Знание и умение использовать на практике стандарты и практики BCM (Business Continuity Management) необходимы сегодня любым предприятиям — убытки, вызванные нарушением нормального функционирования бизнес-процессов постоянно растут. Вместе с тем изолированное решение вопросов обеспечения непрерывности бизнеса, без учета накопленного опыта, системы сертификации и аудита может дать лишь незначительный эффект. Пришло время и для BCM, по аналогии с ITIL и CoBIT, ввести в соответствующие проекты практику следования общепризнанным стандартам.

  Корпоративная программа управления непрерывностью бизнеса (Business Continuity Management, BCM) должна включать в себя следующие этапы:

  • анализ бизнес-процессов предметной области (Business Environment Analysis, BEA) — выделение и ранжирование значимых для бизнеса процессов и определение требований к ним по непрерывности;
  • анализ рисков (Risk Analysis, RA) — оценка и ранжирование значимых угроз и уязвимостей непрерывности бизнес-процессов, а также оценка достаточности существующих организационных и технических мер предупреждения прерываний бизнеса;
  • оценка воздействия на бизнес (Business Impact Analysis, BIA) — анализ влияния бизнес-процессов на весь бизнес в целом и определение целей восстановления каждого бизнес-процесса вместе с поддерживающей его инфраструктурой;
  • определение стратегии непрерывности бизнеса (Business Continuity Strategy definition) — фиксация целевого времени восстановления (recovery time objective, RTO) и целевой точки восстановления (recovery point objective, RPO) для каждого бизнес-процесса, выбор соответствующих организационных и технических решений;
  • разработка и сопровождение планов непрерывности бизнеса (Business Continuity Plan, BCP) и восстановления инфраструктуры в чрезвычайных ситуациях (Disaster Recovery Plan, DRP) для документального оформления надлежащих решений;
  • создание технической и организационной систем управления непрерывностью бизнеса;
  • формирование адекватной программы сопровождения и эксплуатации корпоративной программы BCM, в частности, определение программы осведомленности по вопросам обеспечения непрерывности бизнеса.

В том или ином виде все эти этапы описываются в стандартах BCM, принятых в различных странах: практики непрерывности бизнеса британского института BCI (Business Continuity Institute), американских институтов DRI (Disaster Recovery Institute) и SANS (SysAdmin, Audit, Network, Security Institute); стандарты и спецификации Британского института стандартов (British Standard Institute, BSI); руководства Австралийского национального агентства аудита (ANAO); раздел международного стандарта по информационной безопасности ISO/IEC 27001; стандарты и библиотеки COBIT, ITIL, MOF в части непрерывности бизнеса и др.

Лучшие практики BCI

Некоммерческий Институт непрерывности бизнеса основан в Великобритании в 1994 году и объединяет 4 тыс. сертифицированных специалистов в области обеспечения непрерывности бизнеса из 85 стран мира, включая Россию. Основное направление деятельности BCI — распространение и продвижение лучших практик управления непрерывностью бизнеса и аварийного восстановления в чрезвычайных ситуациях. BCI организует международные мероприятия, в том числе форум BCI International Symposium и выставку Business Continuity EXPO.

 

Стандарты управления непрерывностью бизнеса
Рис. 1. Жизненный цикл BCM в спецификации BCI PAS 56

Хронология работы над стандартами в BCI начинается в 2002 году, когда институт выпустил документ Good Practice Guidelines 2002, содержащий описание лучших практик управления непрерывностью бизнеса, а через год на его основе была подготовлена спецификация Publicly Available Specification (PAS 56). Первый документ, одобренный государственными органами Великобритании, обновлялся в 2005 и 2007 годах и распространяется бесплатно. В 2005 году BCI совместно с британским институтом стандартов BSI начал работу над стандартом BS 25999 по управлению непрерывностью бизнеса. Через три года на основе BS 25999 был подготовлен международный стандарт ISO. В это же время BCI оказывал помощь в разработке и сопровождении государственных стандартов управления рисками и обеспечения непрерывности бизнеса в Австралии, Новой Зеландии, Сингапуре, Китае, вел работу по унификации подходов к обеспечению непрерывности бизнеса в Великобритании и США.

BCI также ведет большую работу по обучению и сертификации специалистов — учебная программа на основе Good Practice Guidelines была разработана в 2006 году, а с 2003 по 2009 год формировалась система сертификации специалистов по BCM. Сертификация BCI позволяет оценивать знания по десяти стандартам (Certification Standards for Business Continuity professionals):

  • инициация и управление проектами в области непрерывности бизнеса (Initiation and Management);
  • анализ воздействия на бизнес (Business Impact Analysis);
  • оценка и управление рисками (Risk Evaluation and Control);
  • разработка стратегий управления непрерывностью бизнеса (Developing Business Continuity Management Strategies);
  • оперативное реагирование и действия в чрезвычайных ситуациях (Emergency Response and Operations);
  • разработка и реализация планов непрерывности бизнеса и антикризисного управления (Developing and Implementing Business Continuity and Crisis Management Plans);
  • программы осведомленности и обучения в области управления непрерывностью бизнеса (Awareness and Training Programs);
  • сопровождение и поддержка планов непрерывности бизнеса и антикризисного управления (Maintaining and Exercising Business Continuity and Crisis Managements Plans);
  • организация взаимодействия (сотрудники компании, подрядчики, партнеры, СМИ и пр.) в чрезвычайной ситуации (Crisis Communications);
  • работа с внешними структурами и организациями (Coordination with External Agencies).

Специалисты в области непрерывности бизнеса могут получить сертификацию BCI следующих уровней: Associate (AMBCI) — начинающий специалист, знакомящийся с перечисленными стандартами управления непрерывностью бизнеса; Specialist (SBCI) — специалист с опытом работы не менее двух лет в области управления непрерывностью бизнеса, который знает и умеет пользоваться на практике не менее чем четырьмя стандартами сертификации; Member (MBCI) — практикующий специалист с опытом работы не менее двух лет в области управления непрерывностью бизнеса, который пользуется на практике всеми 10 стандартами сертификации; Fellow (FBCI) — практикующий специалист из числа руководителей с опытом работы не менее пяти лет в области управления непрерывностью бизнеса, который хорошо знает и умеет пользоваться на практике всеми 10 стандартами сертификации.

Лучшие практики DRI

Некоммерческий Международный институт восстановления в чрезвычайных ситуациях создан при Вашингтонском университете в 1988 году и объединяет 3,5 тыс. сертифицированных специалистов в области обеспечения непрерывности бизнеса. Основные направления деятельности DRI: подготовка и распространение Общего свода знаний (Professional Practices for the Business Continuity Planner) в области восстановления в чрезвычайных ситуациях (DR); начальное обучение специалистов в области обеспечения бесперебойной деятельности организации в случае чрезвычайной ситуации; повышение квалификации специалистов по DR; экспертиза соответствующих стандартов и нормативных документов в области DR. Модель DRI по планированию действий в чрезвычайных ситуациях включает в себя семь этапов.

Этап 1. Инициация проекта: уточнение проблемы; определение целей и задач; анализ требований; определение допущений и используемых терминов; определение рамок и стоимости проекта; создание управляющего комитета проекта; определение политик непрерывности бизнеса.

Этап 2. Анализ требований: оценка и управление рисками; оценка воздействия на бизнес; выработка альтернативных стратегий; стоимостной анализ стратегий; определение бюджета программы управления непрерывностью бизнеса.

Этап 3. Разработка плана: определение целей и задач плана; уточнение целей и задач восстановления; определение состава и структуры плана; разработка плана и выработка необходимых сценариев действия; порядок приведения плана в действие; создание резервного офиса; программа управления персоналом; допустимая потеря данных; администрирование плана.

Этап 4. Реализация плана: определение первоочередных действий в чрезвычайных ситуациях; определение регламента работы антикризисного центра; распределение полномочий и ответственности; проверка эффективности управления непрерывностью бизнеса; детализация процедур действия в чрезвычайных ситуациях; уточнение требуемых ресурсов; проверка контрактных обязательств поставщиков.

Этап 5. Тестирование плана: определение целей и задач тестирования; разработка необходимых сценариев тестирования; оценка адекватности планов тестирования; обучение и программа осведомленности.

Этап 6. Сопровождение и поддержка плана: планирование сроков и требуемого бюджета; сопровождение необходимого программного обеспечения; пересмотр критериев; аудит планов; организация безопасного ознакомления с планом.

Этап 7. При необходимости ввод плана в действие.

Институт DRI тесно взаимодействует с BCI, например, в 1993 году совместно был разработан Общий свод знаний, основные темы которого совпадают со стандартами сертификации BCI. На основе этого свода DRI предложил сертификацию специалистов со следующими уровнями: Associate Business Continuity Planner (ABCP) — начинающий специалист, знакомящийся с профессиональными практиками в области управления непрерывностью бизнеса; Certified Business Continuity Professional (CBCP) — сертифицированный специалист с опытом работы в области управления непрерывностью бизнеса, хорошо разбирающийся в не менее чем пяти темах общего свода знаний; Certified Functional Continuity Professional (CFCP) — сертифицированный предметный специалист с опытом работы не менее двух лет в области управления непрерывностью бизнеса; Master Business Continuity Professional (MBCP) — мастер в области управления непрерывностью бизнеса, обладающий необходимыми знаниями и опытом работы не менее пяти лет, умеющий грамотно использовать полученные знания на практике.

Лучшие практики SANS

Эксперты американского Института системных администраторов и администраторов безопасности различают план непрерывности бизнеса (BCP) и план аварийного восстановления (DRP). При этом BCP в отличие от DRP играет основную роль в программе управления непрерывностью бизнеса организации. Основные этапы жизненного цикла разработки BCP/DRP в версии SANS Institute представлены на рис. 2.

 

Стандарты управления непрерывностью бизнеса
Рис. 2. Основные этапы жизненного цикла разработки планов BCP/DRP в версии SANS Institute

 

Стандарт BS 25999

Наиболее известным стандартом в области BCM является стандарт BS25999, разработанный BSI. Стандарт опубликован в двух частях: «Кодекс лучших практик, BS25999-1:2006. Code of Practice» и «Спецификации системы BCM, BS25999-2:2007. Specification».

Первая часть BS25999-1:2006. Code of Practice содержит общие рекомендации по управлению непрерывностью бизнеса в государственных и коммерческих организациях. Под BCM понимается системный процесс оценки текущего уровня зрелости компании в области непрерывности бизнеса и его приведение к более зрелому уровню в соответствии с целями и задачами бизнеса. К основным целям управления непрерывностью бизнеса относятся:

  • сохранение стабильного функционирования компании в чрезвычайных ситуациях в течение продолжительного промежутка времени;
  • защита репутации и имиджа компании в чрезвычайных ситуациях путем надлежащего использования соответствующих организационных и технических решений;
  • совершенствование способности компании сохранять свое стабильное функционирование в чрезвычайных ситуациях.

Вторая часть BS25999-2:2007. Specification содержит сертификационные требования к системе управления непрерывностью бизнеса и позволяет провести аудит системы BCM организации на соответствие рекомендациям и требованиям первой части стандарта. Использование требований второй части обеспечивает возможность оценки существующей системы управления непрерывностью бизнеса организации и построения и внедрения комплексной системы BCM.

В стандарте BS 25999 описываются шесть основных этапов жизненного цикла BCM.

1. Программа управления непрерывностью бизнеса. На этом этапе рассматриваются вопросы политики BCM, включая заявление руководства об актуальности BCM, определение области действия BCM, основных целей и задач программы. Распределяются права и обязанности, продумывается реализация информирования по вопросам BCM. Также на этом этапе определяется, как программа BCM будет поддерживаться в актуальном состоянии, как будут проходить регулярный анализ воздействия на бизнес компании и поддержка в актуальном состоянии документации, а также осуществляться мониторинг эффективности программы, управление затратами на программу и т. д.

2. Анализ требований к программе BCM. На этом этапе дается краткая характеристика деятельности организации, проводится оценка воздействия на бизнес, оценка существующих угроз, таких как воздействие на персонал и на инфраструктуру, потеря репутации, нарушение финансовой устойчивости, снижение качества продуктов или услуг, причинение ущерба окружающей среде и пр. Оцениваются ресурсы, необходимые для BCM, включая персонал, денежные ресурсы, технологии и т. д., а также проводится всесторонняя оценка рисков.

3. Определение стратегии BCM. Определяются исходные данные программы, такие как максимально допустимое прерывание бизнеса в чрезвычайных ситуациях и затраты, необходимые на возобновление бизнеса. Рассматриваются вопросы организации обучения и повышения квалификации персонала и управления знаниями. Стратегия детально рассматривает действия в отношении помещений, технологий, информационных активов (защита электронных данных, безопасность отчуждаемых носителей информации, доступность аппаратно-программных активов), контрагентов и партнеров, а также взаимодействие со специальными ведомствами и организациями — правоохранительными органами, федеральной службой безопасности, службами экологической безопасности и др. На этом этапе руководство должно утвердить политику и стратегию BCM.

4. Разработка и реализация планов BCM. Формируются план реагирования на инциденты (Incident Management Plan, IMP) и план непрерывности бизнеса (Business Continuity Plan, BCP).

5. Поддержка и сопровождение программы BCM. Реализуются программа осведомленности и обучение по BCM, осуществляются поддержка программы BCM, включая оценку степени готовности ответственных лиц, анализ результатов мониторинга и контроля рисков и документирование изменений программы BCM, а также проводится оценка ее эффективности. Оценка эффективности подразумевает анализ адекватности определения целей и задач программы BCM в соответствии с потребностями бизнеса, подтверждение компетенции и готовности к действиям в чрезвычайных ситуациях, анализ адекватности стратегии и планов обеспечения непрерывности бизнеса и др.

6. Формирование культуры BCM в организации. На последнем этапе жизненного цикла BCM рекомендуется обратить внимание на такие вопросы, как развитие лидерских качеств руководства организации, распределение обязанностей, эффективность программы осведомленности и т. д.

Австралийские практики

Австралийское национальное агентство аудита подготовило ряд руководств для проведения сертификационного аудита программ управления непрерывностью бизнеса: «Руководство по лучшим практикам BCM, Better Practice Guide Business Continuity Management — Keeping the wheels in motion. 2000», «Руководство с рекомендациями по аудиту программ BCM, Report № 53 2002-03 Business Support Process Audit Business Continuity Management Follow-on Audit, 2002», «Руководство Business Continuity Management and Emergency Management in Centrelink, The Auditor-General Audit Report No.9 2003—04 Performance Audit».

Руководство по лучшим практикам BCM состоит из двух частей. В первой части приводятся основные термины и определения BCM в контексте управления рисками. Вторая часть содержит рекомендации для успешного управления непрерывностью бизнеса в чрезвычайных ситуациях и описания требуемых стратегий, планов и процедур BCM.

В австралийских руководствах процесс управления непрерывностью бизнеса рассматривается как составляющая корпоративного управления рисками. При этом принимаются в расчет риски как внутренние, так и внешние, которые находятся за пределами непосредственного контроля организацией. Например, это могут быть внутренние риски стратегического уровня, влияющие на деятельность организации в целом, или риски операционного уровня, локально воздействующие на бизнес-процессы организации. Также принимается во внимание, что последствия рисков могут быть различными и способны приводить к финансовым потерям, юридическим преследованиям, потере имиджа и репутации, преследованиям со стороны регулирующих органов, прерываниям бизнеса и пр.

Под непрерывностью бизнеса в австралийских руководствах понимается свойство сохранять доступность критически важных бизнес-процессов и обеспечивающих активов для стабильного функционирования организации в чрезвычайных ситуациях. Считается, что управление рисками определяет организационные и технические контрмеры, которые направлены в первую очередь на предотвращение событий, прерывающих бизнес. Управление непрерывностью бизнеса рассматривается как составляющая управления рисками, позволяющая определить экономически оправданные контрмеры, принимаемые в случае прерываний бизнеса. По существу, BCM касается фактических событий — реализации угроз непрерывности бизнеса — и действий, которые необходимо предпринять в ответ на эти события. В этом смысле BCM дополняет процесс управления рисками, который по большей части касается вероятности реализации угроз прерываний бизнеса и выбора превентивных мер защиты от таких событий.

В руководстве приводится следующий пример. Использование паролей для доступа к информационным системам организации является превентивной мерой защиты от несанкционированного доступа, в то время как просмотр компьютерного журнала попыток доступа к информационной системе является корректирующей мерой, позволяющей обнаружить факт несанкционированного доступа. В контексте BCM организация предполагает, что превентивные меры защиты не помогли (или не использовались) и произошло прерывание бизнеса. В этом случае организации надлежит принять ответные действия на обозначенные события пропорционально их значимости — вопросы вероятности реализации угроз и исходной причины (уязвимости системы), следовательно, больше в расчет не принимаются. В противном случае, если организация своевременно не принимает адекватных ответных действий, ее бездействие приводит к серьезным негативным последствиям на период, превышающий максимально допустимое время прерывания бизнеса.

В руководстве подчеркивается, что основной целью BCM является поддержание в актуальном состоянии достаточного количества ресурсов, необходимых для стабильного функционирования организации в чрезвычайных ситуациях. Данное представление BCM существенно отличается от понятия аварийного восстановления после катастрофы (DR), которое тесно, если не исключительно, связывалось с информационными технологиями. Здесь за счет смещения фокуса на организацию в целом, а не только на технологические аспекты, произошло усиление концепции непрерывности. Акцент сместился на критически важные для бизнеса процессы в целом, расширяя горизонты прежнего рассмотрения проблемы за пределы исключительно информационных систем.

В австралийских руководствах различают следующие основные этапы корпоративной программы BCM: запуск проекта; идентификация ключевых бизнес-процессов; анализ воздействия на бизнес (BIA); разработка мер непрерывности бизнеса; реализация мер непрерывности бизнеса; тестирование и поддержка ВСР. Среди этих этапов достаточно важное место отводится анализу воздействия на бизнес. На этапе BIA основное внимание уделяется оценке возможных потерь, возникающих в результате нарушений функционирования бизнес-процессов. При этом рассматриваются различные категории потерь — например, превышение нормативного уровня операционных затрат, штрафные санкции в результате нарушения договорных обязательств, снижение возврата на инвестиции относительно запланированного уровня, потеря деловой репутации компании, вплоть до снижения рыночной стоимости компании.

Для надлежащего анализа воздействия на бизнес необходима исходная карта ключевых бизнес-процессов организации, для каждого из которых идентифицируются различного рода нарушения функционирования, потенциально ведущие к потерям. На основе карты ключевых бизнес-процессов строится аналитическая модель, связывающая различные нарушения в функционировании бизнес-процессов с категорией и масштабом потерь в результате такого нарушения. В зависимости от доступности информации (структурированности поставленной задачи) масштаб потерь может оцениваться количественно (в денежном выражении) или качественно (по специально разработанной качественной шкале). По результатам оценки возможных потерь модель должна позволить оценить критичность бизнес-процессов как в целом, так и оценку критичности различного рода нарушений функционирования с привязкой к масштабу соответствующих потерь.

Параллельно с анализом критичности бизнес-процессов и зависимости масштабов потерь от нарушений функционирования бизнес-процессов рекомендуется проводить анализ информационных сервисов с привязкой к бизнес-процессам и информационным потокам. Например, можно проводить анализ корпоративной учетной системы, системы консолидированной отчетности, системы бизнес-аналитики на основе хранилища данных, информационного портала, корпоративной электронной почты, сервиса сетевой печати и др. При этом рекомендуется более глубокая степень детализации, поскольку, к примеру, корпоративная учетная система фактически предоставляет несколько сервисов (поддержка бухгалтерии, поддержка управления человеческими ресурсами, поддержка материально-технического учета и др.), различным образом задействованных в бизнес-процессах компании. В ходе анализа информационных сервисов производится их идентификация, анализ использования в рамках бизнес-процессов, анализ возможных нарушений в функционировании сервисов и предварительная оценка значимости сервисов с точки зрения бизнеса организации.

Анализ воздействия на бизнес рекомендуется завершать построением модели причинно-следственных взаимосвязей между функционированием бизнес-процессов, информационных сервисов и информационных потоков. Данная модель позволяет на основании информации о критичности бизнес-процессов и информационных потоков, а также о масштабах возможных потерь получить для каждого класса сервисов оценку критичности сервиса с точки зрения бизнеса компании и возможных потерь для бизнеса компании в зависимости от нарушения в функционировании сервиса и времени восстановления, экономически оправданных затрат на повышение уровня доступности сервиса.

***

Знание и умение использовать на практике выработанные в разных странах стандарты и практики BCM будут несомненно полезны для отечественных предприятий, многие из которых уже осознали важность работ по обеспечению непрерывности бизнеса и приступили к реализации соответствующих проектов.

Сергей Петренко ( SPetrenko@it.ru ) — CISO, эксперт в области защиты информации и непрерывности бизнеса, компания «АйТи» (Москва).