Планирование непрерывности бизнеса
Планирование непрерывности бизнеса (англ. Business Continuity Planning, BCP) — это управленческий процесс, направленный на создание и поддержание системы организационных, технических и финансовых мер, обеспечивающих способность организации продолжать свою деятельность (или быстро восстановить её) в случае возникновения значительных сбоев, кризисов или катастроф. Ключевая цель BCP — минимизация ущерба для бизнеса, защита репутации, сохранение ключевых операций и соблюдение нормативных требований в условиях чрезвычайных ситуаций.
История и развитие
Истоки
Первые формальные подходы к обеспечению непрерывности возникли в 1970-х годах в сфере информационных технологий (ИТ). Основное внимание уделялось восстановлению компьютерных систем и данных после сбоев (Disaster Recovery Planning, DRP). Толчком к развитию послужили крупные технологические аварии и осознание уязвимости бизнеса перед потерей цифровых активов.
Эволюция в 1990-е — 2000-е годы
С ростом глобализации и зависимости от информационных систем BCP расширилось до общеорганизационного уровня. В 1990-х годах начали появляться профессиональные ассоциации (например, Business Continuity Institute, BCI, основанный в 1994 году в Великобритании) и международные стандарты. После терактов 11 сентября 2001 года в США и серии природных катастроф (цунами в Индийском океане в 2004 году, ураган «Катрина» в 2005 году) BCP стало обязательным элементом корпоративного управления во многих отраслях, особенно в финансовом секторе и здравоохранении.
Современный этап
В 2010-е — 2020-е годы BCP интегрировалось с управлением рисками, информационной безопасностью и антикризисным менеджментом. Пандемия COVID-19 (2020—2021) стала крупнейшим стресс-тестом для BCP: выявила необходимость учёта удалённой работы, перебоев в цепочках поставок и массовых заболеваний сотрудников. Современные практики BCP всё чаще опираются на облачные технологии, автоматизацию и сценарное моделирование.
Ключевые понятия и термины
BCP оперирует рядом специфических терминов, закреплённых в международных стандартах (например, ISO 22301):
- Непрерывность бизнеса (Business Continuity, BC) — способность организации продолжать поставку продуктов или услуг на приемлемом уровне в период сбоя.
- План непрерывности бизнеса (BCP) — документированный набор процедур и ресурсов, необходимых для восстановления деятельности.
- Восстановление после сбоя (Disaster Recovery, DR) — часть BCP, сфокусированная на восстановлении ИТ-инфраструктуры и данных.
- Критическая бизнес-функция (Critical Business Function, CBF) — деятельность, прекращение которой наносит наибольший ущерб организации.
- Максимально допустимый перерыв (Maximum Tolerable Period of Disruption, MTPD) — максимальное время, в течение которого организация может функционировать без выполнения критической функции.
- Цель времени восстановления (Recovery Time Objective, RTO) — целевое время, необходимое для восстановления функции после сбоя.
- Цель точки восстановления (Recovery Point Objective, RPO) — максимально допустимый объём потери данных (в единицах времени), который организация может допустить.
- Анализ воздействия на бизнес (Business Impact Analysis, BIA) — процесс оценки последствий сбоев для бизнеса.
Этапы планирования непрерывности бизнеса
Процесс BCP обычно включает несколько последовательных этапов, описанных в стандартах ISO 22301 и BS 25999.
1. Инициация и управление проектом
На этом этапе определяются цели, объём, бюджет и сроки разработки BCP. Назначается ответственное лицо или команда (например, менеджер по непрерывности бизнеса). Формируется спонсорская поддержка со стороны высшего руководства.
2. Анализ воздействия на бизнес (BIA)
BIA — центральный этап, в ходе которого идентифицируются критические бизнес-функции, оцениваются последствия их простоя (финансовые, репутационные, юридические) и определяются MTPD, RTO и RPO для каждой функции. BIA проводится путём интервью с руководителями подразделений, анализа данных и сценарного моделирования.
3. Оценка рисков
Выявляются угрозы (природные, техногенные, человеческие, кибернетические) и оценивается вероятность их реализации. Результаты оценки рисков используются для приоритизации мер по снижению уязвимостей. Типичные угрозы: пожары, наводнения, кибератаки, сбои энергоснабжения, пандемии, сбои в цепочках поставок.
4. Разработка стратегий непрерывности
На основе BIA и оценки рисков выбираются способы обеспечения непрерывности для каждой критической функции. Стратегии могут включать:
- Резервирование (дублирование оборудования, данных, персонала).
- Альтернативные площадки (горячие, тёплые или холодные резервные центры).
- Аутсорсинг (передача критических процессов внешним поставщикам).
- Снижение зависимости (например, переход на облачные сервисы).
- Обучение и перекрёстное замещение сотрудников.
5. Разработка планов и процедур
Создаётся документированный план непрерывности бизнеса (BCP), который включает:
- Сценарии сбоев.
- Пошаговые инструкции для каждой критической функции.
- Списки контактов (сотрудники, поставщики, аварийные службы).
- Описание цепочек принятия решений и эскалации.
- Процедуры эвакуации и обеспечения безопасности.
6. Внедрение и обучение
План доводится до всех заинтересованных сторон. Проводятся тренинги, семинары и ознакомительные сессии для сотрудников. Особое внимание уделяется обучению кризисной команды.
7. Тестирование и аудит
Планы регулярно проверяются на практике. Типы тестирования:
- Столповые учения (tabletop exercises) — обсуждение сценариев без реальных действий.
- Функциональные тесты — проверка отдельных процедур (например, переключение на резервный сервер).
- Полномасштабные учения — имитация реального сбоя с участием всех подразделений.
Результаты тестирования документируются, выявляются недостатки.
8. Поддержание и постоянное улучшение
BCP — это не статичный документ. Он должен пересматриваться и обновляться не реже одного раза в год, а также после каждого крупного инцидента, изменения бизнес-процессов, смены ключевого персонала или появления новых угроз. Внедряется цикл PDCA (Plan-Do-Check-Act).
Стандарты и нормативные требования
Международные стандарты
- ISO 22301:2019 — «Системы менеджмента непрерывности бизнеса. Требования». Наиболее распространённый международный стандарт, на основе которого организации проходят сертификацию.
- ISO 22313:2020 — Руководство по применению ISO 22301.
- BS 25999 — Британский стандарт, предшественник ISO 22301 (сейчас заменён).
Отраслевые требования
- Финансовый сектор — Банк России (РФ) устанавливает требования к непрерывности деятельности для кредитных организаций (Положение № 719-П). В международной практике — стандарты Базельского комитета по банковскому надзору.
- Здравоохранение — требования к непрерывности оказания медицинской помощи при ЧС.
- Государственные органы — обязательства по обеспечению непрерывности государственных услуг.
Применение в России
В Российской Федерации планирование непрерывности бизнеса регулируется рядом нормативных актов, в первую очередь для критически важных отраслей. Основные документы:
- Федеральный закон № 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера».
- Постановление Правительства РФ № 794 «О единой государственной системе предупреждения и ликвидации чрезвычайных ситуаций».
- Положение Банка России № 719-П «О требованиях к обеспечению непрерывности деятельности кредитных организаций и банковских групп».
- Стандарты в области информационной безопасности (ФСТЭК России, ФСБ России).
На практике BCP в российских компаниях часто реализуется в рамках систем менеджмента качества (ISO 9001) или систем менеджмента информационной безопасности (ISO 27001). В последние годы, особенно после пандемии COVID-19 и роста киберугроз, интерес к BCP со стороны среднего и крупного бизнеса значительно вырос.
Критика и ограничения
Несмотря на широкое признание, BCP имеет ряд недостатков:
- Высокая стоимость — разработка, тестирование и поддержание планов требуют значительных ресурсов, что затруднительно для малого бизнеса.
- Бюрократизация — планы могут становиться чрезмерно детализированными и негибкими, что снижает их практическую ценность в условиях быстро меняющихся угроз.
- Недооценка человеческого фактора — многие планы не учитывают психологическое состояние сотрудников в кризисной ситуации (паника, стресс).
- Сложность моделирования — невозможно предсказать все возможные сценарии, особенно комбинированные (например, кибератака во время природного катаклизма).
- Проблемы с тестированием — полномасштабные учения могут нарушать текущую деятельность, а столповые учения не выявляют скрытых проблем.
Связь с другими дисциплинами
BCP тесно связано с:
- Управлением рисками — BCP является частью системы управления рисками, направленной на снижение последствий реализации рисков.
- Информационной безопасностью — защита данных и ИТ-инфраструктуры — ключевой элемент BCP.
- Антикризисным управлением — BCP обеспечивает операционную готовность, а антикризисное управление — коммуникацию и принятие решений во время кризиса.
- Управлением цепочками поставок — сбои у поставщиков могут быть критическими для бизнеса.
Источники
- ISO 22301:2019 «Системы менеджмента непрерывности бизнеса. Требования».
- Положение Банка России от 16.12.2020 № 719-П «О требованиях к обеспечению непрерывности деятельности кредитных организаций и банковских групп».
- Федеральный закон от 21.12.1994 № 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера».
- Business Continuity Institute (BCI) — Good Practice Guidelines (GPG), 2023 edition.
- Herbane, B. (2010). «The evolution of business continuity management: A historical review». Journal of Business Continuity & Emergency Planning.
- Gibb, F., & Buchanan, S. (2006). «A framework for business continuity management». International Journal of Information Management.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →