Обеспечение непрерывности бизнес-процессов и управление кризисными ситуациями

Разработка
Получить новый сайт можно с льготным годовым администрированием.

Разработка и поддержка проектов...


DynaAds
Успех бизнеса в интернете напрямую связан с показателями конверсии — чем больше активных пользователей, тем выше продажи.

Как можно повысить конверсию?


Аналитика
Для того чтобы узнать, почему падает посещаемость сайта и снижаются позиции в поиске — следует провести технический аудит.

Где можно заказать технический аудит?
адаптивный сайт
Согласно последним требованиям поисковых систем наличие адаптивного сайта является одним из важных условий выхода на топовые позиции.

Где можно заказать адаптивный сайт «под ключ»?
Loqui Business
Корпоративные социальные сети способны повышать лояльность сотрудников компании и отражать настроение внутри коллектива.

Ознакомиться с соцсетью для бизнеса...


DynaAds
Система DynaAds — это сочетание полезного контента и нативной рекламы, отвечающих потребностям целевой аудитории.

Как работает DynaAds?


KeepKeys

Защитите бизнес от информационных рисков:

  • конфиденциальность корпоративных данных;
  • разграничение доступов;
  • управление паролями каждого сотрудника.
Подробнее...

Составные элементы кризис-менеджмента: BCM, BCP, DRP

Чем больше используются в бизнесе информационные технологии, тем серьезнее он нуждается в обеспечении бесперебойности процессов. Это касается кредитно-финансовых, телекоммуникационных, энергетических компаний, ритейлеров и многих государственных структур – одним словом, практически любых организаций, которым критически важна непрерывность деловой активности.

Инструменты кризис-менеджмента – BCM (BCP & DRP) – это специальные технологические дисциплины, которые можно рассматривать в качестве приемников системы общей информационной безопасности (ИБ) предприятия. Они «вытекают» из системы ИБ, наследуя ее методологию и следующие основные принципы:

  • анализ рисков появления и влияния чрезвычайных ситуаций на деловые процессы и функции;
  • контроль и управление инцидентами;
  • стратегическое и тактическое планирование непрерывности информационно-коммуникационных технологий (ИКТ).

BCM (BCP & DRP) обеспечивают безопасность бизнеса в целом, что обозначено во многих международных, национальных и отраслевых стандартах. В частности, в ISO/IEC 27001:2005, ISO 22301:2012. Однако рассматриваемые дисциплины не тождественны управлению ИБ, которое является для них лишь основой. Исторически начавшись с банального резервного копирования информации, система BCM постепенно охватила помимо вопросов ИБ практически все аспекты деловой активности, превратившись в целостную структуру взглядов на методы обеспечения непрерывности бизнеса – устойчивости организации к всевозможным сбоям, разрушениям и потерям, в первую очередь – финансовым.

Для справки

  • BCM (Business Continuity Management) – управление непрерывностью бизнеса.
  • BCP (Business Continuity Planning) – планирование непрерывности бизнеса.
  • DRP (Disaster Recovery Planning) – план восстановления после сбоев.

Основные понятия, цели и задачи управления непрерывностью бизнеса

В целях и задачах управления непрерывностью процессов и функций в организации могут быть заложены различные приоритеты. Они зависят от масштаба и сферы деятельности. «Во главу угла» ставится управление определенным типом или классом взаимосвязанных инцидентов.

  1. Incident management (IM), или управление инцидентами, является оперативным уровнем обеспечения непрерывности. В его сферу входит целый комплекс внутренних и внешних происшествий высокой и средней вероятности возникновения: мошенничество, человеческий фактор, сбой в работе оборудования и пр. На этом уровне ущерб бизнесу сравнительно невелик. Задачи и цели в IM стандартны: сохранность, доступность, целостность, аутентичность информации, отказоустойчивость.
  2. Business continuity & disaster recovery management, или управление непрерывностью бизнеса и аварийным восстановлением – это следующий, тактический уровень. Область его задач определяется инцидентами, способными привести к приостановке функционирования всей организации или ее ключевых бизнес-процессов, вероятность их невелика – колеблется от низкой до средней, но ущерб может оказаться внушительным, вплоть до банкротства.
  3. Crisis & emergency management, или управление чрезвычайными (кризисными) ситуациями, определяется как стратегический уровень обеспечения бесперебойности бизнес-процессов и функций организации. Здесь речь идет о крайне низкой вероятности наступления кризисного инцидента, однако масштаб ущерба не ограничивается рамками предприятия. Возможны экологические и гуманитарные катастрофы, инфраструктурные разрушения в границах целого региона. Так, самый высокий уровень обеспечения непрерывности деятельности предприятий необходим в ТЭК (разведка, добыча, переработка углеводородов, производство электроэнергии), но отнюдь не ограничивается этим сектором экономики.

Именно в такой последовательности выстроена иерархия в спецификации PAS 77:2006 «Управление непрерывностью ИТ-сервисов. Практические правила», где она (иерархия) представлена по «принципу матрешки»: более высокий уровень обязательно вбирает в себя предыдущий и неразрывно с ним связан.

Ключевым понятием в управлении непрерывностью бизнеса (BCM) выступает «инцидент», под которым понимается любое незапланированное, внезапное происшествие, событие, ведущее к остановке ключевых, критичных процессов и функций, полной потере контроля над оборудованием.

Недооценка влияния возможных инцидентов на непрерывность порой является катастрофичной для бизнеса и приводит к банкротству компаний. Тогда как прогнозирование незапланированных происшествий – залог стабильности работы, о чем и свидетельствует приведенный ниже пример.

Главный офис корпорации Merill Lynch располагался в шаговой доступности от башен Всемирного торгового центра. Примерно за год до 11 сентября 2001 года компания проводила для своих сотрудников масштабные учения, в процессе которых имитировалась недоступность зданий штаб-квартиры из-за снежных циклонов. Никто и предположить не мог, что сами здания вскоре будут частично повреждены. Но вследствие того, что система BCM в компании уже была внедрена и протестирована, полноценное функционирование бизнеса удалось возобновить менее чем через неделю с минимальным влиянием простоя на деловую активность.

Данный пример убедительно иллюстрирует, что организации, своевременно применившие рекомендации по обеспечению непрерывности бизнеса, значительно выигрывают в кризисных ситуациях или способны избежать катастрофических происшествий вовсе. Программа BCM – залог сохранности вложенных владельцами и акционерами средств.

Статистика

По данным The Impact of Catastrophes on Shareholder Value (Rory J. Knight и Deborah J. Pretty), кумулятивный доход сверх нормы (разница между ожидаемой и реальной стоимостью акций) компаний, успешно восстановивших деятельность после крупномасштабной аварии, через год составляет в среднем 10%. В то же время, корпорации, не внедрившие BCM, получают те же 10% и даже 15% со знаком минус.

Этапы внедрения BCM

Управление непрерывностью бизнеса (BCM), как и любой менеджмент, начинается с определения стратегии и планирования. В нашем прикладном случае оно состоит в разработке плана по обеспечению бесперебойности бизнес-процессов (Business Continuity Planning, BCP) и плана их восстановления в случае нештатных ситуаций (Disaster Recovery Plan, DRP). Одновременно стратегия вырабатывается на основе инструментов управления рисками (Risk Management, RM). Таким образом, внедрение системы BCM в организации означает комплексный и многоэтапный подход, подразумевающий внедрение технических и программных средств, регламентацию действий, распределение ответственности, обучение персонала.


Анализ и оценка рисков


1. Анализ бизнес-процессов (Business Environment Analysis, BEA). Для различных организаций характер рисков зависит от сферы и масштаба их деятельности. Например, специфика бизнес-процессов в медицинских учреждениях состоит в том, что отказ системы учета пациентов не будет критичным, чего нельзя сказать о сбое в работе высокотехнологичного и реанимационного оборудования. Или в телекоммуникационных компаниях отказ приложения для автоматизации совместной деятельности рабочих групп, вероятно, к кризису не приведет, но вот сбой в системе биллинга несомненно обернется существенными финансовыми потерями. Также существуют критично важные бизнес-процессы, с прерыванием которых становится невозможным своевременное формирование корпоративной отчетности. В этой ситуации недоступность информационных систем может спровоцировать технический дефолт, влекущий за собой требования кредиторов по возврату заемных средств или пересмотру по ним процентных ставок. Эти примеры демонстрируют, что в разном бизнесе существуют специфичные точки критичности. Анализ бизнес-процессов позволяет их выделить и ранжировать по степени влияния на непрерывность деловой активности компании.

2. Анализ рисков (Risk Analysis, RA). С одной стороны, BCM является частью управления рисками, с другой – управление рисками – это компонент BCM. Сами риски можно разделить на две группы: зависимые и независимые от ИТ (ИКТ). К независимым рискам можно отнести возврат задолженности или хеджирование обменного курса. Однако являясь отдельными бизнес-процессами, они тесно завязаны на ИТ, а значит нуждаются в обеспечении непрерывности и представляют собой часть общего BCM. Итак, после того, как были проведены выделение и градация бизнес-процессов по важности влияния на бизнес, из этой иерархии необходимо выделить группу ИТ-зависимых бизнес-процессов.

Но что может повлиять на их бесперебойность? Для ответа на этот вопрос следует проверить достаточность и действенность технических и организационных механизмов, направленных на предупреждение прерываний бизнес-процессов, выделить и оценить наиболее значимые уязвимые точки и угрозы. В итоге формируются группы рисков, влияющих на ИТ, разделенные по степени важности.

3. Оценка воздействия на бизнес (Business Impact Analysis, BIA). На основе данных, полученных на предыдущих этапах, составляется карта ключевых бизнес-процессов, показывающая, в каких из них выявлены определенные нарушения функционирования, которые потенциально приведут к убыткам. Далее строится модель, иллюстрирующая связь между этими нарушениями и категориями (масштабами) возможных потерь, которые могут быть зафиксированы как количественно, так и качественно. К группам потерь могут относиться: деловая репутация, рыночная стоимость, уровень операционных издержек, возврат на инвестиции, штрафные санкции из-за нарушения контрактных обязательств и др.

Для аналитиков крайне важно получить достоверную информацию о бизнесе организации, в особенности финансовую, узнать о текущем положении дел в ИТ-комплексе и планах его развития.

Аналогично вышеперечисленному следует провести детальный и всесторонний анализ информационных сервисов (ИС) с привязкой к бизнес-процессам и информационным потокам (ИП). Результатом оценки возможного ущерба станет полноценная картина бизнеса, показывающая уровень критичности всех бизнес-процессов в целом, а также отдельных нарушений их функционирования в корреляции с величиной потерь, представленная в виде модели причинно-следственных связей между бизнес-процессами, ИС и ИП.

Расчет экономического эффекта (стоимости простоя бизнес-процессов) предполагает наличие справедливых допущений о вероятности наступления тех или иных инцидентов в рассматриваемый период, что в дальнейшем позволяет выбрать наиболее приемлемую стратегию.

В итоге, собственники и руководство компании должны совместно с аналитиками определиться с установлением, так называемых, тайм-аутов и производительной мощности для отдельных бизнес-процессов на случай чрезвычайной ситуации, а именно:

  • Допустимого времени восстановления (Recovery Time Objective, RTO), или интервала вынужденного простоя, который технически может быть сведен к секундам, но из-за дороговизны не оправдывать себя экономически;
  • Целевой точки восстановления (Recovery Point Objective, RPO), или временного диапазона перед наступлением ЧС, за который все данные могут быть утрачены – сегодня он может быть сведен к нулю, так как все зависит от частоты и технологии резервного копирования информации;
  • Уровня непрерывности бизнеса (Level of Business Continuity, LBC), или допустимого уровня производительности (доли нагрузки) в чрезвычайных ситуациях в % от режима штатной работы.

Аудит и анализ существующих возможностей восстановления показывает, каких изменений потребует текущая ИТ-инфраструктура, чтобы обеспечить желаемые параметры обеспечения непрерывности бизнес-процессов.


Планирование


Планирование – это динамический процесс, поэтому разработка планов не является разовой процедурой, и существует необходимость их поддержания в актуальном и «синхронизированном» состоянии.

  • Определение стратегии непрерывности бизнеса (Business Continuity Strategy definition). Она должна затрагивать такие ключевые аспекты как безопасность сотрудников, обеспечение их рабочими помещениями, техническими средствами и необходимыми материалами, доступ к критически важной информации, беспрепятственные коммуникации с партнерами, клиентами, поставщиками и подрядчиками. Для каждого направления вырабатывается отдельная подстратегия, призванная «указывать дорогу» к скорейшему восстановлению в соответствии с параметрами, определенными на этапах анализа рисков. Обеспечение непрерывности включает три стадии: реагирование на событие, продолжение выполнения критичных для бизнеса процессов в условиях ЧС, восстановление штатной работы.
  • Выбор организационных и технических решений определяется стратегией BCM. Разрабатываются политики, которые формализуют приоритетные цели и задачи поддержания непрерывности бизнеса, процедуры реагирования и области распространения системы BCM, устанавливаются кадровые потребности и степень вовлеченности персонала в реализацию программы внедрения (проекта) BCM.
  • Создание технической и организационной систем BCM. В настоящее время все более широкое распространение приобретают «облачные» услуги. Для защиты информации при помощи «облака» существует технология DraaS – Disaster-Recovery-as-a-Service. Ее суть состоит в том, чтобы предоставлять в «облачных» средах корпоративного уровня услугу аварийного восстановления данных. Это позволяет снизить расходы на обеспечение безопасности, одновременно поддерживая ее на уровне принятых в индустрии стандартов.
  • Построение отказоустойчивых ЦОД. В зависимости от потребностей бизнеса может понадобиться построение энергоэффективных отказоустойчивых центров обработки данных (ЦОДов) или их оптимизация. Решение данной задачи возможно за счет реализации комплекса мероприятий по строительству специализированных зданий, организации инженерной, телекоммуникационной и ИТ-инфраструктуры, их автоматизации, сервисного сопровождения подсистем ЦОДов или создания мобильного ЦОДа.
  • Разработка планов BCP и DRP. По мере роста бизнеса, а значит – наращивания вычислительных мощностей, усложнения ИТ-систем, компании сталкиваются с тем, что вычислительные центры сами по себе становятся фактором угрозы непрерывности деловой активности, «точкой сбоя». Таким образом, необходим план восстановления системы после инцидента (DRP), являющийся составной частью более крупного плана обеспечения непрерывности бизнеса (BCP). Если DRP призван максимально быстро восстановить работоспособность ИТ-систем, поддерживающих и критичные бизнес-процессы, и обычные операции, то BCP должен обеспечить восстановление бизнес-процессов в целом.
  • Формирование программы сопровождения и эксплуатации систем BCM. Определение мер по обеспечению нормального функционирования системы, периодичности ее проверок, реагированию обслуживающего персонала на возникновение инцидентов.
  • Встраивание процессов в корпоративную культуру. На этом этапе необходимы разработка мер и осведомление персонала о мерах, предпринимаемых в случае возникновения угроз, а также о мерах по устранению последствий нештатной ситуации. От подготовки компетентного персонала будет напрямую зависеть успех планирования восстановления после происшествия.

Какими отраслями деятельности востребовано BCM?

Наличие проработанной BCM-программы жизненно необходимо кредитно-финансовой отрасли, крупным телекоммуникационным компаниям, высокотехнологичным предприятиям непрерывного производственного цикла – например, атомным электростанциям.

Для ряда отраслей существуют специальные регламенты в отношении непрерывности бизнеса, которые должны соблюдаться для лицензирования деятельности. Например, указание № 2194-У «О внесении изменений в Положение Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах», Приложения № 5 Положения ЦБ РФ от 16.12.2003 г. № 242-П «Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности (далее – План ОНиВД) кредитной организации в случае возникновения непредвиденных обстоятельств, а также по организации проверки возможности его выполнения».

Эффективность внедрения системы

Об эффективности внедрения ВСМ на предприятии будут свидетельствовать:

  • Готовность организации к продолжению работы в случае возникновения аварий в ИТ-системах.
  • Вероятность простоя (недоступности) информационных систем в случае возникновения внештатной ситуации и возможные убытки.
  • Прохождение аудита и соответствие требованиям регулирующих органов.

Разумеется, силами самого предприятия обеспечить создание и эффективное внедрение системы – задача практически невыполнимая. Для этого потребуются огромные финансовые, кадровые и временные ресурсы, которые есть далеко не у каждой компании.