.png)
Рейтинг: 4.5/5.0 (1899 проголосовавших)Категория: Бланки/Образцы
В случае форс-мажоров и в жизни и в бизнесе, поздно пить боржом. Для восстановления критически важных функций организации необходимо заранее составить план обеспечения непрерывности бизнеса, хорошо его продумать, доходчиво изложить для персонала, и конечно не мешало бы провести пару тренировок, чтобы убедиться, что все поняли.
Чрезвычайные ситуации бывают разные. Вы никогда не сможете предсказать, что именно случится в вашей организации, и конечно вы не сможете подготовиться ко всем угрозам. Некоторые угрозы, такие как наводнения и пожары могут физически уничтожить вашу ИТ инфраструктуру. Эпидемии, повлияют на человеческие ресурсы, оставляя оборудования и ПО невредимыми. Политические риски, способны нарушить работу бизнес-процессов, при этом Грамотно составленный план поможет закрыть максимальное количество возможных угроз.
Ключевой компонент в управлении кризисной ситуацией, это распределение сфер ответственности и субординация в экстренной ситуации. При возникновении форс-мажора, у вас не будет времени на то, чтобы назначать ответственных, поэтому, это нужно сделать заранее. Важно помнить также, что некоторые из форс-мажоров могут унести жизни ключевых сотрудников, или, к примеру, они могут быть в это время в отпуске, поэтому не забудьте назначить также сразу же и заместителей. Недостаточно просто назначить ответственных лиц, необходимо обеспечить подготовку всех сотрудников действиям в форс-мажорных обстоятельствах.
В плане обеспечения непрерывности бизнеса должны содержаться действующие контакты людей, с которыми, возможно, будет необходимо связаться при возникновении экстренной ситуации. Это и контакты внутреннего персонала (генерального директора, ИТ директора, юридического консультанта, и т.п.), и удаленных сотрудников и сервисов, таких как полиция, пожарная служба, коммунальные предприятия, служба технического обслуживания зданий и т.п. Наличие актуальных контактов так же избавит вас от потери коммуникации с внешним миром, при падении почтового сервера.
Для восстановления нормального функционирования компании необходима командная работа. Для этого, нужно заранее составить команду по восстановлению и распределить полномочия. В команду должны входить специалисты, имеющие опыт и знания для ликвидаций последствии форс-мажоров, т.е. специалист по безопасности, ИТ специалист, специалист по коммуникациям, и т.д. Члены команды будут работать с аварийными службами во время происшествия форс-мажора и должны иметь доступ к необходимому оборудованию.
Многие компании хранят резервные копии данных в том же помещении, где находится сервер. Учтите, что в случае форс-мажора, при таком непродуманном хранении, все данные пропадут. Наиболее оптимальный способ хранения резервных копий, это хранение на съемном носителе в другом здании, или создание резервных копий на удаленном сервере. Не забудьте также предоставить доступ к этим данным ключевым сотрудникам.
Многие из форс-мажоров приводят к отключению электричества, да и просто отключение электричества уже может быть экстренной ситуацией. Ваш план должен предусматривать обеспечение электропитанием ваших компьютеров и оборудования для поддержания сети. Если у вас уже установлен электрогенератор, убедитесь в том, что ключевой персонал имеет к нему доступ и знает, как им пользоваться. Важно так же просчитать стоимость работы генератора, т.к. иногда она может быть настолько высока, что вам целесообразнее будет распустить сотрудников по домам. Назначьте также лицо, ответственное за принятие такого решения.
Если в случае форс-мажора здание вашей компании будет разрушено, то хорошо бы подготовить место, куда можно будет перенести офис. Наиболее экономный вариант — указать в плане обеспечения непрерывности бизнеса один из ваших филиалов, куда можно будет временно переместить основные активы, но это вариант подойдет вам, только если у вас есть филиалы. Необходимо учитывать приблизительные затраты на перенос офиса в другое здание, в связис форс мажором, стоимость обустройства, и ведение нормальной бизнес-деятельностив новом помещении.
Иногда после форс-мажора, есть возможность восстановления нормальной работы основного оборудования, но иногда случается так, что его приходится заменять. В плане обеспечения непрерывности бизнеса нужно подробно описать, каким образом оборудование, или его функции будут возобновлены. Например, вы можете временно перейти на веб-хостинг электронной почты, до того, как восстановите или замените свои сервера.
План обеспечения непрерывности бизнеса должен содержать в себе пошаговую инструкцию для этапа восстановления после экстренной ситуации. Она должна включать в себя руководство по возобновлению функций и операции, руководство по оценке стоимости восстановления, работу со страховыми компаниями, контроль за процессом восстановления, и переход управления бизнес операциями от команды по восстановлению к регулярным менеджерам.
10. Стоимость плана восстановления
Всегда стоит помнить о том, что стоимость плана восстановления не может превышать стоимость самого бизнеса. То, что в больших компаниях делают при помощи сложных ИТ-решений в маленьком бизнесе часто можно заменить менее надежным, но дешевым кустарным решением.
По материалам techrepublic.com
Б.Д. Альтерман, В.И. Дрожжинов, Г.Е. Моисеенко
Jet Info Online №5 2003
Введение План обеспечения бесперебойной деятельности организации в случае нештатных ситуаций: вопросы и ответы Зачем нужен план? Что представляет собой план и почему он так важен? Каковы выгоды от наличия плана? Каковы последствия отсутствия плана? Кто отвечает за разработку плана? Что требуется для разработки плана? Каковы этапы разработки плана? Что еще следует предусмотреть? Какие конкретные функциональные области следует включить в план? Способы составления плана Что можно сделать самостоятельно? Методология разработки и примерное содержание плана обеспечения бесперебойной деятельности организации Методология разработки Примерное содержание плана Этапы методологии планирования бесперебойной деятельности организации в случае бедствия Руководство по составлению плана, обеспечивающего бесперебойное функционирование и восстановление деятельности организации после бедствия Оценка риска и управление риском Анализ последствий бедствий для деятельности организации Разработка стратегий восстановления деятельности организации Реагирование на чрезвычайную ситуацию Разработка и внедрение плана, обеспечивающего бесперебойное функционирование организации Ознакомительные программы и практическое обучение персонала организации Испытания плана и проведение учений по реализации плана Ведение и обновление плана Примеры планов обеспечения бесперебойной работы систем обработки информации Восстановление локальной вычислительной сети после бедствия План создания резервных копий и восстановления информации в ЛВС Планирование действий в непредвиденных обстоятельствах для систем обработки банковской информации Заключение I. Источники информации по проблемам обеспечения бесперебойной деятельности организаций в случае бедствий
Концепция, методы и средства обеспечения непрерывности бизнеса (Business Continuity Planning — BCP) и восстановления деятельности после бедствий (Business Disaster Recovery — BDR) широко известны и апробированы на Западе.
Технология обеспечения непрерывности деятельности при чрезвычайных ситуациях является неотъемлемой частью производственной деятельности крупных компаний и государственных организаций, что позволяет им обеспечить практически бесперебойное функционирование в случае чрезвычайных происшествий малого и среднего масштаба и восстанавливать свою деятельность с минимальными, заранее просчитанными убытками в случае широкомасштабных бедствий.
Читатели статьи ознакомятся с терминологией и основными понятиями в рассматриваемой области знаний и методологией разработки планов обеспечения непрерывности бизнеса в нештатных ситуациях. Приводятся примеры конкретных планов.
Планирование непрерывности деятельности- это постоянная забота первых руководителей организаций и компаний, которые живут не одним днем и заинтересованы в сохранении и развитии своих предприятий. Именно им и лицам, отвечающим за безопасность и финансовое здоровье компаний и организаций, в первую очередь предназначена эта статья.
Один из авторов статьи, В.И. Дрожжинов, является сертифицированным cпециалистом по планированию непрерывности бизнеса (АВСР), он прошел обучение в Канаде в Институте по восстановлению после бедствия, сдал сертификационный экзамен. Сертификат выдан Международным институтом по восстановлению после бедствия (Нью-Йорк, США).
ВведениеПод нештатными или чрезвычайными ситуациями понимаются внешние воздействия, приводящие к невозможности функционирования предприятия в обычном, регламентируемом соответствующими стандартами данного предприятия режиме.
К таким внешним воздействиям в первую очередь относятся:
Кроме прямых потерь организации несут издержки, связанные с нарушением процедур производственного и финансового учета, потерей расположения заказчиков, ухудшением имиджа и снижением конкурентоспособности.
Концепция, методы и средства обеспечения непрерывности бизнеса и восстановления деятельности после бедствий (Business Continuity Planning — BCP и Business Disaster Recovery — BDR) широко известны и апробированы на Западе при возникновении официально объявленных бедствий и чрезвычайных происшествий более мелкого характера. Они являются неотъемлемой частью производственной деятельности многих крупных компаний, что позволяет им обеспечить практически бесперебойное функционирование в случае чрезвычайных происшествий малого и среднего масштаба и восстанавливать свою деятельность с минимальными, заранее просчитанными убытками в случае широкомасштабных бедствий.
Для того, чтобы обезопасить себя на случай возникновения нештатных ситуаций, нужно иметь:
План обеспечения бесперебойного функционирования организации в случае нештатной ситуации представляет собой детальный перечень мероприятий, которые должны быть выполнены до, во время и после чрезвычайного происшествия или бедствия. Этот план документируется и регулярно испытывается для того, чтобы убедиться, что в случае нештатной ситуации он обеспечит продолжение деятельности организации и наличие резерва критически важных ресурсов.
Наличие даже очень хорошего плана не гарантирует защиту компании от неприятностей, если у нее нет хорошо обученных групп сотрудников, знающих, что, когда и как они должны делать при возникновении любой нештатной ситуации.
Аналитики отмечают, что потери от террористической атаки 11 сентября могли быть значительно больше, если бы отсутствовали планы действий в чрезвычайных ситуациях, имеющиеся у большинства американских компаний. Заметим, что многие из этих планов появились в преддверии 2000 г. в связи с так называемой "Проблемой 2000" (Таб. 1 ).
Таблица 1. Действия компаний по повышению безопасности в преддверии 2000 г. и после 11 сентября 2001 г.
Киберугрозы организационным системам
ИТ-индустрия создала инструменты для обнаружения и устранения "Проблемы 2000" (У2К) в аппаратных и программных средствах. Компании понесли значтельные затраты на тестирование, модификацию и замену своих систем
Имеется огромное число технических решений для обеспечения безопасности, и в каждом конкретном случае требуется проведение тщательного отбора. При этом нужно иметь в виду, что безопасность людей не менее важна, чем безопасность материальных активов
Коммерческая зависимость и взаимозависимость компаний
Различные объединения промышленных предприятий проводили оценку угроз нарушения логистических цепочек и последствий таких нарушений. Компании требовали от своих поставщиков подтверждения устранения в своих информационных системах угроз, связанных с "Проблем ой 2000"
Компании углубили свое осознание проблем обеспечения устойчивости логистических цепочек. После 11 сентября они стали меньше полагаться на практику поставок точно в назначенный срок (just-in-time) и больше - на складские запасы "на всякий случай" (just-in-case)
Киберугрозы критическим инфраструктурам
Владельцы и операторы инфраструктур (телекоммуникационных, трубопроводных и др.) обеспечили решение "Проблемы 2000" в своих системах, разработали и проверили планы их восстановления после бедствия и создали сети сотрудничества для обмена информацией и координации действий в чрезвычайных ситуациях
Компании очень вяло обмениваются информацией во всех сферах, кроме финансовой, где существуют долговременные доверительные отношения, позволяющие координировать действия в чрезвычайный ситуациях
Нежелание делиться информацией
Конгресс США издал закон, по которому обмен информацией между Компаниями по "Проблеме 2000" не является нарушением антимонопольного законодательства
Сейчас в Конгрессе США рассматривается закон об обмене между компаниями антитеррористической информацией, подобный закону, принятому в отношении "Проблемы 2000"
Атмосфера страха и неопределенности
Предприятия и их объединения организовали в прессе кампанию с целью убедить акционеров и публику в том, что последствия "Проблемы 2000" будут минимальными
Сразу после 11 сентября все компании публично выразили соболезнования родственникам погибших в зданиях ВТЦ
Знание точной даты проявления "Проблемы 2000" и понимание ее сути упростили планирование работ по ее преодолению. Наличие необходимого инструментария обусловило сокращение времени решения задачи
Время проведения террористической атаки и применяемые для этого средства непредсказуемы. Поэтому необходимо тщательное исследование рисков для определения соответствующих мер и инструментов защиты
Готовы ли российские компании к внедрению у себя планов обеспечения непрерывности деятельности? Информация об этом противоречива. Изучение рынка сервисных ИТ-услуг, проведенное компанией Market-Visio/EDC в 2000-2001 гг. (http://www.edc.ru/), показало, что услуга по планированию непрерывности бизнеса (BCP) в России пока слабо востребована.
Исследование, проведенное в 2001 г. компанией Ernst & Young (www.ey.com/Russia/security-risk), свидетельствует о том, что 67% опрошенных ею российских компаний имеют планы обеспечения непрерывности бизнеса (BCP), причем у 61,2% этих компаний планы протестированы, а у 38,8% — нет.
Столь разные оценки объясняются тем, что Market-Visio/EDC опрашивала предприятия действительно по вопросу непрерывности бизнеса при комплексных угрозах (см. Таб. 2 ), а Ernst & Young, судя по содержанию отчета, только по проблемам информационной безопасности (отказы компьютеров, атаки хакеров, компьютерные вирусы и др.).
Таблица 2. Классификация прерывателей (рисков) бизнеса (не исчерпывающая)
ТИП ПРЕРЫВАТЕЛЯ БИЗНЕСА
Согласно известному закону Мэрфи, «Если какая-нибудь неприятность может произойти, она случается» и, более того, «Из всех неприятностей произойдет именно та, ущерб от которой больше». Риск возникновения внештатной ситуации существует всегда, и эффективность ее решения будет зависеть от того, насколько компания подготовлена. Каким образом компания может противостоять такого рода воздействиям или, по крайней мере, минимизировать возможный ущерб для бизнеса?
Обеспечение непрерывности бизнеса является одним из ключевых аспектов успешного функционирования любой современной компании. Данному вопросу уделяется значительное внимание, в том числе и при создании системы информационной безопасности компании. Не случайно на прошедшей в Москве выставке «Infosecurity 2004» эта проблема обсуждалась достаточно широко.
Что же означает термин «Планирование непрерывности бизнеса» (Business Continuity Planning или BCP)?Это деятельность, направленная на снижение рисков прерывания бизнеса и негативных последствий таких сбоев, восстановление бизнеса до приемлемого уровня в определенной последовательности и установленные сроки, начиная с момента прерывания. Процедура планирования непрерывности бизнеса подразумевает оценку рисков разнообразных организационных процессов, создание политик, планов и процедур для минимизации этих рисков. Главная цель BCP – поддержание основных бизнес функций компании. Здесь необходимо понимать, что BCP не сводится к бесперебойной работе ПО и оборудования.
Говоря об обеспечении непрерывности ИТ-поддержки бизнеса, стоит упомянуть также термин «Планирование деятельности после катастроф» (Disaster Recovery Planning или DRP) – заблаговременное составление плана действий, направленных на уменьшение ущерба и обеспечение бесперебойного выполнения критически важных функций организации в случае катастрофы. Термин катастрофа (disaster) в наших обсуждениях означает незапланированное прерывание обычных бизнес процессов, вызванное прерыванием в работе ИТ инфраструктуры.
Различие между терминами BCP и DRP в том, что BCP направлено на поддержку бизнес активности и бизнес функций, в то время как DRP - на поддержание бесперебойной работы информационных систем и сохранности данных. В то же время, BCP ориентировано на предупреждение проблем, а DRP - на их решение. Т.е. DRP направлено на восстановление ИТ инфраструктуры после сбоев, в то время как BCP охватывает вопросы восстановления бизнеса. Разница между стратегиями BC и DR систематизирована в таблице:
Стратегия восстановления после катастроф ( DR )
Стратегия непрерывности бизнеса (BC)
Оперативные процедуры для надежного восстановления системных и сетевых технических средств и данных компании
Определение требуемых времени восстановления и актуальности данных для восстановления
Создается и направляется CIO и руководством ИТ
Детальный план включающий людей и технические средства, такие как системы и данные, разработанный для гарантированного восстановления основных б.п. Компании после незапланированного прерывания
Обеспечение непрерывного предоставления сервисов ИТ независимо от типа прерывания
Создается и направляется CEO или руководством бизнес подразделения
Насколько актуально планирование непрерывности бизнеса организации?Давайте обратимся к статистике: по результатам исследований Техасского университета, спустя 2 недели после прекращения работы вычислительных систем у 75% компаний потеря функционирования становится критичной или полной, а 43% компаний после катастроф не возобновляют свою деятельность. А исследование, проведенное в 2003 году Институтом непрерывности бизнеса (Business Continuity Institute, www.thebci.org ), показало, что 26% компаний пострадали от ухода лиц, занимавших ключевые должности, 24% - от проблем, связанных с ИТ-мощностями, 17% - от негативного мнения, вызванного отсутствием BCP.
Какие проблемы могут возникнуть у организации при отсутствии плана обеспечения непрерывности ведения бизнеса?
В первую очередь, это:
удар по репутации компании,
расходы, связанные с «остановкой и простоем» бизнеса,
и даже ЛИКВИДАЦИЯ КОМПАНИИ! Например, для процессинговой компании каждая секунда простоя может обернуться большими убытками, разрастающимися как снежный ком в случае отсутствия плана по восстановлению бизнеса.
Как известно из теории управления информационными рисками, все угрозы можно разделить на 2 типа: природные (землетрясения, ураны, молнии, наводнения и т.п.) и искусственные.
Создание плана обеспечения непрерывности бизнеса позволит минимизировать риски, возникающие при:
ошибках/отказе оборудования (например, выход из строя дискового массива);
отказе в системе электропитания или коммуникаций;
ошибках прикладного ПО или повреждении баз данных;
человеческих ошибках, саботаже, террористических атаках или забастовке;
воздействии вредоносного ПО (вирусы, троянские кони и т.п.);
неконтролируемом доступе к информации;
техногенных воздействиях (пожаре и т.п.)
природных катаклизмам (наводнение, землетрясение, ураганы и т.д.).
Однако следует отметить, что понятие BCP не ограничивается прерыванием бизнеса по технологическим причинам. К сожалению, в наше время особенно актуальными причинами прерывания бизнеса могут быть террористические акты, гражданские беспорядки, забастовки и т.п. Необходимо четко понимать, что управление непрерывностью ведения бизнеса (УНВД) – это не просто восстановление после катастроф, управление кризисными ситуациями, управление рисками или восстановление технологии. УНВД дает стратегическую и операционную структуру взглядов на бизнес и систему управления компанией, направленную на устойчивость компании к разрушениям, прерываниям и потерям.
Основные принципы УНВД:
УНВД и управление кризисными ситуациями является интегральной частью общей системы управления компании;
УНВД фокусируется в первую очередь на поддержке бизнес стратегии и целей компании;
УНВД должно предоставлять организационную устойчивость к оптимизации продуктов и доступности сервисов;
внедрение системы УНВД должно являться основной частью процесса изменений на всех стадиях развития новых бизнес операций, сервисов и организационных инфраструктурных проектов.
Анализ информационных рисков является всего лишь составной частью при проведении УНВД. В теории управления непрерывностью ведения бизнеса существует понятие «прерыватель бизнеса». Выделяют несколько типов прерывателей бизнеса: природные, техногенные, природно-техногенные (пожар), а также предпринимательские и человеческие. Последним двум типам прерывателей раньше уделялось не так много внимания. А ведь к ним относятся и переезд компании в другой офис, и проблемы, связанные с криминальными или государственными структурами («Mask Show»), и отсутствие планирования замещения должностей, и трудовые конфликты, и, например, массовая гибель сотрудников в результате аварии и т.п. Таким образом, проблема обеспечения непрерывности бизнеса затрагивает не только ИТ, а весь бизнес целиком.
Созданный план позволит избежать паники, неприятных «сюрпризов», позволит предусмотреть возможное развитие событий в случае наступления внештатной ситуации и необходимые действия по реагированию в возникшей ситуации, описать критичные воздействия на бизнес процессы, расставить приоритеты.
Дорого ли стоит создание и поддержание плана обеспечения непрерывности бизнеса?Существующие оценки приведены на рис.1.
Рис. 1. Оценка вложений в BCP
Но необходимо учесть, что поддержание BCP требует постоянных финансовых и временных затрат.
Для корреляции с вложениями в BCP, приведем статистику стоимости незапланированного простоя в 1 час по данным «Contingency Planning Research & Strategic Research Corporation» (рис. 2).
Рис. 2. Оценка стоимости одного часа незапланированного простоя.
Для того чтобы создать качественный план непрерывности ведения бизнеса, необходимо организовать разработку плана в виде проекта, с возможностью управления сроками, задачами и конечными результатами. Более того, это позволит воспользоваться схемой жизненного цикла процесса (Планируй-Делай-Проверяй-Действуй, Plan-Do-Check-Act).
Этапы создания планаРис. 3. Основные этапы создания плана обеспечения непрерывности бизнеса
Организация выполнения проекта.
Определение основных бизнес процессов (б.п.), в том числе информации о требуемых ресурсах, трафике, количестве работ по обеспечению каждого бизнес процесса в течение нормального бизнес дня, недели, месяца.
Оценка риска (Risk assessment) и идентификация возможных прерывателей бизнеса (ранжирование по степени важности), уменьшение нежелательных последствий от наступления событий, связанных с риском (Risk analysis), в том числе и определение RTO (recovery time objective) для жизненно важных б.п.
Анализ воздействия на бизнес (Business impact analysis), в том числе определение диаграммы бизнес процессов с привязкой к ИТ ресурсам.
Разработка стратегии восстановления деятельности, которая может включать следующие процессы:
процесс действий в условиях аварии;
процесс объявления аварии;
процесс восстановления систем;
процесс восстановления сети;
процесс восстановления рабочего места пользователя;
методы обеспечения непрерывности бизнеса;
Особое внимание стоит уделить именно анализу рисков, т.к. от него будет зависеть полнота и качество составленного плана. И так как операционная среда постоянно меняется, необходимо постоянно поддерживать, обновлять и тестировать созданный план. Наличие даже очень хорошего плана, но не тестируемого, не даст абсолютно никаких преимуществ бизнесу. Стоит обратить на это особое внимание: исследование, проведенное в 2003 г. компанией Ernst & Young, свидетельствует о том, что 67% опрошенных ею российских компаний имеют планы обеспечения непрерывности бизнеса (BCP), причем у 61,2% этих компаний планы протестированы, а у 38,8% — нет.
Вот как выглядит мировая статистика обновления плана непрерывности ведения бизнеса (по данным Disaster Recovery Journal) - рис. 4.
Рис. 4. Периодичность обновления плана обеспечения непрерывности бизнеса
В заключение хотелось бы отметить, что процесс BCP занимает значительное место в системе управления информационной безопасностью компании. Например, это отражено в международном стандарте ISO 17799 и британском BS 7799-2:2002. Это также описано и в германском национальном стандарте по ИБ BSI «Руководство по базовому уровню защиты информационных технологий» и в руководстве американского национального института информации и технологий (NIST) – SP800-34 “Contingency Planning Guide for Information Technology Systems”, который носит рекомендательный характер.
В настоящее время предлагаемые на российском рынке решения в основном относятся к восстановлению составляющих информационных технологий, т.е. Disaster Recovery. Но серьезные компании все чаще и чаще обращают внимание именно на BCP. На последней европейской выставке Infosecurity, проходившей в Москве в конце сентября 2004 года, большое внимание было уделено именно вопросу создания BCP, который, в частности, достаточно основательно был представлен в выступлениях специалистов международной аудиторской компании KPMG, в бизнесе которой консультационные услуги по вопросам BCP занимают заметное место. Из российских компаний опытом и квалификацией в этой сфере ИТ-бизнеса обладают пока только несколько компаний, среди которых и компания TopS Business Integrator. В рамках консультационных и технологических услуг по обеспечению непрерывности бизнеса TopS BI предлагает решения, направленные на снижение рисков прерывания бизнес процессов, снижения негативных последствий таких сбоев, восстановление функционирования бизнес -процессов в заданном объеме в установленные сроки.
Руководителям компаний для успешного функционирования бизнеса необходимо предусмотреть создание плана обеспечения непрерывности бизнеса, а в тех компаниях, где он существует, необходимо обеспечить его постоянное поддержание, тестирование и обновление. Не стоит ждать появления внештатной ситуации, которая поставит под вопрос само существование компании. Создание и поддержание плана позволит минимизировать риски и предупредить негативные последствия самой внештатной ситуации. Более того, это поможет расставить правильные акценты критичности жизненно важных бизнес процессов для компании, а затраты на создание и поддержание плана можно рассматривать, как одну из необходимых форм страхования бизнеса. При этом стоит учитывать следующее.
Лучше иметь плохой план непрерывности бизнеса, чем никакого.
Пересмотр и исправление плана необходимо делать постоянно, по циклу.
BCP – это один из составных элементов системы управления информационной безопасностью, необходимый для нормального функционирования бизнеса.
План должен быть согласован с корпоративной политикой информационной безопасности компании.
Наивная надежда на «авось» в современном мире абсолютно неприемлема. Пока компании не станут серьезно подходить к проблеме BCP и, соответственно, не смогут снижать операционные риски, эти компании будут нести убытки, которых могли бы избежать.
Используемые материалы и ресурсы:
Jon William Toigo «Disaster recovery planning»
Dr. David J. Smith «Business Continuity Management: Good Practice Guidelines”, BSI
www.bcp.ru – информационный портал, посвященный вопросам Управления и Планирования Непрерывности Бизнеса в России
www.rmisweb.com - Risk management information
www.thebci.org - Business Continuity Institute
Директор информационной службы, №10, октябрь 2004
УЧРЕДИТЕЛЬ И РЕДАКЦИЯ: ЗАО «ИД «Комсомольская правда».
Сетевое издание (сайт) зарегистрировано Роскомнадзором, свидетельство Эл№ФC77-50166 от 15 июня 2012.
Главный редактор - Сунгоркин В.Н.
Шеф-редактор сайта - Носова О.В.
Сообщения и комментарии читателей сайта размещаются без предварительного редактирования. Редакция оставляет за собой право удалить их с сайта или отредактировать, если указанные сообщения и комментарии являются злоупотреблением свободой массовой информации или нарушением иных требований закона.
© ЗАО ИД «Комсомольская правда», 2015.
125993, Москва, Старый Петровско-Разумовский проезд, 1/23, стр. 1. Тел. +7 (495) 777-02-82.
Исключительные права на материалы, размещённые на интернет-сайте www.kp.ru . в соответствии с законодательством Российской Федерации об охране результатов интеллектуальной деятельности принадлежат ЗАО "Издательский дом "Комсомольская правда", и не подлежат использованию другими лицами в какой бы то ни было форме без письменного разрешения правообладателя.
Приобретение авторских прав: kp@kp.ru
Для читателей. Нам важно ваше мнение: (495)777-02-82, 8-800-200-0057 (бесплатно для жителей РФ).
Любой, пусть даже небольшой перерыв в деятельности компании, как правило, оборачивается для нее потерей доходов, клиентов, наносит ущерб деловой репутации. Поэтому обеспечение непрерывной работы компании является важной задачей руководителя.
Система обеспечения непрерывности бизнеса включает в себя построение организационной структуры, процедур, ресурсов и знаний персонала для успешной работы и минимизации потерь с событиями, имеющими статус форс-мажорных. Система направлена на сокращение потерь среди персонала, сокращение потери активов, предотвращения остановки бизнес- процессов и быстрое восстановление полноценной деятельности компании вне зависимости от характера событий.
Компании должны создавать вокруг себя непрерывное многоканальное информационное поле, которое предполагает проработку резервных способов передачи информации и связи с компанией, создание зеркал сайтов поддержки клиентов, дублирование критических функций как на уровне должностных инструкций, так и на уровне персонала.
Принципы обеспечения непрерывности бизнеса
О необходимости разработки системы, обеспечивающей непрерывность бизнеса, руководство большинства компаний задумывается, только столкнувшись с кризисом. Однако ликвидация кризисных ситуаций по заранее разработанному плану, как правило, обходится компаниям дешевле, чем решение проблем по мере их возникновения.
Например, Альфа-Банк принял решение внедрить систему обеспечения непрерывности бизнеса после того, как в августе 2001 года возник сбой в работе системы СВИФТ 1 (по независящим от банка причинам). Сбой в программе произошел в штаб-квартире СВИФТа в Брюсселе, и его не могли устранить в течение двух дней. В результате были полностью блокированы платежи Альфа-Банка как в рублях, так и в валюте, потеряна возможность зачисления средств на счета клиентов. Для банка это могло обернуться огромными убытками.
Менеджмент банка сумел быстро отреагировать и нашел возможность осуществления платежей через альтернативные каналы связи. По итогам кризиса руководство Альфа-Банка сделало вывод о необходимости комплексной системы обеспечения непрерывности бизнеса. Процесс ее создания можно разделить на три этапа:
1. Анализ бизнес-процессов и аудит рисков, то есть выявление и анализ вероятности наступления неблагоприятных событий.
2. Разработка сценариев действий в случае наступления неблагоприятного события.
3. Составление плана мероприятий по обеспечению непрерывности бизнеса.
Рассмотрим эти этапы более подробно.
Анализ бизнес-процессов и аудит рисков
В ходе анализа бизнес-процессов должны быть выявлены так называемые узкие места, то есть наиболее проблемные участки, от которых зависит выполнение всего бизнес-процесса. Например, при анализе процесса закупки сырья и материалов для промышленного предприятия может выясниться, что наибольшую угрозу бизнесу представляет зависимость не от поставщиков, а от работы железной дороги, по которой осуществляется большинство поставок.
Анализируя узкие места бизнес-процессов, риск-менеджер должен не только выявить возможные риски, но и определить вероятность наступления рискового события и объем возможных потерь. Сделать это можно как на основе анализа истории кризисных событий компании, так и путем экспертной оценки.
Результатом анализа бизнес-процессов и аудита рисков должна стать карта рисков . в которой содержится информация о вероятности наступления рискового события и размере потерь.
Для процесса «Поступление денежных средств» на основе статистики за предыдущие периоды были определены следующие риски:
1. Перебои с электроэнергией.
2. Сбои в работе оборудования.
3. Сбои в работе программного обеспечения.
4. Сбои в работе сетевого оборудования.
5. Недостаточная квалификация персонала.
6. Ошибки в вычислениях.
Каждая компания самостоятельно определяет границу зон исходя из стратегии, которую она реализует.
Анализ бизнес-процессов и аудит рисков позволяют руководству компании хорошо ориентироваться в условиях кризисной ситуации. Обладая детальным описанием бизнес-процессов, менеджер, управляющий кризисной ситуацией, способен быстро изменить порядок выполнения того или иного процесса путем перераспределения функций вышедшего из строя блока (подразделения, сотрудника, оборудования) между остальными или задействовать альтернативные ресурсы компании.
Для наиболее серьезных рисков, требующих оперативных решений по их предотвращению, разрабатываются сценарии действий и назначаются ответственные за их выполнение. В сценарии описывается, что и в какой последовательности должен делать персонал в случае наступления неблагоприятного события.
Сценарии действий могут содержать как непосредственное решение проблемы, так и методы ликвидации неблагоприятных последствий кризиса.
Например, в пятницу, 14 февраля 2003 года, в результате пожара на одной из московских АТС Альфа-Банк лишился около 800 городских номеров. С двадцатью московскими отделениями банка, а также с его клиентами и контрагентами была полностью или частично нарушена связь, под угрозой оказалось осуществление трейдинга и брокерских операций.
В данной ситуации Альфа-Банк не мог самостоятельно решить проблему. Поэтому был разработан сценарий ликвидации последствий аварии, который подразумевал следующие действия: переговоры с альтернативными провайдерами о предоставлении новых телефонных номеров, прокладку кабеля и настройку АТС на новые номера, доставку и установку IP-телефонии в пострадавшие отделения банка. В результате за выходные дни телефонная связь банка была восстановлена практически полностью.
Следует заметить, что разработанные сценарии необходимо тестировать — иногда то, что на бумаге выглядит логично, на практике может оказаться невыполнимым.
Составление плана мероприятий по обеспечению непрерывности бизнеса
Итогом создания системы управления рисками является план мероприятий по обеспечению непрерывности бизнеса. Он должен содержать следующие основные положения:
Денис Камышев,риск-менеджер компании «РУСАЛ УК» (Москва)
План обеспечения непрерывности бизнеса (contingency plan ) условно может быть разделен на две части. В первой содержится информация о вероятных рисках, с которыми компания может столкнуться в ходе своей деятельности (источником информации здесь может служить карта рисков компании), а во второй (основной) — различные варианты преодоления последствий тех или иных кризисных ситуаций (сценарии). Важно отметить необходимость регулярного обновления такого плана (планов) в соответствии с меняющейся внешней средой, изменением внутренних процедур работы компании, влияющих на механизмы взаимодействия в кризисной ситуации, а также появлением новых рисков, для которых необходимо разработать контрмеры по их устранению (или смягчению). По сути, план обеспечения непрерывности бизнеса является вершиной системы управления рисками и затрагивает интересы всех областей деятельности компании.
Игорь Беликов,директор Российского института директоров (Москва)
На мой взгляд, план обеспечения непрерывности бизнеса должен содержать следующие положения.
1. Описание системы подчиненности, которая будет действовать в кризисных ситуациях и может отличаться от той, которая используется в нормальных условиях.
2. Перечень рисков, с которыми сталкивается или может столкнуться компания, их приоритетность и регулярный анализ того, какие изменения в этом перечне и весе различных рисков произошли за период, прошедший с момента последней оценки.
3. Допустимые лимиты по каждому виду рисков (соответственно до определенного лимита предприятие берет риск на себя, а свыше — страхуется от риска или уклоняется от него).
4. Описание системы реагирования в ситуациях, когда потенциальные риски превратились в реальные.
Для того чтобы план по обеспечению бизнеса не превратился в некий абстрактный документ, карту рисков нужно периодически пересматривать. С течением времени появляются новые риски, а вероятность наступления уже существовавших меняется.
План как способ преодоления кризиса
Эффективная система обеспечения непрерывности бизнеса позволяет преодолеть самые экстремальные ситуации. Например, в здании одного из крупнейших английских банков — National Westminster Bank, где работали десятки тысяч человек, произошел взрыв. Однако в компании был заранее составлен полномасштабный план обеспечения непрерывности бизнеса: все бизнес-процессы были подробно описаны, назначены ответственные лица, продуманы альтернативные варианты размещения персонала, созданы резервные информационные системы. Это позволило банку продолжить работу уже через две недели, разместив сотрудников в новых офисах.
Как правило, подобного рода кризисные ситуации случаются довольно редко. Однако в современных условиях непредсказуемость становится неотъемлемой частью ведения бизнеса, поэтому даже без таких масштабных потрясений бизнес компании может оказаться под угрозой, если действия в критической ситуации не будут продуманы заранее.
_________________________________________
1 СВИФТ (SWIFT – Society for Worldwide Interbank Financial Telecommunications) – Ассоциация международных межбанковских финансовых коммуникаций. Участники этой ассоциации используют автоматизированную систему перевода денежных средств для осуществления международных платежей.
