Управление непрерывностью бизнеса

Управление непрерывностью бизнеса

Михаил Пышкин, BCI

Отставание от мирового уровня

Руководители подразделений государственных служб все чаще сталкиваются с проблемой обеспечения управления непрерывностью бизнеса. Она охватывает все сферы, начиная с контртеррористической деятельности и заканчивая вопросами взаимодействия с предприятиями и организациями, регулярно предоставляющими сведения по программам финансового и информационного мониторинга. Банки и телекоммуникационные компании взаимодействуют с госструктурами на постоянной основе. Своевременность и точность переданной их силами информации зависит от реализации планов управления непрерывностью.

Отечественные нормы в этой области исчерпываются внутренними отраслевыми документами и практикой крупных компаний. Единственной структурой, лидирующей в деле предупреждения инцидентов и борьбы с их последствиями, является МЧС.

На данный момент хорошими примерами в нормативной области является ГОСТ Р 17799, а также Стандарт Банка России по информационной безопасности, где описаны требования к непрерывности работы банков. Однако в целом, в нашей стране наметилась некоторая тенденция к отставанию от мирового уровня.

Проблема непрерывности бизнеса в США

Состоявшийся в конце прошлого года брифинг под эгидой Американского объединенного института по аудиту менеджмента (Boardroom Briefing KPMG Audit Comittee Institut ACI) на тему "Непрерывность бизнеса и восстановление после инцидентов" раскрыл современное состояние внедрения управления непрерывностью бизнеса (по сравнению с уровнем 1999 г., когда институт был основан).

На брифинге было подчеркнуто, что основной уровень принятия решений по непрерывности бизнеса - государственные учреждения и дирекции крупных компаний. Секретарь по национальной безопасности Дональд Рам-сфилд, выступая на аналогичном брифинге в 2002 г., подметил: "Если мы знаем о том, что мы знаем, мы также должны знать о том, что мы знаем о том, чего мы не знаем". Эта игра слов далеко не являлась лишь способом развлечь аудиторию. Действия дирекции и руководств служб безопасности характеризуются именно уровнем "мы знаем о том, чего мы не знаем".

Эксперт Ди Содер (Dee Soder) в докладе, делая упор на психологические факторы, отмечает, что национальные, региональные, местные и корпоративные кризисы требуют подготовленной системы непрерывности бизнеса.

Согласно докладу Тэда Брауна (Ted Brown), лишь 37% из числа руководителей финансовых служб фирм представляют себе области возникновения инцидентов и средства реагирования. По данным экспертов, 50% фирм, не оснащенных системами управления непрерывностью бизнеса в США, страдают от регулярных нео-жидаемых инцидентов.

В докладе Джо Уитни (Joe D.Whitlеy) были освещены некоторые аспекты организации непрерывности бизнеса в США.

В августе 2004 г., по словам Уитни, секретарь совета безопасности Том Ридж (Нomeland Security Secretary Tom Ridge) провел пресс-конференцию, анонсирующую повышение уровня HS-систем, специфическую информацию о ресурсах финансирования систем Нью-Йорка, Северного Нью-Джерси и др., а также рекомендациям по вопросам корпоративной безопасности и стабильности. Как позитивный пример приводилась деятельность NYSE и NASD.

New York Stock Exchange (NYSE), National Association of Securities Dilers (NASD) представляют собой саморегулирующиеся организации, специализирующиеся в США в области организации, регулирования, аудита и консалтинга управления непрерывностью бизнеса. Они формируют требования по непрерывности и безопасности бизнеса к участвующим в соглашении дилерам и их ресурсам. В настоящее время далеко еще не все американские компании являются участниками соглашения, поэтому представляется важным взаимодействие между ними и сторонними организациями.

Интерес к стандартизации в России

Прошедший год для многих российских компаний и предприятий на территории СНГ стал переломным в области их интереса к современным стандартам непрерывности бизнеса. Еще недавно ведущие представители топ-менеджмента недооценивали необходимость широкой практики внедрения международных стандартов в этой области, считая их лишь имиджевым приложением, фактором престижа. Сегодня же становится очевидным тот факт, что эффективность и прибыльность бизнеса находится в прямой и жесткой зависимости от их последовательного и своевременного внедрения.

Без должной организации менеджмента, ИТ-структуры, всестороннего анализа рисков и их последствий, оценки критичности данных рисков в каждой предварительно смоделированной ситуации, регулярных плановых учений по отработке преодоления типовых инцидентов современный бизнес становится неустойчивым к влиянию случайных факторов.

Британский стандарт

Создание резервных площадок, порядок своевременного перехода между ними и каналами связи, современные механизмы репликации информации, организация менеджмента в компаниях и другие важные вопросы детально отражены в британском стандарте управления непрерывностью бизнеса BS 25999 и публичной спецификации PAS 77:2006 IT Service Continuity Management, дополняющей и развивающей тематику PAS 56, BS ISO/I EC 20000, BS ISO/IEC 17799:2005 и ISO 9001. Особое внимание авторы стандарта уделяют банковской, телекоммуникационной и страховой сфере.

Разработка стратегии управления серьезными инцидентами включает в себя создание комплекса мер начального оповещения и реагирования, защиты людей, подвергшихся влиянию инцидентов (противоправные действия, техногенный или экологический инцидент), скорейшего восстановления сервисов компании или временного предоставления резервных сервисов, а также последующего оперативного перехода сервисов в стандартный режим; кроме того, всесторонний анализ требований бизнеса к непрерывности различных его подсистем, критичности отказа каждой из подсистем, к мониторингу вероятных рисков и результатов реакций на их актуализацию определяет роли управления всех уровней, от совета директоров до рядовых специалистов.

Необходимостью является создание группы управления кризисными ситуациями и разработка инструкций для каждого ее участника. Даже слияние, поглощение бизнеса, переоснащение принципиально новыми ИТ-системами или физическое уничтожение основной рабочей площадки должны быть продуманы заранее.

Оценка уязвимости документации, оборудования, аппаратного и программного обеспечения также является весьма важным аспектом. Планирование и проведение регулярных учений по отработке вероятных инцидентов, в том числе неожиданных для части персонала, - одно из основных требований стандарта. Например, готовность ИТ-службы к инциденту можно проверить путем отключения конкретного устройства или подсистемы, анализа и хронометража их действий по искусственно созданной проблеме, совместной выработки новых идей и рекомендаций в случае неудачи проделанного опыта.

Будет ли когда-нибудь в России столь же комплексно организовано взаимодействие между государственными и бизнес-структурами по обеспечению коллективной защиты от инцидентов? Скорее всего, это вопрос уже ближайших лет. В любом случае наверстывание сложившегося отставания зависит от энергии, активности и восприимчивости к новым методам представителей государственных структур и топ-менеджмента российских компаний.