Семь шагов к непрерывности бизнеса

    В настоящее время существует огромное количество методик управления непрерывностью бизнеса, которые помогают в проведении планирования, улучшения доступности критически важных бизнес-процессов компании. Но эти методики содержат теоретические основы непрерывности бизнеса и не отвечают на вопрос «Как реализовать такой проект?». В настоящей статье описана последовательность действий, которые дадут вам представление о том, как внедряется система управления непрерывностью бизнеса, и какие результаты вы получите на каждом этапе.



    Жизненный цикл процесса управления непрерывностью бизнеса

    Управление непрерывностью бизнеса компании является циклическим процессом, который должен учитывать возможные изменения в бизнесе, сфере ИТ, законодательстве и других областях, влияющие на деятельность организации, а также помогать ей адаптироваться к этим изменениям. Другими словами, управление непрерывностью бизнеса является процессом его постоянного совершенствования, что, в свою очередь, повышает уверенность компании в надежности планов обеспечения непрерывности бизнеса.

    Жизненный цикл процесса управления непрерывностью бизнеса включает 7 этапов, на каждом из которых определены последовательность шагов и результат (перечень этапов был построен на основе цикла BCM Institute[8]).

    Инициация проекта

    Проект — это деятельность, направленная на создание уникального продукта, услуги или результата.



    План управления проектом / Project Management Plan – документ, описывающий, как проект будет исполняться, как будет происходить его мониторинг и контроль.
    Руководство PMBOK — Пятое издание


    На данном этапе определяется содержание проекта обеспечения непрерывности бизнеса и разрабатывается его пошаговый план. В нем определяется, как будет исполняться проект, как будет проводиться его мониторинг, контроль и закрытие, а также определяются границы проекта, роли членов проектной команды и цели проекта.

    Помимо вышеперечисленных действий, необходимо определить потребность в проекте. Для некоторых компаний непрерывность бизнеса — это обеспечение эффективности критически важных бизнес-функций, а также демонстрация устойчивости бизнеса клиентам. Но нельзя забывать, что существуют требования нормативно-правовых актов и регулирующих органов к непрерывности бизнеса. Далее в таблице перечислены и описаны стандарты / нормативно-правовые акты (НПА) широко использующиеся на территории Российской Федерации, а также ряд требований, которые предъявляют данные стандарты / НПА к системе непрерывности бизнеса.

    Стандарт/ НПА Требование Описание Статус
    ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements» (Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности) A.17 Information security aspects of business continuity management
    (Аспекты информационной безопасности в управлении непрерывностью бизнеса)
    Непрерывность информационной безопасности должна быть встроена в систему непрерывности бизнеса компании
    Для этого необходимо:
    ­- спланировать непрерывность информационной безопасности;
    — внедрить непрерывность информационной безопасности;
    — проверить, оценить непрерывность информационной безопасности.
    Непрерывность информационной безопасности является одним из требований в том случае, если компания стремится получить сертификат соответствия требованиям ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements».
    ISO 22301:2012 «Societal security — Business continuity management systems — Requirements» (Социальная безопасность. Системы менеджмента непрерывности бизнеса) Данный стандарт посвящен непрерывности бизнеса. В стандарте прописаны:
    — требования, необходимые для установления системы менеджмента непрерывности бизнеса в компании;
    — требования к функциям высшего руководства в системе менеджмента непрерывности бизнеса;
    — требования к установлению стратегических целей и руководящих принципов системы менеджмента непрерывности бизнеса;
    — требования к обеспечению непрерывности бизнеса, порядок разработки процедур управления в условиях инцидента.
    Наличие планов BCP/DRP (данные планы рассмотрены в разделе «Разработка и внедрение планов») является обязательным условием в том случае, если компания стремится получить сертификат соответствия требованиям ISO 22301:2012 «Societal security — Business continuity management systems — Requirements».
    ГОСТ Р 53647 «Менеджмент непрерывности бизнеса» Данный стандарт посвящен непрерывности бизнеса. Настоящий стандарт устанавливает требования к планированию, созданию, функционированию, мониторингу, анализу, проведению учений, поддержке и улучшению документированной системы менеджмента непрерывности бизнеса. Носит рекомендательный характер.
    СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» 8.11. Требования к организации обеспечения непрерывности бизнеса
    и его восстановления после прерываний
    В организации банковской системы должен быть определен план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания. План должен содержать инструкции и порядок действий работников организации банковской системы по восстановлению бизнеса. В частности, в состав плана должны быть включены:
    — условия активации плана;
    — действия, которые должны быть предприняты после инцидента ИБ;
    — процедуры восстановления;
    — ­процедуры тестирования и проверки плана;
    ­- план обучения и повышения осведомленности сотрудников;
    ­- обязанности сотрудников с указанием ответственных за выполнение каждого из положений плана.
    Также должны быть установлены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановлению после прерывания, в том числе требования к мероприятиям по восстановлению необходимой информации, программного обеспечения, технических средств, а также каналов связи.
    Носит рекомендательный характер.
    Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» X. Обеспечение доступности информации (ОДТ) В соответствии с Приказом ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» необходимо:
    — использовать отказоустойчивые технические средства;
    — резервировать технические средства, программное обеспечения, каналы передачи информации, средства обеспечения функционирования информационной системы;
    — контролировать безотказное функционирование технических средств;
    — обеспечить обнаружение и локализацию отказов функционирования технических средств;
    — принимать меры по восстановлению отказавших средств;
    — тестировать технические средства;
    — осуществлять периодическое резервное копирование информации на резервные машинные носители;
    — обеспечить возможность восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала;
    — контролировать состояние и качество предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации.
    В случае если система классифицирована по 1 или 2 классу защищенности, описанные в приказе требования носят обязательный характер.
    Приказ ФСТЭК России от 18.02.2013 г.№ 21
    «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
    X. Обеспечение доступности персональных данных (ОДТ) В соответствии с Приказом ФСТЭК России от 18.02.2013 г.№ 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» необходимо обеспечить:
    — контроль безотказного функционирования технических средств;
    ­- обнаружение и локализацию отказов функционирования;
    — принятие мер по восстановлению отказавших средств и их тестирование;
    — резервное копирование персональных данных на резервные машинные носители персональных данных;
    — возможность восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала.
    В том случае, если для информационной системы персональных данных определен 1 или 2 уровень защищенности, описанные в приказе требования носят обязательный характер.


    После того, как план проекта окончательно сформирован и разработан, его необходимо направить руководству компании для утверждения. Работа по плану должна начинаться только после согласования с руководством.

    Обратите внимание! В некоторых компаниях спонсор проекта не уделяет ему должного внимания, и ответственность возлагается на менеджера среднего звена. Это может привести к проблемам в коммуникации заинтересованных сторон и снижению поддержки высшего руководства компании. Данную проблему можно решить путем создания проектного комитета, куда войдут представители всех заинтересованных сторон. Комитет должен периодически проводить встречи, решать проблемы и обсуждать ход проекта.

    Анализ воздействия на бизнес

    Анализ воздействия на бизнес — метод позволяющий исследовать воздействие инцидентов на ключевые виды деятельности и процессы компании.

    На данном этапе предусмотрено детальное изучение процессов компании. Для этого консультант проводит интервью с руководством отделов, входящих в область проекта. В ходе беседы запрашивается информация о деятельности отдела и составляется перечень процессов / функций, которые он осуществляет. Далее для детального изучения процессов / функций, интервьюируются владельцы процессов и определяется тип воздействия на бизнес (материальный, репутационный) и степень зависимости процесса от ИТ и внешних сервисов. А затем определяется максимально допустимое время простоя (Maximum Allowable Outage).

    Maximum Allowable Outage — период времени, по истечении которого существует угроза окончательной утраты жизнеспособности организации, в том случае, если поставка продукции и/или предоставление услуг не будут возобновлены.
    ГОСТ Р ИСО/МЭК 31010—2011 «Менеджмент риска. Методы оценки риска»


    После того как владельцем процесса / функции был определен MAO, ИТ-департаментом (на основе MAO) определяются показатели RTO, RPO, SDO.
    Recovery Time Objective (RTO). Время, в течение которого должно происходить восстановление бизнес-функции или ресурса при наступлении нештатных ситуаций.
    Recovery Point Objective (RPO). Целевая точка восстановления определяет объем допустимых потерь данных в случае прерывания операций. Например, если RPO равен 15 минутам – допускается потеря данных за последние 15 минут.
    Service Delivery Objective (SDO). Уровень доступности сервиса в определенный момент времени.

    На рисунке изображено, как определяются вышеперечисленные метрики.



    Результатом проведения анализа воздействия на бизнес являются:
    — перечень ранжированных по приоритетам критических процессов и соответствующих взаимозависимостей;
    — зарегистрированные экономические и производственные воздействия, вызванные нарушением критических процессов;
    — вспомогательные ресурсы, необходимые для идентифицированных критических процессов;
    — возможные сроки простоя и восстановления критических процессов и взаимосвязанных информационных технологий.

    Обратите внимание! Зачастую владельцы бизнес-процессов намеренно или неосознанно завышают целевые значение нормативов восстановления, что способствует искажению анализа и влечет за собой необоснованные расходы. Чтобы избежать этой проблемы, необходимо вместе с проектной группой, а также с заинтересованными сторонами рассмотреть ценность бизнес-функции в контексте происшествия, которое затронуло всю компанию. Этот подход позволит объективно определить нормативы восстановления.

    Оценка рисков

    Риск — влияние неопределенности на цели.
    Отступление: в данной статье не рассматриваются детали оценки рисков.


    Оценка риска / risk assessment — процесс, охватывающий идентификацию риска, анализ риска и оценку риска.
    ISO 73:2009 «Менеджмент рисков. Словарь»


    Целью оценки рисков в рамках управления непрерывностью бизнеса является определение событий, которые могут привести к нарушению деятельности компании, а также их последствий (ущерб).

    Оценка риска обеспечивает:
    — понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей компании;
    — понимание угроз и их источников;
    — идентификацию ключевых факторов, формирующих риск; уязвимых мест компании и ее систем;
    — выбор способов обработки риска;
    — соответствие требованиям стандартов.

    Процесс оценки рисков состоит из:
    — Идентификации риска — процесс определения элементов риска, описания каждого из них, составления их перечня. Целью идентификации риска является составление перечня источников риска и угроз, которые могут повлиять на достижение каждой из установленных целей компании;
    — Анализ риска — процесс исследования информации о риске. Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также в выборе соответствующей стратегии и методов обработки;
    — Сравнительная оценка риска — сопоставление его уровня с критериями, установленными при определении области применения менеджмента риска, для определения типа риска и его значимости.

    Оценка рисков в дальнейшем позволит обоснованно выработать стратегию непрерывности бизнеса, а также поможет определить оптимальный сценарий ее реализации.

    Разработка стратегии непрерывности бизнеса

    После того как были проанализировали требования к непрерывности, необходимо выбрать и обосновать возможные технические и организационные решения. В процессе выбора решения необходимо детально рассмотреть возможные действия в отношении помещений, технологий, информационных активов, контрагентов, а также партнеров. Данные решения, как правило, выбираются с целью:
    — защиты приоритетных видов деятельности компании;
    — их эффективного восстановления;
    — смягчения последствий инцидентов, разработки ответных и превентивных мер.
    Примечание: выбор решения должен основываться на стоимости восстановления и стоимости простоя.

    Данные решения могут включать в себя:
    — «Зеркальные» площадки;
    — «Горячие» площадки;
    — «Теплые» площадки;
    — «Холодные» площадки;
    — Площадки динамического распределения нагрузки;
    — Аутсорсинг \ Соглашение;
    — Мобильные площадки.

    Отступление: подробно вышеперечисленные решения будут рассмотрены в отдельной статье.



    Основными отличиями вышеперечисленных решений являются стоимость и время восстановления деятельности компании.
    Обратите внимание! Решения помогают в реализации эффективной стратегии непрерывности бизнеса. Но для того, чтобы определить оптимальный вариант, необходимо выбирать стратегические решения, исходя из результатов анализа воздействий на бизнес и оценки рисков (этот подход поможет обосновать руководству необходимость инвестиций в проект управления непрерывностью бизнеса).

    Разработка и внедрение планов непрерывности бизнеса

    План – это заранее намеченная система мероприятий, предусматривающая порядок, последовательность и сроки выполнения работ.

    В соответствии с лучшими практиками [1, 2, 4], планы управления непрерывностью должны состоять из трёх компонентов:
    1. Реагирование на чрезвычайные ситуации — определяет последовательность действий, которые необходимо осуществить при обнаружении инцидента.
    2. Управление инцидентами — определяет методы, необходимые для смягчения или уменьшения размера происшествия.
    3. Восстановление деятельности — определяет последовательность действий, которые необходимо осуществить для того, чтобы восстановить сервис на заданном уровне.

    Примечание: для наглядности используйте блок-схемы и другие графические способы представления информации.

    Примерная структура плана обеспечения непрерывности бизнеса:

    1. Введение
    1.1. Исходная информация
    1.2. Границы действия плана
    1.3. Предпосылки создания плана
    2.Концепция
    2.1.Описание системы обеспечения непрерывности
    2.2.Описание этапов восстановления непрерывности
    2.3.Роли и их обязанности
    3.Активация плана
    3.1.Критерии и порядок активации
    3.2.Порядок уведомления заинтересованных лиц
    3.3.Порядок оценки происшествия
    4.Контроль
    5.Восстановление
    5.1.Последовательность восстановления непрерывности

    Специалистами NIST было разработано руководство [1], которое достаточно подробно описывает необходимые) планы обеспечения непрерывности бизнеса. Далее приведена таблица, где описан каждый из планов (указанных в руководстве NIST), а также даны ссылки на стандарты / НПА, которые предписывают разработку таких планов.

    Наименование плана Описание плана Стандарт/ НПА
    Business Continuity Plan (BCP)
    План обеспечения непрерывности бизнеса
    Набор задокументированных процедур, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения выполнения компанией критических важных видов деятельности на установленном приемлемом уровне. ­ ISO 22301 «Социальная безопасность. Системы менеджмента непрерывности бизнеса»:
    8.4.4 Планы непрерывности бизнеса (Business continuity plans)
    Continuity of Operations Plan (COOP)
    План непрерывность операций
    Фокусируется на восстановлении критически важных функций компании на альтернативной площадке и на их выполнении в течение 30 дней. -
    Crisis Communication Plan
    План антикризисных коммуникаций
    В данном плане задокументированы процедуры и правила внешних и внутренних коммуникаций в случае чрезвычайных ситуаций. ­ Федеральный закон от 21.12.1994 № 68 «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера»:
    Статья 14. Обязанности организаций в области защиты населения и территорий от чрезвычайных ситуаций («Организации обязаны предоставлять в установленном порядке информацию в области защиты населения и территорий от чрезвычайных ситуаций, а также оповещать работников организаций об угрозе возникновения или о возникновении чрезвычайных ситуаций»).
    Critical Infrastructure Protection Plan (CIP)
    План защиты критических инфраструктур
    План направлен на защиту ключевых ресурсов и компонентов национальной инфраструктуры. ­ Указ Президента Российской Федерации от 15 января 2013 г. N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
    Cyber Incident Response Plan
    План реагирования на кибер-инциденты
    План, описывающий процедуры реакции на инциденты, связанные с атаками хакеров, вторжения в информационную систему и другие проблемы безопасности. ­ГОСТ Р ИСО/МЭК ТО 18044—2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;
    NIST 800-61 «Computer Security. Incident Handling Guide».
    Disaster Recovery Plan (DRP)
    План восстановления после сбоя
    План восстановления инфраструктуры компании после возникновения аварии. ­ ISO 22301 «Социальная безопасность. Системы менеджмента непрерывности бизнеса»:
    8.4.5 Восстановление (Recovery).
    Information System Contingency Plan (ISCP)
    План на случай непредвиденных ситуаций в информационных системах
    План восстановления системы, сетей и основных приложений после аварии. Данный план необходимо разработать для каждой критической системы и/или приложения. -
    Occupant Emergency Plan (OEP)
    План действия персонала в случае чрезвычайной ситуации
    В данном плане определяется порядок обеспечения безопасности персонала и процедуры эвакуации в случае чрезвычайных ситуаций. ­Федеральный закон от 21.12.1994 г. № 68 «О защите населения и территории от чрезвычайных ситуаций природного и техногенного характера»;
    Федеральный закон от 21.12.1994 № 69 «О пожарной безопасности».


    Вышеперечисленные документы составляются исходя из потребностей компании, но на практике чаще всего применяются следующие виды планов:
    — План реагирования на инциденты – данный вид плана может включать в себя план реагирования на кибер-инциденты, план на случай непредвиденных ситуаций в информационных системах. Данный план поможет уменьшить масштабы катастрофы и смягчить ее последствия, что даст возможность сэкономить время и дополнительное преимущество при активации остальных типов планов;
    — План действия персонала в чрезвычайных ситуациях – в соответствии с требованиями Федерального закона от 21.12.1994 г. №68 68 «О защите населения и территории от чрезвычайных ситуаций природного и техногенного характера» и Федерального закона от 21.12.1994 г. №69 «О пожарной безопасности» этот план является обязательным для всех компаний;
    — План восстановления после сбоя – сфокусирован на восстановлении критически важных информационных систем. Данный вид плана осуществляет поддержу плана обеспечения непрерывности бизнеса и направлен на восстановление работоспособности отдельных систем и приложений;
    — План обеспечения непрерывности бизнеса – сфокусирован на поддержке бизнес-процессов компании во время и после чрезвычайной ситуации; направлен на обеспечение возможности продолжения выполнения компанией критических важных для нее видов деятельности на установленном приемлемом уровне;
    — План антикризисных коммуникаций – данный план поможет сохранить репутацию компании в кризисной ситуации. В нем документируется порядок взаимодействия со СМИ, правоохранительными органами, МЧС и т.д.

    Обратите внимание! На этапе составления планов непрерывности бизнеса некоторые компании сосредоточиваются на технических решениях и не придают значения организационным мерам. В связи с этим необходимо указать на необходимость применения организационных мер наравне с техническими. Для этого проводятся обучающие семинары, тестирование планов, выпускаются учебные материалы.

    Тестирование и пересмотр планов

    Тестирование осуществляется для проверки работоспособности планов при возникновении определенного набора обстоятельств, влияющих на деятельность компании. План тестирования выбирается с учетом типа компании и ее целей.

    Тесты — инструменты оценки, которые используют количественные метрики для проверки работоспособности ИТ-системы или ее компонента.
    NIST Special Publication 800-84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities»


    К целям тестирования можно отнести:
    — получение подтверждений работоспособности планов;
    — проверка достаточности методического и технического обеспечения;
    — получение необходимых навыков и знаний.

    После того как была определена цель тестирования, разрабатывается сценарий, определяется метод тестирования и согласовывается с руководством. Чаще всего применяются следующие методы [2]:
    — Настольная проверка (Tabletop);
    — Имитация (Imitation);
    — Полное тестирование (Full business continuity testing).

    Отступление: подробно вышеперечисленные методы тестирования будут рассмотрены в отдельной статье.

    После проведения тестирования составляются отчеты, в которых указываются сценарии и результаты тестирования, а также предложения по улучшению планов непрерывности деятельности.

    Обратите внимание! Компании должны выбирать способ тестирования исходя из своих целей и финансовых возможностей.
    Обратите внимание! Полное тестирование является самым эффективным так как оно позволяет выявить множество недостатков, но из-за высоких рисков почти не используется на практике. Если компания решила использовать данный вид тестирования, необходимо заручиться поддержкой партнеров или воспользоваться услугами подрядчиков, чтобы минимизировать риски и предупредить значительные простои.

    Обслуживание и обновление планов

    Как уже отмечалось выше, управление непрерывностью бизнеса компании является циклическим процессом. А это значит, что нельзя ограничиваться одним только формированием планов, необходимо сопровождать, обновлять и совершенствовать их ежегодно, а иногда и чаще, например, в следующих случаях:
    1. Изменение ИТ-инфраструктуры;
    2. Изменение организационной структуры компании;
    3. Изменения в законодательстве;
    4. Обнаружение недостатков в планах при их тестировании.
    Чтобы сохранить актуальность планов, необходимо выполнять следующие действия:
    — проводить внутренние аудиты, включающие проверку восстановления после аварий, документации по обеспечению непрерывности и соответствующих процедур;
    ­- проводить регулярные практические тренинги по выполнению плана;
    — интегрировать вопросы непрерывности бизнеса в процесс управления изменениями компании.

    Заключение

    Управление непрерывностью бизнеса обеспечивает объединение всех применяемых на предприятии мер в целостный, адекватный реальным угрозам и управляемый комплекс, позволяющий компании непрерывно предоставлять услуги, избежать влияния чрезвычайных ситуаций на деятельность и минимизировать возможный ущерб.
    Этот комплекс состоит из семи этапов, которые должны быть реализованы в компании для обеспечения непрерывности предоставления услуг и производства продуктов.
    В данной статье описан каждый этап с привязкой к российским реалиям, а также указаны моменты, на которые стоит обратить внимание при реализации данного проекта.

    Литература
    1. ISO 22301 Societal security — Business continuity management systems — Requirements
    2. ГОСТ Р 53647 «Менеджмент непрерывности бизнеса»
    3. ГОСТ Р ИСО/МЭК 31010 — 2011. «Менеджмент риска. Методы оценки риска»
    4. NIST Special Publication 800-34 Rev. 1 «Contingency Planning Guide for Federal Information Systems»
    5. NIST Special Publication 800-84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities»
    6. The Definitive Handbook of Business Continuity Management Second Edition Copyright 2007 John Wiley & Sons Ltd,
    7. Business Continuity Management How to protect your company from danger MICHAEL GALLAGHER Pearson Education Limited 2003
    8. www.bcmpedia.org/wiki/BCM_Body_of_Knowledge_(BCMBoK)

    Информация о проекте на сайте Softline: services.softline.ru/security/upravleniya-ib

    Евгений Качуров, консультант аналитического отдела компании Softline
    Softline
    Компания

    Комментарии 2

      +1
      Почему для иллюстраций к бизнес-статьям всегда используют картинки такого странного стиля, как картинка для привлечения внимания?
        0
        Я бы в стратегию добавил варианты обработки риска:
        1. Игнорировать или принять риск.
        2. Снизить последствия возникновения риска до приемлемого уровня.
        3. Избегать возникновения такого рода риска.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое