN и оборудования резервного копирования);
об архитектурных решениях информационных систем (ИТ-сервисов);
о взаимосвязях и взаимозависимостях компонентов ПТК и IT-сервисов от других систем.
получение и документирование информации о взаимосвязях СПД с обследуемыми ИТ-сервисами;
сбор и документирование информации о существующих механизмах обеспечения доступности и непрерывности ИТ-сервисов, как в случае локальных сбоев, так и в случае ЧС.
сбор и документирование информации о реализованных мерах по обеспечению выявления инцидентов и проблем и существующей политике принятия решений в части обеспечения непрерывности;
анализ существующей регламентирующей и технической документации;
анализ архитектуры ПТК на соответствие «лучшим практикам»;
анализ структуры и топологии сети, общей схемы построения СПД;
анализ и оценка обеспечиваемых параметров непрерывности ИТ-сервисов (RTO, RPO);
анализ доступности основных информационных систем требованиям непрерывного функционирования (GAP-анализ);
выявление «единичных точек отказа» (single failure point) (компонентов, отказ которых приводит к отказу всей системы) и других уязвимых (проблемных) мест, определение необходимости их резервирования.
Результатом работ является документ Отчет об обследовании, включающий:
описание архитектуры и текущего состояния ПТК;
описание текущего состояния СПД;
реестры по каждому из критических бизнес-сервисов наиболее ответственного оборудования ПТК, СПД с указанием его параметров, требующих контроля состояния;
выводы о соответствии конфигурации и операционного состояния ПТК и СПД, решаемым ею задачам, основным критериям стандартов непрерывности;
оценка обеспечиваемых значений параметров RTO и RPO и сравнение их с целевыми значениями;
перечень выявленных проблем, недостатков и рисков функционирования программно-аппаратного комплекса (при наличии таковых).
рекомендации по изменению архитектурных решений ИТ-сервисов и сети передачи данных для удовлетворения требуемых параметров RTО и RPO;
3.3.3 Анализ существующих процессов предоставления ИТ-сервисов (ITSM). Выполняются следующие работы:
изучение применяемых в Компании практик управления в рамках обследуемых процессов управления ИТ-сервисами, в том числе с точки зрения поддержки существующего процесса управления непрерывностью ими;
анализ текущего состояния процессов управления ИТ-сервисами:
соответствия процессов предоставления ИТ-сервисов требованиям и ожиданиям бизнес-подразделений, а также стандартам непрерывности;
соотношения с основными аспектами лучших практик управления ИТ-сервисами, в т.ч. структуры ИТ-процессов, зон ответственности участников, ключевых параметров эффективности;
взаимодействия между существующими процессами управления ИТ-сервисами и существующими практиками управления непрерывностью ИТ-услуг;
полноты и актуальности документационного обеспечения системы управления ИТ-сервисами;
полноты и содержания отчетности по процессам предоставления ИТ-сервисов;
применимости используемых средств мониторинга для обеспечения требуемого качества предоставления ИТ-сервисов;
наличия и достаточности ресурсов, требуемых для предупреждения инцидентов и восстановления после сбоев;
соответствия используемых возможностей инструментов автоматизации деятельности по управлению ИТ-сервисами требованиям, предъявляемым к их непрерывной реализации.
выявление уязвимостей и проблемных областей в работе процессов управления ИТ-сервисами и выработка рекомендаций по их устранению.
оценка возможностей приведения процессов управления ИТ-сервисов в полное соответствие со стандартами непрерывности, если это применимо.
Собранная информация должна быть проанализирована на предмет наличия проблемных мест и уязвимостей в существующих практиках управления ИТ-сервисами; потенциальных рисков, связанных с выявленными уязвимостями; степени их влияния на бизнес-процессы Компании. Должен быть оценен уровень возможностей управления ИТ-сервисами по шкале зрелости.
По результатам анализа и оценки должны быть подготовлены следующие рекомендации:
по минимизации выявленных рисков;
по развитию и оптимизации системы управления ИТ-сервисами;
по совершенствованию практики и средств мониторинга состояния ИТ- сервисов.
Результатом работ является документ Отчет об обследовании, включающий:
описание текущей системы управления ИТ-сервисами (описание основных аспектов существующих процессов управления ИТ-сервисами, их основного документационного обеспечения, перечень используемых средств автоматизации);
выводы (результаты оценки системы управления ИТ-сервисами, перечень и классификация выявленных рисков);
рекомендации по развитию и оптимизации системы управления ИТ-сервисами.
3.4 Разработка Положения о непрерывности ИТ-сервисов
Должно быть разработано Положение о непрерывности ИТ-сервисов, описывающее структуру управления процессами в штатной ситуации, включая перечень участников, сферы их ответственности, описание основных решаемых задач и методов их решения.
Результатом работ является документ «Положение о непрерывности ИТ-сервисов», содержащий описание:
уровней кризисных ситуаций и сценарии их развития;
требований к системам мониторинга;
перечень необходимых регламентов ITSM;
порядков реагирования на инциденты IMP;
обязанностей лиц, участвующих в восстановлении ИТ-сервисов;
порядка пересмотра, дополнения и изменения процессов обеспечения непрерывности ИТ-сервисов;
действий по поддержанию плана в актуальном состоянии при штатной деятельности включая методики и планы тестирования и аудита.
3.5 Разработка Плана кризисного управления
Должен быть разработан План кризисного управления, регламентирующий действия руководителей и работников ИТ-подразделений Компании на этапе наступления инцидента, который может потребовать инициации планов восстановления в случае прерывания деятельности.
Результатом работ является документ «План кризисного управления», содержащий:
перечень участников процесса управления кризисом;
порядок принятия решений при наступлении критических инцидентов или кризисных ситуаций;
контактную информацию сотрудников, которые должны быть оповещены о наступлении критических инцидентов;
порядок эскалации принятых решений;
порядок документирования происходящего и сбор информации после разрешения критических инцидентов;
меры контроля за процессом восстановления ИТ-сервисов.
3.6 Разработка планов восстановления в случае прерывания деятельности (DRP)
3.6.1 Должен быть разработан План восстановления деятельности Компании целом в кризисных ситуациях.
3.6.2 Должны быть разработаны планы восстановления в случае прерывания деятельности по каждому из критических бизнес-сервисов, которые позволят восстановить работоспособность обеспечивающих ИТ-сервисов за согласованное время с согласованным уровнем качества. Каждый из планов должен содержать:
общее (высокоуровневое) описание бизнес-сервиса, состав, схему и взаимосвязи ИТ-сервисов, обеспечивающих предоставление данного бизнес-сервиса, описание инфраструктурных компонент и мер по резервированию;
параметры восстановления ИТ-сервиса (параметры RTO/RPO);
сценарии критического инцидента, для которых предназначен документ;
основания для активации плана;
контактную информацию лиц, ответственных за восстановление, с контактной информацией и ролями;
перечень систем, от которых зависит работа ИТ-сервиса (окружение);
описание процедур по переключению ИТ-сервиса:
предварительные и подготовительные действия перед переключением;
описание последовательности действий (процедур) по переключению и восстановлению данных.
4 ТРЕБОВАНИЯ К КОМАНДЕ, ПРИВЛЕКАЕМОЙ К ИСПОЛНЕНИЮ РАБОТ И ОРГАНИЗАЦИИ РАБОТ ПО ПРОЕКТУ
4.1 Среди членов команды должны быть представлены специалисты обладающие компетенциями в области стандартов и методологий BCI, ITSM подтвержденными сертификатами:
по системам управления непрерывностью бизнеса (ISO 22301) – не менее 2-х;
аудитор информационных систем (CISA) - не менее 2-х;
аудитора по системе управления (ISO 22301 BCMS) – не менее 1-го;
аудитора по системе управления ИТ-услугами (ISO 20000 ITSM) – не менее 2-х;
аудитора информационной безопасности по СТО БР ИББС не менее 1-го;
все члены команды должны иметь высшее профильное (IT) образование.
4.2 Включение в состав команды руководителя проекта, менеджера проекта, отвечающих следующим требованиям:
руководитель проекта должен иметь опыт ведения не менее трёх завершенных проектов, аналогичных данному, в одном из 10-ти крупнейших российских банков, включая банки группы ВТБ;
менеджер проекта должен иметь опыт разработки СУНБ с участием в не менее трёх завершенных проектах, аналогичных данному, в одном из 10-ти крупнейших российских банков, включая банки группы ВТБ или крупных IT/телекоммуникационных компаниях;
менеджер проекта должен быть вовлечен в работу на постоянной основе;
руководитель или менеджер проекта должен иметь опыт работы в процессинговой компании не менее 5 лет.
4.3 Между Компанией и компанией команды/членами команды должно быть подписано соглашение о конфиденциальности – NDA.
5 СОСТАВ И ПРИЁМКА РАБОТ
5.1 Состав работ:
обследование объектов, сбор и анализ исходных данных;
оценка рисков и воздействия инцидентов на функционирование бизнес-сервисов (RA и BIA анализы), анализ действующих ITSM процессов, разработка предложений, рекомендаций и требований;
разработка стратегий и планов аварийного восстановления;
разработка Положения о непрерывности ИТ-сервисов и Плана кризисного управления;
разработка методики тестирования планов аварийного восстановления, поддержанию планов и положений непрерывности в актуальном состоянии при штатной деятельности, включая методики и планы внедрения и аудита;
ожидаемая общая продолжительность работ – 6 месяцев.
5.2 Выполнение работ должно завершаться предоставлением отчетной документации, которая должна быть предварительно согласована ответственными специалистами Компании.
5.3 Вся документация должна быть изложена на русском языке, подготовлена как в напечатанном виде, в формате стандартных офисных документов, так и в электронном виде (CD-диски, USB диски, предоставление по электронной почте).
|
