Открыть сервис

Непрерывность бизнеса

Непрерывность бизнеса (англ. Business Continuity, BC) — это способность организации продолжать выполнять свои ключевые функции и поставлять продукты или услуги на приемлемом уровне в условиях сбоев, кризисов или катастроф. Концепция охватывает стратегические и тактические возможности, позволяющие предотвращать, реагировать, восстанавливать и адаптироваться к инцидентам, которые могут нарушить нормальную деятельность. Непрерывность бизнеса является частью более широкой системы управления рисками и тесно связана с аварийным восстановлением (Disaster Recovery) и управлением чрезвычайными ситуациями.

История развития концепции

Ранние этапы (1970–1990-е годы)

Первоначально практики обеспечения непрерывности были сосредоточены на восстановлении информационных технологий (ИТ) после сбоев. В 1970-х годах, с ростом зависимости от мейнфреймов, компании начали создавать резервные вычислительные центры. В 1980-х, после ряда крупных банковских сбоев и терактов, появились первые формальные стандарты, такие как британский BS 25999.

Современный этап (2000-е — настоящее время)

После терактов 11 сентября 2001 года в США и урагана «Катрина» (2005) стало очевидно, что восстановление только ИТ недостаточно. Концепция сместилась в сторону управления всей организацией. В 2007 году вышел международный стандарт ISO 22301, который в 2019 году был обновлён до версии ISO 22301:2019. В России действует ГОСТ Р 53647.1-2009, основанный на международных подходах.

Ключевые принципы и стандарты

Основные элементы

Непрерывность бизнеса базируется на нескольких фундаментальных принципах:

  • Упреждающее планирование: идентификация критических бизнес-процессов и ресурсов до наступления кризиса.
  • Анализ воздействия на бизнес (BIA): оценка последствий сбоев для каждого процесса.
  • Оценка рисков: выявление угроз (природные, техногенные, кибернетические, человеческие).
  • Разработка стратегий восстановления: определение точек восстановления (RPO) и времени восстановления (RTO).
  • Тестирование и обучение: регулярные учения и тренировки персонала.

Международные стандарты

  • ISO 22301:2019 — основной стандарт для систем менеджмента непрерывности бизнеса (BCMS). Требует сертификации.
  • ISO 22313 — руководство по внедрению ISO 22301.
  • BS 25999 — предшественник ISO 22301, всё ещё используется в некоторых странах.
  • NFPA 1600 (США) — стандарт по управлению чрезвычайными ситуациями и непрерывностью.
  • ГОСТ Р 53647.1-2009 — российский аналог, гармонизированный с международными нормами.

Классификация угроз и сценариев

Природные угрозы

  • Землетрясения, наводнения, ураганы, пожары, эпидемии (включая пандемии).
  • Пример: пандемия COVID-19 (2020) показала уязвимость компаний, не имевших планов удалённой работы.

Техногенные угрозы

  • Отключение электроэнергии, сбои в сетях связи, аварии на транспорте, утечки опасных веществ.
  • Пример: отключение электроэнергии в Москве в мае 2005 года, парализовавшее работу сотен организаций.

Человеческие угрозы

  • Ошибки персонала, саботаж, кража данных, террористические акты.
  • Пример: утечка данных из-за неосторожного обращения с паролями.

Киберугрозы

  • Атаки программ-вымогателей (ransomware), DDoS-атаки, фишинг, взломы.
  • Пример: атака вируса WannaCry (2017), затронувшая больницы, банки и транспортные системы по всему миру.

Этапы управления непрерывностью бизнеса

1. Политика и программа

Организация утверждает политику непрерывности, назначает ответственных (менеджер по непрерывности, комитет по кризисному управлению) и выделяет ресурсы.

2. Анализ воздействия на бизнес (BIA)

Определяются критичные функции (например, обработка платежей, логистика, обслуживание клиентов). Для каждой функции устанавливаются:

3. Оценка рисков

Выявляются угрозы для каждой критичной функции. Оценивается вероятность и серьёзность последствий. Результаты сводятся в матрицу рисков.

4. Разработка стратегий

На основе BIA и оценки рисков выбираются способы обеспечения непрерывности:

  • Резервирование: дублирование оборудования, каналов связи, персонала.
  • Аутсорсинг: передача критических процессов сторонним подрядчикам.
  • Удалённая работа: создание инфраструктуры для работы из дома.
  • Страхование: финансовое покрытие убытков.

5. Планы непрерывности (BCP) и восстановления (DRP)

Создаются документы, описывающие пошаговые действия при наступлении инцидента. Планы включают:

  • Порядок оповещения и эвакуации.
  • Роли и обязанности членов кризисной команды.
  • Процедуры переключения на резервные системы.
  • Коммуникационные протоколы (с сотрудниками, клиентами, регуляторами, СМИ).

6. Тестирование и обучение

Планы проверяются на практике: проводятся настольные учения (tabletop exercises), симуляции, полномасштабные тренировки. Результаты документируются, а планы корректируются.

7. Постоянное улучшение

Система непрерывности бизнеса пересматривается не реже одного раза в год или после каждого серьёзного инцидента. Вносятся изменения в политику, планы и процедуры.

Организационная структура

Кризисный комитет

Высший орган управления в условиях кризиса. Состоит из топ-менеджеров (генеральный директор, финансовый директор, директор по безопасности, юрист). Принимает стратегические решения, утверждает коммуникации.

Оперативная группа

Специалисты, отвечающие за восстановление конкретных процессов (ИТ-инфраструктура, логистика, производство). Работает под руководством кризисного комитета.

Менеджер по непрерывности бизнеса

Координирует разработку, внедрение и тестирование системы. Отвечает за документацию и обучение.

Примеры из практики

Положительные примеры

  • Банки: после терактов 11 сентября 2001 года многие банки Нью-Йорка смогли возобновить операции в течение нескольких часов благодаря резервным центрам в Нью-Джерси.
  • Российские компании: в 2022 году, после введения санкций, ряд крупных российских банков и IT-компаний оперативно переключились на отечественное программное обеспечение и резервные каналы связи, что позволило избежать длительных простоев.

Отрицательные примеры

  • Knight Capital Group (2012): из-за ошибки в программном обеспечении компания потеряла 440 миллионов долларов за 45 минут. Отсутствие адекватного плана непрерывности привело к банкротству.
  • Сбой в работе «Яндекс.Такси» (2021): технический сбой привёл к многодневным проблемам с заказами. Компания была вынуждена выплатить компенсации и пересмотреть систему резервирования.

Критика и ограничения

Сложность и стоимость

Внедрение полноценной системы непрерывности бизнеса требует значительных финансовых и временных затрат. Малые и средние предприятия часто не могут позволить себе дублирование инфраструктуры или привлечение консультантов.

Избыточная бюрократизация

В крупных организациях планы непрерывности могут превращаться в формальные документы, которые не обновляются годами и не соответствуют реальным угрозам.

Недостаточное тестирование

Многие компании ограничиваются настольными учениями, не проводя реальных тренировок. Это приводит к тому, что при реальном кризисе планы оказываются неработоспособными.

Человеческий фактор

Даже при наличии идеальных планов, в условиях стресса сотрудники могут действовать нерационально. Требуется регулярное обучение и психологическая подготовка.

Перспективы развития

Цифровая трансформация

С развитием облачных технологий, искусственного интеллекта и автоматизации появляются новые инструменты для обеспечения непрерывности. Например, автоматическое переключение на резервные серверы в облаке (cloud failover) или использование чат-ботов для коммуникации с клиентами во время кризиса.

Устойчивость цепочек поставок

После пандемии COVID-19 и геополитических кризисов компании всё больше внимания уделяют диверсификации поставщиков и созданию буферных запасов.

Интеграция с кибербезопасностью

Непрерывность бизнеса всё теснее связывается с управлением киберрисками. Появляются стандарты, объединяющие IT-безопасность и BC (например, NIST Cybersecurity Framework).

Источники

  1. ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements».
  2. ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Общие положения».
  3. Business Continuity Institute (BCI) — Good Practice Guidelines (GPG), 2023 edition.
  4. Национальный институт стандартов и технологий США (NIST) — Framework for Improving Critical Infrastructure Cybersecurity, 2018.
  5. Книга: «Business Continuity Management: A Practical Guide to Organizational Resilience» by Andrew Hiles, 2014.
  6. Отчёт Всемирного экономического форума «Global Risks Report 2023».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →