10 вопросов к российскому стандарту ГОСТ Р 53647.3–2010 «Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению»
Несколько лет назад я сетовал на то, что в России мало нормативных документов, посвященных теме непрерывности бизнеса. Точнее, я знал о существовании национальных стандартов семейства ГОСТ Р 53647.1–2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство» и ГОСТ Р 53647.2–2009 «Менеджмент непрерывности бизнеса. Часть 2. Требования». Но время идет, и оказалось, что семейство пополнилось большим количеством документов. Их рассмотрению я хочу посвятить несколько статей.
Итак, предметом рассмотрения в этот раз станет ГОСТ Р 53647.3–2010 «Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению». Как и в случае с предыдущими документами, в его основу положен национальный документ Великобритании – BIP 2142:2007 «The Route Map to Business Continuity Management. Meeting the Requirements of BS 25999».
Наверное, как и в любой области, где возможна специализация, рекомендации этого документа будут более понятны и полезны тем, кто уже имеет практический опыт реализации процесса менеджмента непрерывности бизнеса.
Раздел 4.1 |
|||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
При разработке и внедрении СМНБ организация должна установить интересы ключевых причастных сторон. | Кого стоит считать причастной стороной? | В зависимости от рода деятельности организации в число причастных сторон могут быть включены:
|
|||||||||
Раздел 4.2 |
|||||||||||
Определение требований к МНБ | Каковы причины начала работ по созданию СМНБ? | Повышение устойчивости организации в случае наступления неблагоприятных обстоятельств, экономической эффективности, конкурентоспособности, выполнение требований законодательства, регулирующих органов, внешних аудиторов. | |||||||||
Раздел 4.4 |
|||||||||||
При разработке и внедрении СМНБ организация должна установить область применения СМНБ с позиции ее ключевых продукции и услуг. | Что стоит учесть при определении области применения СМНБ? | На начальном этапе сложно заранее оценить, сколько потребуется времени, усилий, финансов, дополнительного оборудования и ПО, а также помощи со стороны внешних организаций для построения СУНБ. Поэтому, во-первых, область применения стоит сделать достаточно узкой, чтобы не погрязнуть в сложностях создания СУНБ. Во-вторых, необходимо выбрать критически важную область деятельности, чтобы создание СУНБ для нее имело очевидную пользу, а предоставление необходимых ресурсов не происходило бы по остаточному принципу. | |||||||||
Раздел 5.1 |
|||||||||||
Финансирование программы | Чем аргументировать финансирование программы МНБ? | При определении размера финансирования всегда ищется компромисс между объемом возможных убытков в случае наступления маловероятного события и гарантированных расходов на защиту от него. Помимо финансовых потерь, перечисленных в стандарте, следует учесть такие последствия как:
До руководства следует донести полное описание того, что может потерять организация, если решит сэкономить на превентивных действиях. |
|||||||||
Раздел 6 |
|||||||||||
Внедрение МНБ в культуру организации | Какие дополнительные выгоды получает организация от внедрения МНБ в свою культуру? | К тем выгодам от внедрения МНБ, которые перечислены в стандарте, можно добавить еще несколько:
|
|||||||||
Раздел 7.1 |
|||||||||||
Управление документацией | Как осуществлять управление документацией программы МНБ? | Необходимо иметь в виду, что управление документацией в области МНБ является нетривиальной задачей. Для зрелого процесса МНБ полный комплект может насчитывать до сотни типов документов. В свою очередь, количество документов одного типа тоже может достигать нескольких десятков (например, регламенты действий сотрудников при ЧС). Управлять всем этим «хозяйством» вручную нереально. К счастью, на рынке давно существует целый класс специализированных программных продуктов, автоматизирующих выполнение данной задачи. Их условно можно разделить на две группы: те, которые устанавливаются на оборудовании самой организации (например, Sungard Availability Services), и те, которые предоставляются по схеме SaaS через интернет (например, ClearView Continuity). У каждой группы есть плюсы и минусы.
Выбор инструмента зависит от конкретной ситуации и предпочтений покупателя, но использовать его лучше с самого начала работы в области МНБ. |
|||||||||
Раздел 8.2 | |||||||||||
Анализ воздействия | Какой важный параметр не упоминается в стандарте? | В стандартах, посвященных теме непрерывности, по какой-то причине не рассматривается параметр RPO, Recovery Point Objective (целевая точка восстановления), обозначающий количество данных, которое может быть утрачено без угрозы существованию организации. Возможно, авторы стандартов исходят из того, что данные должны быть сохранены все полностью, но жизнь, к сожалению, не удовлетворяет этому требованию. Даже компании, предлагающие коммерческие облака, обещают создавать резервные копии данных клиентов, начиная с примерно 1 раза в 2 часа и реже, т.е. данные, введенные за последние 2 часа могут быть потеряны. Ограничения есть у любого технического решения, поэтому не стоит отказываться от использования параметра RPO. | |||||||||
Как проводить анализ воздействия? | В теории существует два подхода к проведению анализа воздействия на бизнес. Подход «снизу вверх» – когда определяется ценность одного ресурса, например, конкретного сервера. Для совокупности ресурсов, поддерживающих предоставление одной услуги или создание одного продукта, выбираются самые строгие требования среди всех ресурсов, входящих в эту совокупность. Аналогичная процедура повторяется для всех продуктов или услуг. Второй подход «сверху вниз» встречается чаще и заключается в анализе и сравнении информации, получаемой от руководителей. При этом не стоит спрашивать, насколько важны функции этого подразделения. Вы себе можете представить, чтобы руководитель назвал свое подразделение не очень важным? Конечно, каждый скажет, что выполняет не просто важные, а критически важные для существования организации задачи. Поэтому лучше просто попросить описать нарастание негативных последствий в случае прерывания каждой конкретной функции. Это позволит перейти от качественных и эмоциональных оценок к количественным (на столько звонков не ответили бы, столько транзакций не обработали бы, столько клиентов не обслужили бы, столько неучтенных ресурсов потратили бы). |
||||||||||
Раздел 8.5 | |||||||||||
Оценка риска | О каких рисках идет речь? | Распространено мнение, что непрерывность бизнеса охватывает все возможные происшествия и аварии. Но на практике использование единого подхода к разным ситуациям, как правило, малоэффективно. Можно предложить такую градацию событий, нарушающих деятельность, которые отличаются составом участников их устранения.
Таким образом, рациональнее в самом начале внедрения процесса непрерывности деятельности ограничить круг рассматриваемых рисков и не пытаться все неприятности подстричь под одну гребенку. |
|||||||||
Раздел 9. | |||||||||||
Определение стратегий непрерывности бизнеса | Какую бы еще стратегию разработать? | Для обеспечения непрерывности требуется принять стратегические решения по большому кругу вопросов: продолжению деятельности, восстановлению ИТ-сервисов, взаимодействию со СМИ, логистике и транспортировке и т.д. Но есть еще одна тема, которой редко уделяют должное внимание, – стратегия использования помещений организации. В условиях наступления чрезвычайной ситуации компания для продолжения функционирования должна предусмотреть, каким образом будут удовлетворяться потребности в таких помещениях, как склад для оборудования, переносимого из пострадавших/ставших недоступными помещений; склад для продукции, которая продолжает выпускаться; штаб кризисного управления; запасные офисные помещения для работы сотрудников, покинувших штатное рабочее место. В отдельных случаях у конкретной организации могут возникнуть потребности и в других помещениях, например, приемной или гараже. Для удовлетворения всех этих нужд можно воспользоваться несколькими путями, например, временно использовать по другому назначению собственные помещения, переместить сотрудников в филиалы, арендовать площади в коммерческом дата-центре, временно переместить часть или все бизнес-процессы в помещения дружественных компаний или организовать работу сотрудников на дому. Любое из принятых стратегических решений или их комбинация имеет свои плюсы и минусы и требует заблаговременной подготовки, выделения ресурсов, технической и организационной модернизации, изучения рынка предложений, проведения переговоров и заключения договоров с третьими сторонами, на что в момент наступления ЧС просто не будет времени. |
|||||||||
Раздел 10.4 | |||||||||||
Содержание плана обеспечения непрерывности бизнеса | Что еще может быть полезно включить в план? | В стандарте перечислено много пунктов, которые должны обязательно содержаться в планах. Но опыт написания подобных документов для многих организаций подсказывает, что остались неупомянутыми еще несколько тем, которые для некоторых ситуаций могут оказаться очень полезными.
|