Открыть сервис

План непрерывности бизнеса

План непрерывности бизнеса (ПНБ; Business Continuity Plan, BCP) — это документированная совокупность процедур, ресурсов и организационных мер, направленных на обеспечение способности организации продолжать свою деятельность (или быстро её восстанавливать) в условиях серьёзных сбоев, аварий, катастроф или иных инцидентов, нарушающих нормальное функционирование. ПНБ является ключевым элементом системы управления непрерывностью бизнеса (СУНБ; Business Continuity Management, BCM) и охватывает не только информационные технологии, но и все критические бизнес-процессы, персонал, помещения, цепочки поставок и внешние коммуникации.

Цели и задачи

Основная цель ПНБ — минимизация ущерба для организации и её заинтересованных сторон (клиентов, партнёров, акционеров, регуляторов) при наступлении инцидента. В отличие от плана аварийного восстановления (Disaster Recovery Plan, DRP), который фокусируется на восстановлении ИТ-инфраструктуры, ПНБ имеет более широкий охват и рассматривает бизнес в целом.

Ключевые задачи ПНБ включают:

  • Определение критических процессов: выявление тех видов деятельности, остановка которых наносит наибольший ущерб (финансовый, репутационный, юридический).
  • Установление допустимых параметров простоя: определение целевого времени восстановления (RTO — Recovery Time Objective) и целевой точки восстановления (RPO — Recovery Point Objective) для каждого критического процесса.
  • Разработка сценариев реагирования: создание пошаговых инструкций для различных типов инцидентов (пожар, наводнение, кибератака, пандемия, отказ ключевого поставщика).
  • Обеспечение ресурсами: определение необходимых резервных мощностей, оборудования, персонала, финансовых средств и каналов связи.
  • Поддержание коммуникации: организация оповещения сотрудников, клиентов, партнёров, СМИ и регулирующих органов в условиях кризиса.
  • Тестирование и актуализация: регулярная проверка плана на практике (учения, симуляции) и его обновление с учётом изменений в бизнесе и внешней среде.

Классификация планов

ПНБ могут различаться по масштабу, глубине проработки и сфере применения. Выделяют несколько основных типов:

По уровню организации

  • Корпоративный ПНБ: охватывает всю компанию, включая все филиалы, дочерние структуры и подразделения. Разрабатывается на уровне высшего руководства.
  • Функциональный ПНБ: создаётся для конкретного подразделения или бизнес-функции (например, отдел продаж, производственный цех, бухгалтерия).
  • ИТ-план непрерывности (IT Service Continuity Plan): фокусируется на восстановлении информационных систем, сетей и данных. Часто интегрируется с DRP.

По типу инцидента

  • План на случай природных катастроф: землетрясения, наводнения, ураганы, пожары.
  • План на случай техногенных аварий: отключение электроэнергии, прорыв водопровода, обрушение здания, химическое заражение.
  • План на случай киберинцидентов: DDoS-атаки, атаки программ-вымогателей (ransomware), утечка данных, сбой в работе облачных сервисов.
  • План на случай человеческого фактора: массовое заболевание сотрудников (например, в период пандемии), забастовка, уход ключевого специалиста, террористическая угроза.
  • План на случай сбоев в цепочке поставок: банкротство поставщика, задержка поставок, транспортный коллапс.

По стратегии восстановления

  • «Холодный» резерв: резервные мощности (помещения, оборудование) существуют, но не активны. Для запуска требуется время (от нескольких часов до суток).
  • «Тёплый» резерв: резервные системы частично активны, данные синхронизируются с определённой периодичностью. Восстановление занимает от нескольких минут до нескольких часов.
  • «Горячий» резерв: резервная площадка полностью дублирует основную, работает в режиме реального времени. Переключение происходит практически мгновенно.

Структура и содержание

Типовой ПНБ, как правило, включает следующие разделы:

  1. Введение и область применения: цели, границы плана, ответственные лица, дата утверждения и версия документа.
  2. Определение критических процессов и их приоритетов: перечень бизнес-процессов с указанием RTO и RPO, а также их взаимозависимостей.
  3. Сценарии инцидентов и процедуры реагирования: описание действий для каждого типа сбоя, включая:
  • Активацию плана: критерии и порядок принятия решения о начале выполнения ПНБ.
  • Эвакуацию и обеспечение безопасности: действия по защите жизни и здоровья людей.
  • Переключение на резервные мощности: инструкции по запуску «холодного», «тёплого» или «горячего» резерва.
  • Восстановление данных: процедуры извлечения резервных копий и восстановления информационных систем.
  • Коммуникацию: шаблоны сообщений для сотрудников, клиентов, партнёров, СМИ, регуляторов (например, Центральный банк РФ, Роскомнадзор).
  1. Ресурсное обеспечение: перечень необходимого оборудования, программного обеспечения, каналов связи, запасов материалов, финансовых резервов, а также список ключевых сотрудников с их контактными данными и ролями.
  2. План тестирования и актуализации: график проведения учений (например, ежегодно), порядок внесения изменений, ответственные за поддержание плана в актуальном состоянии.
  3. Приложения: схемы эвакуации, карты расположения резервных площадок, формы отчётов, контакты аварийных служб (МЧС, полиция, скорая помощь).

Разработка и внедрение

Процесс создания ПНБ обычно включает несколько этапов:

  1. Анализ бизнес-воздействия (Business Impact Analysis, BIA): выявление критических процессов, оценка последствий их остановки (финансовые потери, репутационный ущерб, юридические риски) и определение допустимых параметров простоя (RTO, RPO).
  2. Оценка рисков (Risk Assessment): идентификация угроз (природные, техногенные, кибернетические, человеческие), оценка вероятности их реализации и величины потенциального ущерба.
  3. Разработка стратегий непрерывности: выбор наиболее эффективных и экономически оправданных способов защиты и восстановления (например, использование облачных сервисов, аренда резервного офиса, создание распределённой команды).
  4. Документирование плана: составление подробных инструкций, схем, шаблонов. План должен быть понятен не только разработчикам, но и рядовым сотрудникам.
  5. Внедрение и обучение: проведение тренингов для персонала, ознакомление с планом, назначение ответственных за выполнение конкретных процедур.
  6. Тестирование: проведение учений (настольные симуляции, функциональные тесты, полномасштабные учения) для проверки работоспособности плана и выявления слабых мест.
  7. Актуализация: регулярное обновление плана (не реже одного раза в год, а также после каждого серьёзного инцидента или значительных изменений в бизнесе).

Стандарты и нормативное регулирование

В России и мире существуют стандарты, регламентирующие разработку и внедрение ПНБ:

  • Международный стандарт ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements» — основной международный стандарт для СУНБ. В России действует как ГОСТ Р ИСО 22301-2020 «Системы менеджмента непрерывности бизнеса. Требования».
  • ГОСТ Р 53647-2009 «Менеджмент непрерывности бизнеса. Общие положения» — российский стандарт, устанавливающий общие принципы.
  • ГОСТ Р 57579-2017 «Менеджмент непрерывности бизнеса. Руководство по анализу влияния на бизнес» — российский стандарт, посвящённый этапу BIA.
  • Рекомендации Банка России (например, Положение № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств...») — для кредитных организаций и участников финансового рынка наличие ПНБ является обязательным требованием.
  • Требования Федерального закона № 152-ФЗ «О персональных данных» — в части обеспечения непрерывности обработки и защиты персональных данных.

Критика и ограничения

Несмотря на очевидную пользу, ПНБ не является панацеей. Критики отмечают следующие недостатки:

  • Высокая стоимость: разработка, внедрение и поддержание плана (особенно с использованием «горячего» резерва) требуют значительных финансовых и кадровых ресурсов.
  • Бюрократизация: план может превратиться в формальный документ, который не применяется на практике, если не проводить регулярное тестирование и обучение.
  • Неспособность учесть все сценарии: невозможно предвидеть все виды сбоев, особенно комбинированные или беспрецедентные (например, пандемия COVID-19, для которой многие планы оказались неготовыми).
  • Устаревание: бизнес-процессы, технологии и внешняя среда быстро меняются, и план может устареть ещё до того, как будет завершён.
  • Человеческий фактор: даже самый детальный план не гарантирует, что в стрессовой ситуации сотрудники будут действовать строго по инструкции.

Примеры

  • Пример 1 (Финансовый сектор): Крупный банк имеет «горячий» резервный центр обработки данных (ЦОД) в другом регионе. В случае отказа основного ЦОД происходит автоматическое переключение на резервный, и операции с картами и переводами продолжаются без заметных задержек для клиентов.
  • Пример 2 (Производственное предприятие): Завод по производству автомобильных компонентов заключил договор с несколькими альтернативными поставщиками сырья. В случае срыва поставок от основного поставщика, план предусматривает немедленный переход на резервных, что минимизирует простой производства.
  • Пример 3 (ИТ-компания): Разработчик программного обеспечения использует распределённую систему контроля версий и регулярно создаёт резервные копии кода в облачном хранилище. В случае пожара в офисе, команда может продолжить работу удалённо, восстановив данные из облака.

Источники

  • ГОСТ Р ИСО 22301-2020 «Системы менеджмента непрерывности бизнеса. Требования».
  • ГОСТ Р 53647-2009 «Менеджмент непрерывности бизнеса. Общие положения».
  • ГОСТ Р 57579-2017 «Менеджмент непрерывности бизнеса. Руководство по анализу влияния на бизнес».
  • Положение Банка России № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств...».
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  • ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements».
  • Рекомендации Национального института стандартов и технологий США (NIST) по управлению непрерывностью бизнеса.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →