Система менеджмента непрерывности бизнеса
Система менеджмента непрерывности бизнеса (СМНБ, англ. Business Continuity Management System, BCMS) — это часть общей системы управления организацией, направленная на создание, внедрение, мониторинг, анализ и постоянное улучшение политик, процедур и ресурсов, необходимых для обеспечения непрерывности критически важных бизнес-процессов при возникновении инцидентов, сбоев или кризисных ситуаций. Основная цель СМНБ — минимизация негативного воздействия нарушений на деятельность организации, защита интересов заинтересованных сторон и обеспечение способности организации восстанавливать свои функции в приемлемые сроки. СМНБ базируется на принципах управления рисками, планирования реагирования на инциденты и восстановления деятельности.
История развития
Истоки и предпосылки
Концепция непрерывности бизнеса начала формироваться в 1970-х годах в США и Великобритании, когда организации, особенно в финансовом и ИТ-секторах, осознали критическую зависимость от компьютерных систем. Первоначально акцент делался на восстановлении ИТ-инфраструктуры после сбоев (Disaster Recovery Planning). Однако после терактов 11 сентября 2001 года в Нью-Йорке, а также крупных природных катастроф (ураганы, наводнения) стало очевидно, что необходимо более комплексное управление, охватывающее все аспекты деятельности, включая персонал, помещения, цепочки поставок и репутацию.
Стандартизация
В 2003 году в Великобритании был опубликован стандарт BS 25999-1, который стал первым систематизированным руководством по управлению непрерывностью бизнеса. В 2006 году вышла его вторая часть (BS 25999-2), устанавливающая требования к СМНБ. На основе британского опыта Международная организация по стандартизации (ISO) в 2012 году выпустила международный стандарт ISO 22301:2012 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования». В 2019 году была принята актуализированная версия — ISO 22301:2019. В России действует национальный стандарт ГОСТ Р ИСО 22301-2014, идентичный международному.
Ключевые принципы и элементы
Цикл PDCA (Plan-Do-Check-Act)
СМНБ, как и другие системы менеджмента (например, ISO 9001), строится на циклической модели постоянного улучшения:
- Plan (Планирование): Определение политики, целей, ресурсов, проведение анализа рисков и оценки воздействия на бизнес (BIA).
- Do (Внедрение): Разработка и реализация процедур, планов непрерывности и восстановления, обучение персонала.
- Check (Проверка): Мониторинг, измерение показателей, проведение учений и аудитов.
- Act (Действие): Анализ результатов, корректирующие и предупреждающие действия, улучшение системы.
Оценка воздействия на бизнес (BIA)
Центральный элемент планирования. BIA (Business Impact Analysis) позволяет определить:
- Критически важные процессы, без которых организация не может функционировать.
- Допустимые периоды простоя (Maximum Tolerable Period of Disruption, MTPD) — максимальное время, в течение которого процесс может быть нарушен без катастрофических последствий.
- Целевые точки восстановления (Recovery Time Objective, RTO) — время, в течение которого процесс должен быть восстановлен после инцидента.
- Целевые точки восстановления данных (Recovery Point Objective, RPO) — максимально допустимый объём потери данных (например, не более 1 часа).
Оценка рисков
Анализ вероятности и последствий различных угроз: природные катастрофы, техногенные аварии, кибератаки, сбои в цепочках поставок, человеческие ошибки, умышленные действия (саботаж, терроризм). На основе оценки разрабатываются меры по снижению рисков.
Структура и документация
Политика непрерывности бизнеса
Документ высшего уровня, определяющий общие намерения и направления деятельности организации в области СМНБ. Утверждается высшим руководством.
Планы непрерывности и восстановления
Детализированные документы, регламентирующие действия в конкретных сценариях:
- План реагирования на инциденты: Описывает немедленные действия при возникновении чрезвычайной ситуации (эвакуация, оповещение, организация кризисного штаба).
- План непрерывности бизнеса: Определяет альтернативные процедуры для поддержания критически важных процессов в условиях нарушения (например, работа с удалёнными сотрудниками, использование резервных офисов).
- План восстановления деятельности: Регламентирует возврат к нормальному режиму работы после устранения последствий инцидента.
Роли и ответственность
Назначаются ответственные лица:
- Руководитель СМНБ (менеджер по непрерывности бизнеса): Оперативное управление системой.
- Кризисная команда (Crisis Management Team): Принимает стратегические решения в условиях кризиса.
- Владельцы процессов: Отвечают за реализацию планов в своих подразделениях.
Внедрение и сертификация
Этапы внедрения
- Инициация: Получение обязательств от руководства, назначение ответственных, определение области применения.
- Анализ: Проведение BIA и оценки рисков.
- Разработка: Создание политики, планов, процедур, документации.
- Внедрение: Обучение персонала, проведение учений (настольные, функциональные, полномасштабные), развёртывание резервных мощностей.
- Эксплуатация: Мониторинг, аудиты, анализ со стороны руководства.
- Улучшение: Корректировка планов по результатам учений, аудитов и изменений в бизнесе.
Сертификация
Организация может пройти добровольную сертификацию на соответствие требованиям ISO 22301 (или ГОСТ Р ИСО 22301). Сертификация проводится аккредитованными органами (например, Bureau Veritas, TÜV SÜD, SGS). Наличие сертификата повышает доверие клиентов, партнёров и регуляторов, а также может быть обязательным требованием в некоторых отраслях (банковский сектор, телекоммуникации, государственные закупки).
Применение в различных отраслях
Финансовый сектор
Банки, страховые компании и биржи обязаны обеспечивать непрерывность операций с денежными средствами и данными клиентов. В России требования к СМНБ для кредитных организаций устанавливаются Центральным банком РФ (Положение № 719-П). Нарушение может привести к системным рискам.
Промышленность и энергетика
Для предприятий непрерывного цикла (нефтепереработка, химическая промышленность, электростанции) остановка производства влечёт огромные убытки и аварии. СМНБ включает резервирование критического оборудования, аварийные остановки и планы быстрого перезапуска.
Информационные технологии
Изначально СМНБ выросла из IT-аварийного восстановления. Включает резервное копирование, создание центров обработки данных (ЦОД) в разных географических точках, защиту от кибератак (в связке с системами менеджмента информационной безопасности — СМИБ, ISO 27001).
Государственное управление и здравоохранение
Органы власти и больницы должны обеспечивать непрерывность предоставления услуг населению в условиях чрезвычайных ситуаций (пандемии, теракты, природные катаклизмы). Например, в период пандемии COVID-19 многие организации перешли на удалённую работу, что потребовало адаптации планов непрерывности.
Критика и ограничения
Сложность и стоимость
Разработка и поддержание СМНБ требуют значительных финансовых и временных затрат, особенно для малых и средних предприятий. Документооборот может быть избыточным.
Формальный подход
В некоторых организациях СМНБ существует только на бумаге (для прохождения аудита или получения сертификата), а реальные учения не проводятся или проводятся неэффективно. Это снижает практическую ценность системы.
Неучёт человеческого фактора
Планы часто разрабатываются без учёта реального поведения людей в стрессовых ситуациях. В условиях паники сотрудники могут игнорировать инструкции.
Быстрое устаревание
Бизнес-процессы, технологии и угрозы постоянно меняются. Если СМНБ не обновляется регулярно, она перестаёт быть актуальной.
Интересные факты
- После урагана «Катрина» (2005) в США многие компании, имевшие СМНБ, смогли возобновить работу в течение нескольких дней, в то время как конкуренты без системы — в течение недель или месяцев.
- Крупнейшее в истории учение по непрерывности бизнеса «Cyber Storm» (США) имитирует масштабные кибератаки на критическую инфраструктуру и проводится с участием сотен организаций.
- В России требования к СМНБ для системообразующих предприятий (включая оборонно-промышленный комплекс) регулируются Федеральным законом № 390-ФЗ «О безопасности» и рядом подзаконных актов.
Источники
- ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements»
- ГОСТ Р ИСО 22301-2014 «Менеджмент непрерывности бизнеса. Общие требования»
- Положение Банка России № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств...» (в части непрерывности)
- Федеральный закон от 28.12.2010 № 390-ФЗ «О безопасности»
- Руководство по управлению непрерывностью бизнеса (BCI Good Practice Guidelines, 2023)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →