Последствия сбоев и прерывания бизнеспроцессов в компании могут быть катастрофическими. Поэтому обеспечение их непрерывности и управления ими становится важнейшим направлением стратегического и оперативного менеджмента.
Обеспечение непрерывности бизнеса актуально не только для компаний, занимающихся электро и водоснабжением, а также оказывающих телекоммуникационные услуги, но и для финансовых структур, страховых компаний, банков, предприятий сырьевой и нефтеперерабатывающей промышленности, авиакомпаний и т.д.
Обеспечение непрерывности бизнеса актуально не только для компаний, занимающихся электро и водоснабжением, а также оказывающих телекоммуникационные услуги, но и для финансовых структур, страховых компаний, банков, предприятий сырьевой и нефтеперерабатывающей промышленности, авиакомпаний и т.д.На фоне возросшей вероятности различных чрезвычайных ситуаций, техногенных и природных катастроф, следствие которых — остановка или потеря ключевых бизнеспроцессов, деятельность любой компании приобретает все большую зависимость от персонала, партнеров, поставщиков, технологий и инфраструктуры.
Управление непрерывностью бизнеса — это процесс, направленный на минимизацию влияния сбоев и прерываний деятельности на бизнес компании с целью создания устойчивой программы по защите интересов собственников, репутации, бренда, а также обеспечения соответствия требованиям регуляторов и применимого законодательства.
Имея в своей основе техническое содержание, управление непрерывностью бизнеса является задачей организационноэкономической и управленческой, так как связано с ведением компанией профессиональной деятельности, иногда прерываемой в результате сбоев или отказов в компьютерных системах в силу различных чрезвычайных обстоятельств.
Информационная безопасность
По словам Андрея Дроздова, старшего менеджера компании KPMG, вицепрезидента Московского отделения Ассоциации аудиторов информационных систем ISACA, управление непрерывностью бизнеса (УНБ) и обеспечение информационной безопасности (ИБ) тесно связаны между собой. Одни аналитики считают, что информационная безопасность — часть непрерывности бизнеса. Другие полагают, что непрерывность бизнеса — составная часть ИБ.
С одной стороны, ключевой стандарт информационной безопасности ISO 27 001 и семейство стандартов ISO 27 XXX рассматривают непрерывность бизнеса как одну из 11 областей своего контроля. Исходя из этого можно предположить, что формально непрерывность бизнеса — часть науки об ИБ.
С другой — бизнес или, более широко, деятельность можно вести и без применения информационных технологий. К тому же из стандарта ISO 27 002 следует, что информационная безопасность — это защита информации от различного вида угроз, способная обеспечить непрерывность бизнеса, минимизировать риски, максимизировать возврат инвестиций и преимущества для бизнеса. Иными словами, ИБ служит общей цели развития бизнеса и обеспечения его непрерывности. В конечном итоге обеспечение непрерывности бизнеса может быть сопряжено с безопасностью жизни людей.
К сведению
-
выхода из строя сети в результате возникновения и обработки паразитных транзакций;
-
выхода из строя сервера в результате шквала спама;
-
простоя рабочей станции изза эпидемии вредоносной программы;
-
отсутствия связи с филиалом вследствие изменения таблиц маршрутизации;
-
торможения деятельности подразделений в результате выполнения ст.14, 20 и 21 Федерального закона от 27.07.2006 № 152ФЗ «О персональных данных»;
-
приостановления деятельности организации на срок до 90 суток за нарушение правил защиты информации (ст.13.12 и 19.20 КоАП) и т.д.
Информационная безопасность в контексте управления непрерывностью бизнеса — это защита от чрезвычайных ситуаций:
Источник : Symantec
Анализ воздействия на бизнес
По определению Gartner Group, цель организаций состоит в том, чтобы не допустить простоев и достичь такого состояния непрерывности бизнеса, при котором все критичные системы и сети будут постоянно доступны, не взирая на любые происходящие события.
Для достижения этой цели, считает Алексей Лукацкий, бизнесконсультант по безопасности компании Cisco Systems, необходимо провести анализ воздейс твия на бизнес (Business Impact Analysis, BIA) различного рода прерываний деятельности. Одна из важнейших задач такого анализа — определение ценности каждого процесса для бизнеса и приоритезация бизнеспроцессов. При этом второстепенные задачи BIA заключаются в определении величины потерь изза сбоев в функционировании процессов, а также длительности сбоев и скорости их распространения.
К ключевым процессам относятся те, которые должны функционировать даже в условиях чрезвычайной ситуации. Их приоритет зависит от множества параметров, например отрасли, масштаба, уровня информатизации. Отдельные компоненты/элементы бизнеспроцесса могут также иметь разный приоритет с точки зрения критичности. Так, важнее отгрузить товар, чем распечатать отчет об отгрузке. Анализируя влияние сбоев на бизнес, важно не забывать о перекрестном использовании общих элементов разных бизнеспроцессов.
При определении ценности каждого процесса для бизнеса необходимо соблюсти баланс между потерями и приобретениями. Потери складываются из прямых (потеря доходов, штрафы за нарушение договорных обязательств, штрафы надзорных органов, иски) и косвенных (упущенная выгода, потеря доли рынка, снижение лояльности заказчиков/партнеров, репутация).
В число потерь входят и информационные, например интеллектуальная собственность. Здесь понадобится помощь специалистов финансовых служб и специальные методики расчета. Кстати, в бухгалтерии уже давно научились оценивать различные виды нематериальных активов, применяя разные стоимости (обмена, рыночную, использования, ликвидную, замещения) и методы.
Приобретение можно оценить через ускорение сделок, снижение времени вывода продукта на рынок, рост продуктивности и/или числа клиентов и т.д.
Цена сбоя складывается из множества параметров. Это, в частности:
-
восстановление утерянной информации и работоспособности ИТсистем;
-
процедурные затраты;
-
стоимость времени восстановления;
-
взаимодействие с пострадавшими стейкхолдерами;
-
резервирование автоматизации ключевых процессов ручными операциями;
-
снижение качества обслуживания.
К тому же надо учитывать, что потери проявляются в динамике. Ущерб может наступить мгновенно или спустя какоето время. Да и активность бизнеспроцессов зависит от различных факторов (квартала/сезона). Соответственно могут проявиться и потери от их прерывания.
Не стоит забывать, отмечает А. Лукацкий, что извлечение уроков тоже имеет свою стоимость. В среднем затраты на обеспечение непрерывности бизнеса составляют примерно 2% от общего бюджета в сфере информационных технологий.
Анализ воздействия на бизнес различного рода его прерываний в информационной безопасности означает установление приоритетов в управлении рисками, реагировании на инциденты, выборе защитных мер, мониторинге событий. Приоритезация бизнеспроцессов в рамках BIA позволяет, в свою очередь, отталкиваться от нее для оптимизации усилий при выстраивании всех остальных процессов ИБ.
Планы восстановления
Согласно опросу, проведенному AT&T среди 1000 мировых компаний, более чем у 25% средних и крупных фирм нет плана (программы) обеспечения непрерывности бизнеса или иных документов на случай восстановления деятельности. Даже среди организаций, обладающих таким планом, 27% не обновляли его в течение года, а 19% — на протяжении пяти лет, что равносильно его отсутствию. В среднестатистической компании ежегодно происходит примерно 13 незапланированных простоев, средняя продолжительность каждого — четыре часа.
План обеспечения непрерывности бизнеса — документ, в котором представлены первоочередные задачи по восстановлению деятельности и их последовательность от момента прерывания до полного возобновления и определен баланс затрат на обеспечение непрерывности и выгоды от бесперебойной деятельности. Эти задачи связаны:
-
с обеспечением и восстановлением непрерывности бизнеспроцессов;
-
административнохозяйственными отношениями;
-
управлением персоналом;
-
договорными отношениями с внешними компаниями;
-
информационной безопасностью;
-
охраной труда и техникой безопасности;
-
взаимодействием с регулирующими органами,
-
другими направлениями деятельности, оказывающими непосредственное влияние на бизнеспроцессы компании.
Компания Symantec провела также телефонное интервью с 1000 респондентов из компаний всего мира численностью не менее 500 человек, внедривших планирование восстановления (Disaster Recovery, DR). По словам Николая Починка, руководителя отдела консалтинга «Symantec Россия и СНГ», 75% респондентов больше всего опасаются потери данных и 62% — высокой стоимости простоя, чуть более половины — потери доверия клиентов и репутации, снижения производительности труда (56, 51, 51% соответственно). 16% респондентов никогда не использовали свой план восстановления, а 36 — вынуждены были его реализовывать в случае отказа программноаппаратных средств, 28 — по причине внешних атак (вирусы, хакеры), а 26% — в связи с проблемами электропитания. Проведение комплексного тестирования DR-плана только у 16% респондентов завершилось успешно.
В России, по мнению ряда аналитиков, анализ внешних и внутренних воздействий на функционирование предприятия если и проводится, то не полно и не регулярно. Это приводит к тому, что имеющиеся DRпланы не всегда отвечают целям и задачам бизнеса и неадекватны расходам на поддержание непрерывности и восстановления.
У большинства компаний планы обеспечения непрерывности и восстановления бизнеса в чрезвычайных ситуациях отсутствуют. Все в лучших традициях: пока гром не грянет…