Легко ли обеспечить непрерывность бизнеса?
Содержание данной статьи проверено и подтверждено:
Чекудаев Кирилл Викторович
Эксперт по управлению рискамиДля успешной работы любой компании необходимо иметь хорошо налаженные бизнес-процессы, которые функционируют без сбоев как по отдельности, так и в целом.
Поэтому обеспечение непрерывности бизнеса является ключевой задачей для руководителя любого предприятия в настоящее время.
Лучше предвидеть риски заранее, чтобы иметь возможность контролировать их, чем впоследствии бороться с негативными последствиями.
Каким образом следует организовать непрерывную деятельность современной компании?
Прежде всего, она должна быть эффективной. Эффективность бизнеса является ключевым показателем его успеха, поскольку чем более эффективен и непрерывен бизнес, тем больше прибыли приносит предприятию.
Историческая справка
В 1950-х годах началась история обеспечения непрерывности бизнеса.
Компании столкнулись с проблемой восстановления деятельности после аварий и начали создавать дубликаты важных данных в электронном и бумажном виде в удаленных местах.
Вначале это делали отдельные предприятия по мере необходимости, но в 1970-х годах стало ясно, что это необходимо делать регулярно.
В 90-х годах компьютерная индустрия стремительно развивалась, что привело к значительным изменениям.
Персональные компьютеры стали популярными, заменив вычислительные центры, и это повлекло за собой изменения в подходах к восстановлению информационных систем после аварий.
Из-за стремления специалистов по планированию аварийного восстановления уменьшить количество уязвимостей, во второй половине 90-х годов термин «аварийное восстановление» был заменен на «непрерывность бизнеса».
Нормативные документы
Построение процесса обеспечения непрерывности деятельности
Сферы деятельности компаний, которым необходим процесс обеспечения непрерывности работы:
- Производство
- Управление (в т.ч. в кризисной ситуации)
- Риск менеджмент
- Финансовая деятельность
- Бухгалтерия
- ИТ- инфраструктура
- Информационная безопасность
- Физическая безопасность
- Управление цепочками поставок (логистика)
- Управление средствами производства
- Управление знаниями
- Управление персоналом
- Управление качеством
- Охрана окружающей среды
- Отношение с прессой и общественностью
Давно известны методы обеспечения надежности системы, такие как дублирование важных элементов, создание резервных копий и репликация данных.
Также принимаются меры для обеспечения устойчивости бизнеса, такие как использование и приобретение огнестойких серверных помещений и установка систем бесперебойного питания.
Компания должна оценить вероятность возникновения угрозы и потенциальный ущерб, от нее исходя, чтобы принять обоснованное решение о мерах защиты.
Не всегда целесообразно внедрять защитные меры из-за экономической нецелесообразности.
Какие бывают чрезвычайные ситуации?
Два вида угроз влияют на непрерывность бизнеса:
- Постоянные угрозы, которые могут возникнуть в любое время и включают стихийные бедствия, потерю контроля над зданием, пожары, проблемы с оборудованием и программным обеспечением
- Риски, которые возникают периодически, например, при внедрении новых систем, изменении бизнес-процессов или организационной структуры. Эти угрозы требуют анализа и могут быть управляемыми в рамках проекта
Угрозы второй категории представляют некую сложность и часто нельзя решить их в рамках одного проекта, особенно если в компании проводится целая программа из нескольких взаимосвязанных проектов.
Проекты в области ИТ обычно имеют сильное техническое направление.
Необходимо разработать меры, например:
- Удвоить канал информационного обмена
- Создать процедуры для копирования критической информации на внешние носители и передачи их в другое подразделение через курьера
- Предусмотреть процедуру перехода с выделенных каналов связи на коммутируемые с уменьшением скорости передачи данных
Нарушения непрерывности бизнеса приводят к финансовым потерям, таким как потеря стоимости активов, убытки от упущенной прибыли и дополнительные расходы на восстановление.
Это влияет на финансовое положение компании.
Кроме того, прерывание бизнес-процессов и невозможность обслуживания клиентов негативно сказывается на деловой репутации компании.
Обеспечение безопасности бизнеса от аварий и чрезвычайных ситуаций
Для компаний, чья эффективность зависит от способности обеспечить клиентов, акционеров, инвесторов и других заинтересованных сторон выполнением своих обязательств и оперативным решением проблем в случае чрезвычайных ситуаций, очень существенна проблема обеспечения непрерывности бизнеса.
Порядок выполнения этапов работ по плану обеспечения непрерывности и восстановления деятельности (далее — ОНиВД) организаций определяется последовательностью действий.
Разработка
При разработке Плана ОНиВД учитываются следующие факторы:
- Возможные непредвиденные обстоятельства и их влияние на работу компаний, включая нарушение ее функционирования и способность выполнять обязательства
- Важные для функционирования компаний банковские процессы и автоматизированные системы
- Параметры восстановления бизнес-процессов, такие как время восстановления, затраты и потери информации
Рекомендуется учитывать различные риски и угрозы для бизнес-операций, вероятность их возникновения, последствия, а также зависимость операций от ресурсов для восстановления после прерывания деятельности.
Следует также в организации установить не только план ОНиВД, но и стратегию и положения по ОНиВД, в которой будут отражены основные направления, цели и задачи перед организации по непрерывности бизнеса.
Согласование
Для согласования инцидентов критически важных процессов необходимо использовать сигнальные и контрольные значения.
Например, можно ориентироваться на Положение 716-П или ГОСТ Р 57580.3-2022 в случае если предприятие относится к банковской или финансовой сфере.
Утверждение
Для утверждения плана ОНиВД необходимо проверить его содержание на наличие следующих документов:
- Порядок принятия решения о переводе деятельности компании в чрезвычайный режим
- Распределение обязанностей и полномочий между подразделениями и сотрудниками компании в условиях чрезвычайного режима
- Список установленных в компании процедур, выполнение которых в обычное время необходимо для успешной реализации плана ОНиВД
- Процедура взаимодействия между органами управления, подразделениями и сотрудниками компании при возникновении ЧС
- Процедура информирования заинтересованных лиц о возникновении чрезвычайных ситуаций
Пересмотр
Для поддержания актуальности Плана ОНиВД, а также соответсвующих стратегий и положений, рекомендуется проводить его пересмотр не реже одного раза в два года.
Это необходимо для того, чтобы убедиться, что план соответствует организационной структуре, масштабам и характеру деятельности компании организации, а также утвержденной стратегии ее развития.
Проверка с учетом полномочий руководящих органов и подразделений
Для обеспечения выполнения Плана ОНиВД рекомендуется проводить проверки Плана с помощью службы внутреннего контроля не реже, чем раз в два года.
Для этой задачи рекомендуется назначить группу наблюдателей, которая будет следить за выполнением запланированных мероприятий ОНиВД.
По завершении проверки группа подготавливает отчет.
Также рекомендовано указать:
- Аварийный план на случай аварии систем жизнеобеспечения
- Аварийный план на случай нарушения подачи электропитания
- Аварийный план перехода на резервное оборудование или на резервный канал связи
- Аварийный план эвакуации из помещений организации
- Перечень приоритетных систем и рабочих станций организации
- Форма протокола проверки (тестирования) Плана ОНиВД
Для обеспечения непрерывности работы необходимо не только реагировать на последствия инцидентов, но и предотвращать риски и оперативно реагировать на изменения.
Важно рассматривать этот процесс не только как часть стратегии по преодолению кризисов, но и как гарантию поддержания эффективности бизнес-процессов.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram