Семь шагов к непрерывности бизнеса

Жизненный цикл процесса управления непрерывностью бизнеса

Управление непрерывностью бизнеса компании является циклическим процессом, который должен учитывать возможные изменения в бизнесе, сфере IT, законодательстве и других областях, влияющих на деятельность организации, а также помогать ей адаптироваться к этим изменениям. Другими словами, управление непрерывностью бизнеса является процессом его постоянного совершенствования, что, в свою очередь, повышает уверенность компании в надежности планов обеспечения непрерывности бизнеса.

Жизненный цикл процесса управления непрерывностью бизнеса включает 7 этапов, на каждом из которых определены последовательность шагов и результат (перечень этапов был построен на основе цикла BCM Institute[8]).

Инициация проекта

Проект – это деятельность, направленная на создание уникального продукта, услуги или результата.

План управления проектом / Project Management Plan – документ, описывающий, как проект будет исполняться, как будет происходить его мониторинг и контроль.
Руководство PMBOK – Пятое издание

На данном этапе определяется содержание проекта обеспечения непрерывности бизнеса и разрабатывается его пошаговый план. В нем определяется, как будет исполняться проект, как будет проводиться его мониторинг, контроль и закрытие, а также определяются границы проекта, роли членов проектной команды и цели проекта.

Помимо вышеперечисленных действий, необходимо определить потребность в проекте. Для некоторых компаний непрерывность бизнеса – это обеспечение эффективности критически важных бизнес-функций, а также демонстрация устойчивости бизнеса клиентам. Но нельзя забывать, что существуют требования нормативно-правовых актов и регулирующих органов к непрерывности бизнеса. Далее в таблице перечислены и описаны стандарты / нормативно-правовые акты (НПА), широко использующиеся на территории Российской Федерации, а также ряд требований, которые предъявляют данные стандарты / НПА к системе непрерывности бизнеса.

После того как план проекта окончательно сформирован и разработан, его необходимо направить руководству компании для утверждения. Работа по плану должна начинаться только после согласования с руководством.

Обратите внимание! В некоторых компаниях спонсор проекта не уделяет ему должного внимания, и ответственность возлагается на менеджера среднего звена. Это может привести к проблемам в коммуникации заинтересованных сторон и снижению поддержки высшего руководства компании. Данную проблему можно решить путем создания проектного комитета, куда войдут представители всех заинтересованных сторон. Комитет должен периодически проводить встречи, решать проблемы и обсуждать ход проекта.

Анализ воздействия на бизнес

Анализ воздействия на бизнес – метод, позволяющий исследовать воздействие инцидентов на ключевые виды деятельности и процессы компании.

На данном этапе предусмотрено детальное изучение процессов компании. Для этого консультант проводит интервью с руководством отделов, входящих в область проекта. В ходе беседы запрашивается информация о деятельности отдела и составляется перечень процессов / функций, которые он осуществляет. Далее для детального изучения процессов / функций интервьюируются владельцы процессов и определяется тип воздействия на бизнес (материальный, репутационный) и степень зависимости процесса от IT и внешних сервисов. А затем определяется максимально допустимое время простоя (Maximum Allowable Outage).

Maximum Allowable Outage – период времени, по истечении которого существует угроза окончательной утраты жизнеспособности организации, в том случае, если поставка продукции и/или предоставление услуг не будут возобновлены.
ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска»

После того как владельцем процесса / функции был определен MAO, IT-департаментом (на основе MAO) определяются показатели RTO, RPO, SDO.
— Recovery Time Objective (RTO). Время, в течение которого должно происходить восстановление бизнес-функции или ресурса при наступлении нештатных ситуаций.
— Recovery Point Objective (RPO). Целевая точка восстановления определяет объем допустимых потерь данных в случае прерывания операций. Например, если RPO равен 15 минутам – допускается потеря данных за последние 15 минут.
— Service Delivery Objective (SDO). Уровень доступности сервиса в определенный момент времени.

На рисунке изображено, как определяются вышеперечисленные метрики:

Результатом проведения анализа воздействия на бизнес являются:
— перечень ранжированных по приоритетам критических процессов и соответствующих взаимозависимостей;
— зарегистрированные экономические и производственные воздействия, вызванные нарушением критических процессов;
— вспомогательные ресурсы, необходимые для идентифицированных критических процессов;
— возможные сроки простоя и восстановления критических процессов и взаимосвязанных информационных технологий.

Обратите внимание! Зачастую владельцы бизнес-процессов намеренно или неосознанно завышают целевые значения нормативов восстановления, что способствует искажению анализа и влечет за собой необоснованные расходы. Чтобы избежать этой проблемы, необходимо вместе с проектной группой, а также с заинтересованными сторонами рассмотреть ценность бизнес-функции в контексте происшествия, которое затронуло всю компанию. Этот подход позволит объективно определить нормативы восстановления.

Оценка рисков

Риск – влияние неопределенности на цели.
Отступление: в данной статье не рассматриваются детали оценки рисков.

Оценка риска / risk assessment – процесс, охватывающий идентификацию риска, анализ риска и оценку риска.
ISO 73:2009 «Менеджмент рисков. Словарь»

Целью оценки рисков в рамках управления непрерывностью бизнеса является определение событий, которые могут привести к нарушению деятельности компании, а также их последствий (ущерб).

Оценка риска обеспечивает:
— понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей компании;
— понимание угроз и их источников;
— идентификацию ключевых факторов, формирующих риск; уязвимых мест компании и ее систем;
— выбор способов обработки риска;
— соответствие требованиям стандартов.

Процесс оценки рисков состоит из:
— Идентификации риска – процесс определения элементов риска, описания каждого из них, составления их перечня. Целью идентификации риска является составление перечня источников риска и угроз, которые могут повлиять на достижение каждой из установленных целей компании;
— Анализ риска – процесс исследования информации о риске. Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также в выборе соответствующей стратегии и методов обработки;
— Сравнительная оценка риска – сопоставление его уровня с критериями, установленными при определении области применения менеджмента риска, для определения типа риска и его значимости.

Оценка рисков в дальнейшем позволит обоснованно выработать стратегию непрерывности бизнеса, а также поможет определить оптимальный сценарий ее реализации.

Разработка стратегии непрерывности бизнеса

После того как были проанализировали требования к непрерывности, необходимо выбрать и обосновать возможные технические и организационные решения. В процессе выбора решения необходимо детально рассмотреть возможные действия в отношении помещений, технологий, информационных активов, контрагентов, а также партнеров. Данные решения, как правило, выбираются с целью:
— защиты приоритетных видов деятельности компании;
— их эффективного восстановления;
— смягчения последствий инцидентов, разработки ответных и превентивных мер.
Примечание: выбор решения должен основываться на стоимости восстановления и стоимости простоя.

Данные решения могут включать в себя:
— «зеркальные» площадки;
— «горячие» площадки;
— «теплые» площадки;
— «холодные» площадки;
— площадки динамического распределения нагрузки;
— аутсорсинг / соглашение;
— мобильные площадки.

Основными отличиями вышеперечисленных решений являются стоимость и время восстановления деятельности компании.

Обратите внимание! Решения помогают в реализации эффективной стратегии непрерывности бизнеса. Но для того, чтобы определить оптимальный вариант, необходимо выбирать стратегические решения, исходя из результатов анализа воздействий на бизнес и оценки рисков (этот подход поможет обосновать руководству необходимость инвестиций в проект управления непрерывностью бизнеса).

Разработка и внедрение планов непрерывности бизнеса

План – это заранее намеченная система мероприятий, предусматривающая порядок, последовательность и сроки выполнения работ.

В соответствии с лучшими практиками [1, 2, 4], планы управления непрерывностью должны состоять из трех компонентов:
1. Реагирование на чрезвычайные ситуации – определяет последовательность действий, которые необходимо осуществить при обнаружении инцидента.
2. Управление инцидентами – определяет методы, необходимые для смягчения или уменьшения размера происшествия.
3. Восстановление деятельности – определяет последовательность действий, которые необходимо осуществить для того, чтобы восстановить сервис на заданном уровне.

Примечание: для наглядности используйте блок-схемы и другие графические способы представления информации.

Примерная структура плана обеспечения непрерывности бизнеса:

1. Введение
1.1. Исходная информация
1.2. Границы действия плана
1.3. Предпосылки создания плана
2. Концепция
2.1. Описание системы обеспечения непрерывности
2.2. Описание этапов восстановления непрерывности
2.3. Роли и их обязанности
3. Активация плана
3.1. Критерии и порядок активации
3.2. Порядок уведомления заинтересованных лиц
3.3. Порядок оценки происшествия
4. Контроль
5. Восстановление
5.1. Последовательность восстановления непрерывности

Специалистами NIST было разработано руководство [1], которое достаточно подробно описывает необходимые планы обеспечения непрерывности бизнеса. Далее приведена таблица, где описан каждый из планов (указанных в руководстве NIST), а также даны ссылки на стандарты / НПА, которые предписывают разработку таких планов.

Вышеперечисленные документы составляются исходя из потребностей компании, но на практике чаще всего применяются следующие виды планов:
— План реагирования на инциденты – данный вид плана может включать в себя план реагирования на киберинциденты, план на случай непредвиденных ситуаций в информационных системах. Данный план поможет уменьшить масштабы катастрофы и смягчить ее последствия, что даст возможность сэкономить время и дополнительное преимущество при активации остальных типов планов.
— План действия персонала в чрезвычайных ситуациях – в соответствии с требованиями Федерального закона от 21.12.1994 г. №68 68 «О защите населения и территории от чрезвычайных ситуаций природного и техногенного характера» и Федерального закона от 21.12.1994 г. №69 «О пожарной безопасности» этот план является обязательным для всех компаний.
— План восстановления после сбоя – сфокусирован на восстановлении критически важных информационных систем. Данный вид плана осуществляет поддержу плана обеспечения непрерывности бизнеса и направлен на восстановление работоспособности отдельных систем и приложений.
— План обеспечения непрерывности бизнеса – сфокусирован на поддержке бизнес-процессов компании во время и после чрезвычайной ситуации; направлен на обеспечение возможности продолжения выполнения компанией критических важных для нее видов деятельности на установленном приемлемом уровне.
— План антикризисных коммуникаций – данный план поможет сохранить репутацию компании в кризисной ситуации. В нем документируется порядок взаимодействия со СМИ, правоохранительными органами, МЧС и т.д.

Обратите внимание! На этапе составления планов непрерывности бизнеса некоторые компании сосредоточиваются на технических решениях и не придают значения организационным мерам. В связи с этим необходимо указать на важность применения организационных мер наравне с техническими. Для этого проводятся обучающие семинары, тестирование планов, выпускаются учебные материалы.

Тестирование и пересмотр планов

Тестирование осуществляется для проверки работоспособности планов при возникновении определенного набора обстоятельств, влияющих на деятельность компании. План тестирования выбирается с учетом типа компании и ее целей.

Тесты – инструменты оценки, которые используют количественные метрики для проверки работоспособности IT-системы или ее компонента.
NIST Special Publication 800-84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities»

К целям тестирования можно отнести:
— получение подтверждений работоспособности планов;
— проверку достаточности методического и технического обеспечения;
— получение необходимых навыков и знаний.

После того как была определена цель тестирования, разрабатывается сценарий, определяется метод тестирования и согласовывается с руководством. Чаще всего применяются следующие методы [2]:
— настольная проверка (Tabletop);
— имитация (Imitation);
— полное тестирование (Full business continuity testing).

После проведения тестирования составляются отчеты, в которых указываются сценарии и результаты тестирования, а также предложения по улучшению планов непрерывности деятельности.

Обратите внимание! Компании должны выбирать способ тестирования исходя из своих целей и финансовых возможностей.

Важно! Полное тестирование является самым эффективным, так как оно позволяет выявить множество недостатков, но из-за высоких рисков почти не используется на практике. Если компания решила использовать данный вид тестирования, необходимо заручиться поддержкой партнеров или воспользоваться услугами подрядчиков, чтобы минимизировать риски и предупредить значительные простои.

Обслуживание и обновление планов

Как уже отмечалось выше, управление непрерывностью бизнеса компании является циклическим процессом. А это значит, что нельзя ограничиваться одним только формированием планов, необходимо сопровождать, обновлять и совершенствовать их ежегодно, а иногда и чаще, например, в следующих случаях:
1. Изменение IT-инфраструктуры.
2. Изменение организационной структуры компании.
3. Изменения в законодательстве.
4. Обнаружение недостатков в планах при их тестировании.
Чтобы сохранить актуальность планов, необходимо выполнять следующие действия:
— проводить внутренние аудиты, включающие проверку восстановления после аварий, документации по обеспечению непрерывности и соответствующих процедур;
­— проводить регулярные практические тренинги по выполнению плана;
— интегрировать вопросы непрерывности бизнеса в процесс управления изменениями компании.

Заключение

Управление непрерывностью бизнеса обеспечивает объединение всех применяемых на предприятии мер в целостный, адекватный реальным угрозам и управляемый комплекс, позволяющий компании непрерывно предоставлять услуги, избегать влияния чрезвычайных ситуаций на деятельность и минимизировать возможный ущерб.
Этот комплекс состоит из семи этапов, которые должны быть реализованы в компании для обеспечения непрерывности предоставления услуг и производства продуктов.
В данной статье описан каждый этап с привязкой к российским реалиям, а также указаны моменты, на которые стоит обратить внимание при реализации данного проекта.

Литература
1. ISO 22301 Societal security – Business continuity management systems – Requirements.
2. ГОСТ Р 53647 «Менеджмент непрерывности бизнеса».
3. ГОСТ Р ИСО/МЭК 31010 – 2011. «Менеджмент риска. Методы оценки риска».
4. NIST Special Publication 800-34 Rev. 1 «Contingency Planning Guide for Federal Information Systems».
5. NIST Special Publication 800-84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities».
6. The Definitive Handbook of Business Continuity Management Second Edition Copyright © 2007 John Wiley & Sons Ltd.
7. Business Continuity Management How to protect your company from danger MICHAEL GALLAGHER Pearson Education Limited 2003.
8. www.bcmpedia.org/wiki/BCM_Body_of_Knowledge (BCMBoK).

Информация о проекте на сайте Softline: services.softline.ru/security/upravleniya-ib