Открыть сервис

BCP

BCP (от англ. Business Continuity Plan) — это документированный набор процедур, инструкций и ресурсов, предназначенных для обеспечения непрерывности критически важных бизнес-процессов организации в случае возникновения инцидентов, нарушающих нормальную деятельность.

BCP является составной частью более широкой системы управления непрерывностью бизнеса (Business Continuity Management, BCM). Основная цель BCP — минимизировать простои, финансовые потери и репутационный ущерб за счёт заранее разработанных сценариев реагирования на различные виды угроз, от стихийных бедствий до кибератак.

История развития

Концепция BCP начала формироваться в 1970-х годах в США, когда компании сферы финансовых услуг осознали риски, связанные с длительными сбоями в работе информационных систем. Первые планы в основном были ориентированы на защиту от крупных технических аварий и отказов оборудования (дизастер-рекавери).

В 1980-х годах, с ростом зависимости бизнеса от компьютерных сетей, понятие расширилось. Появились международные стандарты, такие как британский BS 25999 (2006 год), позднее трансформировавшийся в международный стандарт ISO 22301 (2012 год). В России в 2010-х годах культура BCP активно внедрялась в банковском секторе, энергетике и государственных учреждениях, особенно после вступления в силу требований Центрального банка РФ и закона «О безопасности критической информационной инфраструктуры» (№187-ФЗ, 2017).

Структура и содержание BCP

Стандартный BCP обычно включает в себя несколько ключевых разделов:

Исходные данные и область применения

Анализ рисков и оценка воздействия (BIA)

Раздел, в котором выявляются возможные угрозы (пожар, наводнение, отключение электроэнергии, хакерская атака, пандемия) и оценивается их влияние на каждый критический процесс. На основе BIA определяются приоритеты восстановления.

Процедуры реагирования

Поэтапные инструкции для персонала: от первичного уведомления до активации резервных мощностей. Выделяют три основных фазы:

Фазы реализации BCP

  1. Фаза реагирования (Response) — первые минуты и часы после инцидента. Оповещение ключевых сотрудников, эвакуация персонала, при необходимости — активация резервного офиса (сайта) или облачной инфраструктуры.
  2. Фаза восстановления (Recovery) — выполнение плана по переводу операций на резервные системы, восстановлению данных (например, из резервных копий) и возврату к приемлемому уровню обслуживания клиентов.
  3. Фаза возврата (Return) — вывод системы из аварийного режима, переключение обратно на основное оборудование, разбор последствий.

Ресурсы

Описание необходимого оборудования, программного обеспечения, запасов (например, генераторы, каналы связи, ГСМ) и человеческих резервов. Указывается, кто заменяет ключевых специалистов в случае их отсутствия.

Коммуникационный план

Определяет, кто и как информирует внутренние службы, сотрудников, клиентов, партнёров, регуляторов и СМИ. Отдельно прописывается порядок взаимодействия с государственными аварийными службами (МЧС, полиция).

Виды BCP

По масштабу и фокусу выделяют:

Применение в различных отраслях

BCP разрабатывается в любой организации, где простои могут привести к значительным потерям. В России особые требования к BCP действуют для:

Тестирование и актуализация

BCP — не статичный документ. Для поддержания актуальности принято проводить:

Критика

Основные претензии к BCP на практике связаны с излишней бюрократизацией — планы могут быть объёмными, но нереалистичными, так как пишутся «на отчёт». Также типичной проблемой является устаревание данных: контакты сотрудников, инфраструктура или сами бизнес-процессы меняются быстрее, чем обновляется план. Кроме того, в малом бизнесе BCP часто отсутствует полностью, несмотря на заявленную ценность.

Источники

  1. Стандарт ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements».
  2. Положение Банка России от 18.12.2020 № 757-П «Об обязательных резервах кредитных организаций».
  3. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  4. Шувалова Е.В. «Управление непрерывностью бизнеса: теория и практика» (учебное пособие), 2021.
  5. Национальный стандарт РФ ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Общие положения».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →