Архив номеров

Актуальные практики BCM: от стандартов к корпоративным программам

Управление непрерывностью бизнеса (Business Continuity Management, BCM) — одно из наиболее динамично развивающихся направлений стратегического и оперативного менеджмента. Его актуальность определяется необходимостью выживания и сохранения бизнеса в условиях чрезвычайных ситуаций (инцидентов), в том числе в условиях беспрецедентного роста угроз информационной  безопасности [1—10]. И если управление рисками в основном ориентировано на оценку вероятности и предотвращение возможных угроз, то ВСМ в большей степени направлено на обеспечение способности организации планировать работу в условиях наступления инцидента, повлекшего нарушения ее деятельности.

Состояние вопроса

Понятие «управление непрерывностью бизнеса» по­явилось сравнительно недавно и сегодня вызывает постоянный интерес у топ-менеджеров, прежде всего технологически развитых предприятий и организаций. С 2014 г. в ряде стран мира, главным образом в Великобритании, США, России, Австралии и Японии, по вопросам BCM проводятся ежегодные слушания и совещания в рамках специально созданных комитетов и комиссий. Подготовлено более десятка международных и национальных стандартов и спецификаций, среди которых наибольшую известность приобрели:

  • международные и британские стандарты по ВСМ, обеспечению готовности к инцидентам (ISO/DIS 22399, ISO 22301, BS25999-1 и BS25999-2) и аварийному восстановлению информационно-коммуникационных технологий (ISO 24762);
  • спецификации по ВСМ, управлению непрерывностью IT-обслуживания и антикризисному менеджменту (PAS 56, PAS 77 и PAS 200);
  • практики британского Института непрерывности бизнеса (Business Continuity Institute, BCI), а также американских институтов аварийного восстановления (Disaster Recovery Institute, DRI) и кибербезопасности (SysAdmin, Audit, Network, Security Institute, SANS);
  • стандарты и библиотеки COBIT, ITIL, MOF в части непрерывности бизнеса, 14-й раздел международного стандарта по информационной безопасности ISO/IEC 27002 (BS ISO/IEC 17799);
  • национальные стандарты США и Канады в области обеспечения бесперебойности, аварийного реагирования и непрерывности бизнеса (NFPA 1600, NIST SP800-34), организационной устойчивости (ASIS SPC.1), планирования в условиях инцидентов (NIST SP800-34, правило 444 SR-NYSE) и управления чрезвычайными ситуациями (CSA Z1600);
  • технический справочник (TR19) и национальный стандарт Сингапура по ВСМ (SS540);
  • национальные стандарты Австралии и Новой Зеландии и практические руководства по ВСМ (AS/NZS 5050, HB 292, HB 221);
  • стандарт Японии по ВСМ и документы Банка Японии по ВСМ в финансовых учреждениях, в том числе при подготовке к сбоям оперативных сайтов;
  • стандарт Израиля по системам обеспечения безопасности и непрерывности (SI 24001) и др.

Например, практики британского BCI интегрируют различные функциональные области менеджмента и ориентированы в конечном итоге на цели устойчивого развития (рис. 1). При этом они построены по иерархическому принципу как с точки зрения документирования, так и с точки зрения процесса реализации (рис. 2).

В России требования и рекомендации по обеспечению непрерывности бизнеса отражены в следующих документах:

  • в ГОСТ Р ИСО 22301—2014 [11];
  • в Положении Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (в ред. Указания ЦБ РФ от 30 нояб­ря 2004 г. № 1521-У);
  • в разделе 8.11 стандарта Банка России — СТО БР ИББС «Обеспечение информационной безопасноcти организаций банковской системы Российской Федерации. Общие положения» (введен в действие 1 июня 2014 г.);
  • в Положении Банка России от 21 февраля 2013 г. № 397-П «О порядке создания, ведения и хранения баз данных на электронных носителях» (с изменениями и дополнениями от 14 сентября 2016 г.);
  • в рекомендациях для кредитно-финансовых организаций Базельского комитета по банковскому надзору (High Level Principles for Business Continuity) и др.

Основные понятия и определения

Под термином «управление непрерывностью бизнеса» обычно понимается системный процесс оценки последствий возникших чрезвычайных ситуаций и принятия действенных решений по сохранению бизнеса компании. Поэтому основной целью соответствующих корпоративных программ управления непрерывностью и устойчивостью бизнеса (Enterprise Continuity Program, ECP) является минимизация риска потери бизнеса в случае его прерывания и продолжение деятельности предприятия в условиях инцидента.
В представлении бизнеса, а зачастую и технических специалистов, непрерывность бизнеса нередко отождествляется с аварийным восстановлением после катастроф (Disaster Recovery, DR). Необходимо четко понимать, что основной целью BCM является поддержание в актуальном состоянии достаточного количества структур, операций и ресурсов (активов), необходимых для стабильного функционирования компании в чрезвычайных ситуациях. Данное представление BCM существенно отличается от понятия аварийного восстановления после катастрофы, которое тесно, если не исключительно, связывается с информационными технологиями (табл. 1, 2). Сегодня фокус внимания концепции непрерывности бизнеса смещается на организацию в целом, на критически важные для нее бизнес-процессы и операции, расширяя горизонты прежнего рассмотрения проблемы за пределы исключительно соответствующих IT-систем и сервисов, несмотря на их исключительную важность для отечественных предприятий [1, 5, 12].

С точки зрения целевой аудитории, корпоративные программы управления непрерывностью бизнеса актуальны в первую очередь для крупных и средних российских компаний. При этом компании, как правило, уже должны обладать определенным уровнем бизнес-культуры, четко поставленной стратегией развития бизнеса и соответствующими ей стратегиями развития информационных технологий и кибербезопасности. Важно, чтобы названные стратегии фигурировали не только в виде концептуальных нормативных документов, но и в виде конкретных метрик и мер, позволяющих оценивать достижение поставленных целей, в том числе и в области управления непрерывностью бизнеса.
Для отечественных предприятий существенно, что с точки зрения проектной деятельности, согласно ГОСТ Р ИСО 22301—2014 [11], под управлением непрерывностью бизнеса понимается особый метод организации работы, позволяющий управлять остаточными рисками прерывания бизнеса и тем самым учитывать его потребности в непрерывной стабильной работе критически важных бизнес-процессов. Анализ непрерывности бизнеса и обеспечивающих технологических процессов позволяет выработать эффективные превентивные меры предупреждения и нейтрализации потенциальных угроз, способы реагирования на внештатные ситуации и сбои систем, адекватные целям и задачам бизнеса (рис. 3).

Для построения успешной программы управления непрерывностью бизнеса для цифровых предприятий Российской Федерации необходимо, основываясь на требованиях ГОСТ Р ИСО 22301—2014, четко определить три основные части процессного управления организацией:

  • систему целеполагания — основные стратегические и тактические цели и задачи бизнеса;
  • систему управления бизнес-процессами — способы достижения поставленных целей;
  • процессную среду — окружение и условия, позволяющие системе управления бизнес-процессами эффективно достигать поставленных целей.

Отечественная практика управления непрерывностью бизнеса

В соответствии с отечественной практикой наиболее технологически развитых отраслей (телекоммуникации, банковская индустрия, нефте- и газопереработка и др.) разработка корпоративной программы управления непрерывностью бизнеса может выглядеть следующим образом (рис. 4, 5) [5, 7, 8—10, 12].

Первые два шага посвящены идентификации целей и задач бизнеса организации, которые проецируются на область управления непрерывностью бизнеса. В этот период создается проектная группа, рассматриваются такие требования бизнеса, как следование намеченной стратегии развития, получение прибыли, сохранение имиджа и положительной репутации, выполнение требований регуляторов и др. На основе требований бизнеса определяются требования по непрерывности и доступности IT-сервисов (для этого, например, могут использоваться рекомендации ITIL и COBIT).
На третьем и четвертом шагах определяются и ранжируются все критически важные для бизнеса IT-сервисы (для этого могут использоваться рекомендации библиотеки ITIL). Проводятся оценка рисков (Risk Assessment, RA) и анализ воздействия на бизнес (Business Impact Analysis, BIA). При этом для получения объективных упомянутых оценок привлекаются владельцы критически важных бизнес-процессов и обеспечивающих IT-сервисов.
На пятом и шестом шагах каждый IT-сервис детально исследуется с целью определения активов, необходимых для их функционирования. Происходит уточнение перечня угроз и возможных рисков прерывания для каждого IT-сервиса. При этом для выявленного риска обоснованно подбираются некоторые превентивные и восстановительные меры, в том числе детальные контроли (например, в соответствии с рекомендациями COBIT).
Шаг седьмой — это определение требуемого времени восстановления (Recovery Time Objective, RTO) и контрольных точек возврата (Recovery Point Objective, RPO) для IT-сервисов.
На восьмом шаге для каждого IT-сервиса уточняются меры аварийного восстановления (на основе рекомендаций COBIT и BS 25999, PAS 56).
Девятый шаг — это разработка стратегии, а затем соответствующих планов и процедур обеспечения непрерывности и устойчивости бизнеса.
Десятый шаг — это разработка планов и графиков тестирования. Результаты данного шага используются для поддержания планов и процедур обеспечения непрерывности бизнеса в актуальном состоянии, своевременного пересмотра и обновления упомянутых документов.
На одиннадцатом шаге осуществляется поддержка общей программы управления непрерывностью бизнеса, в том числе повышение культуры BCM, запуск соответствующих программ обучения и повышения осведомленности.

Достигаемые преимущества

Разработка корпоративной программы BCM имеет следующие экономические, организационные и управленческие преимущества.
Преимущество 1. Непосредственное снижение степени влияния инцидента на деятельность компании. Основными причинами снижения ущерба в результате инцидентов нарушения непрерывности бизнеса при наличии разработанных и внедренных планов BCM являются:

  • минимизация времени принятия персоналом решений о требуемых действиях в случае наступления инцидента;
  • снижение риска человеческой ошибки из-за стрессовой ситуации;
  • обеспеченность персонала средствами (в том числе коммуникаций) как для ликвидации аварии, так и для выполнения некоторой части своих служебных обязанностей;
  • наличие у персонала опыта и навыков действий в чрезвычайных ситуациях.

Кроме того, комплексная программа BCM, реализуемая в организации как следствие анализа проблемы с учетом принципов системного подхода, позволяет в результате своего внедрения получить отдачу, превышающую даже сумму отдельных защитных мер по каждому конкретному направлению (Disaster Recovery Planning, DRP).
Программа BCM нацелена на восстановление работоспособности организации в случаях крупных негативных воздействий, затрагивающих чаще всего несколько объектов и направлений инфраструктуры, обеспечивающей бизнес. При таких воздействиях отдельные планы DRP, зачастую разрабатываемые структурными подразделениями изолированно друг от друга и исходящие из предположения о работоспособности остальных сервисов, не способны адекватно отражать действительно требующиеся меры по восстановлению бизнеса. Только комплексная программа, учитывающая различные сценарии и охватывающая многие направления, может формировать оптимальную стратегию поведения в таких ситуациях.
Преимущество 2. Снижение риска материальной ответственности перед клиентами. Внедрение мероприятий по обеспечению непрерывности позволяет избегать либо значительно снижать значимый для многих организаций риск юридической ответственности перед клиентами и заказчиками и, как следствие, уменьшать и объемы страховых выплат, неустоек и т. п.
Преимущество 3. Снижение риска ущерба репутации. Риск ущерба репутации компании тесно связан с инцидентами нарушения работоспособности организации и при этом является одним из нестрахуемых рисков. В связи с этим внедрение плана BCM и его соответствующее техническое обеспечение являются одним из немногих средств управления данным видом риска.
Преимущество 4. Самоидентификация и «самоосознание» компании. Тщательно проработанная программа обеспечения непрерывности бизнеса позволяет ключевым лицам компании осознать структуру поддерживающих процессов и внутренних сервисов компании, степень их важности для бизнеса, значение существующих на текущий момент связей со сторонними организациями, степень зависимости бизнеса от них.
Преимущество 5. Документирование подсистем. В организациях, не проводивших ранее единообразной инвентаризации существующих сервисов, процессов и подсистем с точки зрения влияния на работоспособность компании, обеспечения конфиденциальности, целостности и доступности ключевой информации, процесс построения планов BCM в качестве дополнительного результата формирует детальный и, что важно, «бизнес-ориентированный» пакет документации о структуре подсистем компании.
Данный материал будет полезен и топ-менеджерам компании, и среднему управленческому звену, и даже вновь принимаемым на работу специалистам (например, с целью быстрого и адресного ознакомления с принципами функционирования бизнес-процессов компании и обслуживающих их систем).
Преимущество 6. Снижение зависимости от незаменимых людей и функций. Степень зависимости компании от ключевых фигур в своем персонале, обладающих монопольными знаниями о предметной области или бизнес-контактах, всегда являлась и является одним из серьезных рисков, мероприятиям по снижению которых уделяют особое внимание и собственные службы риск-менеджмента, и внешние аудиторы. Частичное снижение данного вида риска возможно и в результате внедрения программы непрерывности бизнеса.

Резюме

Управление непрерывностью бизнеса (ВСМ) — системный процесс оценки последствий возникших чрезвычайных ситуаций и принятия действенных решений по сохранению бизнеса. Опыт крупных технологически развитых компаний в области ВСМ обобщен в стандартах, спецификациях, а также в практиках ряда специализированных международных институтов. Их развитие и реализация связаны с разработкой корпоративных программ ВСМ, которые позволяют стабилизировать критически важные бизнес-процессы, обеспечить продолжение деятельности предприятия и минимизировать потери бизнеса в условиях инцидентов.

Полная версия статьи доступна подписчикам электронного журнала "Стандарты и качество". Подписаться >>>

01.11.2018

448
Поделиться:

Полная версия статьи доступна подписчикам электронного журнала "Методы менеджмента качества" >>>

Подписаться


Открытые статьи:

Бережливость по-русски
Враг рабочего человека, или отец научного менеджмента
Эйнштейн в решении проблем
Культурная трансформация: оценка и совершенствование культуры
Стандарт AS 9100
Джозеф Джуран — архитектор качества. Трудный путь становления высококвалифицированного инженера в области управления качеством
Арманд Фейгенбаум — создатель TQM
Что мы оставим для других?
Двенадцать титанических подвигов «бережливого» лидера
Принципы построения и развития систем менеджмента качества строительных организаций в России