Открыть сервис

Планирование непрерывности бизнеса

Планирование непрерывности бизнеса (англ. Business Continuity Planning, BCP) — это управленческий процесс, направленный на создание и поддержание системы организационных, технических и финансовых мер, обеспечивающих способность организации продолжать свою деятельность (или быстро восстановить её) в случае возникновения значительных сбоев, кризисов или катастроф. Ключевая цель BCP — минимизация ущерба для бизнеса, защита репутации, сохранение ключевых операций и соблюдение нормативных требований в условиях чрезвычайных ситуаций.

История и развитие

Истоки

Первые формальные подходы к обеспечению непрерывности возникли в 1970-х годах в сфере информационных технологий (ИТ). Основное внимание уделялось восстановлению компьютерных систем и данных после сбоев (Disaster Recovery Planning, DRP). Толчком к развитию послужили крупные технологические аварии и осознание уязвимости бизнеса перед потерей цифровых активов.

Эволюция в 1990-е — 2000-е годы

С ростом глобализации и зависимости от информационных систем BCP расширилось до общеорганизационного уровня. В 1990-х годах начали появляться профессиональные ассоциации (например, Business Continuity Institute, BCI, основанный в 1994 году в Великобритании) и международные стандарты. После терактов 11 сентября 2001 года в США и серии природных катастроф (цунами в Индийском океане в 2004 году, ураган «Катрина» в 2005 году) BCP стало обязательным элементом корпоративного управления во многих отраслях, особенно в финансовом секторе и здравоохранении.

Современный этап

В 2010-е — 2020-е годы BCP интегрировалось с управлением рисками, информационной безопасностью и антикризисным менеджментом. Пандемия COVID-19 (2020—2021) стала крупнейшим стресс-тестом для BCP: выявила необходимость учёта удалённой работы, перебоев в цепочках поставок и массовых заболеваний сотрудников. Современные практики BCP всё чаще опираются на облачные технологии, автоматизацию и сценарное моделирование.

Ключевые понятия и термины

BCP оперирует рядом специфических терминов, закреплённых в международных стандартах (например, ISO 22301):

  • Непрерывность бизнеса (Business Continuity, BC) — способность организации продолжать поставку продуктов или услуг на приемлемом уровне в период сбоя.
  • План непрерывности бизнеса (BCP) — документированный набор процедур и ресурсов, необходимых для восстановления деятельности.
  • Восстановление после сбоя (Disaster Recovery, DR) — часть BCP, сфокусированная на восстановлении ИТ-инфраструктуры и данных.
  • Критическая бизнес-функция (Critical Business Function, CBF) — деятельность, прекращение которой наносит наибольший ущерб организации.
  • Максимально допустимый перерыв (Maximum Tolerable Period of Disruption, MTPD) — максимальное время, в течение которого организация может функционировать без выполнения критической функции.
  • Цель времени восстановления (Recovery Time Objective, RTO) — целевое время, необходимое для восстановления функции после сбоя.
  • Цель точки восстановления (Recovery Point Objective, RPO) — максимально допустимый объём потери данных (в единицах времени), который организация может допустить.
  • Анализ воздействия на бизнес (Business Impact Analysis, BIA) — процесс оценки последствий сбоев для бизнеса.

Этапы планирования непрерывности бизнеса

Процесс BCP обычно включает несколько последовательных этапов, описанных в стандартах ISO 22301 и BS 25999.

1. Инициация и управление проектом

На этом этапе определяются цели, объём, бюджет и сроки разработки BCP. Назначается ответственное лицо или команда (например, менеджер по непрерывности бизнеса). Формируется спонсорская поддержка со стороны высшего руководства.

2. Анализ воздействия на бизнес (BIA)

BIA — центральный этап, в ходе которого идентифицируются критические бизнес-функции, оцениваются последствия их простоя (финансовые, репутационные, юридические) и определяются MTPD, RTO и RPO для каждой функции. BIA проводится путём интервью с руководителями подразделений, анализа данных и сценарного моделирования.

3. Оценка рисков

Выявляются угрозы (природные, техногенные, человеческие, кибернетические) и оценивается вероятность их реализации. Результаты оценки рисков используются для приоритизации мер по снижению уязвимостей. Типичные угрозы: пожары, наводнения, кибератаки, сбои энергоснабжения, пандемии, сбои в цепочках поставок.

4. Разработка стратегий непрерывности

На основе BIA и оценки рисков выбираются способы обеспечения непрерывности для каждой критической функции. Стратегии могут включать:

  • Резервирование (дублирование оборудования, данных, персонала).
  • Альтернативные площадки (горячие, тёплые или холодные резервные центры).
  • Аутсорсинг (передача критических процессов внешним поставщикам).
  • Снижение зависимости (например, переход на облачные сервисы).
  • Обучение и перекрёстное замещение сотрудников.

5. Разработка планов и процедур

Создаётся документированный план непрерывности бизнеса (BCP), который включает:

  • Сценарии сбоев.
  • Пошаговые инструкции для каждой критической функции.
  • Списки контактов (сотрудники, поставщики, аварийные службы).
  • Описание цепочек принятия решений и эскалации.
  • Процедуры эвакуации и обеспечения безопасности.

6. Внедрение и обучение

План доводится до всех заинтересованных сторон. Проводятся тренинги, семинары и ознакомительные сессии для сотрудников. Особое внимание уделяется обучению кризисной команды.

7. Тестирование и аудит

Планы регулярно проверяются на практике. Типы тестирования:

  • Столповые учения (tabletop exercises) — обсуждение сценариев без реальных действий.
  • Функциональные тесты — проверка отдельных процедур (например, переключение на резервный сервер).
  • Полномасштабные учения — имитация реального сбоя с участием всех подразделений.

Результаты тестирования документируются, выявляются недостатки.

8. Поддержание и постоянное улучшение

BCP — это не статичный документ. Он должен пересматриваться и обновляться не реже одного раза в год, а также после каждого крупного инцидента, изменения бизнес-процессов, смены ключевого персонала или появления новых угроз. Внедряется цикл PDCA (Plan-Do-Check-Act).

Стандарты и нормативные требования

Международные стандарты

  • ISO 22301:2019 — «Системы менеджмента непрерывности бизнеса. Требования». Наиболее распространённый международный стандарт, на основе которого организации проходят сертификацию.
  • ISO 22313:2020 — Руководство по применению ISO 22301.
  • BS 25999 — Британский стандарт, предшественник ISO 22301 (сейчас заменён).

Отраслевые требования

  • Финансовый секторБанк России (РФ) устанавливает требования к непрерывности деятельности для кредитных организаций (Положение № 719-П). В международной практике — стандарты Базельского комитета по банковскому надзору.
  • Здравоохранение — требования к непрерывности оказания медицинской помощи при ЧС.
  • Государственные органы — обязательства по обеспечению непрерывности государственных услуг.

Применение в России

В Российской Федерации планирование непрерывности бизнеса регулируется рядом нормативных актов, в первую очередь для критически важных отраслей. Основные документы:

  • Федеральный закон № 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера».
  • Постановление Правительства РФ № 794 «О единой государственной системе предупреждения и ликвидации чрезвычайных ситуаций».
  • Положение Банка России № 719-П «О требованиях к обеспечению непрерывности деятельности кредитных организаций и банковских групп».
  • Стандарты в области информационной безопасности (ФСТЭК России, ФСБ России).

На практике BCP в российских компаниях часто реализуется в рамках систем менеджмента качества (ISO 9001) или систем менеджмента информационной безопасности (ISO 27001). В последние годы, особенно после пандемии COVID-19 и роста киберугроз, интерес к BCP со стороны среднего и крупного бизнеса значительно вырос.

Критика и ограничения

Несмотря на широкое признание, BCP имеет ряд недостатков:

  • Высокая стоимость — разработка, тестирование и поддержание планов требуют значительных ресурсов, что затруднительно для малого бизнеса.
  • Бюрократизация — планы могут становиться чрезмерно детализированными и негибкими, что снижает их практическую ценность в условиях быстро меняющихся угроз.
  • Недооценка человеческого фактора — многие планы не учитывают психологическое состояние сотрудников в кризисной ситуации (паника, стресс).
  • Сложность моделирования — невозможно предсказать все возможные сценарии, особенно комбинированные (например, кибератака во время природного катаклизма).
  • Проблемы с тестированием — полномасштабные учения могут нарушать текущую деятельность, а столповые учения не выявляют скрытых проблем.

Связь с другими дисциплинами

BCP тесно связано с:

  • Управлением рисками — BCP является частью системы управления рисками, направленной на снижение последствий реализации рисков.
  • Информационной безопасностью — защита данных и ИТ-инфраструктуры — ключевой элемент BCP.
  • Антикризисным управлением — BCP обеспечивает операционную готовность, а антикризисное управление — коммуникацию и принятие решений во время кризиса.
  • Управлением цепочками поставок — сбои у поставщиков могут быть критическими для бизнеса.

Источники

  1. ISO 22301:2019 «Системы менеджмента непрерывности бизнеса. Требования».
  2. Положение Банка России от 16.12.2020 № 719-П «О требованиях к обеспечению непрерывности деятельности кредитных организаций и банковских групп».
  3. Федеральный закон от 21.12.1994 № 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера».
  4. Business Continuity Institute (BCI) — Good Practice Guidelines (GPG), 2023 edition.
  5. Herbane, B. (2010). «The evolution of business continuity management: A historical review». Journal of Business Continuity & Emergency Planning.
  6. Gibb, F., & Buchanan, S. (2006). «A framework for business continuity management». International Journal of Information Management.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →