Легко ли обеспечить непрерывность бизнеса?

Для успешной работы любой компании необходимо иметь хорошо налаженные бизнес-процессы, которые функционируют без сбоев как по отдельности, так и в целом.

Поэтому обеспечение непрерывности бизнеса является ключевой задачей для руководителя любого предприятия в настоящее время.

Лучше предвидеть риски заранее, чтобы иметь возможность контролировать их, чем впоследствии бороться с негативными последствиями.

Каким образом следует организовать непрерывную деятельность современной компании?

Прежде всего, она должна быть эффективной. Эффективность бизнеса является ключевым показателем его успеха, поскольку чем более эффективен и непрерывен бизнес, тем больше прибыли приносит предприятию.

Историческая справка

В 1950-х годах началась история обеспечения непрерывности бизнеса.

Компании столкнулись с проблемой восстановления деятельности после аварий и начали создавать дубликаты важных данных в электронном и бумажном виде в удаленных местах.

Вначале это делали отдельные предприятия по мере необходимости, но в 1970-х годах стало ясно, что это необходимо делать регулярно.

В 90-х годах компьютерная индустрия стремительно развивалась, что привело к значительным изменениям.

Персональные компьютеры стали популярными, заменив вычислительные центры, и это повлекло за собой изменения в подходах к восстановлению информационных систем после аварий.

Из-за стремления специалистов по планированию аварийного восстановления уменьшить количество уязвимостей, во второй половине 90-х годов термин «аварийное восстановление» был заменен на «непрерывность бизнеса».

Нормативные документы

Построение процесса обеспечения непрерывности деятельности

Сферы деятельности компаний, которым необходим процесс обеспечения непрерывности работы:

• Производство
• Управление (в т.ч. в кризисной ситуации)
• Риск менеджмент
• Финансовая деятельность
• Бухгалтерия
• ИТ- инфраструктура
• Информационная безопасность
• Физическая безопасность
• Управление цепочками поставок (логистика)
• Управление средствами производства
• Управление знаниями
• Управление персоналом
• Управление качеством
• Охрана окружающей среды
• Отношение с прессой и общественностью

Давно известны методы обеспечения надежности системы, такие как дублирование важных элементов, создание резервных копий и репликация данных.

Также принимаются меры для обеспечения устойчивости бизнеса, такие как использование и приобретение огнестойких серверных помещений и установка систем бесперебойного питания.

Компания должна оценить вероятность возникновения угрозы и потенциальный ущерб, от нее исходя, чтобы принять обоснованное решение о мерах защиты.

Не всегда целесообразно внедрять защитные меры из-за экономической нецелесообразности.

Какие бывают чрезвычайные ситуации?

Два вида угроз влияют на непрерывность бизнеса:

1. Постоянные угрозы, которые могут возникнуть в любое время и включают стихийные бедствия, потерю контроля над зданием, пожары, проблемы с оборудованием и программным обеспечением
2. Риски, которые возникают периодически, например, при внедрении новых систем, изменении бизнес-процессов или организационной структуры. Эти угрозы требуют анализа и могут быть управляемыми в рамках проекта

Угрозы второй категории представляют некую сложность и часто нельзя решить их в рамках одного проекта, особенно если в компании проводится целая программа из нескольких взаимосвязанных проектов.

Проекты в области ИТ обычно имеют сильное техническое направление.

Необходимо разработать меры, например:

1. Удвоить канал информационного обмена
2. Создать процедуры для копирования критической информации на внешние носители и передачи их в другое подразделение через курьера
3. Предусмотреть процедуру перехода с выделенных каналов связи на коммутируемые с уменьшением скорости передачи данных

Нарушения непрерывности бизнеса приводят к финансовым потерям, таким как потеря стоимости активов, убытки от упущенной прибыли и дополнительные расходы на восстановление.

Это влияет на финансовое положение компании.

Кроме того, прерывание бизнес-процессов и невозможность обслуживания клиентов негативно сказывается на деловой репутации компании.

Обеспечение безопасности бизнеса от аварий и чрезвычайных ситуаций

Для компаний, чья эффективность зависит от способности обеспечить клиентов, акционеров, инвесторов и других заинтересованных сторон выполнением своих обязательств и оперативным решением проблем в случае чрезвычайных ситуаций, очень существенна проблема обеспечения непрерывности бизнеса.

Порядок выполнения этапов работ по плану обеспечения непрерывности и восстановления деятельности (далее – ОНиВД) организаций определяется последовательностью действий.

Разработка

При разработке Плана ОНиВД учитываются следующие факторы:

1. Возможные непредвиденные обстоятельства и их влияние на работу компаний, включая нарушение ее функционирования и способность выполнять обязательства
2. Важные для функционирования компаний банковские процессы и автоматизированные системы
3. Параметры восстановления бизнес-процессов, такие как время восстановления, затраты и потери информации

Рекомендуется учитывать различные риски и угрозы для бизнес-операций, вероятность их возникновения, последствия, а также зависимость операций от ресурсов для восстановления после прерывания деятельности.

Следует также в организации установить не только план ОНиВД, но и стратегию и положения по ОНиВД, в которой будут отражены основные направления, цели и задачи перед организации по непрерывности бизнеса.

Согласование

Для согласования инцидентов критически важных процессов необходимо использовать сигнальные и контрольные значения.

Например, можно ориентироваться на Положение 716-П или ГОСТ Р 57580.3-2022 в случае если предприятие относится к банковской или финансовой сфере.

Утверждение

Для утверждения плана ОНиВД необходимо проверить его содержание на наличие следующих документов:

• Порядок принятия решения о переводе деятельности компании в чрезвычайный режим
• Распределение обязанностей и полномочий между подразделениями и сотрудниками компании в условиях чрезвычайного режима
• Список установленных в компании процедур, выполнение которых в обычное время необходимо для успешной реализации плана ОНиВД
• Процедура взаимодействия между органами управления, подразделениями и сотрудниками компании при возникновении ЧС
• Процедура информирования заинтересованных лиц о возникновении чрезвычайных ситуаций

Пересмотр

Для поддержания актуальности Плана ОНиВД, а также соответсвующих стратегий и положений, рекомендуется проводить его пересмотр не реже одного раза в два года.

Это необходимо для того, чтобы убедиться, что план соответствует организационной структуре, масштабам и характеру деятельности компании организации, а также утвержденной стратегии ее развития.

Проверка с учетом полномочий руководящих органов и подразделений

Для обеспечения выполнения Плана ОНиВД рекомендуется проводить проверки Плана с помощью службы внутреннего контроля не реже, чем раз в два года.

Для этой задачи рекомендуется назначить группу наблюдателей, которая будет следить за выполнением запланированных мероприятий ОНиВД.

По завершении проверки группа подготавливает отчет.

Также рекомендовано указать:

• Аварийный план на случай аварии систем жизнеобеспечения
• Аварийный план на случай нарушения подачи электропитания
• Аварийный план перехода на резервное оборудование или на резервный канал связи
• Аварийный план эвакуации из помещений организации
• Перечень приоритетных систем и рабочих станций организации
• Форма протокола проверки (тестирования) Плана ОНиВД

Для обеспечения непрерывности работы необходимо не только реагировать на последствия инцидентов, но и предотвращать риски и оперативно реагировать на изменения.

Важно рассматривать этот процесс не только как часть стратегии по преодолению кризисов, но и как гарантию поддержания эффективности бизнес-процессов.