Непрерывность бизнеса. Подходы и решения

Стабилизация, продолжение, возобновление и полное восстановление приоритетной деятельности должно также касаться зависимых от нее сторон и поддерживающих ресурсов. Очевидно, что временный вариант работы является более интенсивным например, ручной труд вместо применения автоматизированной системы. Для обеспечения возобновления деятельности в течение целевого срока восстановления целевые сроки восстановления могут быть также определены для зависимых сторон и поддерживающих ресурсов.

При установлении таких целевых сроков восстановления необходимо учитывать:. Организация должна проанализировать все варианты стратегии и определить возможность внесения новых рисков. Варианты стратегии непрерывности бизнеса по стабилизации, продолжению, возобновлению или восстановлению приоритетной деятельности зачастую могут быть недопустимо дорогими.

Организация должна обеспечить проведение анализа непрерывности бизнеса поставщиков. Организации следует сконцентрировать свое внимание на поставщиках, поскольку их неспособность поставлять продукцию очень быстро может привести к нарушению приоритетной деятельности организации. Действия организации могут включать в себя:. Организация должна предусмотреть соответствующие мероприятия по поддержанию и расширению имеющихся ключевых навыков и знаний персонала на случай, если в результате инцидента численность персонала сократится.

Меры по сохранению или расширению такого персонала могут включать в себя:. Действия, связанные с переводом персонала после инцидента на другие рабочие площадки, должны учитывать:.

Информация, жизненно важная для деятельности организации, должна быть защищена и восстановлена в сроки, определенные при анализе воздействия на бизнес. Хранение и восстановление данных должно соответствовать действующему законодательству. Информация, необходимая для обеспечения ответных мер. В любом случае информация, необходимая для осуществления деятельности, должна обладать достаточно широкой применимостью. Информационные стратегии должны быть отражены в соответствующих документах по восстановлению информации, которую еще не скопировали или которая не имеет резервных копий в безопасном месте.

Примечание 2— Если скопированная информация хранится слишком близко к оригиналам, разрушительный инцидент может подвергнуть опасности ее целостность или затруднить доступ к ней. С другой стороны, большое расстояние может привести к ее отсутствию 8 необходимый момент. Стратегии создания рабочих мест могут быть различны.

Может существовать целый ряд вариантов таких стратегий. Различные виды инцидентов или угроз могут потребовать использования различных или нескольких вариантов обустройства рабочих мест. Соответствующая тактика отчасти зависит от размера организации, сектора и масштабов деятельности, заинтересованных сторон и географического положения.

Например, органы государственной власти должны предоставлять услуги всем членам своего сообщества, в то время как некоторые организации могут вести свою деятельность из другой страны или с другого континента. Организация должна разработать план действий на случай потери своих обычных рабочих площадей. Она может предусматривать наличие резервных помещений, включающих в себя одно или несколько из ниже перечисленного:.

Альтернативные помещения необходимо тщательно выбирать с учетом географических особенностей местности, которая может быть подвержена воздействию определенного рода инцидентов. Если подобный риск существует, альтернативные помещения необходимо размещать вдали от зоны возможного воздействия инцидента.

Тем не менее альтернативные помещения не должны быть расположены слишком близко, чтобы персонал не пострадал от инцидента. При использовании резервных альтернативных помещений для обеспечения непрерывности деятельности должно быть установлено, что ресурсы, выделенные для альтернативных помещений, могут быть использованы организацией только в исключительных случаях.

Организация должна определить и поддерживать запасы основных материалов, необходимых для осуществления ее приоритетной деятельности. Некоторое оборудование и станки может быть сложно приобрести, они могут быть очень дорогими требующими длительной процедуры получения разрешений или иметь длительный период монтажных и пусконаладочных работ.

Такие вопросы необходимо учитывать при принятии решений о таких ресурсах. Если деятельность зависит от поставщиков, организация должна определить ключевых поставщиков и конкретные источники поставок. Стратегии менеджмента непрерывности поставок могут включать в себя:. Во многих организациях деятельность невозможно осуществлять без систем ИКТ.

Технологические варианты зависят от характера применяемой технологии и ее взаимосвязи с различными видами деятельности, но обычно они представляют собой комбинацию нижеследующего:. Способы обеспечения системами ИКТ. Из-за сложности технологий, поддерживающих системы ИКТ.

Слишком большое расстояние может снизить реакцию системы и сделать системы ИКТ неэффективными. Если организация использует узкоспециализированные или разработанные на заказ технологии с большими сроками освоения, необходимо предусмотреть меры по защите ИКТ. Организация должна заранее определить варианты предоставления альтернативных транспортных средств, которые могут потребоваться после разрушительного инцидента.

Эти варианты могут включать в себя:. Организация должна определить варианты обеспечения необходимого финансирования во время и после разрушительного инцидента. Такие варианты могут включать:.

Для того чтобы избежать критики в свой адрес или содействовать выплатам по страховым исхам. Если изготовление продукции, предоставление услуги или ведение деятельности для организации осуществляют сторонние организации, ответственность и отчетность несет организация. Поэтому организация должна гарантировать, что ее ключевые поставщики имеют результативную систему обеспечения непрерывности бизнеса.

Для выявленных рисков, требующих обработки е соответствии с общим отношением организации к риску, организация должна рассмотреть пути снижения вероятности возникновения, сокращения продолжительности и уменьшения воздействия разрушительного инцидента. Организация должна установить и документировать процедуры, обеспечивающие общее управление ответными мерами на разрушительный инцидент и мероприятиями по возобновлению деятельности в целевые сроки. Процедуры непрерывности бизнеса должны обеспечить соответствующий протокол внутреннего и внешнего обмена информацией и быть:.

Организация должна ввести процедуры и структуру менеджмента, которые дают ей возможность быть готовой к разрушительным инцидентам, снизить их влияние на результативную деятельность организации и выполнять ответные меры.

Структура ответных мер должна быть простой и быстро формируемой. При опреоелении структуры необходимо предусмотреть:. Более крупные и сложные организации могут использовать многоуровневый подход при планировании ответных мер и могут создавать различные группы, отвечающие за выполнение ответных мер. В более мелких организациях всеми аспектами ответных мер может заниматься одна группа, но никогда эта ответственность не должна быть возложена на одного человека.

Для каждой группы должны быть установлены процедуры ее деятельности с указанием персонала и его ответственности, полномочий и компетентности. Личная и групповая компетентность может быть продемонстрирована во время тренировок и учений. Организация должна установить, внедрить и поддерживать в рабочем состоянии процедуры по оповещению и обмену информацией.

Организации может понадобиться решить, сообщать, и если да. Решение и причины его принятия должны быть зафиксированы документально. Например, организация, проводящая опасные работы, которые могут представлять угрозу близлежащим соседям, должна удостовериться, что соседи оповещены о потенциальной угрозе. Это означает, что они знают, как подаются сигналы тревоги и как на них реагировать. У организации должны быть результативные процедуры и средства своевременного оповещения, подачи сигналов тревоги и быстрого доведения информации до внешних организаций.

Систему оповещения и обмена информацией следует регулярно проверять. Процедуры должны также обеспечить результативный двусторонний обмен информацией с заинтересованными сторонами, такими как заказчики и СМИ. Организация должна осуществлять обмен информацией с этими заинтересованными сторонами до получения извещения об окончании инцидента и возвращения к обычной деятельности. Процедуры обмена информацией могут быть обеспечены специальным оборудованием. В связи с тем что инцидент может нарушить работу обычной системы обмена информацией, имеющегося оборудования, обеспечивающего обмен информации, может быть использовано альтернативное оборудование, такое как:.

Организация должна установить документированные процедуры, позволяющие ей реагировать на инцидент и надлежащим образом проводить работу по возобновлению и восстановлению ее деятельности. Эти процедуры должны включать все аспекты ответных мер на инцидент, в особенности вопросы безопасности жизни и здоровья людей, и учитывать требования всех тех.

Для того чтобы определить требования, целесообразно:. Сроки и уровень исполнения должны основываться на информации, полученной во время анализа воздействия на бизнес 8. Эти действия должны быть предусмотрены в документированных процедурах 8. Для достижения своевременного возобновления организацией поставок продукции и предоставления услуг необходимо, чтобы документированные процедуры каждого вида деятельности:.

Для того чтобы на работу процедур не оказывали влияние одни и те же разрушительные инци-денты. Эти ограничения должны быть установлены и согласованы с руководством. План в области непрерывности бизнеса может представлять собой одну документированную процедуру или множество процедур, охватывающих все требования и всю область применения СМНБ.

Цель, область применения и задачи каждой документированной процедуры должны быть определены и понятны для тех. Необходимо четко указать все связи с другими требуемыми или важными документированными процедурами или документами и описать способ получения доступа к ним. Это может быть связано с определенными стадиями эскалации инцидента:. Ш средства регистрации важной информации об инциденте, предпринятых действиях и принятых решениях:. Контактная информация должна храниться в соответствии с местным законодательством о сохранении служебной информации.

Целью менеджмента в условиях инцидента является обеспечение результативности ответных действий организации на разрушительный инцидент на стратегическом уровне. Процедуры должны включать базу для управления всеми возможными вопросами организации, возникающими во время инцидента, включая вопросы, относящиеся к заинтересованным сторонам. Организация должна определить месторасположение, комнату или помещение для управления в условиях инцидента.

Это место должно стать центральной точкой управления в условиях инцидента. Помещение может быть номером в гостинице или домом сотрудника. В начальной стадии может возникнуть необходимость проведения дистанционного совещания например, по телефону , телеконференции или видеоконференции для быстрого принятия основных решений. Другим группам реагирования может потребоваться аналогичное оборудование. Процедуры обмена информацией в зависимости от обстоятельств могут быть включены в процедуры управления ответными действиями на инцидент или могут быть выделены в отдельные процедуры для использования отдельной группой.

Существует необходимость активно управлять большим объемом информации и координировать его при отправлении и получении информации во время инцидента. Эта процедура должна содержать:. Заранее подготовленная информация может быть особенно полезной на ранних стадиях инцидента.

Она позволяет предоставить подробные данные об организации и ее бизнесе в то время, когда данные об инциденте не полностью установлены. Следует также учитывать возможное давление или групповые акции со стороны общественности, которые имеют коллективное воздействие или влияние на организацию.

Следует определить способ приоритетных средств обмена информацией с другими основными заинтересованными сторонами. Нельзя недооценивать долгосрочные последствия инцидента. Организация может сохранить используемый способ предоставления консультационных услуг пострадавшим в результате инцидента сотрудникам и оказания им долгосрочной помощи.

Услуги могут быть оказаны внешними организациями или предоставлены в рамках расширения существующих программ в области гигиены труда и поддержки персонала. Организация должна назначить сотрудников с соответствующими полномочиями для взаимодействия с экстренными службами если это уместно.

Экстренные службы играют первостепенную роль в защите жизни и облегчении страданий людей во время чрезвычайных ситуаций. Необходимо определить конкретные потребности в ресурсах.

Ресурсы должны быть доступны своевременно и должны быть способны выполнять предназначенные для них функции. Затраты не должны превышать выгоду. Ресурсы, которые могут потребоваться для выполнения ответных действий по сохранению благосостояния персонала, включают, но не ограничиваются следующим:.

Организация может разработать документированные процедуры спасения и обеспечения безопасности имущества. Эти процедуры могут включать в себя:. Эффективное спасение аппаратуры, оборудования и документации может уменьшить последствия инцидента и обеспечить более быстрое возвращение организации к нормальной работе.

Они могу включать в себя:. Эти меры могут включать в себя:. Процедуры восстановления деятельности должны определить системы ИКТ. Организация должна иметь документированные процедуры восстановления после инцидента и перехода от принятых временных мер к обычной деятельности. Процедуры должны содержать требования к проведению соответствующих аудиторских проверок и руководству организации.

Целью восстановительного периода является возобновление деятельности после разрушительного инцидента, отвечающей требованиям обычной деятельности организации. Возвращение к обычной деятельности может быть достигнуто путем:. Решение о способе возвращения к обычной работе необходимо принимать с учетом масштабов ущерба, нанесенного инцидентом и сроков, требуемых для восстановления необходимых производственных мощностей.

Документированные процедуры должны обеспечивать возможность детального анализа ситуации и ее последствий, а также определения задач и действий, необходимых для восстановления. В восстановительный период организации может быть необходимо;. Документированные процедуры восстановления должны содержать условия для возобновления всех видов деятельности, а не только приоритетных.

Это означает, что неприоритетные виды деятель-ности могут быть восстаноапены некоторое время спустя и для них должны быть предусмотрены необходимые ресурсы 8. Роли и их обязанности 3. Критерии и порядок активации 3. Порядок уведомления заинтересованных лиц 3. Порядок оценки происшествия 4. Последовательность восстановления непрерывности Специалистами NIST было разработано руководство [1], которое достаточно подробно описывает необходимые планы обеспечения непрерывности бизнеса.

Critical Infrastructure Protection Plan CIP План защиты критических инфраструктур План направлен на защиту ключевых ресурсов и компонентов национальной инфраструктуры. Cyber Incident Response Plan План реагирования на кибер-инциденты План, описывающий процедуры реакции на инциденты, связанные с атаками хакеров, вторжения в информационную систему и другие проблемы безопасности.

Методы и средства обеспечения безопасности. Information System Contingency Plan ISCP План на случай непредвиденных ситуаций в информационных системах План восстановления системы, сетей и основных приложений после аварии. Вышеперечисленные документы составляются исходя из потребностей компании, но на практике чаще всего применяются следующие виды планов: Данный план поможет уменьшить масштабы катастрофы и смягчить ее последствия, что даст возможность сэкономить время и дополнительное преимущество при активации остальных типов планов; — План действия персонала в чрезвычайных ситуациях — в соответствии с требованиями Федерального закона от Данный вид плана осуществляет поддержу плана обеспечения непрерывности бизнеса и направлен на восстановление работоспособности отдельных систем и приложений; — План обеспечения непрерывности бизнеса — сфокусирован на поддержке бизнес-процессов компании во время и после чрезвычайной ситуации; направлен на обеспечение возможности продолжения выполнения компанией критических важных для нее видов деятельности на установленном приемлемом уровне; — План антикризисных коммуникаций — данный план поможет сохранить репутацию компании в кризисной ситуации.

На этапе составления планов непрерывности бизнеса некоторые компании сосредоточиваются на технических решениях и не придают значения организационным мерам. В связи с этим необходимо указать на необходимость применения организационных мер наравне с техническими. Для этого проводятся обучающие семинары, тестирование планов, выпускаются учебные материалы.

Тестирование и пересмотр планов Тестирование осуществляется для проверки работоспособности планов при возникновении определенного набора обстоятельств, влияющих на деятельность компании. План тестирования выбирается с учетом типа компании и ее целей. Тесты — инструменты оценки, которые используют количественные метрики для проверки работоспособности ИТ-системы или ее компонента.

После того как была определена цель тестирования, разрабатывается сценарий, определяется метод тестирования и согласовывается с руководством. Чаще всего применяются следующие методы [2]: После проведения тестирования составляются отчеты, в которых указываются сценарии и результаты тестирования, а также предложения по улучшению планов непрерывности деятельности. Компании должны выбирать способ тестирования исходя из своих целей и финансовых возможностей.

Полное тестирование является самым эффективным так как оно позволяет выявить множество недостатков, но из-за высоких рисков почти не используется на практике. Если компания решила использовать данный вид тестирования, необходимо заручиться поддержкой партнеров или воспользоваться услугами подрядчиков, чтобы минимизировать риски и предупредить значительные простои. Обслуживание и обновление планов Как уже отмечалось выше, управление непрерывностью бизнеса компании является циклическим процессом.

А это значит, что нельзя ограничиваться одним только формированием планов, необходимо сопровождать, обновлять и совершенствовать их ежегодно, а иногда и чаще, например, в следующих случаях: Изменение организационной структуры компании; 3. Изменения в законодательстве; 4. Обнаружение недостатков в планах при их тестировании. Чтобы сохранить актуальность планов, необходимо выполнять следующие действия: Заключение Управление непрерывностью бизнеса обеспечивает объединение всех применяемых на предприятии мер в целостный, адекватный реальным угрозам и управляемый комплекс, позволяющий компании непрерывно предоставлять услуги, избежать влияния чрезвычайных ситуаций на деятельность и минимизировать возможный ущерб.

Этот комплекс состоит из семи этапов, которые должны быть реализованы в компании для обеспечения непрерывности предоставления услуг и производства продуктов. В данной статье описан каждый этап с привязкой к российским реалиям, а также указаны моменты, на которые стоит обратить внимание при реализации данного проекта. Почему для иллюстраций к бизнес-статьям всегда используют картинки такого странного стиля, как картинка для привлечения внимания?

Я бы в стратегию добавил варианты обработки риска: Игнорировать или принять риск. Снизить последствия возникновения риска до приемлемого уровня. Избегать возникновения такого рода риска. Результат деятельности организации, который она предоставляет своим потребителям, получателям и причастным сторонам, например промышленные товары, страхование, медицинское обслуживание и др.

Примечание - Целевой срок восстановления должен быть меньше, чем максимально приемлемый период нарушения. Способность организации противостоять воздействию инцидента. Сочетание вероятности события и масштабов его последствий, а также его воздействие на достижение целей организации. Однако для количественной оценки диапазона возможных последствий необходимо знание распределения вероятностей. Кроме того, может быть использовано стандартное отклонение. Величина совокупного риска, который организация готова допустить или которому готова подвергнуться в любой момент времени.

Полный процесс идентификации, анализа и сравнительной оценки риска. Структурированная разработка и применение культуры, политики, процедур и методов менеджмента к задачам идентификации, анализа, оценки и обработки риска.

Любой индивидуум, группа или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженными воздействию риска. Лицо или группа работников, осуществляющих направление деятельности и управление организацией на высшем уровне [ИСО В малой организации высшее руководство может быть владельцем этого процесса. Отдельные процессы непрерывности бизнеса могут изменяться в зависимости от размеров, структуры и назначения организации, однако основные принципы остаются постоянными для организаций некоммерческого, частного или государственного сектора, независимо от их размера, области или сложности деятельности.

Эти цели и задачи обычно реализуются путем выполнения стратегических планов и достижения кратко-, средне- и долгосрочных установленных показателей организации. На самом высоком уровне понимания МНБ организация обеспечивает достижение этих целей и задач в условиях возникновения угрозы неожиданного нарушения ее деятельности.

Инциденты могут быть различны по характеру и размерам последствий. Последствия могут привести к потере жизни людей, активов или доходов, либо неспособности поставлять продукцию и оказывать услуги, от которых порой зависит выполнение стратегий, сохранение репутации или даже само существование организации.

В рамках МНБ необходимо признать стратегическое значение известных причастных сторон. Часто последствия нарушений деятельности организации разворачиваются во времени и могут появиться новые причастные стороны, оказывающие прямое воздействие на возможную степень и масштабы повреждений и ущерба. Например, суммарный объем проблем может оказывать сильное давление на организацию в период нарушений деятельности или разрушений.

Решение всех этих проблем представляет собой стратегические интересы организации. Менеджмент риска ориентирован на управление риском по ключевым вопросам поставки продукции и предоставления услуг организацией. Производство продукции и оказание услуг могут быть разрушены широким спектром разнообразных инцидентов, многие из которых трудно не только спрогнозировать, но и проанализировать их причины.

Ориентируясь на воздействие нарушений, в процессе МНБ идентифицируют продукцию и услуги, от которых зависит выживание организации, а также необходимые условия для продолжения деятельности и непрерывности выполнения организацией своих обязательств. Внедрение МНБ позволит организации еще до реализации инцидента выявить необходимые ответные меры для защиты людей, производственных площадей, технологий, информации, системы поставок, причастных сторон и репутации организации.

На этом этапе организация может получить реальное представление о том, как и когда произойдет нарушение ее деятельности. Это необходимо для достижения уверенности в том, что организация способна справиться с любыми последствиями без недопустимой задержки поставки продукции или оказания услуг. Организация, которая принимает соответствующие меры по МНБ в конкретной ситуации, может использовать в своих интересах дополнительные возможности даже при высоком уровне риска. Руководители и владельцы организации несут ответственность за поддержание способности организации функционировать без перебоев.

Организация постоянно берет на себя различные обязательства, в том числе по поставке продукции и оказанию услуг, заключает договоры и совершает иные действия, направленные на рост доходов и достижение ожидаемых результатов. У всех организаций существуют моральные и социальные обязанности, особенно если они обеспечивают работу в чрезвычайных ситуациях или оказывают государственные или благотворительные услуги.

В некоторых случаях для организаций установлены законодательные или обязательные требования по применению МНБ. Нормальное функционирование любых видов деятельности организации может быть нарушено посредством воздействия на него таких разрушающих факторов, как технологические отказы, наводнения, прорыв коммуникаций и терроризм. МНБ обеспечивает способность реагировать надлежащим образом на текущее нарушение деятельности организации, защищая благосостояние и безопасность конкретных людей и общества в целом.

МНБ целесообразно рассматривать не как дорогостоящий процесс планирования, а как процесс, добавляющий ценность организации. Элементы жизненного цикла могут быть внедрены организациями различных размеров и секторов экономики: Область применения и структура программы МНБ могут быть различны. Затраченные на внедрение МНБ усилия зависят от индивидуальных потребностей организации, однако в любом случае эти шесть существенных элементов должны быть выполнены. Рисунок 1 - Этапы жизненного цикла менеджмента непрерывности бизнеса.

На основе анализа непрерывности бизнеса организация может установить требования, позволяющие выбрать стратегии МНБ. Стратегия МНБ позволяет выбрать соответствующие ответные меры на негативные события для каждой продукции или услуги таким образом, чтобы организация могла продолжать поставлять эту продукцию и оказывать услуги: Выбор стратегии следует осуществлять с учетом способности организации к восстановлению устойчивости и принимать во внимание контрмеры, уже применяемые в организации.

Один или несколько инцидентов могут привести к серьезным нарушениям способности организации выполнять свои обязательства. При правильном управлении ситуация в условиях инцидента не может развиться в кризис. Однако некоторые события могут вызвать такие серьезные нарушения планов по достижению целей организации, что их возникновение можно считать кризисом.

Размах инцидента может превысить степень готовности организации, даже если ответные меры на ожидаемый уровень нарушений ее деятельности были тщательно разработаны. Поэтому крайне важно, чтобы структуры процесса менеджмента и вспомогательных процессов гибко изменялись согласно обстоятельствам.

План обеспечения непрерывности бизнеса никогда не заменяет взвешенного и компетентного управленческого решения руководства. Политика в области МНБ определяет требования к процессу обеспечения непрерывности бизнеса и должна обеспечивать соответствие действий в области непрерывности бизнеса потребностям организации в случае возникновения инцидента, а также развитие способности организации к непрерывности бизнеса.

Способность к МНБ должна быть интегрирована в деятельность организации по управлению изменениями таким образом, чтобы способность к непрерывности бизнеса способствовала росту номенклатуры продукции и объема услуг.

Первоначально она может быть выпущена в виде заявления о намерениях, утвержденного на самом высоком уровне организации, которое может быть доработано, расширено и улучшено по мере развития в организации МНБ. Политика в области непрерывности бизнеса должна обеспечивать организации документированные принципы и цели, к которым должна стремиться организация и на соответствие которым необходимо проводить измерение способности к непрерывности бизнеса. Политика в области МНБ должна быть утверждена на самом высоком уровне организации, например, генеральным директором или председателем совета директоров.

При разработке политики в области МНБ организация должна определить: Организация должна поддерживать в рабочем состоянии политику, стратегии, планы и решения в области МНБ и проводить их анализ через запланированные интервалы времени в соответствии с потребностями организации.

В политике организации должны быть точно установлены все применяемые ограничения или исключения в области МНБ, например исключения по географическому признаку или по виду продукции.

Определение области применения МНБ должно в целом быть совместимо с анализом воздействия на бизнес см. Если продукция, услуги или деятельность были произведены с привлечением сторонних организаций, риск, связанный с продукцией, услугой или деятельностью, несет организация.

Следовательно, организация должна убедиться, что ее ключевые поставщики и привлекаемые сторонние организации партнеры принимают эффективные меры по МНБ в своей деятельности. Одним из методов выполнения этого требования является получение свидетельства по результатам аудита, внедрения и осуществления планов обеспечения непрерывности бизнеса, программ учений и поддержки МНБ ключевых поставщиков. Эффективное управление программой устанавливает общий подход к непрерывности бизнеса, принятый в организации.

Участие высшего руководства является ключевым фактором для обеспечения правильного введения, соответствующей поддержки и установки процесса МНБ как части культуры организации. Управление программой МНБ включает три шага: Существенно, однако, что лицо, наделенное соответствующими полномочиями например, собственник, председатель совета директоров или генеральный директор , должно нести полную ответственность за МНБ и являться непосредственно ответственным за обеспечение длительного успеха реализации этой способности.

Обязанности, подотчетность, ответственность и полномочия персонала должны быть установлены в рабочих и должностных инструкциях. Анализ этих обязанностей необходимо проводить в процессе аудита организации. Надлежащее выполнение обязанностей в области обеспечения непрерывности бизнеса может быть усилено путем их включения в политику организации в области аттестации, компетентности и поощрения персонала.

В малых организациях ответственность за непрерывность бизнеса может быть возложена на одного или нескольких сотрудников. Организация должна осуществлять следующие действия: Каждый компонент способности организации к непрерывности бизнеса должен быть проанализирован, внедрен и актуализирован через запланированные интервалы времени.

Кроме того, принимаемые меры и планы по непрерывности бизнеса должны также подвергаться анализу и актуализации всякий раз, когда происходят существенные изменения в рабочей среде, персонале, производственных и технологических процессах организации, а также в случаях, когда при внедрении мероприятий или возникновении инцидента в каких-либо областях деятельности организации выявлены недостатки.

К таким действиям относятся: Эта документация должна включать в себя: Цель данного элемента жизненного цикла МНБ состоит в обеспечении понимания и анализа организацией непрерывности своего бизнеса путем идентификации ее ключевой продукции и услуг, а также поддерживающих их критических видов деятельности и ресурсов.

Этот элемент должен обеспечивать соответствие программы МНБ установленным целям организации, а также обязательным и законодательным требованиям. Этот процесс обычно называют анализом воздействия на бизнес. Воздействие нарушений функционирования может также изменяться в зависимости от дня, месяца или этапа жизненного цикла бизнеса.

Они должны включать оценку: Организация должна документировать метод оценки воздействия нарушений деятельности организации, полученные выходные данные и результаты их анализа. Деятельность, идентифицированная в процессе АВБ, потеря которой может оказать в краткосрочный период времени максимальное негативное воздействие на организацию, и которая должна быть восстановлена в кратчайшие сроки, является "критическим видом деятельности".

Каждый критический вид деятельности обычно поддерживает одну или более ключевую продукцию или услугу. При планировании непрерывности деятельности организация может предпочесть ориентироваться на критические виды деятельности, но необходимо учитывать, что другие виды деятельности должны быть также восстановлены в пределах их максимально приемлемого периода нарушения и могут также потребовать по отношению к ним предупреждающих действий.

Для деятельности, наиболее чувствительной к воздействию времени, максимальный период времени ее восстановления должен быть определен с большей степенью точности, например, в минутах или в часах. Для менее чувствительной ко времени деятельности может потребоваться меньшая точность. Максимально приемлемый период нарушения воздействует на целевой срок восстановления каждого вида деятельности, который устанавливают при определении стратегии МНБ см.

Они могут включать в себя: При определении необходимого уровня ресурсов организация должна учесть потребности причастных сторон. Недоступность, неточность или недостаточная актуализация записей или информации по незавершенному производству могут помешать или существенно задержать возобновление деятельности организации.

Требования по обеспечению подобной информацией необходимо учитывать при выборе способа управления записями в общей стратегии МНБ см. Критические виды деятельности должны поддерживаться такими ресурсами, как персонал, производственные площади, технологии, информация, запасы и причастные стороны.

Организация должна оценить потенциальные угрозы для этих ресурсов, уязвимость каждого вида ресурса и потенциальное воздействие при превращении угрозы в инцидент, который может вызвать нарушение ее деятельности.

Должны быть описаны условия, при которых организация может принять риск; - идентификация приемлемых уровней риска.

Независимо от выбранного подхода к оценке риска организация должна идентифицировать приемлемый риск; - анализ риска. Необходимо, чтобы подход организации к оценке риска учитывал все понятия и положения, рассмотренные в 6.

Эти предпринимаемые меры известны как снижение потерь и обработка риска. Стратегии снижения потерь могут быть использованы в сочетании с другими вариантами, когда не все риски могут быть предотвращены или уменьшены до приемлемого уровня. Организация может применить одну, более одной или все стратегии 6. Стратегии непрерывности направлены на повышение устойчивости организации к нарушениям и разрушениям.

Даже если конкретный риск неприемлем, в некоторых ситуациях сделать что-либо с небольшим по величине риском может быть трудно или стоимость предпринятых ответных мер непропорциональна полученной выгоде. В этих случаях решением может быть принятие существующего уровня риска, если высшее руководство считает подобный риск приемлемым и его значение находится в границах допустимого совокупного риска организации. Принятие риска может быть дополнено разработкой и применением плана обработки риска в ситуации, когда произойдет соответствующее опасное событие.

Это достигается путем применения обычных страховых или договорных соглашений, либо путем оплаты третьему лицу, которое принимает на себя риск любым способом. Подобный выбор особенно хорош для того, чтобы смягчить финансовый риск или риск, связанный с активами.

Риск может быть передан для уменьшения подверженности организации риску или по причине того, что другая организация имеет больше возможностей для эффективного управления риском. Важно отметить, что некоторые виды риска вообще не могут быть переданы, в частности невозможно передать риск потери репутации, даже если в договоре предусмотрен отказ от поставки услуги.

Заключение договоров страхования может стать частью стратегии обработки риска и обеспечить некоторую финансовую компенсацию за понесенные потери. Однако не все потери можно полностью застраховать например, незастрахованные инциденты, урон, нанесенный бренду или репутации, снижение стоимости активов причастных сторон, сокращение доли рынка и последствия для здоровья человека. Одно только финансовое урегулирование не всегда позволяет полностью защитить ее способом, удовлетворяющим ожидания причастных сторон.

Установление объема страхования, вероятнее всего, следует использовать совместно с другими стратегиями.

Одним из базовых международных стандартов для управления непрерывностью бизнеса является ISO , основной задачей которого является направление компании в поиске эффективного подхода к минимизации последствий, вызванных рисками и угрозами, которым она подвергается. В соответствии с ISO непрерывность бизнеса это комплексный процесс управления, который. В году BCI совместно с британским институтом стандартов BSI начал работу над стандартом BS по управлению непрерывностью бизнеса. Через три года на основе BS был подготовлен международный стандарт ISO. В это же время BCI оказывал помощь в разработке и сопровождении. Настоящий стандарт устанавливает процессы, принципы и терминологию менеджмента непрерывности бизнеса (МНБ). Целью настоящего стандарта является установление основных положений для понимания, разработки и внедрения менеджмента непрерывности бизнеса в организации и обеспечения доверия к продукции или услугам организации со стороны потребителей и партнеров.

Серия стандартов ISO Системы менеджмента непрерывности бизнеса

Результатом проведения анализа воздействия на бизнес являются: Зачастую владельцы бизнес-процессов намеренно или неосознанно завышают целевые значение нормативов восстановления, что способствует искажению анализа и влечет за собой необоснованные расходы. Чтобы избежать этой проблемы, необходимо вместе с проектной группой, а также с заинтересованными сторонами рассмотреть ценность бизнес-функции в контексте происшествия, которое затронуло всю компанию.

Этот подход позволит объективно определить нормативы восстановления. Оценка рисков Риск — влияние неопределенности на цели. Процесс оценки рисков состоит из: Целью идентификации риска является составление перечня источников риска и угроз, которые могут повлиять на достижение каждой из установленных целей компании; — Анализ риска — процесс исследования информации о риске.

Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также в выборе соответствующей стратегии и методов обработки; — Сравнительная оценка риска — сопоставление его уровня с критериями, установленными при определении области применения менеджмента риска, для определения типа риска и его значимости.

Оценка рисков в дальнейшем позволит обоснованно выработать стратегию непрерывности бизнеса, а также поможет определить оптимальный сценарий ее реализации. Разработка стратегии непрерывности бизнеса После того как были проанализировали требования к непрерывности, необходимо выбрать и обосновать возможные технические и организационные решения. В процессе выбора решения необходимо детально рассмотреть возможные действия в отношении помещений, технологий, информационных активов, контрагентов, а также партнеров.

Данные решения, как правило, выбираются с целью: Данные решения могут включать в себя: Основными отличиями вышеперечисленных решений являются стоимость и время восстановления деятельности компании. Решения помогают в реализации эффективной стратегии непрерывности бизнеса. Но для того, чтобы определить оптимальный вариант, необходимо выбирать стратегические решения, исходя из результатов анализа воздействий на бизнес и оценки рисков этот подход поможет обосновать руководству необходимость инвестиций в проект управления непрерывностью бизнеса.

Разработка и внедрение планов непрерывности бизнеса План — это заранее намеченная система мероприятий, предусматривающая порядок, последовательность и сроки выполнения работ.

В соответствии с лучшими практиками [1, 2, 4], планы управления непрерывностью должны состоять из трёх компонентов: Реагирование на чрезвычайные ситуации — определяет последовательность действий, которые необходимо осуществить при обнаружении инцидента. Управление инцидентами — определяет методы, необходимые для смягчения или уменьшения размера происшествия.

Восстановление деятельности — определяет последовательность действий, которые необходимо осуществить для того, чтобы восстановить сервис на заданном уровне. Примерная структура плана обеспечения непрерывности бизнеса: Границы действия плана 1.

Предпосылки создания плана 2. Описание системы обеспечения непрерывности 2. Описание этапов восстановления непрерывности 2. Роли и их обязанности 3. Критерии и порядок активации 3. Порядок уведомления заинтересованных лиц 3. Порядок оценки происшествия 4. Последовательность восстановления непрерывности Специалистами NIST было разработано руководство [1], которое достаточно подробно описывает необходимые планы обеспечения непрерывности бизнеса.

Critical Infrastructure Protection Plan CIP План защиты критических инфраструктур План направлен на защиту ключевых ресурсов и компонентов национальной инфраструктуры. Cyber Incident Response Plan План реагирования на кибер-инциденты План, описывающий процедуры реакции на инциденты, связанные с атаками хакеров, вторжения в информационную систему и другие проблемы безопасности. Методы и средства обеспечения безопасности. Information System Contingency Plan ISCP План на случай непредвиденных ситуаций в информационных системах План восстановления системы, сетей и основных приложений после аварии.

Вышеперечисленные документы составляются исходя из потребностей компании, но на практике чаще всего применяются следующие виды планов: Данный план поможет уменьшить масштабы катастрофы и смягчить ее последствия, что даст возможность сэкономить время и дополнительное преимущество при активации остальных типов планов; — План действия персонала в чрезвычайных ситуациях — в соответствии с требованиями Федерального закона от Данный вид плана осуществляет поддержу плана обеспечения непрерывности бизнеса и направлен на восстановление работоспособности отдельных систем и приложений; — План обеспечения непрерывности бизнеса — сфокусирован на поддержке бизнес-процессов компании во время и после чрезвычайной ситуации; направлен на обеспечение возможности продолжения выполнения компанией критических важных для нее видов деятельности на установленном приемлемом уровне; — План антикризисных коммуникаций — данный план поможет сохранить репутацию компании в кризисной ситуации.

Для соответствия нормативным актам достаточно было увозить магнитные ленты с резервными копиями в удаленные хранилища. Более четкие законодательные требования к содержанию и уровню детализации, поддержанию в актуальном состоянии и тестированию планов аварийного восстановления появились лишь в м году. Перед его членами были поставлены такие задачи:.

Эта некоммерческая организация помогла объединить усилия специалистов в области аварийного восстановления и обеспечения непрерывности бизнеса и выработать единый набор рекомендаций в данной области. Департамент здравоохранения и социального обеспечения США U.

Department of Health and Human Services начал разрабатывать "Акт об учете и перерегистрации страхования здоровья" Health Insurance Portability and Accountability Act HIPAA , который требовал от компаний в области здравоохранения организовать процессы, гарантирующие сохранность личной информации пациентов.

Здесь имелись в виду доступ, отслеживание, резервное копирование, передача и восстановление данных о клиенте, а также необходимо было разработать планы аварийного реагирования, обеспечения непрерывности деятельности и безопасности. Этот документ приобрел статус закона в году, а с го были ужесточены требования к его соблюдению.

Объединенная комиссия по аккредитации организаций здравоохранения США Joint Commission on Accreditation of Healthcare Organizations JCAHO опубликовала руководство, в котором рассматривались вопросы информационной безопасности, готовности к чрезвычайным ситуациям и аварийного восстановления в области здравоохранения.

Все организации, желающие быть аккредитованными, обязаны отвечать данным требованиям. В том же году Федеральный совет по надзору за финансовыми учреждениями США Federal Financial Institutions Examination Council FFIEC объявил, что за отсутствие планов аварийного восстановления распределенных компьютерных сетей несут ответственность советы директоров организаций.

Позднее FFIEC расширил их зону ответственности дополнительно к планам в области компьютерного оборудования, включив в нее планы обеспечения непрерывности бизнеса всей организации. Этот стандарт был утвержден Американским национальным институтом стандартов American National Standards Institute ANSI , после чего стал часто цитируемым руководством при разработке различных инициатив в области обеспечения непрерывности бизнеса. Организации, на которые распространяется действие Акта Грамма-Лича-Блайли к ним относятся не только финансовые институты, но и сети розничной торговли, страховые компании, агентства недвижимости и налоговые консультанты , также обязаны удостовериться, что их поставщики услуг или товаров, в свою очередь, также защищают личные сведения клиентов.

Он требует от высшего руководства подтверждать точность финансовых отчетов, а также раскрывать любые изменения, относящиеся к финансовому положению организации или ведению операций. Несмотря на то, что этот документ не содержит конкретных ИТ-требований, из его положений вытекает ряд ограничений и условий, которым должна удовлетворять информационная система организаций.

Правила также рекомендуют ежегодно пересматривать планы, постоянно поддерживать их актуальность и в обязательном порядке информировать клиентов о способах реагирования на возможные перерывы в деятельности.

На их основе в начале г. Британский институт стандартов совместно с Институтом обеспечения непрерывности разработал общедоступную спецификацию PAS В этом документе описывались процесс, общие принципы и терминология управления непрерывностью бизнеса.

Что еще более важно, в нем описывались действия, выполняемые в рамках процесса управления непрерывностью бизнеса, и результаты, достигаемые после внедрения этого процесса. Кроме того, документ содержал описание проверенных на практике наилучших методов выполнения этих действий.

Международный институт аварийного восстановления и британский Институт непрерывности бизнеса опубликовали свод знаний, которыми должны обладать те, кто профессионально предоставляет услуги в области аварийного восстановления и обеспечения непрерывности деятельности организации. Этот свод знаний состоял из 10 пунктов, каждый из которых описывал один из этапов разработки, внедрения и развития процесса управления обеспечением непрерывности бизнеса.

Наличие этого свода знаний позволило унифицировать требования, предъявляемые при сертификации специалистов, найме на работу и заключении контрактов. Объединенным комитетом стандартов Австралии и Новой Зеландии была опубликована первая версия "Справочника по управлению обеспечением непрерывности бизнеса" Handbook Business Continuity Management.

В документе рассматривались такие угрозы непрерывности бизнеса, как стихийные бедствия, крах компаний, военные действия и терроризм. В следующем году после существенной переработки и дополнения в свет вышла вторая версия этого справочника. Банк Японии выпустил документ под названием "Планирование обеспечения непрерывности в финансовых организациях" "Business Continuity Planning at Financial Institutions". Это был третий документ, посвященный проблеме обеспечения непрерывности критичных операций в финансовых институтах.

Первый — "Разумные меры по управлению обеспечением непрерывности деятельности финансовых институтов при подготовке к разрушению рабочих помещений" "Sound Practices on Business Continuity Management of Financial Institutions in Preparation for Disruption of Operational Sites" — был опубликован в марте г. Но только в третьем июльском документе, наконец, появилось подробное описание "разумных мер" по разработке и внедрению планов обеспечения непрерывности деятельности.

В ноябре г. Главный информационный департамент Федеральной канцелярии Австрии подготовил "Справочник по информационной безопасности" Handbook of IT-Security , версия 2. Первая версия увидела свет еще в г. Австрийский справочник подробно описывает процесс управления информационной безопасностью, анализ рисков, разработку концепции безопасности, порядок внедрения планов безопасности и последующие действия, а также содержит большой список мер по обеспечению безопасности.

Первоначально документ предназначался только для правительственных организаций, но новая версия подходит для любых организаций. Бизнес-федерация Сингапура совместно с Советом по стандартам, продуктивности и инновациям Сингапура Standards, Productivity and Innovation Board SPRING и при поддержке Совета по экономическому развитию Сингапура официально объявила о вступлении в действие стандарта управления обеспечением непрерывности деятельности. Он получил название Technical Reference TR В стандарте описаны требования, предъявляемые к организациям, задавшимся целью защититься от событий, которые могут прервать ход выполнения штатных бизнес-операций, и получить возможность быстро восстанавливать эти операции, а также оговариваются требования к поддержанию готовности реагировать на чрезвычайные события.

Однако в нем нет описания того, каким образом организации должны добиваться выполнения требований данного документа. В качестве обоснования утверждается, что деятельность каждой организации носит уникальный характер и постоянно меняется вслед за развитием технологий, изменениями в бизнес-среде и необходимостью удовлетворять нормативным и законодательным актам.

Также в стандарте не рассматриваются вопросы управления проектом написания планов обеспечения непрерывности, такие как инициация проекта и получение поддержки со стороны высшего руководства организации.

Отметим, что ряд компаний, расположенных в Сингапуре и в других странах, уже сообщили об успешном прохождении сертификации на соответствие этому стандарту. В конце г. В то время как лидеры в области обеспечения непрерывности — Великобритания и США — в качестве основной угрозы рассматривают терроризм, главное внимание японских компаний сосредоточено на минимизации воздействия стихийных бедствий, например, землетрясений.

Тем не менее структура и содержание этого руководства соответствует документам, имеющим международное признание. Важной отличительной особенностью последствий стихийных бедствий является их большой масштаб, из чего вытекает невозможность восстановления деятельности одной отдельно взятой компании или организации. Поэтому данный документ содержит требования к организации объединять усилия по восстановлению как с расположенными поблизости компаниями, так и с важными партнерами по осуществлению прерванной деятельности.

Япония выступила с инициативой о включении этого положения в будущий международный стандарт ISO. В настоящее время правительство Японии совместно с десятью промышленными группами разрабатывает узкоспециализированные руководства по обеспечению непрерывности бизнеса в различных отраслях.

В июне г. Объединенным комитетом стандартов Австралии и Новой Зеландии опубликован документ HB "Руководство по управлению обеспечением непрерывностью деятельности для практического применения" "A practitioners guide to business continuity management". В нем описывается ряд общепринятых, а также новых практических методов, применяемых в США, Великобритании и ряде других стран.

Особенность управления непрерывностью деятельности заключается в том, что методы, хорошо зарекомендовавшие себя в одной организации, могут не подойти для другой, поэтому очень большое внимание должно быть уделено выбору аспектов управления обеспечением непрерывности, которые будут реализованы в конкретной организации.

Структура этого руководства основана на второй версии "Справочника по управлению обеспечением непрерывности бизнеса". Однако содержание документа существенно расширено и дополнено большим количеством пояснительной информации. Базельский комитет по банковскому надзору опубликовал новые соглашения о достаточности капитала Базель II.

Эти рекомендации не являются обязательными к выполнению, однако учитываются при разработке законодательных актов. Работы по внедрению этих рекомендаций ведутся более чем в ста странах. Их выполнение обеспечит стабильность международной финансовой системы даже в том случае, если прекратится деятельность одного или нескольких банков. Достижение этой цели осуществляется путем наложения строгих требований на процессы управления рисками и капиталом и в том числе затрагивает процессы оценки рисков и влияния на бизнес, написания планов обеспечения непрерывности деятельности и т.

В августе г. Базельский комитет выпустил специальный документ, посвященный теме непрерывности бизнеса: Британский институт стандартов опубликовал первую часть стандарта BS Business Continuity Management — Code of practice.

К моменту написания этой статьи завершилось публичное обсуждение чернового варианта второй части данного стандарта. Официальная публикация второй части, намеченная на 30 октября года, позволит организациям получать сертификат соответствия требованиям этого стандарта. Сбор предложений и комментариев заканчивается 17 сентября г. Хронология международного законодательства, регулирующего аварийное восстановление и управление обеспечением непрерывности деятельности организаций.

Конечно, проблема сохранения жизни людей и сохранности важной информации в условиях аварийных ситуаций волновала не только западный мир. В нашей стране в каждой организации обязательно существовали регламенты действий при пожаре, штаб гражданской обороны и даже иногда проводились учебные тревоги. Для обеспечения сохранности важного программного обеспечения, например, в некоторых организациях делались полные распечатки текстов компьютерных программ, которые хранились в удаленном хранилище.

В качестве угроз с точки зрения гражданской обороны рассматривались, главным образом, риски вооруженного нападения на государство, поэтому гражданская оборона представляла из себя систему общегосударственных оборонных мероприятий, проводимых в мирное и военное время в целях защиты населения и обеспечения устойчивой работы народного хозяйства. Общее руководство осуществлялось правительством, а на местах — местными органами власти. В качестве мер реагирования предусматривалась организация эвакуации населения из городов, из районов возможного затопления в результате разрушения крупных гидротехнических сооружений в безопасные районы, укрытие населения в убежищах и других защитных сооружениях.

Другая важная задача гражданской обороны, помимо эвакуации населения, состояла в обеспечении устойчивой работы народного хозяйства. В этих целях проводились различные организационные и инженерно-технические мероприятия; создавались запасы сырья, оборудования и средств для восстановительных работ.

В полном соответствии с теорией и здравым смыслом для успешного решения задач гражданской обороны проходила подготовка населения и иногда проводились учения. Но после распада Советского Союза мероприятия в рамках гражданской обороны практически перестали осуществляться. В последние несколько лет в России стали появляться коммерческие центры обработки и хранения данных, такие как DATA FORT, М1, Stack, WideXs, обеспечивающие компаниям возможность продолжать предоставление услуг клиентам в случае выхода из строя или перерыва в работе собственного вычислительного центра.

N П "Об организации внутреннего контроля в кредитных организациях и банковских группах". Внутренними документами должен быть определен порядок проверки этих планов в части их выполнимости в случаях возникновения непредвиденных обстоятельств, а также перечень непредвиденных обстоятельств, в отношении которых разрабатываются планы действий".

С первого января г. В тексте стандарта явно указано, что в качестве методологической основы при разработке планов могут быть использованы общепринятые международные стандарты, регулирующие вопросы менеджмента непрерывности бизнеса например, BSI PAS Аналогичные законодательные акты появились в США и Великобритании в х гг.

Таким образом, можно заключить, что в законодательном плане мы отстаем примерно на два десятка лет. Так же, как в США и Великобритании 20 лет назад, сейчас в России вопросы, связанные с обеспечением непрерывности бизнеса, рассматриваются, в основном, как проблемы информационной безопасности или часть задач ИТ-инфраструктуры.

Однако ситуация будет быстро меняться, причем в первую очередь на финансовом и телекоммуникационном рынках. При разработке стратегии восстановления деятельности обычно рекомендуют рассмотреть четыре возможных сценария. Не следует искать причину выбора сценария. Вместо этого необходимо исследовать возможное воздействие событий, описанных в сценарии, в случае их реализации.

Дублирование действий и ресурсов, поддерживающих такую деятельность, является наиболее простым способом повышения работоспособности. Например, в течение одной секунды работа компьютерного средства на отдельном участке может автоматически переключиться на другой участок по дублированной телекоммуникационной сети. Если возобновление деятельности может быть осуществлено поэтапно в течение некоторого времени. Примерами решений, в которых применен данный подход, являются: Если применяемая стратегия основана на полной работоспособности или альтернативном восстановлении в пределах целевого срока восстановления объекта на согласованном минимальном уровне, то тип и количество необходимых ресурсов должны быть идентифицированы.

Стратегия прекращения деятельности, как правило, не является безопасной для организации. Существуют вопросы, которые бээ управления впоследствии могут оказать серьезное негативное воздействие на организацию. Это воздействие может быть финансовым или. При выборе варианта прекращения деятельности важно идентифицировать диапазон возможных последствий, которые возникнут в долгосрочной перспективе. Для выполнения этой задачи может быть организована работа в сверхурочное вземя.

Пример — Небольшой региональный поставщик разноплановых коммуникаций привлек много новых клиентов в результате эффективной ценовой политики. Привлечение большого количества потребителей за небольшой срок привело к замедлению работ системы коммуникаций. Это в свою очередь вызвало претензии со стороны потребителей и привело к увеличению штата обслуживающего персонала.

На работу были приняты новые сотрудники по работе с запросами потребителей, однако прошло время прежде, чем они получили необходимые навыки и опыт. Количество неудовлетворительных претензий лродвлжало расти Пошли публикации в СМИ. Необходимо тщательно рассчитать плановые значения затрат на внедрение каждой выбранной стратегии. После этого начинают разработку планов менеджмента непрерывнссти бизнеса. Каждая организация, независимо от ее размера, должна иметь процедуры работы с подобными событиями.

Структура ответных мер на инцидент должна учитывать и поддерживать деятельность организации на всех уровнях в период действия инцидента. Если подобная структура отсутствует, то существует опасность, что несколько подразделений организации независимо друг от друга будут осуществлять управление ответными мерами, планами по обеспечению непрерывности бизнеса и восстановлению.

Это может привести к задержкам, конфликтам, несогласованности, некорректному распределению ресурсов и недостижению установленных уровней непрерывности.

Установленные процедуры должны соответствовать размеру и особенностям организации и содержать основные данные для определения событий и времени нарушений деятельности и начала работы конкретных планов действий организации в этих ситуациях. Временной график ответных мер на инцидент приведен на рисунке Диаграмма показывает последовательное выполнение планов управления в условиях инцидента, обеспечения непрерывности бизнеса и восстановления деятельности организации.

Должен быть установлен процесс проведения начальной сценки ситуации и непрерывный процесс мониторинга и обмена информацией с персоналом, ответственным за управление в условиях инцидента. Наделение руководителей более высокого уровня подобными полномочиями в данном случае нецелесообразно.

Пример — в течение шести дней января года на большой территории шел дождь и была холодная повода, что вызвало образование обледенении на телефонных линиях и линиях электропередач толщиной см.

Обледенение и снег привели к обрывам проводов и оставили почти 4 миллиона человек без электричества, в некоторыж случаях более чем на месяц. Полномочия активации аварийного плана энергетической компании в чрезвычайных ситуациях были возложены на представителей из высшего руководства. Эта ситуация привела к задержке ответных действий организации в условиях чрезвычайной ситуации.

После активации соответствующих планов, существенно важной задачей является информирование и постоянная передача данных об инциденте всем заинтересованным сторонам. Существенно важно, чтобы в период больших разрушений в организации существовала структура, позволяющая руководству принимать обоснованные решения и держать ситуацию под контролем.

Модель, представленная на рисунке Малые организации обычно ограничены в управленческих ресурсах, и поэтому руководители в них совмещают тактические и стратегические обязанности.

В период крупных разрушений могут возникнуть противоречия в приоритетах, так как обычно ресурсы ограничены, и руководители всех уровней полагают, что восстановление их деятельности наиболее важно. Решения о приоритетах должны быть приняты при перспективном проектировании, а не в период разрушений. Однако, каждая конкретная ситуация имеет свои особенности и должен существовать механизм адаптации при расстановке приоритетов.

Руководитель группы отвечает за управление группой и является основным связующим звеном группы с соответствующими руководителями организации. Специалист по здоровью и безопасности отвечает за здоровье и безопасность на уровне организации. Он может быть ответственным за проблемы охраны окружающей среды. Он также обеспечивает контакт высокого уровня со службами экстренной помощи и правительственными учреждениями, консультирует по надлежащим защитным средствам и другим вопросам, связанным со здоровьем и безопасностью.

Этот специалист может также быть ответственным за уведомление широкой общественности о возможных опасностях, связанных с инцидентом, например, химических выбросах. Специалист по обмену информацией обеспечивает информирование общественности с помощью пресс-релизов и контактов со СМИ. Он также координирует внутренние контакты с руководителями, персоналом и другими заинтересованными сторонами.

При подготовке он использует консультации юриста. При необходимости информирует прессу о месте возникновения инцидента. Специалист по человеческим ресурсам обеспечивает решение проблем с персоналом. Он проводит консультации в кризисных ситуациях, имеет доступ к базе данных служащего, обеспечивает поддержку контактов с членами семьи, мобилизует необходимые внутренние и внешние человеческие ресурсы при необходимости. Юрист обеспечивает юридические консультации членам группы и организует необходимую внешнюю юридическую поддержку.

Он участвует в подготовке сообщений и дает консультации о ситуации на месте инцидента для последующего расследования. Специалист по функционированию обеспечивает в организации поставку продукции и услуг, проводит консультации по продукции и услугам и обеспечивает поддержку, при необходимости.

Координатором группы могут быть один или несколько человек. Они всегда находятся в центре управления и обеспечивают членов группы самой актуальной информацией, а также помогают руководителю группы в управлении действиями группы, включая:.

Сначала, при сборе группы, составляют график совещаний, как правило, каждые два или три часа в зависимости от особенностей инцидента. Все ключевые вопросы решают на совещаниях группы. Совещания должны продолжаться приблизительно 20—30 минут, оставляя членам группы время для принятия решений. Чтобы руководителю группы было легче работать, рекомендуется использовать стандартную повестку дня.

Важно, чтобы все участники, включая представителей, были компетентны и могли эффективно работать в группе. Потребности в обучении должны быть оценены и удовлетворены, в них входит и соответствующее обучение специалиста по контактам со СМИ.

Если нет специального центра управления, то это может быть просто помещение в организации, например, зал заседаний или учебный класс; но эти помещения должны быть доступными для группы в случае необходимости. Еще один центр может находиться вне пределов организации, например, в гостинице или у поставщиков. Опасность такого подхода состоит в том. Опыт показал, что организации могут быть разрушены по многим причинам.

Планирование непрерывности бизнеса традиционно было основано на известных опасностях: Некоторое время назад Великобритания испытала некоторые неожиданные разрушения, включая широко распространенную вспышку ящура, обширные разрушения на железных дорогах, нехватку нефти и топлива и прекращение водоснабжения в течение продолжительного периода, воздействие вулканического облака тепла. В большинстве случаев существующие планы не охватывают возможность таких разрушений и не учитывают их воздействие на организацию.

При разработке плана непрерывности бизнеса очень важно обеспечить интеграцию всех элементов менеджмента организации см. Планы непрерывности бизнеса используют в сложных и напряженных обстоятельствах, поэтому планы должны быть краткими, простыми и легко выполнимыми. Кроме того, планы должны гарантировать. В любой организации могут существовать несколько взаимосвязанных планов, охватывающих действия в чрезвычайных ситуациях в области непрерывности бизнеса, управления в условиях инцидента и управления восстановлением.

Разработанные планы должны соответствовать потребностям организации. Организация должна разработать подробные планы, устанавливающие способы управления в условиях инцидента планы ответных мер на инцидент и обеспечения непрерывности бизнеса. У многих крупных организаций существуют функциональные отделы, которые являются службами поддержки для множества подразделений, например, отдел информационно-коммуникационных технологий.

Для ИТ-технологий значение приемлемого срока восстановления может отличаться от такого значения для функциональных подразделений. Каждая копия плана должна быть учтена и иметь номер. Следует также управлять распространением документов. Планы могут быть разработаны в различной форме. Они должны содержать минимальное количество ин-формации, позволяющей обеспечить непрерывность деятельности. Необходимо обеспечить постоянный доступ к планам для перегнала, в обязанности которого входит их использование.

Пример — Во время крупных разрушении и инцидентов полицейские были вынуждены эвакуировать людей и перегородить проход в большие торговые районы. При этом нашлись люди, которые хотели пересечь линии кордона, чтобы пройти к зданию, в котором они работали.

Когда их останавливали, то выяснялось, что они хотели взять изофисов свой план обеспечения непрерывности бизнесе, оставленный там. Необходимо обеспечить постоянную доступность копии планов управления в условиях инцидента и планов обеспечения непрерывности бизнеса, и хранить дополнительные копии этих планов вдали от места возможных разрушений. Часто организации хотят применить стандартный шаблон или форму, утвержденные и изданные законодательными и регулирующими органами.

Поэтому план должен отражать работу конкретной организации. Угроза глобальной пандемии гриппа заставила множество организаций обратиться к непрерывности бизнеса. Это обеспечивает доступность всех механизмов и минимизирует рабочую нагрузку владельца плана непрерывности бизнеса.

Ответственный за разработку плана должен быть идентифицирован. Руководители филиалов организации должны нести ответственность за оперативные планы.

Через установленные интервалы времени, а также в случае существенных изменений в организации или ее офужающей среде, необходимо проводить анализ всех планов. Пример анализа содержится в приложении Р. Планы должны также учитывать все внешние действия, связанные с управлением в условиях инцидента. Также должны быть указаны все взаимозависимости и взаимодействия, необходимые для работы плана.

В алане следует определить функции и ответственность людей, которые будут вовлечены в работу по созданию плана. Сведения об активации плана должны быть направлены высшему руководству. Должны быть запланированы резервные места размещения.

Детали резервных мест расположений должны быть включены в план вместе с картами, мерами безопасности для обеспечения доступа, договорными терминами и любой другой соответствующей информацией. Для малых предприятий планы восстановления основной базовой системы могут представлять собой один документ.

Эти планы могут состоять из инструкций по восстановлению данных или пере-. В основном плане восстановления должно быть назначено лицо, ответственное за разработку этого плана и ключевые предпринимаемые действия. План должен включать контактную информацию участников группы и их представителей.

Кроме того, он может включать другие детали для внутренних и внешних контактов с:. Целесообразно включать подробную информацию о ключевых контрактах, страховых полисах, обязательных и законодательных требованиях и т.

Планы должны быть основаны на результатах анализа воздействий на бизнес. При любом крупном инциденте обычным требованием являются записи о последствиях инцидента и данных аудита. Поэтому жизненно важно своевременно регистрировать записи о предпринятых действиях, их причинах, сроках и участвующих лицах.

Пример формы журнала регистрации данных об инциденте приведен в приложении С. Отдельное внимание должно быть уделено потребностям персонала, подрядчиков и посетителей, которые в результате инцидента должны быть быстро эвакуированы из помещений.

Организации должны проявлять внимание и заботу о персонале. В планах должны быть также учтены средства обеспечения безопасности и здоровья лиц.

Кроме того, необходимо обеспечить достаточную численность рабочих групп, в случае, если восстановление бизнеса после разрушений может занять продолжительное время. В план должен быть включен подробный перечень того, какая информация и кому должна быть сообщена и кто отвечает за передачу сообщений.

Это касается внутреннего и внешнего обмена информацией. Крупные организации могут иметь отдельный план обмена информацией. Очень часто эту область менеджмента непрерывности бизнеса не учитывают. Должен быть установлен процесс завершения работы группы обеспечения непрерывности бизнеса и возвращения к нормальному режиму работы после ликвидации разрушений.

Некоторые инциденты являются столь серьезными, что могут изменить структуру организации, нормальный режим ее работы, а также ее заинтересованные стороны. Таким образом, все предварительно запланированные мероприятия по восстановлению должны быть рассмотрены и сделаны выводы из произошедшего инцидента. Необходимо, чтобы мероприятия по восстановлению организации были согласованы с управлением в условиях инцидента и мерами МНЕ. Планы должны быть внедрены и выполнены.

Внедрение подробно описано в разделе Внутренние и внешние заинтересованные стороны должны знать, что у организации существуют планы работы в условиях разрушений. При необходимости, они должны также знать, какие действия организация не будет выполнять во время восстановления. В приложении Т приведен пример простой структуры плана. Важно отметить, что планы должны соответствовать размеру и особенностям деятельности организации и поддерживать управление в условиях инцидента, а не мешать ему.

Для МНВ необходимы эффективные планы действий по обеспечению гибкого реагирования организации на любой инцидент, однако планы оудут неработоспособны, если по ним не проводят учений.

В соответствии с ГОСТ Р ИСО организация должна проводить учения и проверки своих процедур обеспечения непрерывности бизнеса для уверенности в том. Планы ничего не стоят, если по ним не проводили учений.

Существует много примеров, когда у организаций были планы обеспечения непрерывности бизнеса, но при возникновении инцидента ими нельзя было воспользоваться, так как по ним никто не проводил предварительных учений. Исследования, которые проводились в Великобритании Королевский институт управления. Проведение учений по плачам важно, поскольку очень маловероятно, что созданный план является работоспособным. Проведение учений гарантирует, что недостатки плана будут установлены до его использования в реальной ситуации.

Семьдесят шесть процентов организаций, проводивших предварительные учения, кашли ошибки в своих планах. Лучше найти ошибки во время учений, чем при возникновении опасного события. Проведение учений помогает создать атмосферу доверия и сплоченности членов группы, понять им свои функции, обязанности и получить опыт практических действий в условиях инцидента.

Пример — Директор небольшой организации, работа которой зависела от ИТ-систем, гарантировал, что резервная копия важных данных каждый день копируется на ленту.

Ленту каждый день он забирал с собой и помещал ее в боковой карман на дверце автомобиля. Когда в организации произошел сбой сервера, обратились к резервным данным, но лента была пуста. Дверной карман находился рядом с одним из громкоговорителей автомобиля, и магнитное поле, созданное громкоговорителем, стерло данные с ленты. Тестирование должно обеспечивать проверку корректности работы технических систем, точности рабочих инструкций и их пригодности для оборудования и работы. Планы должны быть внедрены путем проведения учений для подтверждения их всесторонности и реалистичности.

Первоначальные учения должны доказать работоспособность плана и должны называться обучающими. До первочачальных учений по возможности следует провести анализ плана лицами, не участвующими в его внедрении.

При необходимости план может быть передан другому персоналу для проверки учета в плане всех вовлеченных лиц и определения в нем пробелов и неточностей. Проведение учений направлено не только на поиск ошибок и недочетов, а также на проверку соответствия плана своему назначению.

Проверка дает возможность обучения специалистов, упомянутых в плане. Ниже приведены основные правила, которые необходимо соблюдать при планировании учений. Учения не должны подвергать организацию риску дополнительных разрушений. Они должны быть практичными и рентабельными, соответствовать характеру и размеру организации, разработаны так.

Пример — Крупнея государственная организация приняла решение о проверке бесперебойности подачи электроэнергии к своим основным компьютерным системам. При попытке восстановить подачу электроэнергии был активирован дополнительный выключатель, однако это действие вызвало резкий скачок напряжения на компьютерах.

Должна быть установлена и документирована регулярная программа проведения учений. Реализация программы проведения ученей должна проводиться либо в точно установленные высшим руководством периоды времени, либо при существенных изменениях в организации или ее окружающей среде.

Должны быть назначены наблюдатели за ходом учений и работой группы обеспечения непрерывности бизнеса. Следует обеспечить максимально полное участие в учениях вовлеченных лиц. Существуют различные формы учений: Полная проверка плана — единственный способ обеспечения уверенности всех заинтересованных лиц в том. Для проведения учений по плану МНБ руководство организации должно утвердить соответствующий сценарий, наиболее подходящий для организации.

Целесообразно изменять сценарий учений каждый раз после проведения учений для обеспечения соответствия плана и работоспособности всех его компонентов. Учения могут проводиться в режиме реального времени или в более сжатые сроки так.

Важно предусматривать в учениях перерывы так. Поскольку проведение учений требует от участников предельного внимания, им должно быть дано время на внимательное изучение плана. Жизненно важным вопросом являются тренировки участников рабочей группы. В сложной ситуации персонал может вести себя непредсказуемо. Во время учений следует проводить регистрацию всех действий и полученных результатов, которые необходимо как можно быстрее анализировать. Для этого можно предложить участникам во время учений вести собственные записи событий.

Отчеты независимых наблюдателей должны быть также учтены. Составляемый после проведения учений отчет должен быть максимально полным и включать рекомендации о необходимых действиях по корректировке планов. Старший руководитель подразделения, в котором проводились ученкя. Схема процесса проведения учений приведена на рисунке Документация учебных грограмм предоставляет явное доказательство аудиторам, что в организации к МНЕ относятся серьезнс. Документация программы учений должна обеспечивать аудиторам объективные свидетельства, что персонал организации серьезно относится к управлению непрерывностью бизнеса.

Кроме того, документация программы учений является жизненно важной частью документации СМНБ. Важно, чтобы организация проводила оценки через запланированные интервалы или при появлении значительных изменений. Любая организация находится в процессе непрерывного изменения. Функции и обязанности сотрудников могут изменяться, в организации меняется персонал. Могут происходить слияния организаций. В организации должны бытэ установлены процессы, в соответствии с которыми информация обо всех изменениях, затрагивающих непрерывность деятельности в целом, должна быть доведена до координатора работ по управлению непрерывностью бизнеса или ответственного руководителя соответствующего уровня.

Планы должны быть скорректированы, если изменения незначительны. Независимо от того были внесены изменения или нет. Необходимо проверять актуальность поддерживающих процессов и ресурсов. Персонал должен быть осведомлен обо всех изменениях, затрагивающих способы достижения и обеспечения непрерывности деятельности организации. Следует использовать количественные и качественные показатели, чтобы убедить руководство организации. Это может быть сделано, например, с помощью введения ключевых показателей эффективности.

Они имеют численное значение и помогают организации в достижении ее целей. Некоторые организации используют анкетные опросы для самооценки соответствия своей МНБ принятым стандартам. В приложении Ф приведен перечень вопросов для самооценки. Организация должна принять меры по устранению неблагоприятных тенденций или результатов анализа. Решение о вводе в организации МНБ принимает ее высшее руководство. Исследование Королевского Института управления, проведенное в году, показало, что основной причиной введения МНБ в организации является потребность в хорошем корпоративном управлении.

Внутренний аудит обычно проверяет соблюдение политики и процедур в организации и является ценным источником информации для высшего руководства и руководящих органов. Он является катализатором для повышения результативности и эффективности работы организации, предоставляя информацию и рекомендации, основанные на результатах анализа и оценки процессов обеспечения непрерывности бизнеса.

Руководство, ответственное за проверяемую область аудита, должно обеспечить, чтобы все необходимые исправления и коррелирующие действия для устранения обнаруженных несоответствий и вызвавших их причин предпринимались без излишних задержек. Важным элементом в оценке деятельности организации является анализ со стороны руководства.

Высшее руководство должно проводить анализ системы менеджмента непрерывности бизнеса через запланированные интервалы времени для обеспечения ее пригодности, адекватности и результативности. Анализ нужен для поиска областей улучшения или.

Области, которые охватывает анализ, описаны в разделах 3—6, особое внимание уделяют политике и целям МНБ для организации. Результаты анализа со стороны высшего руководства должны включать решения, связанные с любыми изменениями:. Результаты анализа со стороны руководства включают решения и календарный график действий, связанных с возможностями непрерывного улучшения СМНБ и возможными изменениями системы.

Результать должны быть сообщены соответствующим заинтересованным сторонам. Одним из ключевых элементов СМНБ является ее способность к постоянному улучшению. Легко понять, что такое система Кайдзен, но ее трудно внедрить на непрерывной основе в организации чаще всего из-за самоуспокоенности, беспорядка, потери фокусировки, отсутствия обязательств, разнонаправленных приоритетов и недостатка ресурсов.

В разделе 5 упомянуты риск и возможности, которые соответствуют введению СМНБ и потребности развить планы соответствующих действий с рисками, если они проявятся. Пример — Старший менеджер назначен управляющим телевизионным заводом. Он принял следующее решение: Осознание необходимости решения проблем было обоснованным, работника не обвиняли за остановку производства.

Персонал организации является превосходным источником предложений для улучшений ее работы. Персонал хорошо видит области улучшения системы, проведения предупреждающих действий и повышения устойчивости организации. Организация должна поощрять персонал, выявляющий упущения, излишнее дублирование и недостатки. Часто именно внутренняя культура организации может препятствовать предложению новых идей. Есть два вида действий, связанные с заключительным элементом СМНБ: Корректирующие действия—это деятельность организации по устранению причин несоответствий в СМНБ.

Как и любая система менеджмента. СМНБ необходимо постоянно улучшать. Несмотря на повышение применения МНБ в организациях, существуют еще менеджеры, которые не хотят применять менеджмент непрерывности бизнеса даже перед лицом серьезных разрушений. В результате разность между реальной стоимостью инцидента и страховыми платежами является значительной. Организация может быть разрушена разными способами.

Это только некоторые примеры. Самый большой риск имеют предприятия малого или среднего размера, но они как раз чаще всего игнорируют МНБ. Недавние бедствия во всем мире продемонстрировали невозможность предсказать все возможные события, которые могут серьезно разрушить способность организации поддержать непрерывность операций. Страховщики стремятся к снижению риска прерывания деятельности.

Основные потребители требуют внедрения МНБ. Значимость непрерывности бизнеса признают департамент и агентства, хотя в законодательном порядке эта деятельность пока не введена. ИТ и телекоммуникации предоставляют поддерживающую инфраструктуру для большей части организаций.

Телекоммуникации — критический элемент национальной инфраструктуры. Основные потребители знают слабые места системы поставок, в то время как страховщики стремятся уменьшить риски от прерывания деятельности. Критической инфраструктурой управляют и поддерживают ев. Данный документ описывает область применения системы менеджмента непрерывности бизнеса СМНБ.

СМНБ охватывает ключевые услуги, предоставляемые подразделениями бытового обслуживания населения и отделами оформления торговых договоров организации. Данные услуги предосгаагяют четыре подразделения организации, расположенные в различных городах. СМНБ охватывает все соответствующие этим услугам процессы и используемые ресурсы. В политике в области непрерывности бизнеса установлена структура, е соответствии с которой организация XXX удовлетворяет требования в области обеспечения непрерывности бизнеса со стороны своих потребителей и партнеров.

Основой выполнения этих требований является внедрение системы менеджмента непрерывности бизнеса СМНБ. Политика в области непрерывности бизнеса относится к подразделениям и областям деятельности организации. Весь персонал этих подразделений и соответствующих направлений деятельности должен быть ознакомлен с политикой, понимать ее в особенности руководители подразделений. Финансовый директор несет ответственность перед исполнительными органами по вопросам обеспечения непрерывности бизнеса в организации.

Финансовый директор и фона псовое управление играют лидирующую роль в обеспечении непрерывности бизнеса 8 компании и должны:. Члены группы МНБ должны демонстрировать способность применять знания и навыки в переделенных ниже областях. Идентификация требований к спасательным и восстановительным работам.

24 июн. г. - Управление непрерывностью бизнеса компании является циклическим данные стандарты / НПА к системе непрерывности бизнеса. В году Британский институт стандартов (BSI) издал документ PAS 56 «Руководящие указания по менеджменту непрерывности бизнеса», которые. 15 февр. г. - Сегодня в разных странах появилось новое поколение стандартов в области управления непрерывностью бизнеса, описывающих.

Найдено :

Случайные запросы