BCP
BCP (от англ. Business Continuity Plan) — это документированный набор процедур, инструкций и ресурсов, предназначенных для обеспечения непрерывности критически важных бизнес-процессов организации в случае возникновения инцидентов, нарушающих нормальную деятельность.
BCP является составной частью более широкой системы управления непрерывностью бизнеса (Business Continuity Management, BCM). Основная цель BCP — минимизировать простои, финансовые потери и репутационный ущерб за счёт заранее разработанных сценариев реагирования на различные виды угроз, от стихийных бедствий до кибератак.
История развития
Концепция BCP начала формироваться в 1970-х годах в США, когда компании сферы финансовых услуг осознали риски, связанные с длительными сбоями в работе информационных систем. Первые планы в основном были ориентированы на защиту от крупных технических аварий и отказов оборудования (дизастер-рекавери).
В 1980-х годах, с ростом зависимости бизнеса от компьютерных сетей, понятие расширилось. Появились международные стандарты, такие как британский BS 25999 (2006 год), позднее трансформировавшийся в международный стандарт ISO 22301 (2012 год). В России в 2010-х годах культура BCP активно внедрялась в банковском секторе, энергетике и государственных учреждениях, особенно после вступления в силу требований Центрального банка РФ и закона «О безопасности критической информационной инфраструктуры» (№187-ФЗ, 2017).
Структура и содержание BCP
Стандартный BCP обычно включает в себя несколько ключевых разделов:
Исходные данные и область применения
- Определение организации и её критически важных процессов — перечень продукции, услуг, операций, остановка которых нанесёт наибольший ущерб.
- Цели восстановления — два базовых показателя: RTO (Recovery Time Objective) — максимально допустимое время восстановления работы процесса, и RPO (Recovery Point Objective) — максимально допустимый объём потери данных (относительно момента сбоя).
Анализ рисков и оценка воздействия (BIA)
Раздел, в котором выявляются возможные угрозы (пожар, наводнение, отключение электроэнергии, хакерская атака, пандемия) и оценивается их влияние на каждый критический процесс. На основе BIA определяются приоритеты восстановления.
Процедуры реагирования
Поэтапные инструкции для персонала: от первичного уведомления до активации резервных мощностей. Выделяют три основных фазы:
Фазы реализации BCP
- Фаза реагирования (Response) — первые минуты и часы после инцидента. Оповещение ключевых сотрудников, эвакуация персонала, при необходимости — активация резервного офиса (сайта) или облачной инфраструктуры.
- Фаза восстановления (Recovery) — выполнение плана по переводу операций на резервные системы, восстановлению данных (например, из резервных копий) и возврату к приемлемому уровню обслуживания клиентов.
- Фаза возврата (Return) — вывод системы из аварийного режима, переключение обратно на основное оборудование, разбор последствий.
Ресурсы
Описание необходимого оборудования, программного обеспечения, запасов (например, генераторы, каналы связи, ГСМ) и человеческих резервов. Указывается, кто заменяет ключевых специалистов в случае их отсутствия.
Коммуникационный план
Определяет, кто и как информирует внутренние службы, сотрудников, клиентов, партнёров, регуляторов и СМИ. Отдельно прописывается порядок взаимодействия с государственными аварийными службами (МЧС, полиция).
Виды BCP
По масштабу и фокусу выделяют:
- План аварийного восстановления (Disaster Recovery Plan, DRP) — узкий план, направленный на восстановление IT-инфраструктуры и данных. Часто является техническим приложением к BCP.
- План обеспечения непрерывности операций (Business Continuity Plan) — затрагивает не только IT, но и производственные процессы, логистику, поставки, кадровое обеспечение.
- План управления кризисами (Crisis Management Plan) — отвечает за стратегические решения, коммуникацию с внешним миром и координацию работы топ-менеджмента.
- План преемственности персонала — определяет порядок передачи полномочий и замены сотрудников (включая руководящие должности) в случае их длительного отсутствия или гибели.
Применение в различных отраслях
BCP разрабатывается в любой организации, где простои могут привести к значительным потерям. В России особые требования к BCP действуют для:
- Финансовый сектор — банки и страховые компании обязаны иметь согласованные с Центральным банком планы непрерывности. Рекомендации изложены в Положении Банка России № 757-П.
- Критическая информационная инфраструктура (КИИ) — предприятия ТЭК, транспорта, оборонно-промышленного комплекса, связи. Требуется обязательное оповещение ФСТЭК о происшествиях и планах.
- Промышленность — на предприятиях с непрерывным циклом (металлургия, химия, нефтепереработка) аварийные остановки чрезвычайно затратны и опасны, поэтому BCP внедряется как элемент системы промышленной безопасности.
Тестирование и актуализация
BCP — не статичный документ. Для поддержания актуальности принято проводить:
- Плановые учения (не реже одного раза в год) — от настольных (tabletop exercises), когда сотрудники обсуждают действия в гипотетической ситуации, до полномасштабных с включением резервных площадок.
- Аудит — проверка полноты и реалистичности плана внешним консультантом или внутренним отделом риск-менеджмента.
- Пересмотр — BCP должен обновляться после любых значимых изменений в структуре организации, технологиях, регулировании.
Критика
Основные претензии к BCP на практике связаны с излишней бюрократизацией — планы могут быть объёмными, но нереалистичными, так как пишутся «на отчёт». Также типичной проблемой является устаревание данных: контакты сотрудников, инфраструктура или сами бизнес-процессы меняются быстрее, чем обновляется план. Кроме того, в малом бизнесе BCP часто отсутствует полностью, несмотря на заявленную ценность.
Источники
- Стандарт ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements».
- Положение Банка России от 18.12.2020 № 757-П «Об обязательных резервах кредитных организаций».
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Шувалова Е.В. «Управление непрерывностью бизнеса: теория и практика» (учебное пособие), 2021.
- Национальный стандарт РФ ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Общие положения».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →