Непрерывность бизнеса
Непрерывность бизнеса (англ. Business Continuity, BC) — это способность организации продолжать выполнять свои ключевые функции и поставлять продукты или услуги на приемлемом уровне в условиях сбоев, кризисов или катастроф. Концепция охватывает стратегические и тактические возможности, позволяющие предотвращать, реагировать, восстанавливать и адаптироваться к инцидентам, которые могут нарушить нормальную деятельность. Непрерывность бизнеса является частью более широкой системы управления рисками и тесно связана с аварийным восстановлением (Disaster Recovery) и управлением чрезвычайными ситуациями.
История развития концепции
Ранние этапы (1970–1990-е годы)
Первоначально практики обеспечения непрерывности были сосредоточены на восстановлении информационных технологий (ИТ) после сбоев. В 1970-х годах, с ростом зависимости от мейнфреймов, компании начали создавать резервные вычислительные центры. В 1980-х, после ряда крупных банковских сбоев и терактов, появились первые формальные стандарты, такие как британский BS 25999.
Современный этап (2000-е — настоящее время)
После терактов 11 сентября 2001 года в США и урагана «Катрина» (2005) стало очевидно, что восстановление только ИТ недостаточно. Концепция сместилась в сторону управления всей организацией. В 2007 году вышел международный стандарт ISO 22301, который в 2019 году был обновлён до версии ISO 22301:2019. В России действует ГОСТ Р 53647.1-2009, основанный на международных подходах.
Ключевые принципы и стандарты
Основные элементы
Непрерывность бизнеса базируется на нескольких фундаментальных принципах:
- Упреждающее планирование: идентификация критических бизнес-процессов и ресурсов до наступления кризиса.
- Анализ воздействия на бизнес (BIA): оценка последствий сбоев для каждого процесса.
- Оценка рисков: выявление угроз (природные, техногенные, кибернетические, человеческие).
- Разработка стратегий восстановления: определение точек восстановления (RPO) и времени восстановления (RTO).
- Тестирование и обучение: регулярные учения и тренировки персонала.
Международные стандарты
- ISO 22301:2019 — основной стандарт для систем менеджмента непрерывности бизнеса (BCMS). Требует сертификации.
- ISO 22313 — руководство по внедрению ISO 22301.
- BS 25999 — предшественник ISO 22301, всё ещё используется в некоторых странах.
- NFPA 1600 (США) — стандарт по управлению чрезвычайными ситуациями и непрерывностью.
- ГОСТ Р 53647.1-2009 — российский аналог, гармонизированный с международными нормами.
Классификация угроз и сценариев
Природные угрозы
- Землетрясения, наводнения, ураганы, пожары, эпидемии (включая пандемии).
- Пример: пандемия COVID-19 (2020) показала уязвимость компаний, не имевших планов удалённой работы.
Техногенные угрозы
- Отключение электроэнергии, сбои в сетях связи, аварии на транспорте, утечки опасных веществ.
- Пример: отключение электроэнергии в Москве в мае 2005 года, парализовавшее работу сотен организаций.
Человеческие угрозы
- Ошибки персонала, саботаж, кража данных, террористические акты.
- Пример: утечка данных из-за неосторожного обращения с паролями.
Киберугрозы
- Атаки программ-вымогателей (ransomware), DDoS-атаки, фишинг, взломы.
- Пример: атака вируса WannaCry (2017), затронувшая больницы, банки и транспортные системы по всему миру.
Этапы управления непрерывностью бизнеса
1. Политика и программа
Организация утверждает политику непрерывности, назначает ответственных (менеджер по непрерывности, комитет по кризисному управлению) и выделяет ресурсы.
2. Анализ воздействия на бизнес (BIA)
Определяются критичные функции (например, обработка платежей, логистика, обслуживание клиентов). Для каждой функции устанавливаются:
- Максимально допустимое время простоя (MTPD).
- Целевое время восстановления (RTO) — период, в течение которого функция должна быть восстановлена.
- Целевая точка восстановления (RPO) — допустимый объём потери данных (например, не более 1 часа).
3. Оценка рисков
Выявляются угрозы для каждой критичной функции. Оценивается вероятность и серьёзность последствий. Результаты сводятся в матрицу рисков.
4. Разработка стратегий
На основе BIA и оценки рисков выбираются способы обеспечения непрерывности:
- Резервирование: дублирование оборудования, каналов связи, персонала.
- Аутсорсинг: передача критических процессов сторонним подрядчикам.
- Удалённая работа: создание инфраструктуры для работы из дома.
- Страхование: финансовое покрытие убытков.
5. Планы непрерывности (BCP) и восстановления (DRP)
Создаются документы, описывающие пошаговые действия при наступлении инцидента. Планы включают:
- Порядок оповещения и эвакуации.
- Роли и обязанности членов кризисной команды.
- Процедуры переключения на резервные системы.
- Коммуникационные протоколы (с сотрудниками, клиентами, регуляторами, СМИ).
6. Тестирование и обучение
Планы проверяются на практике: проводятся настольные учения (tabletop exercises), симуляции, полномасштабные тренировки. Результаты документируются, а планы корректируются.
7. Постоянное улучшение
Система непрерывности бизнеса пересматривается не реже одного раза в год или после каждого серьёзного инцидента. Вносятся изменения в политику, планы и процедуры.
Организационная структура
Кризисный комитет
Высший орган управления в условиях кризиса. Состоит из топ-менеджеров (генеральный директор, финансовый директор, директор по безопасности, юрист). Принимает стратегические решения, утверждает коммуникации.
Оперативная группа
Специалисты, отвечающие за восстановление конкретных процессов (ИТ-инфраструктура, логистика, производство). Работает под руководством кризисного комитета.
Менеджер по непрерывности бизнеса
Координирует разработку, внедрение и тестирование системы. Отвечает за документацию и обучение.
Примеры из практики
Положительные примеры
- Банки: после терактов 11 сентября 2001 года многие банки Нью-Йорка смогли возобновить операции в течение нескольких часов благодаря резервным центрам в Нью-Джерси.
- Российские компании: в 2022 году, после введения санкций, ряд крупных российских банков и IT-компаний оперативно переключились на отечественное программное обеспечение и резервные каналы связи, что позволило избежать длительных простоев.
Отрицательные примеры
- Knight Capital Group (2012): из-за ошибки в программном обеспечении компания потеряла 440 миллионов долларов за 45 минут. Отсутствие адекватного плана непрерывности привело к банкротству.
- Сбой в работе «Яндекс.Такси» (2021): технический сбой привёл к многодневным проблемам с заказами. Компания была вынуждена выплатить компенсации и пересмотреть систему резервирования.
Критика и ограничения
Сложность и стоимость
Внедрение полноценной системы непрерывности бизнеса требует значительных финансовых и временных затрат. Малые и средние предприятия часто не могут позволить себе дублирование инфраструктуры или привлечение консультантов.
Избыточная бюрократизация
В крупных организациях планы непрерывности могут превращаться в формальные документы, которые не обновляются годами и не соответствуют реальным угрозам.
Недостаточное тестирование
Многие компании ограничиваются настольными учениями, не проводя реальных тренировок. Это приводит к тому, что при реальном кризисе планы оказываются неработоспособными.
Человеческий фактор
Даже при наличии идеальных планов, в условиях стресса сотрудники могут действовать нерационально. Требуется регулярное обучение и психологическая подготовка.
Перспективы развития
Цифровая трансформация
С развитием облачных технологий, искусственного интеллекта и автоматизации появляются новые инструменты для обеспечения непрерывности. Например, автоматическое переключение на резервные серверы в облаке (cloud failover) или использование чат-ботов для коммуникации с клиентами во время кризиса.
Устойчивость цепочек поставок
После пандемии COVID-19 и геополитических кризисов компании всё больше внимания уделяют диверсификации поставщиков и созданию буферных запасов.
Интеграция с кибербезопасностью
Непрерывность бизнеса всё теснее связывается с управлением киберрисками. Появляются стандарты, объединяющие IT-безопасность и BC (например, NIST Cybersecurity Framework).
Источники
- ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements».
- ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Общие положения».
- Business Continuity Institute (BCI) — Good Practice Guidelines (GPG), 2023 edition.
- Национальный институт стандартов и технологий США (NIST) — Framework for Improving Critical Infrastructure Cybersecurity, 2018.
- Книга: «Business Continuity Management: A Practical Guide to Organizational Resilience» by Andrew Hiles, 2014.
- Отчёт Всемирного экономического форума «Global Risks Report 2023».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →