Обоснование необходимости приобретения систем резервного копирования и восстановления данных

Обоснование необходимости приобретения систем резервного копирования и восстановления данных

Обоснование необходимости приобретения систем резервного копирования и восстановления данных

В данной публикации рассмотрим вопросы, касающиеся экономического обоснования затрат на приобретение систем резервного копирования и восстановления данных в корпоративной среде. Также попытаемся применить на практике  описанные в предыдущих статьях цикла инструменты (TCO, ROI, Payback) расчета технико-экономического обоснования и оценки эффективности внедряемого проекта для компании в целом.

 

 

1. Введение

2. Резервное копирование и восстановление данных как часть ИТ-инфрастуктуры

3. Выбор оптимальной системы резервного копирования и восстановления данных

4. Методика технико-экономического обоснования и оценки проекта Backup & Recovery

5. Выводы

 

Введение

Не секрет, что средства резервного копирования и восстановления данных (англ. BackUp & Recovery) являются одним из ключевых элементов любой грамотно организованной ИТ-инфраструктуры. Помимо функций обеспечения сохранности данных и повышения отказоустойчивости функционирования бизнес-процессов, резервное копирование обеспечивает такие свойства с точки зрения информационной безопасности как целостность, доступность и является обязательным требованием общепринятых стандартов, например отечественного ИСО/МЭК 17799, международного кодекса правил по обеспечению непрерывности бизнеса «BS25999-1:2006.Code of Practice» и «BS25999-2:2007.Specification».

Сегодня на рынке представлено большое количество систем резервного копирования и восстановления данных, ориентированных на разные уровни обеспечения надежности и ценовой диапазон. Данный факт ставит нелегкую задачу перед руководством при выборе того или иного решения. Какая именно система больше подходит под конкретные задачи бизнеса, на сколько эффективно она зарекомендует себя и как оценить имеющиеся варианты, чтобы сделать оптимальный выбор? Ответы на эти вопросы мы попытаемся найти, применяя  методику оценки проекта с помощью выше указанных экономических инструментов.

 

Резервное копирование и восстановление данных как часть ИТ-инфраструктуры

Одной из важнейших задач при эксплуатации информационных систем в корпоративной среде является обеспечение целостности и сохранности обрабатываемой информации. Даже в самых надежных системах всегда существует риск потери критически важных данных. Такая утрата данных может грозить компании остановкой бизнеса, крупными финансовыми потерями, компрометацией репутации, потерей клиентов и партнеров. Причины утрат могут быть различны, от техногенных до весьма субъективных факторов, таких как непредвиденный выход из строя носителя информации, человеческий фактор или саботаж со стороны конкурентов или инсайдеров.

В исследовании, проведенном TechTarget Storage Media за последние несколько лет, отмечено, что в течение года у большинства компаний среднего и крупного бизнеса происходили  такие инциденты,  как случайное удаление файлов, сбои сеанса резервного копирования, отказы аппаратного обеспечения, повреждение программного обеспечения. В среднем для возобновления штатной работы после инцидента требовалось до 7 часов, а 18% респондентов сообщили, что это занимает у них от 11 до 24 часов и дольше.

Реалии бизнеса сегодня требуют, чтобы в случае сбоя нормальная работа с нулевой потерей данных должна быть восстановлена в течение нескольких минут или, в крайнем случае, часов, поскольку стоимость простоя может быть очень существенной (см. таблица 1).

 

Таблица 1. Потери компании в результате простоя из-за сбоев

Средняя стоимость часа простоя
Брокерская фирма (или большой сайт e-коммерции) $ 6,4 млн.
Торговля по кредитным карточкам и авторизация $ 2,6 млн.
Торговля по каталогу $ 90 тысяч
Службы доставки и транспорт $ 28 тысяч
Сети UNIX $ 75 тысяч
PC LANs $ 18 тысяч
Средняя стоимость часа восстановления данных $ 50 тысяч


Источники: Contingency Planning Association Research, Strategic Research

 

Изменилось и само отношение к системам резервирования и восстановления, как элемента ИТ-инфраструктуры компании. Еще десять лет назад хранение данных было лишь малой частью функционирования информационных систем. Сейчас, по мере роста объема данных и ценности информации, ее хранение стало одной из важнейших составляющих современного центра обработки данных или корпоративной системы хранения данных (СХД).

Так, если в 2000–2001 годах объемы вкладываемых в системы хранения средств примерно соответствовали объемам средств, тратившихся на сами серверы, то к 2003 году соотношение изменилось. Теперь объем средств, вкладываемых в системы хранения данных, существенно превысил аналогичный объем для серверов (примерно 25% против 75%). («Эволюция и перспективы резервного копирования данных», Александр Горловой, изд.: «Экспресс-Электроника», №06/2003)

В зависимости от объемов информации, требований к надежности хранения, скорости восстановления, их критичности определяются технологии процессов резервирования и восстановления. В простейшем случае это запись за CD\DVD, USB-носители, построение массивов RAID ит.п. Для обеспечения безопасности крупных корпоративных клиентов используются более развитые технологии, основанные на отдельных программно-аппаратных комплексах СХД, а также  набирающие популярность облачные технологии хранения (cloud storage).

Важнейшими критериями эффективности систем резервирования и восстановления являются значения RPO (Recovery Point Objective) и RTO (Recovery Time Objective). За RPO принято считать точку отката — т.е. момент времени в прошлом, на который будут восстановлены данные, а показатель RTO определяет время, необходимое для восстановления данных из имеющейся резервной копии, т.е. фактически указывает на трудозатраты.

Другой показатель, обозначаемый как Надежность, определяется значением наработки накопителей на отказ (Mean time to failure, MTTF), т.е. средней продолжительностью работы устройства до момента выхода из строя. Единица размерности — час. Для программных продуктов подразумевается срок до полного перезапуска программы или полной перезагрузки операционной системы.

Эти параметры очень важны, поскольку их значения в дальнейшем будут играть ключевую роль в обосновании необходимости приобретения конечного решения для резервного копирования и оценки эффективности от его внедрения.

 

Выбор оптимальной системы резервного копирования и восстановления данных

С точки зрения требований информационной безопасности системы резервного копирования и восстановления данных являются обязательным элементом корпоративной системы защиты информации. В отечественной практике, например, для информационных систем персональных данных (ИСПДн) является обязательным требованием наличие в своем составе средств оперативного резервирования и восстановления обрабатываемых данных. Подзаконные акты и методические указания к Федеральному закону №152-ФЗ «О персональных данных» явно указывают на необходимость обеспечения оперативного дублирования и  восстановления массивов персональных данных в случае несанкционированной модификации или уничтожения.

Шон Харрис (Shon Harris) в своей книге посвященной международной подготовке специалистов по информационной безопасности приводит рекомендации, как выбрать решение для резервного копирования данных.

Первая, на момент выбора конкретного решения из всех имеющихся, должна быть проведена классификация всех данных, основанная на их критичности для бизнеса.

Комиссии экспертов, состоящая из ИТ-специалистов и офицеров безопасности, сформированная на основании приказа руководства компании, должна разделить все данные по степени критичности времени их восстановления. Самые критичные данные, которые должны быть доступны постоянно, могут быть восстановлены из зеркальных копий, систем электронного хранения или удаленного журналирования. Остальные данные могут быть восстановлены с магнитной ленты (см. рисунок 1).

 

Рисунок 1. Выбор конкретного решения исходя из соотношения стоимость\критичность

 Выбор конкретного решения исходя из соотношения стоимость\критичность 

 

Комиссия экспертов должна использовать сбалансированный подход, учитывая стоимость восстановления данных и потери от их утраты. Точка, в которой пересекаются соответствующие кривые, является целевым временем восстановления (см. рисунок 2).

 

Рисунок 2. Определение времени на восстановление

Определение времени на восстановление 

 

Как уже указывалось ранее, потеря производительности (простой) – ущерб по данной категории составляет приблизительно 30% в небольших компаниях и 12% – в крупных компаниях от всех суммарных финансовых потерь. В виду этого системы резервного копирования и восстановления данных с точки зрения информационной безопасности, это не только формальное требование обязательное для исполнения, но одно из ключевых звеньев, напрямую влияющих на финансовый результат компании.

 

Методика технико-экономического обоснования и оценки проекта Backup & Recovery

Итак, произведем анализ имеющихся вариантов проектов и на основании полученных показателей выберем наиболее привлекательный их них. В качестве наглядного примера будем рассматривать два варианта – с внедрением проекта Backup & Recovery и варианты без него (штатными средствами). За основу проекта возьмем решение Symantec Backup Exec 2012 Server, продукт, который по результатам исследования компании Gartner, занимает лидирующие строчки на отечественном рынке.

Начальные условия:

Как было упомянуто выше, в качестве системы BackUp & Recovery выбран продукт Symantec Backup Exec 2012 Server, стоимость одной лицензии на момент публикации - 29 734 рубля. Подписка стандартная на один год. Решено приобрести 3 лицензии, в результате стоимость конечного заказа составляет - 89 202 рубля. Работы по внедрению проекта в инфраструктуру компании и расширенную поддержку на 4 года составляют в сумме 210 798 рублей. Жизненный цикл проекта составляет 4 года (таблица 2)

 

Таблица 2. Начальные инвестиции в проект

Статьи затрат Вложения (тыс. Руб.)
Серверы (hardware)

719 424

Внедрение проекта  (оплата труда)

210 798

Symantec Backup Exec 2012 Server (3 лицензии)

89 202

 

В альтернативном варианте без использования системы BackUp & Recovery резервное копирование будет осуществлять штатными средствами операционных систем Windows Server и прикладного программного обеспечения.

Таким образом (см. таблицу 2) мы можем увидеть, что в первом варианте самой большой статьей расхода является приобретение серверов под нужды хранения данных и приобретение программного продукта Symantec. Во втором варианте затраты на программное обеспечение и аппаратное обеспечение изначально ниже. Однако, в виду того, что отсутствует консолидация инфраструктуры другие затраты, например ежегодное администрирование (оплата труда персонала), обеспечение серверной  энергопотреблением и охлаждение, приобретение дополнительных лицензий на операционные системы в сумме гораздо выше, что, в итоге, в первом проекте дает экономию 1 043 590 рублей за 4 года.

Также, в виду централизованного подхода и консолидации, возможны дополнительные статьи экономии. Так например, в первом варианте, из за отсутствия необходимости установки дополнительных стоек, монтажного оборудования и расширения помещения серверной разница со вторым вариантом составляет 325 000 рублей. Однако повышаются требования к отказоустойчивости, что ведет неизбежное увеличение затрат по этой статье (таблица 3).

 

Таблица 3. Расчет стоимости проекта

Расчет стоимости проекта 

 

1. Показатель TCO определяется как сумма прямых и косвенных затрат, которые несет владелец системы на протяжении всего жизненного цикла эксплуатируемой системы. Исходя из практики, выявлено, что нормальный жизненный цикл систем резервирования и восстановления данных составляет в среднем 4 года. Как правило, за это промежуток времени носители информации физически вырабатывают свой ресурс, а сама система и применяемые в ней технологии морально устаревают. В результате показатель TCO должен показать, что, внедрив решение, соответственно заплатив за него деньги, можно сэкономить за 4 года гораздо больше, чем было первоначально вложено в проект (или оставили как есть без какого либо решения).

 

Таблица 4. Расчет показателей ТСО

Расчет показателей ТСО 

 

В результате проведенных расчетов мы видим два показателя TCO (с использованием Backup & Recovery и без такового), а также сумму снижения затрат за четыре года в рублях и в процентах.

И так, два основных вывода, которых мы можем сделать при анализе показателя TCO:

1)    Нужно выбирать решение с лучшим показателем снижения TCO.

1. Затраты на внедрение решения должны быть довольно малы по сравнению с показателем снижения самого TCO.

2. Показатель ROI (Return On Investment) – возврат инвестиций, который можно посчитать как отношение полученных (сэкономленных) денег от внедрения системы резервирования и восстановления к изначальным вложенным средствам в проект.

 

Рисунок 3. Формула ROI

Формула ROI 

 

Так, если предположить для примера, что ROI = 100%, это значит на каждый вложенный в проект рубль вернулось 100% вложений, т.е. 1 рубль. Естественно из двух проектов стоит выбрать тот, у которого наибольший показатель ROI, не забывая, конечно, что параллельно с ним нужно учитывать масштабы и темпы снижения показателя TCO.

 

Таблица  5. Расчет показателей ROI

Расчет показателей ROI 

 

3. Показатель Payback (окупаемость) - период времени, необходимый чтобы доходы, производимые результатом инвестиций в проект, покрыли затраты на сами инвестиции. Иначе говоря, если деньги на внедрение проект были заемные, то отдадим мы их через срок, на который и указывает показатель Payback.

Для объективной оценки проекта так же очень важно, чтобы снижение издержек после внедрения в идеале становилось непрерывным. За один и тот же период окупаемости может оказаться, что выгоды от выбранного решения разные – так один проект окупится за 2 года и будет приносить дальнейшие выгоды, а другой будет окупаться все 4 года. Поэтому Payback необходимо связывать с метриками. которые будут рассматриваться дальше.

 

Рисунок 5 . Формула расчета Payback Period

Формула расчета Payback Period 

 

Ниже представлен приблизительный пример расчета окупаемости для систем резервирования и восстановления (период полной окупаемости равен 4 года, финансовое «перекрытие» проекта за 2 года).

 

Таблица 6. Расчет периода окупаемости проекта

Расчет периода окупаемости проекта 

 

4. Дополнительный показатель Time Value of Money (Временная стоимость денег) - фундаментальный экономический принцип, показывающий стоимость денег во времени. К примеру, 1000 рублей сейчас – это вовсе не та же 1000 рублей через год по покупательной способности в виду инфляции и других факторов. Для корректировки подобных смещений применяется дисконтирование.

Таким образом инвестирование в привлекательный проект нечто сродни вложению средств в банк. Строго говоря, данный показатель характеризует интерес инвестора (ИТ-подразделение или компания) на заданном промежутке времени в данный проект.

Текущая стоимость денег по сравнению с будущим возвратом инвестиций оценивается следующим образом (обычная обратная формула сложного процента):

 

Рисунок 4. Формула расчета PV

Формула расчета PV 

 

где PV (Present Value) - текущая стоимость денег, FV (Future Value) - будущая стоимость через N лет, i (discount rate) - учетная ставка (в долях единицы), n - число лет, за которые происходит оценка. Учетная ставка - сумма, на которую покупательная способность текущих денег больше той же способности денег через N промежуток, выраженная в процентах по отношению к «деньгам потом» (если сумма выражена в деньгах - то это просто дисконт). Учетную ставку для инвестиционных проектов можно оценивать как альтернативу внесению денег в банк.

В таблице ниже представлено снижение стоимости денег с течением времени при различной учетной ставке (в диапазоне от 0,05% до 0,2%):

 

Таблица  7. Расчет показателей привлекательности инвестирования (PV)

 Расчет показателей привлекательности инвестирования (PV)

 

Как видно из таблицы, при неудачном сценарии развития начальный номинал в 1000 рублей может со временем обесцениться до 964 рублей. Иначе говоря, когда вы даете деньги в долг, а вам их возвращают через N лет, то вы теряете на проценте учетной ставки - несете ущерб. Поэтому банки дают кредиты под высокие проценты, в которые заложены инфляционные риски. В виду этого при сравнениях альтернатив в расчетах можно учитывать инвестиционную отдачу денежных средств в диапазонах 14-18% , что будет соответствовать альтернативе, представляющей собой внесение денег в банк.

В итоге при расчете экономической эффективности системы (TCO и ROI) и учете годовых инвестиций нужно брать не фактически возвращенные суммы, а дисконтированные суммы - с учетом снижения стоимости денег в будущем. И второе, - «деньги сейчас» по покупательной способности дороже «денег потом», поэтому есть смысл инвестировать в привлекательный проект уже сейчас.

5. Показатель Net Present Value (Приведенная стоимость)

Вышеописанная метрика Time Value of Money показала нам, что свободные инвестиции всегда можно использовать с альтернативной пользой, т.е инвестировать в различные проекты. Таким образом, мы подходим к пониманию новой метрики - Приведенной стоимости (Net Present Value, NPV), которое и есть оценка инвестиционной привлекательности проекта.

Ниже рассмотрим таблицу расчета приведенной стоимости (ставка - 15 процентов, 4 года окупаемости)

 

Таблица  8. Расчет показателей NPV

Расчет показателей NPV 

 

Ячейка «Инвестиции в проект» показывает нам общее движение денежного потока (приход-расход). В начальный момент времени (в год) мы вложили, к примеру, 10 000 рублей (год 0), и со временем каждый год получаем прибыль из-за снижения общих издержек (2000, 3000, 4000, 5000 рублей соответственно). Ячейка «Сумма инвестиций с учетом отдачи» показывает нам разницу баланса инвестиции, а в ячейке «Дисконтированные суммы инвестиций» отображается «чистая» оценка стоимости возвращаемых от инвестиции денег с учетом инфляции в 15%. Ну, а дальше все просто, результирующая ячейка «Итоговый корректирующий баланс» отображает совокупный дисконтированный баланс по инвестиции с учетом обесценивания денег, описанной в предыдущем пункте.

По результатам полученных расчетов можно утверждать, что за 4 года от начальных инвестиций в проект мы получили 3480 рублей совокупного дохода. Однако с учетом инфляции (дисконта) в 15% , и, соответственно, снижения реальной стоимости денег, имеем доход с отрицательным значением -2 080 рублей.

Итоговое значение баланса -2 080 рублей представляет собой сумму всех дисконтированных (15%) поступлений от инвестиции за вычетом первоначальных затрат в проект. Полученное значение и называется Приведенной стоимостью (Net Present Value). Положительное значение NVP говорит об инвестиционной привлекательности проекта по сравнению с альтернативой, дающей просто стабильный доход. Отрицательное его значение, наоборот, говорит о том, что с данной учетной ставкой инвестировать менее выгодно.

 

Выводы

Объективное изучение всех характеристик проекта по внедрению системы резервного копирования и восстановления данных с применением экономических инструментов расчета позволяют создать более полную картину происходящего, правильно оценить значение и перспективы внедрения для компании.

Подведем итоги по проведенному исследованию:

1. Системы резервного копирования и восстановления данных являются важнейшими неотъемлемым элементов ИТ-инфрастуктуры компании и обязательным требованием с точки зрения обеспечения информационной безопасности.

2. Нужно выбирать решение с лучшим показателем снижения TCO, однако учитывать, что затраты на внедрение решения должны быть довольно малы по сравнению с показателем снижения самого TCO.

3. Показатель ROI, один из ключевых показателей, позволяет определить экономию (отдачу от инвестиций) денежных средств и чем он выше, тем более привлекательным выглядит проект.

4. Показатель Payback определяет период времени, через который, мы полностью «отобьем» деньги вложенные в проект. Чем меньше Payback тем ниже риски связанные с внедрении проекта. Жизненный цикл проекта как правило не превышает 5 лет.

5. При расчете экономической эффективности системы (TCO и ROI) и учете годовых инвестиций нужно брать не фактически возвращенные суммы, а дисконтированные суммы - с учетом снижения стоимости денег в будущем, используя при этом показатель Value of Money (Временная стоимость денег).

6. Показатель приведенной стоимостью (Net Present Value) - при положительном значение говорит об инвестиционной привлекательности проекта по сравнению с альтернативой, дающей просто стабильный доход, например в банк или другой инвестиционный фонд. Значение отрицательное, наоборот, говорит о том, что с данной учетной ставкой инвестировать менее выгодно.

Приведенная методика оценки, конечно, не претендует на полноту исследования, но, с учетом приведенных рассчитываемых показателей, позволяет сформировать правильное управленческое решение, значительно влияющее на дальнейшие перспективы развития компании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru