Открыть сервис

Система менеджмента непрерывности бизнеса

Система менеджмента непрерывности бизнеса (СМНБ, англ. Business Continuity Management System, BCMS) — это часть общей системы управления организацией, направленная на создание, внедрение, мониторинг, анализ и постоянное улучшение политик, процедур и ресурсов, необходимых для обеспечения непрерывности критически важных бизнес-процессов при возникновении инцидентов, сбоев или кризисных ситуаций. Основная цель СМНБ — минимизация негативного воздействия нарушений на деятельность организации, защита интересов заинтересованных сторон и обеспечение способности организации восстанавливать свои функции в приемлемые сроки. СМНБ базируется на принципах управления рисками, планирования реагирования на инциденты и восстановления деятельности.

История развития

Истоки и предпосылки

Концепция непрерывности бизнеса начала формироваться в 1970-х годах в США и Великобритании, когда организации, особенно в финансовом и ИТ-секторах, осознали критическую зависимость от компьютерных систем. Первоначально акцент делался на восстановлении ИТ-инфраструктуры после сбоев (Disaster Recovery Planning). Однако после терактов 11 сентября 2001 года в Нью-Йорке, а также крупных природных катастроф (ураганы, наводнения) стало очевидно, что необходимо более комплексное управление, охватывающее все аспекты деятельности, включая персонал, помещения, цепочки поставок и репутацию.

Стандартизация

В 2003 году в Великобритании был опубликован стандарт BS 25999-1, который стал первым систематизированным руководством по управлению непрерывностью бизнеса. В 2006 году вышла его вторая часть (BS 25999-2), устанавливающая требования к СМНБ. На основе британского опыта Международная организация по стандартизации (ISO) в 2012 году выпустила международный стандарт ISO 22301:2012 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования». В 2019 году была принята актуализированная версия — ISO 22301:2019. В России действует национальный стандарт ГОСТ Р ИСО 22301-2014, идентичный международному.

Ключевые принципы и элементы

Цикл PDCA (Plan-Do-Check-Act)

СМНБ, как и другие системы менеджмента (например, ISO 9001), строится на циклической модели постоянного улучшения:

  • Plan (Планирование): Определение политики, целей, ресурсов, проведение анализа рисков и оценки воздействия на бизнес (BIA).
  • Do (Внедрение): Разработка и реализация процедур, планов непрерывности и восстановления, обучение персонала.
  • Check (Проверка): Мониторинг, измерение показателей, проведение учений и аудитов.
  • Act (Действие): Анализ результатов, корректирующие и предупреждающие действия, улучшение системы.

Оценка воздействия на бизнес (BIA)

Центральный элемент планирования. BIA (Business Impact Analysis) позволяет определить:

  • Критически важные процессы, без которых организация не может функционировать.
  • Допустимые периоды простоя (Maximum Tolerable Period of Disruption, MTPD) — максимальное время, в течение которого процесс может быть нарушен без катастрофических последствий.
  • Целевые точки восстановления (Recovery Time Objective, RTO) — время, в течение которого процесс должен быть восстановлен после инцидента.
  • Целевые точки восстановления данных (Recovery Point Objective, RPO) — максимально допустимый объём потери данных (например, не более 1 часа).

Оценка рисков

Анализ вероятности и последствий различных угроз: природные катастрофы, техногенные аварии, кибератаки, сбои в цепочках поставок, человеческие ошибки, умышленные действия (саботаж, терроризм). На основе оценки разрабатываются меры по снижению рисков.

Структура и документация

Политика непрерывности бизнеса

Документ высшего уровня, определяющий общие намерения и направления деятельности организации в области СМНБ. Утверждается высшим руководством.

Планы непрерывности и восстановления

Детализированные документы, регламентирующие действия в конкретных сценариях:

  • План реагирования на инциденты: Описывает немедленные действия при возникновении чрезвычайной ситуации (эвакуация, оповещение, организация кризисного штаба).
  • План непрерывности бизнеса: Определяет альтернативные процедуры для поддержания критически важных процессов в условиях нарушения (например, работа с удалёнными сотрудниками, использование резервных офисов).
  • План восстановления деятельности: Регламентирует возврат к нормальному режиму работы после устранения последствий инцидента.

Роли и ответственность

Назначаются ответственные лица:

  • Руководитель СМНБ (менеджер по непрерывности бизнеса): Оперативное управление системой.
  • Кризисная команда (Crisis Management Team): Принимает стратегические решения в условиях кризиса.
  • Владельцы процессов: Отвечают за реализацию планов в своих подразделениях.

Внедрение и сертификация

Этапы внедрения

  1. Инициация: Получение обязательств от руководства, назначение ответственных, определение области применения.
  2. Анализ: Проведение BIA и оценки рисков.
  3. Разработка: Создание политики, планов, процедур, документации.
  4. Внедрение: Обучение персонала, проведение учений (настольные, функциональные, полномасштабные), развёртывание резервных мощностей.
  5. Эксплуатация: Мониторинг, аудиты, анализ со стороны руководства.
  6. Улучшение: Корректировка планов по результатам учений, аудитов и изменений в бизнесе.

Сертификация

Организация может пройти добровольную сертификацию на соответствие требованиям ISO 22301 (или ГОСТ Р ИСО 22301). Сертификация проводится аккредитованными органами (например, Bureau Veritas, TÜV SÜD, SGS). Наличие сертификата повышает доверие клиентов, партнёров и регуляторов, а также может быть обязательным требованием в некоторых отраслях (банковский сектор, телекоммуникации, государственные закупки).

Применение в различных отраслях

Финансовый сектор

Банки, страховые компании и биржи обязаны обеспечивать непрерывность операций с денежными средствами и данными клиентов. В России требования к СМНБ для кредитных организаций устанавливаются Центральным банком РФ (Положение № 719-П). Нарушение может привести к системным рискам.

Промышленность и энергетика

Для предприятий непрерывного цикла (нефтепереработка, химическая промышленность, электростанции) остановка производства влечёт огромные убытки и аварии. СМНБ включает резервирование критического оборудования, аварийные остановки и планы быстрого перезапуска.

Информационные технологии

Изначально СМНБ выросла из IT-аварийного восстановления. Включает резервное копирование, создание центров обработки данных (ЦОД) в разных географических точках, защиту от кибератак (в связке с системами менеджмента информационной безопасности — СМИБ, ISO 27001).

Государственное управление и здравоохранение

Органы власти и больницы должны обеспечивать непрерывность предоставления услуг населению в условиях чрезвычайных ситуаций (пандемии, теракты, природные катаклизмы). Например, в период пандемии COVID-19 многие организации перешли на удалённую работу, что потребовало адаптации планов непрерывности.

Критика и ограничения

Сложность и стоимость

Разработка и поддержание СМНБ требуют значительных финансовых и временных затрат, особенно для малых и средних предприятий. Документооборот может быть избыточным.

Формальный подход

В некоторых организациях СМНБ существует только на бумаге (для прохождения аудита или получения сертификата), а реальные учения не проводятся или проводятся неэффективно. Это снижает практическую ценность системы.

Неучёт человеческого фактора

Планы часто разрабатываются без учёта реального поведения людей в стрессовых ситуациях. В условиях паники сотрудники могут игнорировать инструкции.

Быстрое устаревание

Бизнес-процессы, технологии и угрозы постоянно меняются. Если СМНБ не обновляется регулярно, она перестаёт быть актуальной.

Интересные факты

  • После урагана «Катрина» (2005) в США многие компании, имевшие СМНБ, смогли возобновить работу в течение нескольких дней, в то время как конкуренты без системы — в течение недель или месяцев.
  • Крупнейшее в истории учение по непрерывности бизнеса «Cyber Storm» (США) имитирует масштабные кибератаки на критическую инфраструктуру и проводится с участием сотен организаций.
  • В России требования к СМНБ для системообразующих предприятий (включая оборонно-промышленный комплекс) регулируются Федеральным законом № 390-ФЗ «О безопасности» и рядом подзаконных актов.

Источники

  • ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements»
  • ГОСТ Р ИСО 22301-2014 «Менеджмент непрерывности бизнеса. Общие требования»
  • Положение Банка России № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств...» (в части непрерывности)
  • Федеральный закон от 28.12.2010 № 390-ФЗ «О безопасности»
  • Руководство по управлению непрерывностью бизнеса (BCI Good Practice Guidelines, 2023)

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →