Непрерывность бизнеса

План ОНиВД – совокупность мероприятий, направленных на обеспечение непрерывности и/или восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств. Это внутренний документ банка, который определяет комплекс действий по предотвращению или своевременной ликвидации последствий нарушения режима работы финансового учреждения, вызванного возникновением чрезвычайной ситуации или иным событием, препятствующим выполнению кредитной организацией принятых на себя обязательств.

Рекомендации по структуре и содержанию плана, а также по организации проверки возможности его выполнения приведены в приложении 5 к положению ЦБ РФ от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».

Работы банка по составлению и поддержке плана ОНиВД в актуальном состоянии можно разделить на три этапа: разработка, которая в себя также включает согласование и утверждение плана, а также пересмотр и проверка.

При разработке плана анализируются следующие факторы:

– виды и характер возможных непредвиденных обстоятельств и степень их воздействия на деятельность кредитной организации;

– перечень критически важных внутренних банковских процессов, а также автоматизированных информационных систем, обеспечивающих их осуществление;

– показатели восстановления внутренних банковских процессов, в т. ч. такие, как срок восстановления, допустимый размер материальных затрат и потерь информации.

В план рекомендуется включать:

– порядок его реализации;

– перераспределение обязанностей и полномочий между подразделениями и служащими банка в случае возникновения непредвиденных обстоятельств;

– перечень установленных в кредитной организации процедур, выполнение которых необходимо для успешной реализации плана ОНиВД, а также очередность и сроки их выполнения. Например, резервное копирование информации, заключение договоров с контрагентами на оказание услуг, обеспечивающих реализацию плана, и т. д.;

– порядок взаимодействия (в т. ч. порядок экстренного оповещения и связи) между органами управления, подразделениями и служащими кредитной организации при возникновении непредвиденных обстоятельств;

– порядок информирования заинтересованных лиц о возникновении чрезвычайных ситуаций и взаимодействия с ними (в т. ч. с Банком России);

– детальные инструкции для подразделений и служащих финансового учреждения, содержащие описание действий, необходимых для поддержания или своевременного возобновления функционирования критически важных для деятельности кредитной организации внутренних банковских процессов и автоматизированных информационных систем;

– порядок завершения работы в чрезвычайном режиме и возврата в режим повседневного функционирования.

Для того чтобы служащие банка были готовы при возникновении непредвиденных обстоятельств действовать согласно плану ОНиВД, нужно проводить обучение, включающее в себя также проведение учений. Тестировать план следует не реже одного раза в год. Для этих целей рекомендуется определить группу наблюдателей, контролирующую выполнение предусмотренных планом ОНиВД мероприятий. По итогам проверки группа составляет протокол и отчет.

План необходимо пересматривать не реже одного раза в два года. При этом надо учитывать недостатки, обнаруженные в ходе его тестирования, а также вновь выявленные факторы, которые могут привести к нарушению повседневного функционирования кредитной организации в случае возникновения чрезвычайных ситуаций.

«По техническим причинам…»

В настоящее время существует огромное количество методик управления непрерывностью бизнеса, которые помогают в проведении планирования, улучшения доступности критически важных бизнес-процессов компании. Но эти методики содержат теоретические основы непрерывности бизнеса и не отвечают на вопрос «Как реализовать такой проект?». В настоящей статье описана последовательность действий, которые дадут вам представление о том, как внедряется система управления непрерывностью бизнеса, и какие результаты вы получите на каждом этапе.

Жизненный цикл процесса управления непрерывностью бизнеса
Управление непрерывностью бизнеса компании является циклическим процессом, который должен учитывать возможные изменения в бизнесе, сфере ИТ, законодательстве и других областях, влияющие на деятельность организации, а также помогать ей адаптироваться к этим изменениям. Другими словами, управление непрерывностью бизнеса является процессом его постоянного совершенствования, что, в свою очередь, повышает уверенность компании в надежности планов обеспечения непрерывности бизнеса.
Жизненный цикл процесса управления непрерывностью бизнеса включает 7 этапов, на каждом из которых определены последовательность шагов и результат (перечень этапов был построен на основе цикла BCM Institute).
Инициация проекта
Проект — это деятельность, направленная на создание уникального продукта, услуги или результата.

План управления проектом / Project Management Plan – документ, описывающий, как проект будет исполняться, как будет происходить его мониторинг и контроль.
Руководство PMBOK — Пятое издание
На данном этапе определяется содержание проекта обеспечения непрерывности бизнеса и разрабатывается его пошаговый план. В нем определяется, как будет исполняться проект, как будет проводиться его мониторинг, контроль и закрытие, а также определяются границы проекта, роли членов проектной команды и цели проекта.
Помимо вышеперечисленных действий, необходимо определить потребность в проекте. Для некоторых компаний непрерывность бизнеса — это обеспечение эффективности критически важных бизнес-функций, а также демонстрация устойчивости бизнеса клиентам. Но нельзя забывать, что существуют требования нормативно-правовых актов и регулирующих органов к непрерывности бизнеса. Далее в таблице перечислены и описаны стандарты / нормативно-правовые акты (НПА) широко использующиеся на территории Российской Федерации, а также ряд требований, которые предъявляют данные стандарты / НПА к системе непрерывности бизнеса.

Стандарт/ НПА Требование Описание Статус
ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements» (Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности) A.17 Information security aspects of business continuity management
(Аспекты информационной безопасности в управлении непрерывностью бизнеса)
Непрерывность информационной безопасности должна быть встроена в систему непрерывности бизнеса компании
Для этого необходимо:
­- спланировать непрерывность информационной безопасности;
— внедрить непрерывность информационной безопасности;
— проверить, оценить непрерывность информационной безопасности.
Непрерывность информационной безопасности является одним из требований в том случае, если компания стремится получить сертификат соответствия требованиям ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements».
ISO 22301:2012 «Societal security — Business continuity management systems — Requirements» (Социальная безопасность. Системы менеджмента непрерывности бизнеса) Данный стандарт посвящен непрерывности бизнеса. В стандарте прописаны:
— требования, необходимые для установления системы менеджмента непрерывности бизнеса в компании;
— требования к функциям высшего руководства в системе менеджмента непрерывности бизнеса;
— требования к установлению стратегических целей и руководящих принципов системы менеджмента непрерывности бизнеса;
— требования к обеспечению непрерывности бизнеса, порядок разработки процедур управления в условиях инцидента.
Наличие планов BCP/DRP (данные планы рассмотрены в разделе «Разработка и внедрение планов») является обязательным условием в том случае, если компания стремится получить сертификат соответствия требованиям ISO 22301:2012 «Societal security — Business continuity management systems — Requirements».
ГОСТ Р 53647 «Менеджмент непрерывности бизнеса» Данный стандарт посвящен непрерывности бизнеса. Настоящий стандарт устанавливает требования к планированию, созданию, функционированию, мониторингу, анализу, проведению учений, поддержке и улучшению документированной системы менеджмента непрерывности бизнеса. Носит рекомендательный характер.
СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» 8.11. Требования к организации обеспечения непрерывности бизнеса
и его восстановления после прерываний
В организации банковской системы должен быть определен план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания. План должен содержать инструкции и порядок действий работников организации банковской системы по восстановлению бизнеса. В частности, в состав плана должны быть включены:
— условия активации плана;
— действия, которые должны быть предприняты после инцидента ИБ;
— процедуры восстановления;
— ­процедуры тестирования и проверки плана;
­- план обучения и повышения осведомленности сотрудников;
­- обязанности сотрудников с указанием ответственных за выполнение каждого из положений плана.
Также должны быть установлены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановлению после прерывания, в том числе требования к мероприятиям по восстановлению необходимой информации, программного обеспечения, технических средств, а также каналов связи.
Носит рекомендательный характер.
Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» X. Обеспечение доступности информации (ОДТ) В соответствии с Приказом ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» необходимо:
— использовать отказоустойчивые технические средства;
— резервировать технические средства, программное обеспечения, каналы передачи информации, средства обеспечения функционирования информационной системы;
— контролировать безотказное функционирование технических средств;
— обеспечить обнаружение и локализацию отказов функционирования технических средств;
— принимать меры по восстановлению отказавших средств;
— тестировать технические средства;
— осуществлять периодическое резервное копирование информации на резервные машинные носители;
— обеспечить возможность восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала;
— контролировать состояние и качество предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации.
В случае если система классифицирована по 1 или 2 классу защищенности, описанные в приказе требования носят обязательный характер.
Приказ ФСТЭК России от 18.02.2013 г.№ 21
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
X. Обеспечение доступности персональных данных (ОДТ) В соответствии с Приказом ФСТЭК России от 18.02.2013 г.№ 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» необходимо обеспечить:
— контроль безотказного функционирования технических средств;
­- обнаружение и локализацию отказов функционирования;
— принятие мер по восстановлению отказавших средств и их тестирование;
— резервное копирование персональных данных на резервные машинные носители персональных данных;
— возможность восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала.
В том случае, если для информационной системы персональных данных определен 1 или 2 уровень защищенности, описанные в приказе требования носят обязательный характер.

После того, как план проекта окончательно сформирован и разработан, его необходимо направить руководству компании для утверждения. Работа по плану должна начинаться только после согласования с руководством.
Обратите внимание! В некоторых компаниях спонсор проекта не уделяет ему должного внимания, и ответственность возлагается на менеджера среднего звена. Это может привести к проблемам в коммуникации заинтересованных сторон и снижению поддержки высшего руководства компании. Данную проблему можно решить путем создания проектного комитета, куда войдут представители всех заинтересованных сторон. Комитет должен периодически проводить встречи, решать проблемы и обсуждать ход проекта.
Анализ воздействия на бизнес
Анализ воздействия на бизнес — метод позволяющий исследовать воздействие инцидентов на ключевые виды деятельности и процессы компании.
На данном этапе предусмотрено детальное изучение процессов компании. Для этого консультант проводит интервью с руководством отделов, входящих в область проекта. В ходе беседы запрашивается информация о деятельности отдела и составляется перечень процессов / функций, которые он осуществляет. Далее для детального изучения процессов / функций, интервьюируются владельцы процессов и определяется тип воздействия на бизнес (материальный, репутационный) и степень зависимости процесса от ИТ и внешних сервисов. А затем определяется максимально допустимое время простоя (Maximum Allowable Outage).
Maximum Allowable Outage — период времени, по истечении которого существует угроза окончательной утраты жизнеспособности организации, в том случае, если поставка продукции и/или предоставление услуг не будут возобновлены.
ГОСТ Р ИСО/МЭК 31010—2011 «Менеджмент риска. Методы оценки риска»
После того как владельцем процесса / функции был определен MAO, ИТ-департаментом (на основе MAO) определяются показатели RTO, RPO, SDO.
— Recovery Time Objective (RTO). Время, в течение которого должно происходить восстановление бизнес-функции или ресурса при наступлении нештатных ситуаций.
— Recovery Point Objective (RPO). Целевая точка восстановления определяет объем допустимых потерь данных в случае прерывания операций. Например, если RPO равен 15 минутам – допускается потеря данных за последние 15 минут.
— Service Delivery Objective (SDO). Уровень доступности сервиса в определенный момент времени.
На рисунке изображено, как определяются вышеперечисленные метрики.

Результатом проведения анализа воздействия на бизнес являются:
— перечень ранжированных по приоритетам критических процессов и соответствующих взаимозависимостей;
— зарегистрированные экономические и производственные воздействия, вызванные нарушением критических процессов;
— вспомогательные ресурсы, необходимые для идентифицированных критических процессов;
— возможные сроки простоя и восстановления критических процессов и взаимосвязанных информационных технологий.
Обратите внимание! Зачастую владельцы бизнес-процессов намеренно или неосознанно завышают целевые значение нормативов восстановления, что способствует искажению анализа и влечет за собой необоснованные расходы. Чтобы избежать этой проблемы, необходимо вместе с проектной группой, а также с заинтересованными сторонами рассмотреть ценность бизнес-функции в контексте происшествия, которое затронуло всю компанию. Этот подход позволит объективно определить нормативы восстановления.

Оценка рисков
Риск — влияние неопределенности на цели.
Отступление: в данной статье не рассматриваются детали оценки рисков.
Оценка риска / risk assessment — процесс, охватывающий идентификацию риска, анализ риска и оценку риска.
ISO 73:2009 «Менеджмент рисков. Словарь»
Целью оценки рисков в рамках управления непрерывностью бизнеса является определение событий, которые могут привести к нарушению деятельности компании, а также их последствий (ущерб).
Оценка риска обеспечивает:
— понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей компании;
— понимание угроз и их источников;
— идентификацию ключевых факторов, формирующих риск; уязвимых мест компании и ее систем;
— выбор способов обработки риска;
— соответствие требованиям стандартов.
Процесс оценки рисков состоит из:
— Идентификации риска — процесс определения элементов риска, описания каждого из них, составления их перечня. Целью идентификации риска является составление перечня источников риска и угроз, которые могут повлиять на достижение каждой из установленных целей компании;
— Анализ риска — процесс исследования информации о риске. Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также в выборе соответствующей стратегии и методов обработки;
— Сравнительная оценка риска — сопоставление его уровня с критериями, установленными при определении области применения менеджмента риска, для определения типа риска и его значимости.
Оценка рисков в дальнейшем позволит обоснованно выработать стратегию непрерывности бизнеса, а также поможет определить оптимальный сценарий ее реализации.
Разработка стратегии непрерывности бизнеса
После того как были проанализировали требования к непрерывности, необходимо выбрать и обосновать возможные технические и организационные решения. В процессе выбора решения необходимо детально рассмотреть возможные действия в отношении помещений, технологий, информационных активов, контрагентов, а также партнеров. Данные решения, как правило, выбираются с целью:
— защиты приоритетных видов деятельности компании;
— их эффективного восстановления;
— смягчения последствий инцидентов, разработки ответных и превентивных мер.
Примечание: выбор решения должен основываться на стоимости восстановления и стоимости простоя.
Данные решения могут включать в себя:
— «Зеркальные» площадки;
— «Горячие» площадки;
— «Теплые» площадки;
— «Холодные» площадки;
— Площадки динамического распределения нагрузки;
— Аутсорсинг \ Соглашение;
— Мобильные площадки.
Отступление: подробно вышеперечисленные решения будут рассмотрены в отдельной статье.

Основными отличиями вышеперечисленных решений являются стоимость и время восстановления деятельности компании.
Обратите внимание! Решения помогают в реализации эффективной стратегии непрерывности бизнеса. Но для того, чтобы определить оптимальный вариант, необходимо выбирать стратегические решения, исходя из результатов анализа воздействий на бизнес и оценки рисков (этот подход поможет обосновать руководству необходимость инвестиций в проект управления непрерывностью бизнеса).
Разработка и внедрение планов непрерывности бизнеса
План – это заранее намеченная система мероприятий, предусматривающая порядок, последовательность и сроки выполнения работ.
В соответствии с лучшими практиками , планы управления непрерывностью должны состоять из трёх компонентов:
1. Реагирование на чрезвычайные ситуации — определяет последовательность действий, которые необходимо осуществить при обнаружении инцидента.
2. Управление инцидентами — определяет методы, необходимые для смягчения или уменьшения размера происшествия.
3. Восстановление деятельности — определяет последовательность действий, которые необходимо осуществить для того, чтобы восстановить сервис на заданном уровне.
Примечание: для наглядности используйте блок-схемы и другие графические способы представления информации.
Примерная структура плана обеспечения непрерывности бизнеса:
1. Введение
1.1. Исходная информация
1.2. Границы действия плана
1.3. Предпосылки создания плана
2.Концепция
2.1.Описание системы обеспечения непрерывности
2.2.Описание этапов восстановления непрерывности
2.3.Роли и их обязанности
3.Активация плана
3.1.Критерии и порядок активации
3.2.Порядок уведомления заинтересованных лиц
3.3.Порядок оценки происшествия
4.Контроль
5.Восстановление
5.1.Последовательность восстановления непрерывности
Специалистами NIST было разработано руководство , которое достаточно подробно описывает необходимые) планы обеспечения непрерывности бизнеса. Далее приведена таблица, где описан каждый из планов (указанных в руководстве NIST), а также даны ссылки на стандарты / НПА, которые предписывают разработку таких планов.

Наименование плана Описание плана Стандарт/ НПА
Business Continuity Plan (BCP)
План обеспечения непрерывности бизнеса
Набор задокументированных процедур, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения выполнения компанией критических важных видов деятельности на установленном приемлемом уровне. ­ ISO 22301 «Социальная безопасность. Системы менеджмента непрерывности бизнеса»:
8.4.4 Планы непрерывности бизнеса (Business continuity plans)
Continuity of Operations Plan (COOP)
План непрерывность операций
Фокусируется на восстановлении критически важных функций компании на альтернативной площадке и на их выполнении в течение 30 дней.
Crisis Communication Plan
План антикризисных коммуникаций
В данном плане задокументированы процедуры и правила внешних и внутренних коммуникаций в случае чрезвычайных ситуаций. ­ Федеральный закон от 21.12.1994 № 68 «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера»:
Статья 14. Обязанности организаций в области защиты населения и территорий от чрезвычайных ситуаций («Организации обязаны предоставлять в установленном порядке информацию в области защиты населения и территорий от чрезвычайных ситуаций, а также оповещать работников организаций об угрозе возникновения или о возникновении чрезвычайных ситуаций»).
Critical Infrastructure Protection Plan (CIP)
План защиты критических инфраструктур
План направлен на защиту ключевых ресурсов и компонентов национальной инфраструктуры. ­ Указ Президента Российской Федерации от 15 января 2013 г. N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
Cyber Incident Response Plan
План реагирования на кибер-инциденты
План, описывающий процедуры реакции на инциденты, связанные с атаками хакеров, вторжения в информационную систему и другие проблемы безопасности. ­ГОСТ Р ИСО/МЭК ТО 18044—2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;
NIST 800-61 «Computer Security. Incident Handling Guide».
Disaster Recovery Plan (DRP)
План восстановления после сбоя
План восстановления инфраструктуры компании после возникновения аварии. ­ ISO 22301 «Социальная безопасность. Системы менеджмента непрерывности бизнеса»:
8.4.5 Восстановление (Recovery).
Information System Contingency Plan (ISCP)
План на случай непредвиденных ситуаций в информационных системах
План восстановления системы, сетей и основных приложений после аварии. Данный план необходимо разработать для каждой критической системы и/или приложения.
Occupant Emergency Plan (OEP)
План действия персонала в случае чрезвычайной ситуации
В данном плане определяется порядок обеспечения безопасности персонала и процедуры эвакуации в случае чрезвычайных ситуаций. ­Федеральный закон от 21.12.1994 г. № 68 «О защите населения и территории от чрезвычайных ситуаций природного и техногенного характера»;
Федеральный закон от 21.12.1994 № 69 «О пожарной безопасности».

Вышеперечисленные документы составляются исходя из потребностей компании, но на практике чаще всего применяются следующие виды планов:
— План реагирования на инциденты – данный вид плана может включать в себя план реагирования на кибер-инциденты, план на случай непредвиденных ситуаций в информационных системах. Данный план поможет уменьшить масштабы катастрофы и смягчить ее последствия, что даст возможность сэкономить время и дополнительное преимущество при активации остальных типов планов;
— План действия персонала в чрезвычайных ситуациях – в соответствии с требованиями Федерального закона от 21.12.1994 г. №68 68 «О защите населения и территории от чрезвычайных ситуаций природного и техногенного характера» и Федерального закона от 21.12.1994 г. №69 «О пожарной безопасности» этот план является обязательным для всех компаний;
— План восстановления после сбоя – сфокусирован на восстановлении критически важных информационных систем. Данный вид плана осуществляет поддержу плана обеспечения непрерывности бизнеса и направлен на восстановление работоспособности отдельных систем и приложений;
— План обеспечения непрерывности бизнеса – сфокусирован на поддержке бизнес-процессов компании во время и после чрезвычайной ситуации; направлен на обеспечение возможности продолжения выполнения компанией критических важных для нее видов деятельности на установленном приемлемом уровне;
— План антикризисных коммуникаций – данный план поможет сохранить репутацию компании в кризисной ситуации. В нем документируется порядок взаимодействия со СМИ, правоохранительными органами, МЧС и т.д.
Обратите внимание! На этапе составления планов непрерывности бизнеса некоторые компании сосредоточиваются на технических решениях и не придают значения организационным мерам. В связи с этим необходимо указать на необходимость применения организационных мер наравне с техническими. Для этого проводятся обучающие семинары, тестирование планов, выпускаются учебные материалы.
Тестирование и пересмотр планов
Тестирование осуществляется для проверки работоспособности планов при возникновении определенного набора обстоятельств, влияющих на деятельность компании. План тестирования выбирается с учетом типа компании и ее целей.
Тесты — инструменты оценки, которые используют количественные метрики для проверки работоспособности ИТ-системы или ее компонента.
NIST Special Publication 800-84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities»
К целям тестирования можно отнести:
— получение подтверждений работоспособности планов;
— проверка достаточности методического и технического обеспечения;
— получение необходимых навыков и знаний.
После того как была определена цель тестирования, разрабатывается сценарий, определяется метод тестирования и согласовывается с руководством. Чаще всего применяются следующие методы :
— Настольная проверка (Tabletop);
— Имитация (Imitation);
— Полное тестирование (Full business continuity testing).
Отступление: подробно вышеперечисленные методы тестирования будут рассмотрены в отдельной статье.
После проведения тестирования составляются отчеты, в которых указываются сценарии и результаты тестирования, а также предложения по улучшению планов непрерывности деятельности.
Обратите внимание! Компании должны выбирать способ тестирования исходя из своих целей и финансовых возможностей.
Обратите внимание! Полное тестирование является самым эффективным так как оно позволяет выявить множество недостатков, но из-за высоких рисков почти не используется на практике. Если компания решила использовать данный вид тестирования, необходимо заручиться поддержкой партнеров или воспользоваться услугами подрядчиков, чтобы минимизировать риски и предупредить значительные простои.
Обслуживание и обновление планов
Как уже отмечалось выше, управление непрерывностью бизнеса компании является циклическим процессом. А это значит, что нельзя ограничиваться одним только формированием планов, необходимо сопровождать, обновлять и совершенствовать их ежегодно, а иногда и чаще, например, в следующих случаях:
1. Изменение ИТ-инфраструктуры;
2. Изменение организационной структуры компании;
3. Изменения в законодательстве;
4. Обнаружение недостатков в планах при их тестировании.
Чтобы сохранить актуальность планов, необходимо выполнять следующие действия:
— проводить внутренние аудиты, включающие проверку восстановления после аварий, документации по обеспечению непрерывности и соответствующих процедур;
­- проводить регулярные практические тренинги по выполнению плана;
— интегрировать вопросы непрерывности бизнеса в процесс управления изменениями компании.
Заключение
Управление непрерывностью бизнеса обеспечивает объединение всех применяемых на предприятии мер в целостный, адекватный реальным угрозам и управляемый комплекс, позволяющий компании непрерывно предоставлять услуги, избежать влияния чрезвычайных ситуаций на деятельность и минимизировать возможный ущерб.
Этот комплекс состоит из семи этапов, которые должны быть реализованы в компании для обеспечения непрерывности предоставления услуг и производства продуктов.
В данной статье описан каждый этап с привязкой к российским реалиям, а также указаны моменты, на которые стоит обратить внимание при реализации данного проекта.
Литература
1. ISO 22301 Societal security — Business continuity management systems — Requirements
2. ГОСТ Р 53647 «Менеджмент непрерывности бизнеса»
3. ГОСТ Р ИСО/МЭК 31010 — 2011. «Менеджмент риска. Методы оценки риска»
4. NIST Special Publication 800-34 Rev. 1 «Contingency Planning Guide for Federal Information Systems»
5. NIST Special Publication 800-84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities»
6. The Definitive Handbook of Business Continuity Management Second Edition Copyright 2007 John Wiley & Sons Ltd,

Назначение

Softline убеждена в том, что одним из важнейших условий устойчивого развития бизнеса является обеспечение выполнения всех принятых на себя обязательств в случае возникновения чрезвычайной ситуации.

Softline является поставщиком большого количества товаров и услуг на IT-рынке, поэтому при возникновении чрезвычайных ситуаций в рамках, применяемых по отношению к деятельности по обеспечению непрерывности бизнеса, планирует поддержание/установление уровня оказываемых услуг в краткосрочной перспективе.

Настоящая Политика декларирует соответствие требованиям лучших практик по защите организации от перебоев деятельности, снижения их вероятности и обеспечения условий для восстановления.

Цель политики

Обеспечение разработки, внедрения и пересмотра системы обеспечения непрерывности бизнеса.

Введение

Система обеспечения непрерывности бизнеса направлена на предотвращение, выявление и устранение рисков возникновения перебоев деятельности, а также на обеспечение условий восстановления деятельности при их возникновении.

Система обеспечения непрерывности бизнеса является одним из важнейших компонентов организации, позволяющим избежать и предотвращать риски возникновения перебоев в деятельности, сохраняя и увеличивая признание Softline потребителями, деловыми партнерами, государственными должностными лицами (далее – Заинтересованными сторонами), укреплять доверие к Softline и повышать уровень лояльности.

Область применения

Настоящая Политика применяется в отношении всех сотрудников, работников, нанятых по срочному трудовому договору, топ-менеджеров, членов Совета директоров Softline (далее — Сотрудники), а также для всех контрагентов, консультантов, дистрибьюторов, реселлеров и других представителей (далее — Деловые партнеры), выступающих от имени Softline.

Политика соответствует международным и национальным документам в области обеспечения непрерывности бизнеса.

Цели обеспечения непрерывности бизнеса

Система обеспечения непрерывности бизнеса Softline придерживается следующих направлений:

  • Предотвращение, выявление и устранение существующих и будущих угроз бизнесу Softline.
  • Упреждающий подход для минимизации воздействия инцидентов.
  • Обеспечение эффективности действий при возникновении прерывания бизнеса.
  • Минимизация длительности и последствий простоев во время инцидентов.
  • Сокращение длительности восстановительного периода.
  • Сохранение лояльности клиентов и поставщиков благодаря демонстрации устойчивости бизнеса, подтвержденной системой обеспечения непрерывности бизнеса.

Процесс

При реализации процессов обеспечения непрерывности бизнеса используется модель «Plan-Do-Check-Act» – «Планирование-Действие-Проверка-Корректировка». Основные элементы этого подхода:

  • Политика обеспечения непрерывности бизнеса – документ, который регламентирует работу в области обеспечения непрерывности бизнеса в Softline.
  • Оценка рисков – выявление, анализ и оценка влияния рисков на бизнес Softline.
  • Анализ влияния инцидентов на бизнес – это анализ и оценка возможного влияния инцидентов на рабочие процессы в Softline.
  • Кризисное управление (планирование) – стратегическое планирование для обеспечения непрерывности бизнеса Softline, включающее в себя разработанные заранее принципы кризисного управления при следующих сценариях: недоступность персонала, недоступность здания/ офиса, недоступность инфраструктуры, недоступность данных и недоступность поставщиков.
  • План обеспечения непрерывности бизнеса – задокументированная процедура или ряд процедур для использования при ситуации прерывания бизнеса.
  • План восстановления – процесс восстановления и защиты инфраструктуры.
  • Управление инцидентами (планирование) – план действий для минимизации влияния инцидентов на персонал и бизнес-процессы.
  • Кризисные коммуникации (планирование) – установленные ранее и задокументированные приоритеты в коммуникациях и способах оповещениях при инцидентах.
  • Тестирование и тренинги – Softline проводит различные тренинги для сотрудников для подготовки к возникновению инцидентов, также Softline на регулярной основе проводит тестирования, используя различные сценарии развития событий.
  • Повышение эффективности – Softline регулярно пересматривает процедуры обеспечения непрерывности бизнеса.

Обязанности

Высшее руководство в лице Председателя совета директоров и руководителей компаний Softline несет ответственность за обеспечение того, чтобы система обеспечения непрерывности бизнеса адекватно управлялась во всех подразделениях, была результативной и постоянно улучшалась.

Каждый топ-менеджер и руководитель подразделения несет ответственность за обеспечение того, чтобы система обеспечения непрерывности бизнеса соответствовала лучшим практикам, была внедрена и функционировала в подотчетных ему подразделениях.

Каждый Сотрудник Softline имеет обязательства по обеспечению непрерывности бизнеса в области своих полномочий и работы, которую он выполняет согласно должностной инструкции.

Основные результаты внедрения Политики

  • Снижение уровня риска возникновения прерывания бизнеса.
  • Сохранение лояльности клиентов и поставщиков благодаря демонстрации устойчивости бизнеса, подтвержденной системой обеспечения непрерывности бизнеса.

Ответственность

Все Сотрудники несут ответственность за следование требованиям настоящей Политики и за исполнение любых других документов, направленных на ее реализацию. Несоответствие требованиям настоящей Политики служит основанием для дисциплинарных взысканий вплоть до увольнения Сотрудников.

Контроль за соблюдением данной Политики возлагается на всех топ‐менеджеров Softline.

Глобальный генеральный
директор Softline С.В. Черноволенко

Скачать политику в формате PDF

Лучшие практики DRI

Некоммерческий Международный институт восстановления в чрезвычайных ситуациях создан при Вашингтонском университете в 1988 году и объединяет 3,5 тыс. сертифицированных специалистов в области обеспечения непрерывности бизнеса. Основные направления деятельности DRI: подготовка и распространение Общего свода знаний (Professional Practices for the Business Continuity Planner) в области восстановления в чрезвычайных ситуациях (DR); начальное обучение специалистов в области обеспечения бесперебойной деятельности организации в случае чрезвычайной ситуации; повышение квалификации специалистов по DR; экспертиза соответствующих стандартов и нормативных документов в области DR. Модель DRI по планированию действий в чрезвычайных ситуациях включает в себя семь этапов.

Этап 1. Инициация проекта: уточнение проблемы; определение целей и задач; анализ требований; определение допущений и используемых терминов; определение рамок и стоимости проекта; создание управляющего комитета проекта; определение политик непрерывности бизнеса.

Этап 2. Анализ требований: оценка и управление рисками; оценка воздействия на бизнес; выработка альтернативных стратегий; стоимостной анализ стратегий; определение бюджета программы управления непрерывностью бизнеса.

Этап 3. Разработка плана: определение целей и задач плана; уточнение целей и задач восстановления; определение состава и структуры плана; разработка плана и выработка необходимых сценариев действия; порядок приведения плана в действие; создание резервного офиса; программа управления персоналом; допустимая потеря данных; администрирование плана.

Этап 4. Реализация плана: определение первоочередных действий в чрезвычайных ситуациях; определение регламента работы антикризисного центра; распределение полномочий и ответственности; проверка эффективности управления непрерывностью бизнеса; детализация процедур действия в чрезвычайных ситуациях; уточнение требуемых ресурсов; проверка контрактных обязательств поставщиков.

Этап 5. Тестирование плана: определение целей и задач тестирования; разработка необходимых сценариев тестирования; оценка адекватности планов тестирования; обучение и программа осведомленности.

Этап 6. Сопровождение и поддержка плана: планирование сроков и требуемого бюджета; сопровождение необходимого программного обеспечения; пересмотр критериев; аудит планов; организация безопасного ознакомления с планом.

Этап 7. При необходимости ввод плана в действие.

Институт DRI тесно взаимодействует с BCI, например, в 1993 году совместно был разработан Общий свод знаний, основные темы которого совпадают со стандартами сертификации BCI. На основе этого свода DRI предложил сертификацию специалистов со следующими уровнями: Associate Business Continuity Planner (ABCP) — начинающий специалист, знакомящийся с профессиональными практиками в области управления непрерывностью бизнеса; Certified Business Continuity Professional (CBCP) — сертифицированный специалист с опытом работы в области управления непрерывностью бизнеса, хорошо разбирающийся в не менее чем пяти темах общего свода знаний; Certified Functional Continuity Professional (CFCP) — сертифицированный предметный специалист с опытом работы не менее двух лет в области управления непрерывностью бизнеса; Master Business Continuity Professional (MBCP) — мастер в области управления непрерывностью бизнеса, обладающий необходимыми знаниями и опытом работы не менее пяти лет, умеющий грамотно использовать полученные знания на практике.

Лучшие практики SANS

Эксперты американского Института системных администраторов и администраторов безопасности различают план непрерывности бизнеса (BCP) и план аварийного восстановления (DRP). При этом BCP в отличие от DRP играет основную роль в программе управления непрерывностью бизнеса организации. Основные этапы жизненного цикла разработки BCP/DRP в версии SANS Institute представлены на рис. 2.

Рис. 2. Основные этапы жизненного цикла разработки планов BCP/DRP в версии SANS Institute

Стандарт BS 25999

Наиболее известным стандартом в области BCM является стандарт BS25999, разработанный BSI. Стандарт опубликован в двух частях: «Кодекс лучших практик, BS25999-1:2006. Code of Practice» и «Спецификации системы BCM, BS25999-2:2007. Specification».

Первая часть BS25999-1:2006. Code of Practice содержит общие рекомендации по управлению непрерывностью бизнеса в государственных и коммерческих организациях. Под BCM понимается системный процесс оценки текущего уровня зрелости компании в области непрерывности бизнеса и его приведение к более зрелому уровню в соответствии с целями и задачами бизнеса. К основным целям управления непрерывностью бизнеса относятся:

  • сохранение стабильного функционирования компании в чрезвычайных ситуациях в течение продолжительного промежутка времени;
  • защита репутации и имиджа компании в чрезвычайных ситуациях путем надлежащего использования соответствующих организационных и технических решений;
  • совершенствование способности компании сохранять свое стабильное функционирование в чрезвычайных ситуациях.

Вторая часть BS25999-2:2007. Specification содержит сертификационные требования к системе управления непрерывностью бизнеса и позволяет провести аудит системы BCM организации на соответствие рекомендациям и требованиям первой части стандарта. Использование требований второй части обеспечивает возможность оценки существующей системы управления непрерывностью бизнеса организации и построения и внедрения комплексной системы BCM.

В стандарте BS 25999 описываются шесть основных этапов жизненного цикла BCM.

1. Программа управления непрерывностью бизнеса. На этом этапе рассматриваются вопросы политики BCM, включая заявление руководства об актуальности BCM, определение области действия BCM, основных целей и задач программы. Распределяются права и обязанности, продумывается реализация информирования по вопросам BCM. Также на этом этапе определяется, как программа BCM будет поддерживаться в актуальном состоянии, как будут проходить регулярный анализ воздействия на бизнес компании и поддержка в актуальном состоянии документации, а также осуществляться мониторинг эффективности программы, управление затратами на программу и т. д.

2. Анализ требований к программе BCM. На этом этапе дается краткая характеристика деятельности организации, проводится оценка воздействия на бизнес, оценка существующих угроз, таких как воздействие на персонал и на инфраструктуру, потеря репутации, нарушение финансовой устойчивости, снижение качества продуктов или услуг, причинение ущерба окружающей среде и пр. Оцениваются ресурсы, необходимые для BCM, включая персонал, денежные ресурсы, технологии и т. д., а также проводится всесторонняя оценка рисков.

3. Определение стратегии BCM. Определяются исходные данные программы, такие как максимально допустимое прерывание бизнеса в чрезвычайных ситуациях и затраты, необходимые на возобновление бизнеса. Рассматриваются вопросы организации обучения и повышения квалификации персонала и управления знаниями. Стратегия детально рассматривает действия в отношении помещений, технологий, информационных активов (защита электронных данных, безопасность отчуждаемых носителей информации, доступность аппаратно-программных активов), контрагентов и партнеров, а также взаимодействие со специальными ведомствами и организациями — правоохранительными органами, федеральной службой безопасности, службами экологической безопасности и др. На этом этапе руководство должно утвердить политику и стратегию BCM.

4. Разработка и реализация планов BCM. Формируются план реагирования на инциденты (Incident Management Plan, IMP) и план непрерывности бизнеса (Business Continuity Plan, BCP).

5. Поддержка и сопровождение программы BCM. Реализуются программа осведомленности и обучение по BCM, осуществляются поддержка программы BCM, включая оценку степени готовности ответственных лиц, анализ результатов мониторинга и контроля рисков и документирование изменений программы BCM, а также проводится оценка ее эффективности. Оценка эффективности подразумевает анализ адекватности определения целей и задач программы BCM в соответствии с потребностями бизнеса, подтверждение компетенции и готовности к действиям в чрезвычайных ситуациях, анализ адекватности стратегии и планов обеспечения непрерывности бизнеса и др.

6. Формирование культуры BCM в организации. На последнем этапе жизненного цикла BCM рекомендуется обратить внимание на такие вопросы, как развитие лидерских качеств руководства организации, распределение обязанностей, эффективность программы осведомленности и т. д.

Австралийские практики

Австралийское национальное агентство аудита подготовило ряд руководств для проведения сертификационного аудита программ управления непрерывностью бизнеса: «Руководство по лучшим практикам BCM, Better Practice Guide Business Continuity Management — Keeping the wheels in motion. 2000», «Руководство с рекомендациями по аудиту программ BCM, Report № 53 2002-03 Business Support Process Audit Business Continuity Management Follow-on Audit, 2002», «Руководство Business Continuity Management and Emergency Management in Centrelink, The Auditor-General Audit Report No.9 2003—04 Performance Audit».

Руководство по лучшим практикам BCM состоит из двух частей. В первой части приводятся основные термины и определения BCM в контексте управления рисками. Вторая часть содержит рекомендации для успешного управления непрерывностью бизнеса в чрезвычайных ситуациях и описания требуемых стратегий, планов и процедур BCM.

В австралийских руководствах процесс управления непрерывностью бизнеса рассматривается как составляющая корпоративного управления рисками. При этом принимаются в расчет риски как внутренние, так и внешние, которые находятся за пределами непосредственного контроля организацией. Например, это могут быть внутренние риски стратегического уровня, влияющие на деятельность организации в целом, или риски операционного уровня, локально воздействующие на бизнес-процессы организации. Также принимается во внимание, что последствия рисков могут быть различными и способны приводить к финансовым потерям, юридическим преследованиям, потере имиджа и репутации, преследованиям со стороны регулирующих органов, прерываниям бизнеса и пр.

Под непрерывностью бизнеса в австралийских руководствах понимается свойство сохранять доступность критически важных бизнес-процессов и обеспечивающих активов для стабильного функционирования организации в чрезвычайных ситуациях. Считается, что управление рисками определяет организационные и технические контрмеры, которые направлены в первую очередь на предотвращение событий, прерывающих бизнес. Управление непрерывностью бизнеса рассматривается как составляющая управления рисками, позволяющая определить экономически оправданные контрмеры, принимаемые в случае прерываний бизнеса. По существу, BCM касается фактических событий — реализации угроз непрерывности бизнеса — и действий, которые необходимо предпринять в ответ на эти события. В этом смысле BCM дополняет процесс управления рисками, который по большей части касается вероятности реализации угроз прерываний бизнеса и выбора превентивных мер защиты от таких событий.

В руководстве приводится следующий пример. Использование паролей для доступа к информационным системам организации является превентивной мерой защиты от несанкционированного доступа, в то время как просмотр компьютерного журнала попыток доступа к информационной системе является корректирующей мерой, позволяющей обнаружить факт несанкционированного доступа. В контексте BCM организация предполагает, что превентивные меры защиты не помогли (или не использовались) и произошло прерывание бизнеса. В этом случае организации надлежит принять ответные действия на обозначенные события пропорционально их значимости — вопросы вероятности реализации угроз и исходной причины (уязвимости системы), следовательно, больше в расчет не принимаются. В противном случае, если организация своевременно не принимает адекватных ответных действий, ее бездействие приводит к серьезным негативным последствиям на период, превышающий максимально допустимое время прерывания бизнеса.

В руководстве подчеркивается, что основной целью BCM является поддержание в актуальном состоянии достаточного количества ресурсов, необходимых для стабильного функционирования организации в чрезвычайных ситуациях. Данное представление BCM существенно отличается от понятия аварийного восстановления после катастрофы (DR), которое тесно, если не исключительно, связывалось с информационными технологиями. Здесь за счет смещения фокуса на организацию в целом, а не только на технологические аспекты, произошло усиление концепции непрерывности. Акцент сместился на критически важные для бизнеса процессы в целом, расширяя горизонты прежнего рассмотрения проблемы за пределы исключительно информационных систем.

В австралийских руководствах различают следующие основные этапы корпоративной программы BCM: запуск проекта; идентификация ключевых бизнес-процессов; анализ воздействия на бизнес (BIA); разработка мер непрерывности бизнеса; реализация мер непрерывности бизнеса; тестирование и поддержка ВСР. Среди этих этапов достаточно важное место отводится анализу воздействия на бизнес. На этапе BIA основное внимание уделяется оценке возможных потерь, возникающих в результате нарушений функционирования бизнес-процессов. При этом рассматриваются различные категории потерь — например, превышение нормативного уровня операционных затрат, штрафные санкции в результате нарушения договорных обязательств, снижение возврата на инвестиции относительно запланированного уровня, потеря деловой репутации компании, вплоть до снижения рыночной стоимости компании.

Для надлежащего анализа воздействия на бизнес необходима исходная карта ключевых бизнес-процессов организации, для каждого из которых идентифицируются различного рода нарушения функционирования, потенциально ведущие к потерям. На основе карты ключевых бизнес-процессов строится аналитическая модель, связывающая различные нарушения в функционировании бизнес-процессов с категорией и масштабом потерь в результате такого нарушения. В зависимости от доступности информации (структурированности поставленной задачи) масштаб потерь может оцениваться количественно (в денежном выражении) или качественно (по специально разработанной качественной шкале). По результатам оценки возможных потерь модель должна позволить оценить критичность бизнес-процессов как в целом, так и оценку критичности различного рода нарушений функционирования с привязкой к масштабу соответствующих потерь.

Параллельно с анализом критичности бизнес-процессов и зависимости масштабов потерь от нарушений функционирования бизнес-процессов рекомендуется проводить анализ информационных сервисов с привязкой к бизнес-процессам и информационным потокам. Например, можно проводить анализ корпоративной учетной системы, системы консолидированной отчетности, системы бизнес-аналитики на основе хранилища данных, информационного портала, корпоративной электронной почты, сервиса сетевой печати и др. При этом рекомендуется более глубокая степень детализации, поскольку, к примеру, корпоративная учетная система фактически предоставляет несколько сервисов (поддержка бухгалтерии, поддержка управления человеческими ресурсами, поддержка материально-технического учета и др.), различным образом задействованных в бизнес-процессах компании. В ходе анализа информационных сервисов производится их идентификация, анализ использования в рамках бизнес-процессов, анализ возможных нарушений в функционировании сервисов и предварительная оценка значимости сервисов с точки зрения бизнеса организации.

Анализ воздействия на бизнес рекомендуется завершать построением модели причинно-следственных взаимосвязей между функционированием бизнес-процессов, информационных сервисов и информационных потоков. Данная модель позволяет на основании информации о критичности бизнес-процессов и информационных потоков, а также о масштабах возможных потерь получить для каждого класса сервисов оценку критичности сервиса с точки зрения бизнеса компании и возможных потерь для бизнеса компании в зависимости от нарушения в функционировании сервиса и времени восстановления, экономически оправданных затрат на повышение уровня доступности сервиса.

***

Знание и умение использовать на практике выработанные в разных странах стандарты и практики BCM будут несомненно полезны для отечественных предприятий, многие из которых уже осознали важность работ по обеспечению непрерывности бизнеса и приступили к реализации соответствующих проектов.

Сергей Петренко ( SPetrenko@it.ru ) — CISO, эксперт в области защиты информации и непрерывности бизнеса, компания «АйТи» (Москва).