2004 г.
BCP: SOS для вашего бизнеса
Арсений Ефремов
IT Manager #12/2003
Что есть в офисах компаний на случай непредвиденной или экстремальной ситуации - отказа компьютерной сети, пожара, наводнения и тому подобного? Максимум - план эвакуации, накануне визита пожарного инспектора спешно нарисованный на коленке, и телефоны службы спасения в голове у секретаря. Хорошо, если имеется страховка, которая позволит возродить бизнес из пепелища. Но обычно нет и этого. И происшествие, вроде отключения электричества, становится праздником и выходным для рядовых сотрудников, а что-то более серьезное заканчивается банкротством или кризисной ситуацией в компании. Думать об этом грустно, но подсластить пилюлю поможет загадочная аббревиатура BCP (business continuity plan) - дословно план непрерывности бизнеса, или более привычное сочетание "непрерывность бизнес-процессов".
Всерьез о BCP заговорили после террористических актов 11 сентября 2001 года в США. "Близнецы", символ Нью-Йорка, один из центров деловой активности мира рухнул в считанные минуты. Вам известно хоть одно громкое дело о банкротстве финансовой корпорации в связи с нападением на небоскребы? Небольшие компании столкнулись с определенными проблемами, но большинство корпораций довольно скоро восстановили свою функциональность и продолжили работу. И даже незначительное падение курса акций американских высокотехнологичных компаний в большей степени было вызвано негативными прогнозами, чем результатом разрушений в башнях-близнецах. А теперь представьте, что в один прекрасный день ваш офис оказался в руинах. Гибель всей документации (разве у вас были электронные копии где-то еще?), всего оборудования и офисной техники (у вас есть страховка?). Что запишем под жирной чертой после слова "Итого"? Банкротство?
Чего мы боимся и кто защищается?
В 2002 году за океаном было проведено исследование в области информационной безопасности. Вопрос стоял простой: с какими неприятностями вам приходилось сталкиваться? Почти четверть респондентов имели неприятности с компьютерными вирусами. Подчеркнем, что к неприятностям мы относим действие, которое повлекло за собой ущерб, а не обыкновенный факт своевременного обнаружения и лечения вируса. Еще 20% были атакованы хакерами. Примерно 17% столкнулись с несанкционированным доступом третьих лиц в их компьютерные сети. И еще 10% выявили утечку информации, передаваемую через сеть Интернет. В исследовании финансового ущерба лидируют все те же компьютерные вирусы. В среднем они приносили убыток в $160 тыс. для компании-респондента. И здесь доля пострадавших (брались уже все компании, вне зависимости от профиля) составила 61%! Так же более 38% пострадали от хищений компьютерного оборудования. Редкая компания не понесла потери в той или иной степени. Но лишь 58% из них задумались о принесенном ущербе, а следовательно, и о предотвращении остановки бизнеса.
Теоретические основы и методология составления планов BCP
Итак, все вышенаписанное поставило вас перед вопросом: насколько вероятно, что неприятный инцидент случится именно с вашей компанией? Конечно, одно дело снимать офис у подножия действующего вулкана, а совсем другое - в центре мегаполиса. В пустыне не бывает наводнений, а в Петербурге вряд ли когда-нибудь произойдет землетрясение. И все же, если собрать воедино все степени вероятности угрозы, получится, что какая-либо неприятность вполне может произойти. И тут впору оценить возможные последствия инцидента.
Первый вопрос, на который нужно ответить, - цели вашего бизнеса, для чего он нужен и что важно защищать. Согласитесь, покупка паровой кофеварки и вязанки дров на случай отключения электричества - вещь совершенно не обязательная. Определив жизненно важные органы, можно определить вероятные угрозы их функционированию. Далее составляется план предотвращения негативного влияния на важные узлы вашего бизнеса. На основе этого составляется сам план.
Но это лишь первый этап. После разработки плана необходимо добиться минимизации требований. Ведь несколько угроз могут быть решены одним комплексом мер, а некоторые угрозы действительно настолько невероятны, что их можно исключить. Затем нужно претворить план в жизнь и обеспечить его поддержку. Приобрести ИБП, резервировать важную информацию и тому подобное.
Потом следует приступить к тестированию плана. Пожар, конечно, устраивать не стоит, хотя слава Герострата, предусмотревшего все, и заманчива. А вот обыкновенные учения еще никому не вредили. Кстати, замечено, что одной из важных мелочей при катаклизмах является служба отдела персонала. Вывод из строя их базы данных не позволяет даже связаться с работниками компании. Разумеется, для неукоснительного соблюдения плана BCP персонал должен быть обучен и морально готов выполнять свои обязанности. Поверьте, если каждый будет точно знать свою роль, героев, выносящих сейфы с деньгами из обрушающегося здания, просто не потребуется.
План должен быть известен сотрудникам, и они должны понимать, что его четкая реализация приведет к успеху. Даже эта моральная поддержка позволит избежать паники в экстремальной ситуации.
Как бы абстрактно ни звучали эти слова, точная методика разработки плана BCP существует. Речь идет о методике ISO 17799 - международном стандарте по управлению информационной безопасностью (Code of practice for information security management). Самая частая угроза рождает множество шаблонов и мер безопасности. Вот поэтапная реализация ISO 17799:
-
Аспекты управления непрерывностью бизнеса
-
Процесс управления непрерывностью бизнеса
-
Непрерывность бизнеса и анализ влияния
-
Разработка и внедрение планов непрерывности
-
Компоненты планирования непрерывности бизнеса
-
Тестирование, поддержка и переоценка планов непрерывности бизнеса
-
Тестирование планов
-
Поддержка и переоценка планов
BCI - Институт непрерывности бизнес-процессов
Справиться с составлением плана BCP может любой образованный человек (особенно, если за его плечами учеба в институте). И, тем не менее, есть более простые способы. Например, обратиться в Институт непрерывности бизнес-процессов (The Business Continuity Institute - BCI). BCI - это международная некоммерческая организация профессионалов в области обеспечения непрерывности бизнеса. Цель BCI - продвижение высших профессиональных стандартов и коммерческой этики в области поддержки планирования непрерывности бизнеса и предоставления услуг в данном направлении. BCI открыт для членства в своих рядах и проводит сертификацию специалистов в области обеспечения непрерывности бизнеса. Есть у компании и представительство в России (www.bcp.ru).
BCI определяет следующие 10 стандартов направлений:
- Организация и управление проектом
- Оценка рисков и контроль
- Анализ влияния на бизнес
- Разработка стратегий непрерывности
- Реакция на чрезвычайные ситуации
- Разработка и внедрение планов непрерывности бизнеса
- Программы обучения и повышения осведомленности
- Поддержка и тестирование планов непрерывности бизнеса
- Связи с общественностью и управление кризисом
- Взаимодействие с регулирующими органами
По всем этим разделам специалисты института готовы оказать консультации, помочь в составлении плана и его реализации. Один из существенных плюсов - это возможность реализации шаблонов, опыт, накопленный специалистами института. К тому же они опираются на иностранный опыт обеспечения непрерывности бизнеса, который намного обширнее российского. Здесь же можно провести сертификацию вашего уже готового плана BCP. Законодательных и правовых актов на счет непрерывности бизнес-процессов в нашей стране не существует. В основном законы направлены на обеспечение безопасности жизнедеятельности трудящихся, а не на непрерывность бизнес-процессов. И все же некоторые законодательные акты так или иначе имеют отношение к BCP и являются его частью.
Думаю, вопрос, насколько необходима непрерывность бизнес-процессов? - можно отнести к риторическим. Конечно, это необходимо. Но хороший план непрерывности бизнес-процессов - на 70% все-таки перестраховка. Каждый случай индивидуален, и насколько необходим такой план, должно решать руководство компании. К тому же руководство должно принимать активное участие в составлении плана и быть заинтересовано в его реализации. Это та самая революция, которая должна начинаться сверху. План BCP необходим - вопрос лишь в его подробности.