2015-06-24
1884
Обеспечение непрерывности деятельности организации в нештатных ситуациях
Операции с документом
· Send this
Концепция, методы и средства обеспечения непрерывности бизнеса (Business Continuity Planning — BCP) и восстановления деятельности после бедствий (Business Disaster Recovery — BDR) широко известны и апробированы на Западе. Технология обеспечения непрерывности деятельности при чрезвычайных ситуациях является неотъемлемой частью производственной деятельности крупных компаний и государственных организаций, что позволяет им обеспечить практически бесперебойное функционирование в случае чрезвычайных происшествий малого и среднего масштаба и восстанавливать свою деятельность с минимальными, заранее просчитанными убытками в случае широкомасштабных бедствий.
Планирование непрерывности деятельности- это постоянная забота первых руководителей организаций и компаний, которые живут не одним днем и заинтересованы в сохранении и развитии своих предприятий. Именно им и лицам, отвечающим за безопасность и финансовое здоровье компаний и организаций, в первую очередь предназначена эта статья.
|
|
|
Один из авторов статьи, В.И. Дрожжинов, является сертифицированным cпециалистом по планированию непрерывности бизнеса (АВСР), он прошел обучение в Канаде в Институте по восстановлению после бедствия, сдал сертификационный экзамен. Сертификат выдан Международным институтом по восстановлению после бедствия (Нью-Йорк, США).
Введение
Под нештатными или чрезвычайными ситуациями понимаются внешние воздействия, приводящие к невозможности функционирования предприятия в обычном, регламентируемом соответствующими стандартами данного предприятия режиме.
К таким внешним воздействиям в первую очередь относятся:
· Отключение электроэнергии
· Пикетирование и забастовки
· Прорывы водопровода или канализации
· Террористические акты или их угроза
· Выход из строя кондиционеров
· Гражданские беспорядки
· Пожары
· Локальные конфликты
· Природные катаклизмы
Кроме прямых потерь организации несут издержки, связанные с нарушением процедур производственного и финансового учета, потерей расположения заказчиков, ухудшением имиджа и снижением конкурентоспособности.
Концепция, методы и средства обеспечения непрерывности бизнеса и восстановления деятельности после бедствий (Business Continuity Planning — BCP и Business Disaster Recovery — BDR) широко известны и апробированы на Западе при возникновении официально объявленных бедствий и чрезвычайных происшествий более мелкого характера. Они являются неотъемлемой частью производственной деятельности многих крупных компаний, что позволяет им обеспечить практически бесперебойное функционирование в случае чрезвычайных происшествий малого и среднего масштаба и восстанавливать свою деятельность с минимальными, заранее просчитанными убытками в случае широкомасштабных бедствий.
|
|
|
Для того, чтобы обезопасить себя на случай возникновения нештатных ситуаций, нужно иметь:
· План действий в нештатной ситуации,
· Хорошо обученные и тренированные "аварийные группы".
План обеспечения бесперебойного функционирования организации в случае нештатной ситуации представляет собой детальный перечень мероприятий, которые должны быть выполнены до, во время и после чрезвычайного происшествия или бедствия. Этот план документируется и регулярно испытывается для того, чтобы убедиться, что в случае нештатной ситуации он обеспечит продолжение деятельности организации и наличие резерва критически важных ресурсов.
Наличие даже очень хорошего плана не гарантирует защиту компании от неприятностей, если у нее нет хорошо обученных групп сотрудников, знающих, что, когда и как они должны делать при возникновении любой нештатной ситуации.
Аналитики отмечают, что потери от террористической атаки 11 сентября могли быть значительно больше, если бы отсутствовали планы действий в чрезвычайных ситуациях, имеющиеся у большинства американских компаний. Заметим, что многие из этих планов появились в преддверии 2000 г. в связи с так называемой "Проблемой 2000" (Таб. 1).
Таблица 1. Действия компаний по повышению безопасности в преддверии 2000 г. и после 11 сентября 2001 г.
| > | ДЕЙСТВИЯ | |
| РИСКИ | В ПРЕДДВЕРИИ 2000 Г. | ПОСЛЕ 11 СЕНТЯБРЯ 2001 Г. |
| Киберугрозы организационным системам | ИТ-индустрия создала инструменты для обнаружения и устранения "Проблемы 2000" (У2К) в аппаратных и программных средствах. Компании понесли значтельные затраты на тестирование, модификацию и замену своих систем | Имеется огромное число технических решений для обеспечения безопасности, и в каждом конкретном случае требуется проведение тщательного отбора. При этом нужно иметь в виду, что безопасность людей не менее важна, чем безопасность материальных активов |
| Коммерческая зависимость и взаимозависимость компаний | Различные объединения промышленных предприятий проводили оценку угроз нарушения логистических цепочек и последствий таких нарушений. Компании требовали от своих поставщиков подтверждения устранения в своих информационных системах угроз, связанных с "Проблем ой 2000" | Компании углубили свое осознание проблем обеспечения устойчивости логистических цепочек. После 11 сентября они стали меньше полагаться на практику поставок точно в назначенный срок (just-in-time) и больше - на складские запасы "на всякий случай" (just-in-case) |
| Киберугрозы критическим инфраструктурам | Владельцы и операторы инфраструктур (телекоммуникационных, трубопроводных и др.) обеспечили решение "Проблемы 2000" в своих системах, разработали и проверили планы их восстановления после бедствия и создали сети сотрудничества для обмена информацией и координации действий в чрезвычайных ситуациях | Компании очень вяло обмениваются информацией во всех сферах, кроме финансовой, где существуют долговременные доверительные отношения, позволяющие координировать действия в чрезвычайный ситуациях |
| Нежелание делиться информацией | Конгресс США издал закон, по которому обмен информацией между Компаниями по "Проблеме 2000" не является нарушением антимонопольного законодательства | Сейчас в Конгрессе США рассматривается закон об обмене между компаниями антитеррористической информацией, подобный закону, принятому в отношении "Проблемы 2000" |
| Атмосфера страха и неопределенности | Предприятия и их объединения организовали в прессе кампанию с целью убедить акционеров и публику в том, что последствия "Проблемы 2000" будут минимальными | Сразу после 11 сентября все компании публично выразили соболезнования родственникам погибших в зданиях ВТЦ |
| Горизонт планирования | Знание точной даты проявления "Проблемы 2000" и понимание ее сути упростили планирование работ по ее преодолению. Наличие необходимого инструментария обусловило сокращение времени решения задачи | Время проведения террористической атаки и применяемые для этого средства непредсказуемы. Поэтому необходимо тщательное исследование рисков для определения соответствующих мер и инструментов защиты |
Готовы ли российские компании к внедрению у себя планов обеспечения непрерывности деятельности? Информация об этом противоречива. Изучение рынка сервисных ИТ-услуг, проведенное компанией Market-Visio/EDC в 2000-2001 гг. (http://www.edc.ru/), показало, что услуга по планированию непрерывности бизнеса (BCP) в России пока слабо востребована.
|
|
|
Исследование, проведенное в 2001 г. компанией Ernst & Young (www.ey.com/Russia/security-risk), свидетельствует о том, что 67% опрошенных ею российских компаний имеют планы обеспечения непрерывности бизнеса (BCP), причем у 61,2% этих компаний планы протестированы, а у 38,8% — нет.
Столь разные оценки объясняются тем, что Market-Visio/EDC опрашивала предприятия действительно по вопросу непрерывности бизнеса при комплексных угрозах (см. Таб. 2), а Ernst & Young, судя по содержанию отчета, только по проблемам информационной безопасности (отказы компьютеров, атаки хакеров, компьютерные вирусы и др.).
Таблица 2. Классификация прерывателей (рисков) бизнеса (не исчерпывающая)
| ТИП ПРЕРЫВАТЕЛЯ БИЗНЕСА | АНГЛИЙСКОЕ НАЗВАНИЕ ПРЕРЫВАТЕЛЯ | РУССКОЕ НАЗВАНИЕ ПРЕРЫВАТЕЛЯ |
| Предпринимательский | Business Relocation | Переезд предприятия или организации в другое помещение или офис |
| > | Espionage | Промышленный шпионаж |
| > | Loss of Records | Утрата архива |
| > | Mergers & Acquisitions | Слияние/приобретение предприятий/организаций |
| > | Negative Publicity | Негативная информация о компании в прессе |
| > | IS swop | Переход с ручной на автоматизированную информационную систему или с одной автоматизированной системы на другую |
| > | Mask Show | "Наезд" криминальных, коммерческих или государственных структур |
| Человеческий | Labor Disputes | Трудовой конфликт (забастовка, локаут и др.) |
| > | Loss of Workforce | Организованный уход сотрудников или их потеря в результате, например, несчастного случая |
| > | Staffing Issues | Невозможность набрать сотрудников |
| > | Succession Planning | Отсутствие планирования замещения должностей |
| > | The Human Factor | Человеческий фактор, терроризм в любой форме и с применением любого оружия |
| > | Unauthorized Access | Несанкционированный доступ |
| > | White Collar Crime | Преступления "белых воротничков" |
| > | Workplace Violence | Силовые конфликты на рабочих местах |
| Техногенный | Blackouts | Веерное отключение электроэнергии |
| > | Computer Failure | Отказы компьютеров |
| > | Computer Harking | Атаки хакеров |
| > | Computer Viruses | Компьютерные вирусы |
| > | Environmental Hazards | Аварии систем жизнеобеспечения (прорыв канализации, трубопроводов горячей и холодной воды., отказ воздуховодов и др.) |
| > | Multi-Tenant Sites | Проблемы, вызванные размещением в одном здании нескольких компаний |
| > | Power Outages | Перебой в электроснабжении |
| > | Sick Building Syndrome | Синдром, вызванный наличием в материалах, из которых построено здание, вредных для здоровья примесей |
| > | Transportation Disruptions | Нарушения работы общественного транспорта |
| Природный | Blizzards | Снежная буря |
| > | Earthquakes | Землетрясение |
| > | Electrical Storms | Электромагнитные бури |
| > | Hurricanes | Ураганы |
| > | Tornadoes | Торнадо |
| Природно-техногенный | Winter Weather | Зимняя погода |
| > | Biological Hazards | Эпидемии |
| > | Fine | Пожар |
| > | Flooding | Наводнение |
| > | Artificial and natural objects landing | Падение искуcственных (например, самолетов) и природных (например, метеоритов) объектов с неба |
Следует заметить, что осознание необходимости заботиться об информационной безопасности и связанная с этим разработка планов обеспечения непрерывности функционирования информационных систем — уже большой шаг российских предприятий к обеспечению устойчивости бизнеса.
|
|
|
Здесь не рассматривается большой пласт предпринимательских рисков, связанных с изменением курса национальной валюты, государственного регулирования, наносящего ущерб коммерческой деятельности, или политической системы. Эти риски заслуживают особого рассмотрения, поскольку для их снижения используются методы, существенно отличные от описанных в настоящей статье.
План обеспечения бесперебойной деятельности организации в случае нештатных ситуаций: вопросы и ответы
После бедствия необходимо заняться восстановлением своего бизнеса. При этом некоторые организации находятся в более выигрышном положении: у них есть "План обеспечения бесперебойной деятельности организации" (далее план).
Зачем нужен план?
В заголовках национальных и международных новостей постоянно присутствуют сообщения о самых разнообразных бедствиях. Многие бедствия приходят неожиданно, и в этом случае на планирование и организацию работ уже нет времени: нужно бороться за выживание. Поскольку ущерб, приносимый бедствиями, нельзя предотвратить, организациям нужно застраховаться, составив план, который обеспечит успешное восстановление деятельности. Проблема восстановления еще больше усугубляется сложностью распределенных вычислительных сред, разнородностью технических средств, программного обеспечения и протоколов связи.
В настоящее время почти все компании в значительной степени зависят от компьютерных технологий или автоматизированных систем. Неработоспособность этих систем даже в течение нескольких часов может привести к существенным финансовым потерям и даже поставить под угрозу существование организации.
По мере того, как все большее число критичных бизнес-процессов переносится на вычислительные системы с распределенной архитектурой (например, клиент-сервер), компании начинают беспокоиться о том, как можно защитить эти системы в случае бедствия. При переносе приложений из вычислительного центра, где существует жесткий контроль безопасности и воздействий внешней среды, на рабочие места в оперативных подразделениях вероятность прерывания деятельности существенно возрастает. Для вычислительного центра пожары, прорывы водопровода и канализации, отключения телефонной связи и электрического питания подконтрольны и являются большой редкостью, но с распределением приложений по локальным или глобальным сетям, вероятность, что где-нибудь случится чрезвычайное происшествие, сильно возрастает.
Организации должны предусмотреть меры по восстановлению тех сфер своей деятельности, которые имеют критичное для бизнеса значение. При этом должна восстанавливаться не только информационная система. Необходимо предусмотреть замену оборудования локальных телефонных станций, восстановление справочной службы и дистанционного обслуживания, обеспечение мест для работы сотрудников, спасение имущества, которое пригодно к использованию (список не является исчерпывающим). Если подобные составляющие не могут быть восстановлены своевременно, управление организацией становится практически невозможным.
Большинство компаний может обеспечить продолжение своей деятельности после перерыва, вызванного бедствием, предприняв ряд определенных шагов.
Что представляет собой план и почему он так важен?
План обеспечения бесперебойной деятельности организации представляет собой детальный перечень мероприятий, которые должны быть выполнены до, во время и после бедствия. Этот план документируется и испытывается, чтобы удостовериться в его работоспособности в изменяющихся условиях.
Каковы выгоды от наличия плана?
План служит руководством к действию во время кризиса и гарантирует, что ни один важный аспект не будет упущен. Профессионально составленный план направляет действия даже неопытных сотрудников.
Наличие детального, регулярно испытываемого плана поможет оградить любую организацию от судебных исков по поводу халатности. Само существование плана служит доказательством того, что руководство компании не пренебрегло подготовкой к возможным бедствиям.
Основные выгоды от составления детального плана обеспечения бесперебойной деятельности состоят в следующем:
· Минимизация потенциальных финансовых потерь.
· Уменьшение юридической ответственности.
· Сокращение времени нарушения нормальной работы.
· Обеспечение стабильности деятельности организации.
· Организованное восстановление деятельности.
· Сведение к минимуму суммы страховых взносов.
· Уменьшение нагрузки на ведущих сотрудников.
· Лучшая сохранность имущества.
· Обеспечение безопасности персонала и заказчиков.
· Соблюдение требований законов и инструкций.
Каковы последствия отсутствия плана?
Часто цитируемое исследование, проведенное Техасским университетом, выявило следующую статистику:
· 85% организаций сильно или полностью зависят от вычислительных систем.
· В среднем на 6-й день перерыва в работе компания теряет 25% ежедневного дохода, а на 25-й день — 40%.
· После перерыва в работе наблюдается быстрый рост финансовых потерь и ухудшения функционирования.
· Спустя две недели после прекращения работы вычислительных систем у 75% компаний потеря функционирования становится критической или полной.
· 43% компаний, испытавших бедствие и не имевших плана обеспечения бесперебойного функционирования, не возобновляют свою деятельность, а спустя два года продолжает функционировать лишь 10% компаний.
Это исследование показало, что организации, которые составили план действий в непредвиденных обстоятельствах, имели существенно меньшие дополнительные затраты и потери доходов.
По оценке, потери доходов этой группы организаций были бы в 2,5 раза выше, если бы при возникновении чрезвычайной ситуации они не привели в исполнение соответствующие планы.
Кто отвечает за разработку плана?
В конечном итоге за разработку плана отвечает руководство компании, которое должно осуществлять контроль за имуществом компании, что включает контроль за информационными системами компании и обеспечение их непрерывного функционирования.
Проблемы, связанные с восстановлением функционирования информационной системы должны быть заботой всей компании, а не только руководства подразделения, отвечающего за ИТ-инфраструктуру. Руководители всех подразделений, деятельность которых зависит от услуг, предоставляемых отделом ИТ-технологий, должны разработать процедуры действий в чрезвычайных обстоятельствах, касающиеся собственных функциональных обязанностей, а также участвовать в разработке плана восстановления деятельности. Каждое функциональное подразделение должно привести в действие свою часть плана в рамках общих усилий по восстановлению деятельности. В плане должно быть отражено даже выполнение таких обеспечивающих функций, как содержание зданий и оборудования. Эффективность выполнения этих функций может не влиять непосредственно на работу ИТ-инфраструктуры, однако от нее будет частично зависеть восстановление работы технических средств.
Что требуется для разработки плана?
Важным моментом в процессе составления плана является участие высшего руководства компании. Без его поддержки практически невозможно заставить функциональные подразделения предоставить ресурсы, необходимые для разработки плана.
Существенное значение имеет также участие пользователей. Если пользователи не участвуют в процессе разработки плана — маловероятно, что план окажется действительно полезным. Их участие поможет определить некоторые важные факторы:
· Вероятные последствия каждого бедствия для деятельности организации;
· Вероятная продолжительность каждого возможного бедствия;
· Ресурсы, которые необходимы для того, чтобы свести к минимуму возможные последствия;
· "Человеческие" ресурсы.
Ведение "Плана обеспечения бесперебойной деятельности" требует постоянных затрат времени и финансовых ресурсов.
Не обновлять план так же плохо, как и не иметь его вообще!!!
Каковы этапы разработки плана?
Разработку плана обеспечения бесперебойной деятельности предприятия необходимо организовать в виде проекта, чтобы управлять задачами, сроками и конечными результатами. Основными этапами типичного проекта являются:
· Организация выполнения проекта;
· Оценка риска, уменьшение нежелательных последствий от наступления событий, связанных с риском, анализ последствий для бизнеса;
· Разработка стратегии восстановления деятельности;
· Документирование плана;
· Обучение;
· Имитация бедствия.
Организация выполнения проекта
Организация выполнения проекта включает в себя административное управление проектом, определение допущений, проведение совещаний и разработку политики.
