Оглавление

Часть 1

Используемые термины

Используемая во второй части стандарта BS 25999 терминология расширилась по сравнению первой частью и стала больше соответствовать терминологии других стандартов по системам менеджмента (см. табл.1).:

Таблица №1

ТерминBS 25999-1BS 25999-2Комментарий
АудитотсутствуетРегулярная проверка того, соответствуют ли описанные в документах меры восстановления и реагирования стоящим перед ними целямОсновным способом подтверждения соответствия организации требованиям стандарта является проведение независимого аудита
Внутренний аудитотсутствуетАудит, проводимый самой организацией или от ее имени, в результате которого могут быть получены основания для заявления организацией о соблюдении ею соответствующих требованийБолее мягкая форма проверки качества мер реагирования и восстановления, которую организация может использовать, если ей не требуется получение сертификата соответствия
Персонал по управлению непрерывностью бизнесаотсутствуетСотрудники, чьи обязанности и сфера деятельности связана с системой управления непрерывностью деятельностиЛюди являются ключевой частью любого процесса, поэтому полное отсутствие терминов, связанных с участниками процесса управления непрерывностью бизнеса выглядело странно
Реагирование в рамках управления непрерывностью бизнесаотсутствуетЭлемент УНБ, связанный с разработкой и реализацией надлежащих планов и мероприятий, направленных на обеспечение непрерывности критически важных видов деятельности, а также управление инцидентамиРасширение понятия «план управления инцидентами», который использовался в первой части стандарта, но не охватывал всех аспектов реагирования.
Планирование мероприятий на случай чрезвычайных ситуацийРазработка и поддержание согласованных процедур по предупреждению, уменьшению масштабов, контролю, смягчению последствий и принятию других мер в случае наступления гражданской чрезвычайной ситуацииотсутствуетПоскольку вторая часть стандарта четко привязана к методологии ПРПД, в ней появились термины соответствующие всем стадиям этой методологии
Несоблюдение требованийотсутствуетЛюбое отклонение от соответствующих стандартов выполнения работ, методов, процедур, законодательных требований и т.п.В первой части стандарта не было четкого определения того, в каких случаях происходит активация мер и планов реагирования на ЧС
ПроцессотсутствуетРяд взаимосвязанных или взаимодействующих видов деятельности, с помощью которых ресурсы преобразуются в результатыОдин из неспецифических терминов, необходимый для определения ключевого термина «Управление непрерывностью бизнеса»
РесурсыотсутствуетВсе активы, которыми должна располагать организация для использования по мере необходимости с целью осуществления деятельности и достижения своих целейВ методиках описания процессов ресурсы являются одним из важных компонентов.
Готовность к принятию рискаОбщая величина риска, который организация готова принять, перенести или действию которого готова подвергнуться в любой момент времениотсутствуетЭтот термин оказалось возможным заменить на более распространенные термины риск менеджмента: риск, оценка риска и управление рисками
СистемаотсутствуетНабор взаимосвязанных или взаимодействующих элементовОдин из неспецифических терминов, который используется для определения других терминов
Система управленияотсутствуетСистема, направленная на определение политики и целей, а также на достижение этих целейОдин из неспецифических терминов, который используется для определения других терминов
Система управления непрерывностью бизнесаотсутствуетЧасть общей системы управления организации, охватывающая все аспекты управления непрерывностьюТермин введен взамен менее четкого термина «Программа управления непрерывности бизнеса»

Предшественником стандартов серии 25999 был документ BSI PAS 56:2003. Его терминология претерпела значительные изменения. Большое количество понятий совершенно справедливо не вошло в стандарт, поскольку их смысл был со временем уточнен, а многие были заменены более распространенными терминами. 

Применяемые  сокращения

АббревиатураРасшифровкаПояснение
Цикл ПРПДЦикл Планирование-Реализация-Проверка-ДействиеШироко распространенный метод непрерывного улучшения качества. Другие названия — цикл Деминга, колесо Деминга или спираль непрерывного улучшения. Он был разработан в 1920-х гг. выдающимся экспертном по статистике Shewhart Mr. Walter, который ввел концепцию Plan, Do and See (Планируй, Делай и Смотри). Деминг модифицировал цикл Shewart на: PLAN, DO, STUDY (CHECK) and ACT (ПЛАНИРУЙ, ДЕЛАЙ, ИЗУЧАЙ и ДЕЙСТВУЙ).
УНБУправление Непрерывностью БизнесаЦелостный процесс управления, в рамках которого выявляются угрозы, оцениваются возможные последствия их реализации и внедряются превентивные и восстановительные меры
СУНБСистема Управления Непрерывностью БизнесаЧасть общей системы управления организацией, связанная с разработкой, внедрением, использованием и совершенствованием непрерывности бизнеса

Содержание стандарта BS 25999-2

Содержательная часть стандарта разбита на четыре раздела, которые соответствуют циклу Деминга: Планирование-Реализация-Проверка-Действие (Plan-Do-Check-Act). Он служит основой для многих других стандартов по системам управления, таких как BS EN ISO 9001:2000 (Системы управления качеством), BS EN ISO 14001:2004 (Системы управления окружающей средой), BS ISO/IEC 27001:2005 (Системы управления информационной безопасностью) и BS ISO/IEC 20000:2005 (Управление ИТ сервисами). Благодаря использованию единой методической базы внедрение становится последовательным и комплексным, а применение управления непрерывностью бизнеса хорошо сочетается с родственными системами управления. В данном конкретном случае этапы цикла ПРПД соответствуют следующим разделам стандарта:

  • этап Plan соответствует разделу Планирование СУНБ;
  • этап Do – разделу Внедрение и эксплуатация СУНБ;
  • этап Check – разделу Мониторинг и анализ СУНБ;
  • этап Act – разделу Сопровождение и совершенствование СУНБ.

Рис. 1. Интерпретация цикла ПРПД в стандарте ВS 25999

В данном номере приведены комментарии к первым двум из четырех частей стандарта.

Планирование системы управления непрерывностью бизнеса

Раздел 3 содержит описание требований, предъявляемых к различным аспектам процедуры планирования системы управления непрерывностью бизнеса (первого этапа цикла ПРПД).
Раздел 3.1. Общие положения
Раздел 3.2. Создание и управление СУНБ
Раздел 3.2.1. Рамки и цели СУНБ
Раздел 3.2.2. Политика УНБ
Раздел 3.2.3. Обеспечение ресурсами
Раздел 3.2.4. Компетентность персонала, участвующего в УНБ
Раздел 3.3. Внедрение УНБ в культуру организации
Раздел 3.4. Документация и записи по СУНБ
Раздел 3.4.1. Общие положения
Раздел 3.4.2. Управление записями по СУНБ
Раздел 3.4.3. Управление документацией по СУНБ

Комментарии к разделу 3.1 стандарта BS 25999-2

1.   Вводный раздел 3.1 посвящен четырем этапам жизненного цикла системы управления непрерывностью бизнеса. В соответствии с циклом ПРПД этими этапами являются разработка, внедрение, поддержание и совершенствование. Отдельно упоминается требование фиксировать на бумаге положения системы управления непрерывностью бизнеса. Остальные требования, предъявляемые к процессу планирования СУНБ, подробно описаны в разделах 3.2-3.4.

Комментарии к разделу 3.2 стандарта BS 25999-2

  1. Раздел 3.2 содержит описание требований, предъявляемых при создании СУНБ и в процессе последующего управления ею. В преамбуле раздела выделены три цели, которые должны быть достигнуты на первом этапе.
  2. При создании СУНБ в качестве первой цели важно четко определить задачи, стоящие перед СУНБ, которые должны быть указаны высшим руководством организации и доведены до всех предполагаемых участников УНБ и других сотрудников, деятельность которых будет влиять или зависеть от процесса УНБ.
  3. Второй целью на стадии учреждения и управления СУНБ является вовлечение руководителей организации в процесс обеспечения непрерывности бизнеса. Их участие может выражаться в регулярном отслеживании процесса внедрения, обеспечении СУНБ необходимыми ресурсами, ознакомлении с регламентами и другими документами, создаваемыми в рамках СУНБ, и выполнении прописанных в них требований. Они также принимают участие в обучении и тренингах, посвященных непрерывности бизнеса.
  4. Наконец, в качестве третьей цели указана необходимость удостовериться в том, что ответственные за УНБ сотрудники имеют достаточную квалификацию. Стоит заметить, что не во всякой организации есть достаточное количество специалистов, имеющих богатый опыт в области непрерывности бизнеса уже в самом начале проекта по внедрению СУНБ, что не должно служить причиной для отказа от подобного проекта. Нужный уровень квалификации достигается достаточно быстро благодаря обучению на специализированных курсах, чтению соответствующей литературы и, самое главное, получению практического опыта.

Комментарии к разделу 3.2.1 стандарта BS 25999-2

  1. В разделе рассматриваются требования к тому, какими характеристиками должны обладать границы и цели создания СУНБ, а также вопросы, которым надо уделить особое внимание при их формулировании.
  2. В подразделе 3.2.1.1 перечислены пять вопросов, которые должны учитываться при описании границ СУНБ и целей УНБ.
  3. Задавая границы СУНБ и цели УНБ, должны быть сформулированы требования, предъявляемые к обеспечению непрерывности. Под ними подразумеваются оценки допустимого времени простоя, размер ущерба, объем потерянных данных, допустимая степень деградации бизнес-процессов и другие количественные параметры.
  4. При описании границ СУНБ и целей УНБ должны быть учтены обязательства организации перед клиентами и партнерами, а также ее цели, стремление к достижению которых было объявлено публично и отказ от достижения которых нанесет ущерб репутации организации.
  5. Описывая границы СУНБ и цели УНБ, необходимо принимать во внимание риск-аппетит руководства организации. Низкий риск-аппетит означает более низкий уровень приемлемого риска, что подразумевает более жесткие меры по обеспечению непрерывности деятельности. Более подробно риски рассматриваются в разделе стандарта 4.2.1.
  6. Если в организации уже существует процесс управления рисками, в рамках которого разработаны регламентирующие документы, например, политика управления рисками, то границы и цели СУНБ необходимо разрабатывать на основе этих документов.
  7. При формулировании целей СУНБ обязательно нужно учесть требования существующего законодательства, российских, международных и отраслевых стандартов, а также требования, вытекающие из обязательств перед клиентами и партнерами. Пока в Российской Федерации нет законодательных актов в области непрерывности деятельности, относящихся ко всем хозяйствующим субъектам. Наиболее подробно разработаны нормативные документы, регулирующие деятельность финансовых организаций, относящиеся к непрерывности бизнеса, в числе которых можно упомянуть положение ЦБР от 16 декабря 2003 г. N 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» и отраслевой стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». В других отраслях УНБ упоминается вскользь в документах, посвященных другим темам, например, Приказ Министерства информационных технологий и связи Российской Федерации от 2 июля 2007 г. №73 «Об утверждении правил применения автоматизированных систем расчетов». Помимо нормативных актов в России был принят стандарт СТО БР ИББС-1.0-2006 ГОСТ Р ИСО/МЭК 27001-2006 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности», часть которого также касается вопросов обеспечения непрерывности деятельности.
  8. При описании границ СУНБ и целей УНБ следует учитывать возможные финансовые потери различных заинтересованных сторон (собственники, акционеры, клиенты, партнеры, аварийные службы, страховые компании, кредитные организации, регулирующие органы и т.д.), вызванные перерывом
    в деятельности организации.  Защита их интересов также может входить в число целей СУНБ.
  9. В подразделе 3.2.1.2 содержится требование четко обозначить, какие из предоставляемых организацией продуктов и/или услуг являются ключевыми. и, соответственно, обязательно должны быть включены в рамки СУНБ.
    В их число могут входить продукты или услуги, как предоставляемые клиентам организации, т.е. внешние, так и одним подразделением другому, т.е. внутренние. При выборе ключевых продуктов и услуг важно хорошо понимать их роль для осуществления деятельности компании. В качестве примера можно привести обеспечение бесперебойной работы ИТ-сервиса автоматизированной обработки персональных данных работников. Хотя этот сервис относится к поддерживающим, но юридические, политические и имиджевые риски, в случае его длительной недоступности, могут оказаться неприемлемо высокими.

Комментарии к разделу 3.2.2 стандарта BS 25999-2

  1. В разделе 3.2.2 подробно рассматривается содержание такого важного документа как политика УНБ – условия, которые обязательно должны быть соблюдены при ее создании и дальнейшей с ней работе.
  2. Отдельный подраздел 3.2.2.1 посвящен высшему руководству. В контексте политики УНБ его роль заключается в том, чтобы, в первую очередь, оно само знало, соблюдало и способствовало совершенствованию политики УНБ.
  3. В подразделе 3.2.2.2 указано, что политика УНБ должна быть связана с целями и границами обеспечения непрерывности деятельности организации. Приводимые в политике характеристики границ могут содержать как описание того, что обязательно должно в них войти, так и явные исключения, т.е. те продукты и услуги, которые не считаются критичными и не входят в СУНБ.
  4. В подразделе 3.2.2.3 указаны три условия, которые необходимо соблюдать в рамках жизненного цикла документа «Политика УНБ».
  5. Во-первых, в любой момент времени политика должна оставаться согласованной с высшим руководством организации. Политика – это документ высокого уровня, который используется руководителями при принятии решений, поэтому он должен пользоваться их одобрением.
  6. Во-вторых, политику УНБ должны учитывать в своей работе все сотрудники организации, а также лица, работающие от ее имени. По этой причине в стандарте четко прописано требование ознакомить с политикой всех постоянных и временных сотрудников.
  7. В-третьих, по мере развития организации ее цели в области УНБ также будут меняться. В связи с этим в стандарт включено требование обязательного обновления политики. Оно может происходить как регулярно (зачастую, один раз в год), так и внепланово,
    в случае значительных изменений в деятельности организации, например, слияния или поглощения другой организации.

Комментарии к разделу 3.2.3 стандарта BS 25999-2

  1. В разделе 3.2.3 рассматриваются вопросы, которые относятся к обеспечению процесса внедрения и поддержания СУНБ различными ресурсами.
  2. Подраздел 3.2.3.1 содержит единственное требование о предоставлении руководством ресурсов, необходимых на всех этапах разработки СУНБ – проектирования, внедрения, использования и совершенствования.
  3. В подразделе 3.2.3.2 речь идет об организации распределения ресурсов. С этой целью необходимо зафиксировать на бумаге роли, соответствующие им зоны ответственности, требуемые уровень квалификации и полномочия всех участников процесса УНБ. Распределение ресурсов, предоставляемых со­труднику, будет логично поставить в зависимость от степени его вовлеченности/ответственности в рамках СУНБ.
  4. Отдельный подраздел 3.2.3.3 посвящен использованию такого важного ресурса как участие высшего руководства. Он должен использоваться для решения двух задач.
  5. Для назначения сотрудника, который будет нести ответственность за выполнение политики и внедрение СУНБ в организации. Он должен обладать соответствующим статусом и полномочиями. В российских компаниях его положение в организационной структуре часто бывает не слишком высоким, что ставит под угрозу успешность всего начинания. Стоит взглянуть на пример западных компаний, где Директор по непрерывности бизнеса подчиняется напрямую исполнительному директору. Такой высокий статус легко объясним. Данный сотрудник должен иметь возможность изменять устоявшуюся структуру бизнес-процессов и влиять на деятельность самых различных бизнес-подразделений.
  6. Для назначения одного или нескольких сотрудников, в обязанности которых войдет внедрение и поддержание СУНБ. В организациях, чей штат насчитывает несколько сот человек, для внедрения и поддержания в актуальном состоянии СУНБ потребуются усилия нескольких человек. Причем решение этой задачи по мере внедрения СУНБ будет отнимать все большую часть рабочего времени, что приведет к необходимости создания отдельного структурного подразделения, занимающегося только СУНБ.

Комментарии к разделу 3.2.4 стандарта BS 25999-2

  1. Раздел 3.2.4 посвящен вопросам обеспечения компетентности сотрудников, участвующих в процессе УНБ, как одного из важнейших ресурсов для успешного внедрения СУНБ. Прежде всего, в стандарте провозглашено, что ответственность за уровень компетентности сотрудников лежит на руководстве. Для решения этой задачи предлагается выполнять следующие пять шагов.
  2. Шаг первый – определить сферу ответственности каждого из участвующих в процессе УНБ сотрудников и его уровень компетентности, который требуется для выполнения возложенных обязанностей.
  3. Шаг второй – в случае несоответствия уровня компетентности сотрудника возложенным на него обязанностям констатировать необходимость его обучения и описать области, в которых требуется получение дополнительных знаний. Обучение может носить как теоретический, так и практический характер.
  4. Шаг третий – обучить сотрудника. Эта задача может быть решена как силами самой организации, так и третьей стороной, например, учебным центром или внешним консультантом.
  5. Шаг четвертый – удостовериться в том, что сотрудник приобрел необходимый уровень компетентности. Если сотрудник проходил обучение в независимом учебном центре, то, как правило, его минимальный уровень квалификации уже подтвержден сертификатом о сдаче выпускного экзамена или хотя бы о прохождении курса. Но более эффективным способом проверки, несомненно, служит проведение тренингов с участием обученного сотрудника и последующей оценкой действий стажера.
  6. Шаг пятый – зафиксировать факт получения необходимой квалификации, а также результаты проведенных учений. Эти записи играют важную роль особенно в том случае, если организация будет проходить внешний аудит на соответствие требованиям
    стандарта BS 25999.

Комментарии к разделу 3.3 стандарта BS 25999-2

  1. Раздел 3.3 посвящен условию успешности СУНБ в организации – вовлечению всех сотрудников организации в процесс УНБ. Оно является очень важным для организаций любого размера, с любой структурой и в любой сфере деятельности. Для обеспечения непрерывности деятельности соответствующие процедуры должны быть включены в штатные должностные инструкции и регламенты.
  2. В стандарте предлагается пять путей, способствующих внедрению задачи обеспечения непрерывности деятельности в корпоративную культуру.
  3. Во-первых, вовлеченность сотрудников предлагается достигать за счет обучения. Для новых сотрудников вопросы обеспечения непрерывности их деятельности должны входить в стандартную процедуру адаптации. В дополнение к процессу обучения должна быть организована регулярная процедура, оценивающая навыки обеспечения непрерывности деятельности. Если в организации уже существует регулярная аттестация сотрудников, она должна быть соответствующим образом дополнена.
  4. Во-вторых, все сотрудники должны быть осведомлены о целях организации в области УНБ. Им следует регулярно напоминать о важности их достижения. Очень важным будет личный пример руководства компании.
  5. В-третьих, все сотрудники должны ознакомиться с политикой непрерывности бизнеса организации и осознавать важность ее соблюдения. Здесь также хочется подчеркнуть большое значение личного примера руководства. Любые требования соблюдения политики будут малоэффективными, если поступки и решения руководства им противоречат.
  6. В-четвертых, до всех сотрудников необходимо донести мысль о том, что процесс УНБ не является окончательным и неизменным, что он должен и будет непрерывно улучшаться и совершенствоваться в соответствии с новыми условиями как внутри организации, так и за ее пределами. Тем самым руководство даст понять, что данное начинание – это не мимолетная прихоть и не дань моде, а стратегическое решение, призванное обеспечить долгосрочный устойчивый рост компании, что, в конечном итоге, выгодно самим сотрудникам.
  7. В-пятых, все сотрудники должны совершенствовать процесс УНБ. Важность этого требования трудно переоценить, поскольку непрерывность бизнеса в целом зависит от своевременных и эффективных действий каждого сотрудника на своем рабочем месте. Заставить кого-либо проявить инициативу невозможно, поэтому для выполнения данного требования следует использовать скорее разного рода поощрения, чем принуждение.

Комментарии к разделу 3.4 стандарта BS 25999-2

  1. В менеджменте часто встречается фраза «вы не можете управлять тем, что не можете измерить», а единственным способом управлять процессом является наличие документов и ведение записей. Описанию документов, которые должны входить в СУНБ, а также требованиям к средствам контроля и посвящен раздел 3.4.

Комментарии к разделу 3.4.1 стандарта BS 25999-2

  1. Раздел 3.4.1 содержит три подраздела, каждый из которых посвящен одному из элементов контроля эффективности и актуальности СУНБ. К ним относятся документы, записи и процедуры контроля.
  2. Стандарт не содержит списка документов, наличие которых обязательно для процесса управления непрерывностью бизнеса. Однако в подразделе 3.4.1.1 приведен перечень из 15 пунктов, которые в той или иной степени должны быть отражены в документации. Многие из них подробно описываются в других разделах стандарта.
  3. В документах СУНБ должны быть четко описаны ее границы и цели. Описанию требований, которым они должны удовлетворять, посвящен раздел стандарта 3.2.1. Обычно этот пункт бывает представлен не в виде отдельного документа, а как подраздел другого, более общего, например, политики УНБ.
  4. Должна быть сформулирована и зафиксирована на бумаге политика управления непрерывностью бизнеса. Предъявляемые к ней требования подробно изложены в разделе стандарта 3.2.2.
  5. В документах СУНБ должен быть рассмотрен вопрос выделения необходимых ресурсов. Этой теме посвящен раздел стандарта 3.2.3. Обычно этот вопрос описывается не в виде отдельного документа, а как подраздел другого, более общего, например, политики УНБ.
  6. В документах должны быть отражены результаты оценки компетентности участвующих в УНБ сотрудников, записи о мерах, предпринимаемых для ее повышения, и результаты учений. Данные записи могут вестись департаментами, ответственными за повышение квалификации, отделом кадров или специалистом, отвечающим за СУНБ. Подробнее эта тема разбирается в разделе стандарта 3.2.4.
  7. Желание обеспечить непрерывность деятельности организации должно иметь серьезное финансовое обоснование. Таким обоснованием служат результаты анализа влияния на бизнес, естественно, изложенные на бумаге. Исходная информация и сделанные выводы можно представить как в виде отдельного документа, так и в виде подраздела другого документа, например, стратегии непрерывности бизнеса. Требования, предъявляемые к содержанию анализа влияния на бизнес, подробно изложены в разделе стандарта 4.1.1.
  8. Помимо оценки возможного ущерба необходимо определить, что угрожает организации и каковы ее наиболее уязвимые места. Анализ угроз и уязвимостей также можно представить как в виде отдельного документа, так и в виде подраздела другого документа, например, стратегии непрерывности бизнеса. Требования, предъявляемые к содержанию анализа влияния на бизнес, подробно изложены в разделе стандарта 4.1.2.
  9. На основе анализа влияния на бизнес и анализа рисков должна быть разработана и зафиксирована на бумаге стратегия непрерывности бизнеса. Предъявляемые к ней требования изложены в разделе стандарта 4.2. Обычно стратегия излагается в виде отдельного документа.
  10. В организации должен быть сформулирован порядок действий в случае наступления инцидента. Он может иметь вид самостоятельного документа или быть включен в планы управления инцидентами. Предъявляемые к нему требования изложены в разделе стандарта 4.3.2.
  11. В организации должны быть написаны инструкции для сотрудников, описывающие действия в чрезвычайных ситуациях. К таким инструкциям относятся планы непрерывности бизнеса и планы управления инцидентами, требования к которым изложены в разделе стандарта 4.3.3. Обычно разрабатывается большое количество подобных планов, предназначенных для разных подразделений, руководителей разного ранга и различных типов ЧС.
  12. Процесс управления непрерывностью бизнеса должен регулярно тестироваться. Для обеспечения этого в организации должен существовать документ, описывающий стратегию или программу тестирования. Кроме того, необходимо протоколировать ход и результаты учений, которые также следует проводить на регулярной основе. Требования, предъявляемые к процессу тестирования существующих мер УНБ, описаны в разделе стандарта 4.4.2.
  13. Помимо тестирования реализованных мер обеспечения непрерывности деятельности в организации должны быть предусмотрены и описаны процедуры, которые позволяют отслеживать актуальность существующих мер УНБ, а также извлекать уроки из произошедших инцидентов. Описание этих процедур может быть представлено как в виде отдельного документа, так и быть включено в виде подраздела другого документа, например, стратегии актуализации СУНБ. Требования, предъявляемые к подобным процедурам, описаны в разделе стандарта 4.4.3.
  14. В организации должна быть описана процедура проведения внутреннего аудита. Проводить ее могут как представители подразделения внутреннего аудита, так и других подразделений. По результатам проведения аудита должны быть составлены отчеты. Более подробно требования к процедуре проведения внутренних аудитов СУНБ рассмотрены в разделе стандарта 5.1.
  15. Помимо внутреннего аудита система управления непрерывностью бизнеса должна регулярно пересматриваться высшим руководством организации. В ходе этой проверки руководство вносит изменения в границы и цели СУНБ, корректирует политику и другие высокоуровневые документы. Результаты этой проверки-пересмотра фиксируются для последующего внесения корректив в документы. Требования, предъявляемые к процедуре проведения управленческого пересмотра1, подробнее описываются в разделе стандарта 5.2.
  16. В организации должны быть описаны процедуры выполнения превентивных действий, предотвращающих прерывание бизнеса и корректирующих действий, которые служат для того, чтобы не допустить аналогичной чрезвычайной ситуации в будущем. Данные описания обычно хранятся в виде отдельных документов. Требования, предъявляемые к процедурам превентивных и корректирующих действий, подробнее описаны в разделе стандарта 6.1.
  17. Непрерывное совершенствование СУНБ, очевидно, является жизненно необходимым условием для того, чтобы система работала успешно и решала поставленные перед ней задачи. Поэтому в организации должен существовать документ или раздел документа, подтверждающий приверженность руководства идее непрерывного повышения эффективности СУНБ вместе с описанием способов, которые могут быть для этого использованы. Подробнее требования к процедуре непрерывного совершенствования изложены в разделе стандарта 6.2.
  18. Подраздел 3.4.1.2 содержит требование к тому, чтобы в организации велись записи2. И все этапы своего жизненного цикла – с момента создания и до переноса в архив записи – должны свидетельствовать об эффективности функционирования СУНБ.
  19. Подраздел 3.4.1.3 содержит требование к наличию в организации процедур контроля документации и записей, причем сами эти процедуры должны быть описаны на бумаге. Они предназначены для того, чтобы определить показатели или инструменты контроля. Например, такой процедурой может служить регулярный мониторинг эффективности существующей документации. Документ можно считать эффективным, если описанная в нем последовательность действий в ходе проверки позволила восстановить прерванный процесс. Контролируемым показателем в таком случае может служить количество или процент документов, соответствующих зафиксированным требованиям, скажем, в этот раз 80% документов оказались эффективными, т.е. позволили восстановить процессы в установленное время, что на 10% больше, чем в прошлый раз.
  1. Управленческий пересмотр (management review) – регулярно проводимый руководителями компании анализ системы управления непрерывностью бизнеса.
  2. Запись (record) – специальный вид документа, содержащий достигнутые результаты или свидетельства осуществленной деятельности. Записи могут использоваться, например, для документирования прослеживаемости, т.е. возможности проследить историю, применение или местонахождение того, что рассматривается, свидетельства проведения верификации, предупреждающих и корректирующих действий. Примерами записей могут быть записи в трудовой книжке о пройденном обучении, записи в журнале инцидентов или журнале регистрации инструктажа по технике безопасности. В отличие от документов зарегистрированные записи не могут быть изменены.

Комментарии к разделу 3.4.2 стандарта BS 25999-2

  1. Помимо ведения записей в рамках СУНБ в стандарте подчеркивается роль контроля этих действий. Раздел 3.4.2 содержит два обоснования необходимости контроля записей СУНБ.
  2. В процессе контроля можно удостовериться, удастся ли найти нужные записи, прочитать и восстановить в случае утраты.
  3. Осуществление контроля способствует использованию идентификации записей, формализует процедуру их хранения, создания резервных копий и восстановления.

Комментарии к разделу 3.4.3 стандарта BS 25999-2

  1. Аналогично контролю записей в стандарте подчеркивается высокая роль контроля документации СУНБ. Хотя ее создание и занимает длительное время, его можно считать однократным действием, результатом которого будут статичные документы. Они быстро утрачивают свою актуальность и, следовательно, полезность с течением времени. Только благодаря процедуре контроля и обновления организация сможет поддерживать актуальность документов на должном уровне. В разделе 3.4.3 приведены шесть причин, по которым в организации должна существовать процедура контроля документации СУНБ.
  2. Процедура контроля позволит удостовериться в актуальности документа до того, как он будет распространен среди сотрудников, которые самостоятельно не могут удостовериться в корректности содержащейся в нем информации.
  3. Благодаря процедуре контроля документы будут пересматриваться, в них будут вноситься необходимые изменения, после чего они будут проходить процесс утверждения.
  4. В рамках формальной процедуры контроля легче отслеживать внесенные в документы изменения и следить за тем, на каком этапе пересмотра находится каждый. Учитывая, что количество документов в рамках СУНБ быстро превысит несколько десятков, дополнительно к формальной процедуре контроля полезно воспользоваться специализированным программным обеспечением, облегчающим контроль версий и внесение изменений.
  5. Процедура контроля дает возможность отслеживать, чтобы не только старые версии документов своевременно заменялись новыми, но и новые версии находились именно в тех местах и у тех сотрудников, которым предстоит эти документы использовать.
  6. Процедура контроля помогает идентифицировать документы, которые создаются вне пределов организации и отслеживать их распространение. К ним можно отнести инструкции компетентных органов, ведомственную информацию для служебного пользования и т.п.
  7. Формальная процедура контроля исключает возможность использования старых версий документов. Поддержание корректной нумерации версий является важной, но часто игнорируемой задачей в рамках СУНБ. Следование устаревшему документу в условиях чрезвычайной ситуации может иметь весьма тяжелые последствия, вплоть до невозможности возобновления деятельности за заданный промежуток времени.

Внедрение и эксплуатация СУНБ

Раздел 4 содержит описание требований, предъявляемых к различным аспектам процедуры реализации и использования системы управления непрерывностью бизнеса (второго этапа DO цикла ПРПД). Однако сам этап реализации можно в свою очередь представить как цикл ПРПД, где:

  • этап Plan соответствует разделу Понимание организации;
  • этап Do – разделу Определение стратегии непрерывности бизнеса;
  • этап Check – разделу Разработка и реализация реагирования в рамках УНБ;
  • этап Act – разделу Тренировка, поддержка и пересмотр мер УНБ.

    Раздел 4.1. Анализ организации
    Раздел 4.1.1. Анализ воздействия на бизнес
    Раздел 4.1.2. Оценка рисков
    Раздел 4.1.3. Определение возможных вариантов
    Раздел 4.2. Определение стратегии обеспечения непрерывности бизнеса
    Раздел 4.3. Разработка и осуществление мер реагирования в рамках УНБ
    Раздел 4.3.1. Общие положения
    Раздел 4.3.2. Структура реагирования на инциденты
    Раздел 4.3.3. Планы обеспечения непрерывности бизнеса и планы управления инцидентами
    Раздел 4.4. Отработка, сопровождение и анализ мер по УНБ
    Раздел 4.4.1. Общие положения
    Раздел 4.4.2. Учения по УНБ
    Раздел 4.4.3. Сопровождение и анализ мер по УНБ

Рис. 2. Цикл ПРПД для этапа «Внедрение и эксплуатация СУНБ»

Комментарии к разделу 4.1 стандарта BS 25999-2

  1. Целью этапа «Понимание организации» является сбор и обработка необходимой информации, что позволит принимать обоснованные решения на последующих этапах внедрения СУНБ. Соответственно, в разделе 4.1 собраны требования, которые должны быть выполнены при проведении анализа влияния на бизнес ЧС, анализа рисков и выборе адекватных мер снижения рисков.

Комментарии к разделу 4.1.1 стандарта BS 25999-2

  1. В разделе 4.1.1 собраны требования, которые предъявляются к применяемому методу и содержанию работ по анализу влияния на деятельность организации.
  2. Среди перечисленных в подразделе 4.1.1.1 требований к методу определения влияния на бизнес главным можно считать его документированность. Только наличие зафиксированного метода обеспечит его объективность и исключит зависимость от исполнителей. Кроме того, он должен быть конкретным и адекватным масштабу задач. Наконец, в данном подразделе подчеркивается, что данный метод следует применять к оценке влияния прерывания лишь тех активностей, входящих в рамки СУНБ, которые описаны в разделе 3.2.1.
  3. В подразделе 4.1.1.2 перечислены десять требований, предъявляемых к последовательности и содержанию работ по анализу влияния на бизнес.
  4. Для того, чтобы полученные результаты были полезны на дальнейших этапах, от организации требуется, прежде всего, идентифицировать процессы и активности, которые поддерживают выпуск ключевых продуктов и предоставление ключевых услуг. В стандарте нет требований к количеству процессов, которые должны быть охвачены СУНБ. Здравый смысл и лучшие мировые практики рекомендуют начинать внедрение процесса обеспечения непрерывности деятельности в организации с одного ключевого процесса, охватывая другие процессы по мере накопления практического опыта.
  5. Организация должна определить, какое влияние может оказать на деятельность компании прерывание критичных процессов и активностей. Влияние должно быть оценено количественно. Если подсчитать абсолютную величину ущерба невозможно, можно использовать приблизительные величины относительно единой шкалы, принятой в компании для оценки приемлемого ущерба. Также необходимо описать изменение величины и характера ущерба со временем.
  6. Для каждого критичного процесса необходимо указать максимальную продолжительность времени с момента его прерывания и до момента возобновления в чрезвычайной ситуации, возможно, не в полном объеме. Грубую оценку этого промежутка можно получить, например, разделив сумму максимально допустимого ущерба с точки зрения руководства на величину ущерба в час в результате прерывания данного процесса.
  7. Для каждого критичного процесса необходимо указать минимальный уровень, на котором он должен функционировать до восстановления штатного режима работы. Определение минимального уровня производительности позволяет оценить минимальный уровень материальных и людских ресурсов, необходимых для работы в чрезвычайной ситуации.
  8. Для каждого критичного процесса должна быть указана продолжительность времени восстановления штатного режима работы. На основе этого параметра можно будет оценить загрузку ресурсов, используемых для функционирования на минимальном уровне. В случае, если процесс восстановления займет достаточно длительное время, предусмотреть их своевременную замену.
  9. В случае большого количества активностей, подлежащих восстановлению, необходимо разбить их на категории. Подобное разбиение на категории может осуществляться относительно разных критериев. Наиболее очевидными являются категории, соответствующие важности активностей в штатном режиме. Например, к первой категории относятся активности, критичные для самого существования организации, ко второй – критичные для производства одного из ключевых продуктов, к третьей – все остальные. Другой способ разбиения соответствует очередности, в которой активности должны восстанавливаться, причем эта очередность не всегда совпадает с критичностью в штатном режиме. Третий способ – может соответс­твовать минимальным уровням функцио­нирования, которые были определены в четвертом пункте. Здесь имеется в виду, что сначала все активности восстанавливаются до минимального уровня, затем активности из второй категории восстанавливаются до более высокого уровня, наконец, активности из третьей категории восстанавливаются в полном объеме.
  10. Должны быть выявлены все зависимости активностей и производственных процессов от третьих фирм, таких как: поставщики оборудования, сырья, услуг аутсорсинга (например, колл-центр, поддержка ИТ-систем, курьерская доставка), сервисов Интернета, телефонной связи, электричества и др.
  11. Необходимо собрать информацию о том, какие шаги по обеспечению непрерывности предоставления услуг предприняты самими поставщиками и аутсорсинговыми партнерами. На основе собранной информации организации необходимо принять дополнительные меры обеспечения непрерывности. Осуществлять шаги можно  в двух направлениях. Первый путь состоит в том, чтобы вынудить партнеров предпринимать меры по обеспечению непрерывности собственной деятельности, например, путем включения соответствующих пунктов в контракты. Второй путь – это устранение единых точек отказа путем заключения договоров с альтернативными поставщиками, например, вторым интернет-провайдером, вторым оператором связи и т.п.
  12. Для каждого критичного процесса и активности требуется определить целевые времена восстановления. Эта величина задает промежуток времени, за который функционирование процесса или активности должно быть полностью восстановлено. Продолжительность этого промежутка меньше или равна параметру, определенному на четвертом шаге. Взаимосвязь различных терминов, описывающих сроки восстановления и уровни производительности, показана на рисунке 3.
  13. Необходимо дать оценку ресурсов, которые потребуются для восстановления критичных процессов и активностей. Следует иметь в виду, что в чрезвычайной ситуации повышается вероятность возникновения ресурсных конфликтов. При оценке необходимо обращать внимание на то, чтобы один и тот же ресурс не использовался одновременно на двух участках работ. Например, один и тот же сотрудник не может одновременно заниматься восстановлением и участвовать в функционировании процесса на минимальном уровне.

Комментарии к разделу 4.1.2 стандарта BS 25999-2

Рис. 3. Взаимосвязь терминов, описывающих восстановление деятельности.

  1. В разделе 4.1.2 собраны требования, которые предъявляются к применяемым методу и результату работ по оценке рисков деятельности организации.
  2. В подразделе 4.1.2.1 содержатся требования к методу проведения оценки рисков. Как и в случае с методом анализа воздействия на бизнес, одним из важнейших является требование наличия документированной процедуры оценки рисков. Эта процедура также должна быть конкретной и однозначной. В стандарте обращается внимание на то, что при оценке рисков следует учитывать угрозы и уязвимости не только процессов и ресурсов, создаваемых и поставляемых внутри организации, но и тех, которые поступают в организацию извне от поставщиков и аутсорсинговых партнеров. Если в организации уже ведется работа по управлению рисками, следует воспользоваться имеющимися результатами. На практике управление рисками и управление непрерывностью бизнеса могут оказаться в зонах ответственности различных подразделений, что грозит привести к дублированию работ и конфликтам. Проблема разделения зон ответственности между этими управленческими процессами решается в каждой организации по-своему. Одна из точек зрения на то, как соотносятся друг с другом управление рисками и управление непрерывностью бизнеса изложена в статье «Управление непрерывностью бизнеса и управление операционными рисками. Где курица и где яйцо?» в этом же номере «Jet Info».
  3. В подразделе 4.1.2.2 сказано, что должна получить организация в качестве результата оценки рисков – понимание последствий реализации угроз. Хочется отметить, что в стандарте говорится о качественном понимании последствий наступления инцидента, а не о численных оценках вероятности угроз. Поскольку в УНБ рассматриваются, в том числе, такие редкие события как землетрясение, пожар или террористический акт, невозможно дать правдоподобные оценки вероятности их реализации, которые могут быть использованы на практике.

Комментарии к разделу 4.1.3 стандарта BS 25999-2

Рис. 4. Три направления управления рисками

  1. Раздел 4.1.3 посвящен требованиям к мерам управления рисками, применяемым в организации, и к параметрам, на основании которых происходит их выбор.
  2. В подразделе 4.1.3.1 речь идет о трех направлениях, в которых применяемые в организации защитные меры могут управлять рисками.
  3. Средства управления рисками могут уменьшать вероятность того, что ход критичного процесса или активности может быть прерван. Примером такого средства может быть замена старого оборудования на более новое, которое реже выходит из строя.
  4. Средства управления рисками могут уменьшить продолжительность прерывания нормального хода деятельности. Например, наличие на складе организации запасного оборудования и комплектующих, в случае выхода этого оборудования из строя, позволит сократить срок восстановления нормального хода деятельности.
  5. Средства управления рисками могут способствовать уменьшению влияния, которое оказывает прерывание процесса или активности на предоставление критичных продуктов или сервисов. В качестве такого средства можно предусмотреть альтернативные способы производства продуктов или предоставления сервисов, например, доставка информации на бумажных, а не на электронных носителях или ручной ввод информации вместо автоматизированного.
  6. Выбор того, какой именно способ или их комбинация будет использован для управления рисками каждого критичного процесса или активности, организация делает самостоятельно на основе параметров, которые были определены в разделе 4.1.1, посвященному анализу воздействия на бизнес.
  7. В подразделе 4.1.3.2 подчеркивается, что главным критерием для выбора соответствующих средств управления рисками служит уровень приемлемого риска каждого процесса или активности, который был определен при описании границ и целей СУНБ в соответствии с требованиями раздела 3.2.1. Уровень приемлемого риска является субъективным понятием, поэтому не может быть вычислен. Кроме того, в тексте подраздела подчеркивается, что для реализации СУНБ соответствующие средства управления рисками надо не только выбрать, но и внедрить.

Комментарии к разделу 4.2 стандарта BS 25999-2

  1. Раздел 4.2 посвящен этапу выбора того, как организация будет реагировать на чрезвычайную ситуацию. Эта реакция может быть самой различной: от самой распространенной реакции – «ничего не делать», до переноса всех процессов в дублирующие подразделения организации без остановки деятельности и деградации производительности. Какой бы она ни была, она должна соответствовать трем требованиям.
  2. Для того, чтобы действия по управлению непрерывностью деятельности были максимально эффективными, в организации должна быть заблаговременно зафиксирована структура реагирования на инциденты, т.е. любые ситуации, приводящие или способные вызвать нарушение нормального хода деятельности. Такая структура должна предоставлять данные о том, в чью зону ответственности попадает каждый инцидент, контактную информацию и порядок эскалации. Детальная информация о самих шагах по восстановлению содержится в документах более низкого уровня, таких как: планы непрерывности бизнеса и реагирования на инциденты.
  3. Должны быть описаны меры УНБ для восстановления каждого критичного производственного процесса. При выборе этих мер необходимо помнить о том, чтобы восстановление заняло не больше целевого времени восстановления процесса, определенного в разделе 4.1.1. Кроме того, необходимо пре­дусмот­реть доступность необходимых ресурсов, в том числе тех, которые предоставляются внешними поставщиками. На практике стратегия не содержит исчерпывающей информации о восстановлении, в противном случае из-за своего объема она может превратиться в документ, которым невозможно пользоваться. Такая информация есть в документах более низкого уровня, таких как: планы непрерывности бизнеса и реагирования на инциденты. Описание мер УНБ, приводимое в стратегии, обычно лишь задает рамки, например, класс технологических решений или минимальный уровень функционирования.
  4. Организации необходимо продумать вопрос взаимодействия с внешним миром. Этот вопрос в чрезвычайной ситуации может оказаться более сложным, чем кажется на первый взгляд. С одной стороны, все контакты должно вести одно лицо, что позволяет контролировать содержание всей исходящей информации. С другой стороны, в случае угрозы жизни или здоровью большого количества сотрудников, невозможность оперативно связаться с близкими может парализовать и без того нарушенную деятельность организации. Это в свою очередь поднимает вопрос о наличии надежных каналов связи с высокой пропускной способностью. В некоторых ситуациях информацию о перерыве деятельности целесообразно стараться сохранить в тайне. Однако возможны и противоположные ситуации, в которых доведение информации о чрезвычайной ситуации до клиентов лишь улучшит репутацию пострадавшей организации. Многообразие вариантов взаимодействия так велико, что дать какие-либо универсальные рекомендации не представляется возможным. Можно также отметить, что в стандарте даже не содержатся требования о том, чтобы процедура взаимодействия с заинтересованными сторонами была описана в виде документа.
  5. Стоит отметить, что стратегия реагирования и восстановления не должна превращаться в формальную бюрократическую процедуру. Суть стратегии состоит в том, чтобы направить действия руководителей и рядовых сотрудников в нужное русло, но при этом не мешать им проявлять инициативу и эффективно реагировать на изменения в окружающей обстановке.

Комментарии к разделу 4.3 стандарта BS 25999-2

  1. Раздел 4.3 содержит требования к тому, какую информацию следует использовать при разработке регламентов и мер реагирования в рамках УНБ, причины, по которым организации следует заблаговременно разработать структуру реагирования на инцидент, а также перечень основных вопросов, которые должны быть отражены в планах непрерывности бизнеса и реагирования на инциденты.

Рис. 5. Планы реагирования и восстановления должны задавать общее направление действиям сотрудников в кризисной ситуации, не мешая им проявлять инициативу и предпринимать действия, требующиеся в конкретной ситуации.

Комментарии к разделу 4.3.1 стандарта BS 25999-2

  1. Во вводном разделе 4.3.1 содержится требование использовать при разработке планов обеспечения непрерывности и управления инцидентами тех результатов, которые были получены на предыдущих этапах. Прежде всего, планы должны соответствовать выбранной стратегии. Это означает, что если
    в стратегии указано, что критичные процессы восстанавливаются силами сотрудников определенных подразделений, то и в планах должны быть описаны действия именно этих сотрудников. Или если в стратегии указано целевое время восстановления, то и планы должны описывать восстановление штатного уровня производительности именно за это время. Кроме того, в этом разделе специально указывается необходимость не только разработать и изложить на бумаге, но и реализовать описанные защитные меры, как, например, оборудовать запасные рабочие места, скомплектовать аварийные чемоданчики, установить дополнительные средства связи и т.п.

Комментарии к разделу 4.3.2 стандарта BS 25999-2

  1. Раздел 4.3.2 содержит требования, предъявляемые к ответственным за реагирование на инцидент сотрудникам, и обоснование необходимости доведения информации  о структуре реагирования до всего коллектива организации.
  2. В подразделе 4.3.2.1 подчеркивается, что сотрудники, ответственные за реагирование на инцидент, должны быть также наделены соответствующими полномочиями. Характер инцидента может быть таков, что не оставит времени для большого количества согласований, поэтому инцидент-менеджер должен обладать правом проявлять инициативу и принимать ответственные решения. Кроме того, за реагирование на инциденты в организации могут отвечать несколько специалистов. Чтобы избежать конфликтов и неразберихи в нештатной ситуации, необходимо заблаговременно четко распределить зоны ответственности каждого из этих сотрудников. Наконец, последним требованием к ответственным за реагирование на инцидент является уровень их компетентности, который должен соответствовать выполняемым обязанностям инцидент-менеджера. В стандарте не приводится никаких формальных критериев для определения уровня компетентности. С одной стороны, это не дает внешним аудиторам или регулирующим органам поводов выдвигать какие-либо претензии. С другой стороны, это накладывает дополнительную ответственность на руководство организации, поскольку не дает критериев для отбора достойных кандидатур.
  3. В подразделе 4.3.2.2 приведено пять причин, по которым структура реагирования на инцидент должна быть доведена до всех сотрудников организации.
  4. Знание структуры реагирования позволяет быстрее собрать информацию о том, какова природа и масштаб инцидента. Информация о нем будет быстрее собрана и картина происходящего окажется более подробной, если все сотрудники будут оперативно сообщать по заранее установленным каналам заранее указанным людям.
  5. Без знания структуры реагирования невозможно не только собрать данные об инциденте, но и запустить процедуры реагирования, предусмотренные в данной ситуации, или же их запуск займет гораздо больше времени. Никогда не стоит надеяться на то, что в условиях инцидента сотрудники будут действовать оптимальным образом. Всегда лучше заранее в спокойной обстановке проинструктировать коллектив о том, какие действия будут ожидаться от них в случае наступления инцидента.
  6. Знание структуры реагирования и своей зоны ответственности побуждает сотрудников организации отслеживать наличие у них планов и регламентов, регулирующих их деятельность при наступлении инцидента, а также проверять самим или интересоваться работоспособностью средств связи и актуальностью контактной информации.
  7. Знание структуры реагирования побуждает сотрудников организации проверять наличие у них штатных аварийных средств, таких как, например, тревожные чемоданчики.
  8. Знание структуры реагирования позволяет более оперативно как собирать, так и распространять информацию, причем не только внутри организации, но и за ее пределами, оповещая все заинтересованные стороны, такие как: аварийные службы, важных клиентов или поставщиков.
  9. Можно еще добавить, что доступность информации о структуре реагирования облегчает ее совершенствование, поскольку рядовые сотрудники могут высказать соображения, которые были упущены из вида при ее разработке или обновлении.

Комментарии к разделу 4.3.3 стандарта BS 25999-2

  1. Раздел 4.3.3 содержит требования к содержанию и условиям хранения отдельных планов непрерывности бизнеса и реагирования на инцидент, а также и список тех вопросов, которые должны быть отражены в планах в целом.
  2. Главное требование подраздела 4.3.3.1 заключается в том, что планы действий по обеспечению непрерывности критичных процессов и активностей и реагированию на инциденты должны быть сформулированы и зафиксированы на бумаге. Очевидно, что в любой организации есть неписанные правила, которые помогают сотрудникам решать поставленные задачи, а, возможно, даже опыт восстановления после чрезвычайных ситуаций. Но для того, чтобы действия были максимально эффективны, воспроизводимы и не зависели от конкретных персоналий, они должны быть изложены в письменном виде. Кроме того, планы должны опираться на ранее собранную информацию, а именно описывать порядок восстановления и поддержания критичных процессов и активностей на минимальном или штатном уровне производительности, описанных в разделе 4.1.1.
  3. В подразделе 4.3.3.1 содержится список из четырех требований, которым должен удовлетворять каждый план.
  4. Рамки и цели должны быть определены не только для СУНБ в целом, но и для каждого плана. Это поможет убедиться в том, что все описанные цели СУНБ детализированы хотя бы в одном из документов и что ни одна из включенных в рамки СУНБ областей не осталась неохваченной.
  5. Планы необходимо писать доступным языком с использованием принятой в организации терминологии. На практике первый вариант планов пишут те, кто выполняет описываемые функции. В дальнейшем, в ходе тестирования к доработке документов привлекаются другие сотрудники схожей квалификации, которым, может быть, придется выполнять описываемые действия в условиях ЧС. Эти сотрудники корректируют формулировки планов таким образом, чтобы они сами могли воспользоваться этими инструкциями.
  6. У каждого плана должен быть владелец или владельцы. Именно эти сотрудники несут ответственность за регулярное их обновление. В процессе согласования им может оказывать помощь сотрудник, ответственный за выполнение политики и внедрение СУНБ в организации, или его помощники (см. раздел 3.2.3). Но наполнение плана информацией и поддержание ее в актуальном состоянии полностью лежит на владельце(ах) планов.
  7. Помимо мер восстановления деятельности, предпринимаемых силами организации, может существовать целый ряд действий аварийных служб, компетентных органов и других третьих сторон. В стандарте напоминается о необходимости учитывать подобные внешние меры и добиваться, чтобы планы организации им не противоречили. Например, в случае угрозы террористического акта доступ в здание, в котором располагается организация, будет ограничен, а в случае пожара могут оказаться недоступными линии коммуникации на значительном расстоянии от самого здания.
  8. Как уже было сказано выше, планы непрерывности и реагирования на инцидент, обычно, бывают многочисленны и каждый из них имеет небольшой объем, поскольку содержит детальное описание только одной задачи. Разбиение процесса восстановления на отдельные задачи очень индивидуально. Поэтому в подразделе 4.3.3.3 стандарта приведен перечень вопросов, которые должны быть освещены. Никаких требований к тому, в каком именно документе или документах и насколько подробно должны быть освещены эти вопросы, стандарт не содержит.
  9. В планах должны быть указаны способы коммуникации. Удобно указывать эти способы в каждом из документов.
  10. В каждом документе следует указывать решаемые задачи и соответствующую справочную информацию. Ей может быть местоположение строений, складов с резервным вычислительным и офисным оборудованием, необходимые меры информационной и физической безопасности, регламент общения со СМИ, ссылки на другие справочные документы, существующие в организации и т.п.
  11. В планах должна быть расписана организационная структура восстановления с указанием руководителей групп восстановления, их состава и зон ответственности. Подобную организационную структуру удобно включать в виде приложения в каждый план. Наличие такой диаграммы облегчает понимание ролей отдельных участников процесса восстановления и оценку текущей ситуации.
  12. Помимо детального описания предпринимаемых действий, которые составляют суть каждого плана, он должен содержать информацию о том, в каких ситуациях и в соответствии с какими критериями сотрудники могут принять решение об активации плана. Распространенной практикой в России является ситуация, при которой сотрудник не имеет права принять такое решение самостоятельно, поскольку оно может потребовать значительных финансовых и человеческих ресурсов. Например, такое как активация резервного вычислительного центра и перенос туда оказавшихся под угрозой критичных производственных процессов. В таком случае в плане должно быть описано, кто может принять такое решение и как с ним связаться.
  13. Планы должны содержать информацию о том, каким образом они активируются. Стоит заметить, что каждый план должен содержать информацию об активации не только себя, но и других планов, с ним связанных. Например, если план восстановления рабочих мест должен активироваться только после завершения восстановления серверных комнат, то план восстановления серверных должен содержать инструкцию по активации плана восстановления рабочих мест. Планы руководителей должны содержать информацию о методах активации всех планов более низкого уровня, которые находятся в их зоне ответственности.
  14. В ряде планов, которые описывают перемещения сотрудников в процессе восстановления, должны быть указаны места сбора. Поскольку в чрезвычайной ситуации выбранное место сбора может оказаться недоступным, следует предусмотреть альтернативы. На практике часто выбирают одно основное и два запасных варианта, расположенных на разном удалении от месторасположения организации. Помимо мест сбора в планах должна присутствовать контактная информация и технология вызова аварийных служб, компаний, предоставляющих сервисы транспортировки, уборки и других внешних организаций, участие которых может потребоваться в процессе восстановления или реагирования.
  15. Процесс восстановления можно разделить на три фазы: первичное реагирование, управление непрерывностью бизнеса и возвращение в штатный режим работы. Каждой фазе может соответствовать свой набор планов: первичное реагирование описывается в рамках ответа на возникший инцидент; управление непрерывностью – в планах восстановления деятельности. Для описания третьей фазы – возвращения в штатный режим работы в стандарте не предусмотрено отдельного направления деятель­ности и специальной категории документов. Тем не менее, в нем содержится требование о том, чтобы процесс, в рамках которого организация сможет вернуться в штатный режим функционирования, был описан в виде приложений к планам восстановления.  На практике описание возвращения в штатный режим работы обычно не содержит детальной информации, поскольку такое описание может потребовать дополнительных работ по планированию уже после преодоления инцидента.
  16. В планах должна содержаться контактная информация всех заинтересованных сторон, например, владельцев, представителей акционеров, поставщиков и аутсорсинговых партнеров, страховых компаний, охранных агентств, ключевых заказчиках и др. Часть этой информации может быть конфиденциальной, поэтому ее включение во все планы нецелесообразно.
  17. Стандарт содержит отдельный подпункт, в котором подчеркивается первостепенная важность сохранения жизни и здоровья людей в процессе управления восстановлением деятельности организации. Для выполнения этого требования рекомендуется во всех планах выделить те шаги и меры, которые будут предназначены для обеспечения безопасности людей.
  18. При описании процесса управления необходимо описать возможные варианты ответных действий в тех планах, где это имеет смысл. Для наглядности их можно представить на блок-схеме управленческих действий, на которой в каждом узле сформулирован однозначный вопрос. Ответ на такой вопрос поможет выбрать правильное направление действий.
  19. В планах должно быть уделено внимание мерам по предотвращению и минимизации материальных потерь, а также сокращению простоя производственных процессов.
  20. В планах, описывающих реагирование на инцидент, должен быть детально и ясно изложен порядок решения управленческих вопросов во время инцидента. Если в организации уже внедрен процесс кризис-менеджмента, то для выполнения этого требования следует воспользоваться существующими регламентами действий в кризисной ситуации.
  21. Из совокупности планов должна быть ясна связь между процессами реагирования на инцидент и восстановления критичных процессов и активностей, т.е. должны быть описаны вехи или критические точки, в которых будут приниматься управленческие решения по запуску процессов восстановления. В качестве примеров можно назвать завершение эвакуации персонала, прибытие групп восстановления в места сбора, фиксированный срок недоступности сервиса, т.е. процедура восстановления активируется, если перерыв в предоставлении критичного сервиса составил 60 минут и т.п.
  22. В совокупности планов должно быть уделено особое внимание процедурам и средствам связи с сотрудниками, членами их семей, ключевыми заинтересованными сторонами и аварийными службами. На практике целиком структура эскалации среди персонала организации часто описывается в отдельном документе, а в планах приводятся ее части, связанные с действиями лица, для которого предназначен данный план. Оповещение сотрудников в условиях инцидента может быть автоматизировано. Подобные решения уже существуют, в том числе и на российском рынке.
  23. Очень важным является вопрос связи сотрудников со своей семьей, которому не всегда уделяют должное внимание. Как уже отмечалось в комментариях к разделу 4.2, невозможность связаться с родными может оказать сильное негативное влияние на работоспособность сотрудников.
  24. Приложение с контактной информацией аварийных служб обычно включается во все планы, чтобы любой сотрудник, независимо от его роли в процессе восстановления, мог их вызвать.
  25. Наконец, связь с различными заинтересованными сторонами должна поддерживаться в зависимости от конкретной ситуации, поэтому контакты с ними должны осуществляться только после распоряжения руководства и сотрудников, отвечающих за управление реагированием на инцидент или восстановлением критичных процессов или активностей.
  26. Для многих организаций отношение со СМИ имеет очень большое значение. Например, стоимость акций компании может резко упасть, если в СМИ появится сообщение о каком-либо инциденте. Следует учесть, что это сообщение будет тем негативнее, чем менее достоверной информацией располагают журналисты. Поэтому лучше контролировать предоставление сведений, т.е. должна быть описана общая стратегия взаимодействия со средствами массовой информации в условиях инцидента. В стратегии должны быть отражены цели (например, донести информацию, оказать влияние, создать впечатление), целевая аудитория (кому следует сообщать в первую очередь), информация, которую следует доводить в первую очередь и которую – не сообщать совсем.
  27. При описании деталей взаимодействия организации со СМИ следует предусмотреть предпочтительный способ общения с их представителями. Это может быть рассылка пресс-релизов, электронных писем, проведение пресс-конференций, выступление по радио или телевидению, публикация статей
    на корпоративном сайте и т.д. Необходимо предусмотреть влияние, которое может оказать чрезвычайная ситуация на возможность предоставлять информацию конкретным способом. Например, недоступность центрального офиса может затруднить публикацию информации на корпоративном сайте.
  28. Подготавливая взаимодействие со СМИ, следует составить документ, регламентирующий это взаимодействие и содержащий рекомендации, на что надо обращать внимание и каких ошибок следует избегать. Для ускорения процесса подготовки пресс-релизов
    в кризисной ситуации следует заранее подготовить шаблон заявления для прессы.
  29. Необходимо заранее определить сотрудников, в обязанности которых входит предоставление информации СМИ. Задача донесения информации в условиях кризиса является гораздо более сложной задачей, чем в штатной ситуации. Может потребоваться более внимательно учитывать эмоции аудитории, например, при сообщении о пострадавших или погибших. Накал эмоций в условиях кризиса гораздо выше, поскольку прерывание деятельности обычно затрагивает благосостояние множества людей, и ответственные за взаимоотношения с общественностью сотрудники должны уметь работать
    в такой обстановке.
  30. В планах реагирования и восстановления должна быть предусмотрена возможность фиксирования ключевой информации об инциденте, времени выполнения предпринятых действий, принятых управленческих решениях, причинах задержек и т.п. Подобные комментарии обычно вносятся в сам план
    во время выполнения описываемых в нем действий. По этой причине на практике описание действий в планах представляется в табличном виде, где каждая таблица содержит несколько дополнительных столбцов для записи времени начала и окончания операции и комментариев. Можно использовать и другие методы фиксации информации об инциденте, например, видеозаписи и записи камер наблюдения, а также аудиозаписи, например, персональные диктофонные записи. Ведение записей является важной задачей кризисного управления, поскольку в дальнейшем они могут потребоваться для предоставления их страховым компаниям, аудиторам, регулирующим органам. Они могут быть использованы в суде для ответов на официальные запросы, а также для проведения послеаварийного анализа.
  31. В планах должны быть подробно описаны те действия, которые будут выполняться в случае наступления инцидента. По важности этот пункт должен был бы стоять на первом месте. Ведь именно ради детализации шагов восстановления или реагирования и создаются все планы. Стоит еще раз подчеркнуть, что стандарт не содержит требований к количеству документов и степени детализации описываемых шагов. Может возникнуть искушение создать один документ, описывающий все аспекты восстановления, но стоит иметь в виду, что результатом этого, скорее всего, будет толстый том, который удобно поддерживать в актуальном состоянии (поскольку все в одном месте), но совершенно невозможно использовать в аварийной ситуации. Также стандарт не содержит требований к степени детализации описываемых шагов. Историки утверждают, что Наполеон перед тем как отдать приказ генералам проверял доходчивость и однозначность формулировки, показывая его простолюдину, который специально для этой цели находился при императоре. Если тот правильно пересказывал содержание приказа, можно было быть уверенным, что и генералы ничего не перепутают. Похожий подход следует использовать и для тестирования планов, когда в них речь идет о достаточно простых действиях, а не о восстановлении сложных информационных систем.
  32. В планах должно быть учтено, какие материальные, финансовые, людские ресурсы потребуются для поддержания минимального уровня производительности и для восстановления штатного уровня производительности. Следует иметь в виду, что процесс восстановления может занимать достаточно продолжительное время и на каждом этапе могут потребоваться различные ресурсы. Как правило, они описываются в планах реагирования и восстановления. Для удобства ресурсы можно упомянуть дважды. Один раз в тексте, описывающем предпринимаемые действия, а второй раз – в отдельном приложении. В таком виде проще контролировать наличие и степень их готовности.
  33. На практике не всегда удается описать все действия в виде однозначных цепочек шагов, относящихся к восстановлению одного процесса. Часто один план описывает возобновление нескольких процессов, что делает необходимым установление их очередности. Исполнители могут не располагать информацией о том, как ход восстановительных работ других критичных процессов зависит от нормального функционирования данного процесса. Не всегда представляется целесообразным указывать эти зависимости в самих планах. Вместо этого следует задать четкие временные рамки. Тогда в планах восстановления других процессов можно будет оперировать абстрактными временными интервалами. Наконец, при описании планов всех процессов должны указываться уровни производительности, до которых процессы должны быть восстановлены. Например, для ИТ-процессов это может быть количество работающих серверов или пропускная способность каналов, а для офисных процессов – количество занятых сотрудников или стандартных операций, выполняемых в час.

Комментарии к разделу 4.4 стандарта  BS 25999-2

  1. Все меры реагирования и восстановления, будь то организационные или технические, начинают устаревать сразу же после внедрения. Это связано с тем, что в любой организации постоянно происходят изменения: замена оборудования, смена сотрудников, появление новых сфер деятельности, изменение законодательства и т.д. Чтобы гарантировать непрерывность деятельности организации даже в условиях постоянных изменений, необходимо тренировать сотрудников, обновлять планы и проверять оборудование. Назначение раздела 4.4 стандарта состоит в том, чтобы перечислить требования, которые позволят эффективно поддерживать меры реагирования и восстановления в актуальном состоянии, тренировать и обучать сотрудников тому, как эти меры должны применяться в кризисной ситуации, и проводить пересмотр этих мер организованным образом.

Комментарии к разделу 4.4.1 стандарта BS 25999-2

  1. В разделе 4.4.1 содержится единственное требование, выражающее смысл всего раздела, – актуальность мер УНБ, реализованных в организации, должна поддерживаться путем проведения реальных тестов и проверочных мероприятий. Дополнительный акцент в данном разделе сделан на том, что руководство организации должно удостовериться в актуальности, т.е. для соблюдения требований стандарта одних утверждений о необходимости тестирования недостаточно. Практика показывает, что наличие даже двух альтернативных способов осуществления деятельности в случае ЧС может оказаться бесполезным просто потому, что без проведения тестирования в реальных условиях оба способа оказались нереализуемыми.

Комментарии к разделу 4.4.2 стандарта BS 25999-2

  1. Для поддержания мер реагирования и восстановления стандарт предлагает использовать несколько способов. Это могут быть различные тренировочные мероприятия, в которых участвуют сотрудники, ответственные или связанные с мерами реагирования и восстановления, или это могут быть проверочные мероприятия, когда оценку существующим мерам дают сотрудники организации. В разделе 4.4.2 речь идет о требованиях к тренировочным мероприятиям.
  2. В подразделе 4.4.2.1 говорится о том, что меры реагирования и восстановления должны удовлетворять требованиям бизнеса. Таким образом, еще раз подчеркивается необходимость привлекать к участию в УНБ бизнес-подразделения. Исходные требования этих подразделений к параметрам непрерывности были получены в рамках анализа воздействия на бизнес (см. комментарии к разделу 4.1.1). Но требования меняются со временем. Изменяются приоритеты, ужесточаются параметры восстановления, поскольку скорость ведения бизнеса постоянно возрастает. Поэтому стандарт требует, чтобы организация проверяла адекватность существующих мер, и лучшим способом сделать это является проведение тренировок.
  3. Подраздел 4.4.2.2 содержит описание требований, предъявляемых к подготовке, проведению и составу тренировочных мероприятий.
  4. Тренировки, которые разрабатываются в организации, должны соответствовать границам системы управления непрерывности бизнеса. Конечно, существует искушение сузить область и тренироваться в том, что лучше получается, но подобный подход не принесет пользы, а лишь создаст иллюзии готовности к чрезвычайной ситуации.
  5. Тренировки должны носить регулярный характер. На практике периодичность и характер тренировочных мероприятий описываются в отдельном документе, который носит название «Стратегия тестирования». Он утверждается высшим руководством и содержит описание того, какие виды тренировочных мероприятий и в каких случаях используются в организации, с какой регулярностью они проводятся, а также описываются ситуации, в которых тестирование проводится внепланово.
  6. В организации должны использоваться различные типы тренировочных мероприятий. Например, документы можно обсуждать в спокойной обстановке, сидя за столом;тестировать оборудование – в нерабочее время, а сотрудников – тренировать с помощью учебных тревог. На начальном этапе рамки каждого такого мероприятия довольно узкие и охватывают только часть процесса. По мере накопления опыта тренировки все более усложняются, их рамки расширяются, а условия проведения все более приближаются к реальным. В конечном счете, должны быть проверены все меры реагирования и восстановления. Причем, со временем граница между тренировками и штатной деятельностью может исчезнуть. Например, некоторые банковские организации в России закрывают банковский день, пользуясь только резервным серверным оборудованием и системами хранения данных. А одна из крупнейших телекоммуникационных компаний «British Telecom» каждые две недели в режиме реального времени переносит деятельность из одного вычислительного центра в другой.
  7. Организация должна таким образом планировать каждое тренировочное мероприятие, чтобы свети риск наступления инцидента к минимуму. Известны случаи, когда руководство отключало основное электропитание помещения с оборудованием, поддерживающим критичные процессы, чтобы проверить справедливость утверждений подчиненных о том, что организация готова к наступлению ЧП такого рода. Подобный импульсивный подход, конечно, позволяет проверить наличие мер реагирования и восстановления, но и последствия его могут оказаться поистине катастрофическими. Т.е. вместо того, чтобы способствовать предотвращению или минимизации ущерба, неподготовленная тренировка может его увеличить.
  8. Для каждого тренировочного мероприятия должны быть в явном виде определены цели его проведения и задачи, решаемые в его рамках. Одно и то же мероприятие может быть использовано для более активного вовлечения участников в процесс УНБ, для более глубокого ознакомления с планами,
    для нахождения пробелов и неточностей в документации, для проверки достаточности выделенных ресурсов и т.д. Четкая формулировка решаемых задач и преследуемых целей позволит качественнее подготовиться к проведению тренировки (например, написать сценарий, определить круг участников, подготовить ресурсы) и получить результаты, которые можно будет в дальнейшем использовать для совершенствования СУНБ.
  9. Необходимо проводить разбор результатов каждого тренировочного мероприятия. Этот разбор может проходить как сразу по окончании тренировки (по горячим следам), так и спустя некоторое время, когда все участники смогут сформулировать свое мнение о произошедшем. В ходе разбора должно быть четко определено, в какой мере были достигнуты поставленные цели, какие действия были уместны, а какие – нет, и как надо было бы действовать на самом деле, какие изменения следует внести в планы, каких ресурсов оказалось недостаточно и т.д.
  10. Результаты тренировки должны быть зафиксированы. Причем для повышения эффективности фиксацией результатов должен заниматься независимый наблюдатель, например, внутренний аудитор организации. Подобные отчеты способствуют совершенствованию СУНБ, поскольку помимо результатов содержат рекомендации по улучшению и позволяют, например, внешним сертифицирующим организациям получить представление о качестве процесса УНБ.

Комментарии к разделу 4.4.3 стандарта BS 25999-2

  1. В разделе 4.4.3 речь идет о требованиях к проверочным мероприятиям. Проверки могут осуществляться самими сотрудниками, вовлеченными в процесс УНБ. Подобное мероприятие в стандарте называется самооценкой. Либо для проведения проверок могут привлекаться независимые сотрудники компании. Такая организация проверочного мероприятия носит название аудита.
  2. В подразделе 4.4.3.1 содержится требование проводить проверочные мероприятия на регулярной основе, чтобы подтвердить их работоспособность и эффективность. В отличие от тренировочных мероприятий, о которых шла речь в разделе 4.4.2, стандарт в данном случае не содержит требования проводить пересмотр мер УНБ в случае значительных изменений, однако это упущение будет исправлено в следующем подразделе. В рамках проверочных мероприятий решаются такие задачи, как: соответствие СУНБ стратегическим целям организации, полнота перечня угроз и сценариев угроз, проверка требований к ресурсному обеспечению, пересмотр контрактных обязательств и их влияния на меры УНБ и т.п.
  3. В подразделе 4.4.3.2 говорится, что организация должна не просто проверять работоспособность и эффективность мер УНБ, но и гарантировать регулярность таких проверок. Кроме того, в данном подразделе выдвигается требование проводить проверочные мероприятия в случае значительных изменений. На практике к таким изменениям относятся появление новых угроз или снижение риск-аппетита руководителей организации, смена целей организации, уменьшение доступных или увеличение требуемых для восстановления ресурсов, изменения во взаимо­отношениях с заинтересованными сторонами, например, поставщиками уникальных услуг и др.
  4. В подразделе 4.4.3.3 описывается, в какой форме должно проходить проверочное мероприятие. Стандарт предусматривает две такие формы: самооценка и аудит. При проведении самооценки участвуют те же сотрудники, которые отвечают за разработку и внедрение СУНБ организации. Преимуществом такой проверки является то, что для ее проведения не требуется привлекать дополнительные ресурсы. Недостаток – при оценке результатов собственной работы трудно сохранить объективность. Более предпочтительной формой проверочного мероприятия является аудит. Его проводит сотрудник организации, который не вовлечен в процесс УНБ. Эта процедура отличается от проведения внутреннего аудита, который описан в разделе 5.1. Независимость специалиста, выполняющего аудит, обычно гарантируется тем, что он не отвечает за результаты проверяемого им процесса или активности. Таким образом, при проведении аудита можно получить более объективную оценку мер УНБ, но он может занять больше времени и потребует привлечения дополнительных людских ресурсов.
  5. В подразделе 4.4.3.4 перечислены пять требований, совершенных при возникновении инцидента и для устранения его последствий, которым должен удовлетворять анализ действий. В данном подразделе, в отличие от подраздела 4.4.2.2, не указано, что данный анализ должен быть документально зафиксирован. Однако отсутствие такого документа, прежде всего, затруднит организации совершенствование СУНБ и произведет негативное впечатление на сертифицирующую организацию.
  6. Анализ действий по устранению инцидента должен выявить природу инцидента и вызвавшие его причины. Какие риски были упущены из виду? Что не было предпринято для предотвращения инцидента?
  7. В рамках анализа действий по устранению инцидента должна быть дана оценка действиям и принятым решениям руководителей. Какую помощь могли бы оказать руководители непострадавших подразделений? Что бы произошло в случае отсутствия ключевых лиц? Какие проблемы возникали
    с координацией и контролем действий?
  8. В рамках анализа действий по устранению инцидента должна быть оценена адекватность параметров восстановления. Был ли минимальный уровень производительности достигнут за установленный промежуток времени? Является ли установленный уровень действительно минимально допустимым? Был ли восстановлен штатный уровень производительности за целевое время восстановления? Смогли ли сотрудники эффективно работать сразу после завершения процесса восстановления?
  9. В рамках анализа действий по устранению инцидента необходимо оценить адекватность и достаточность мер, которые предпринимались для подготовки сотрудников к возможному инциденту. Демонстрировало ли руководство пример? Проводилось ли обучение сотрудников на регулярной основе? Присутствует ли упоминание обязанностей сотрудников в случае инцидента в должностных инструкциях?
  10. В рамках анализа действий по устранению инцидента необходимо сформулировать те изменения, которые будут внесены в СУНБ. Эти изменения могут касаться планов реагирования и восстановления, технических мер, сотрудников, ответственных за УНБ, организационной структуры организации, ее территориального распределения и даже организации бизнес-процессов. После того, как все изменения будут сформулированы и согласованы, следует составить календарный план их внедрения. С некоторым преувеличением можно сказать, что тренировочное или проверочное мероприятие не завершено, пока не завершена реализация этого плана.

Заключение

Выше были рассмотрены два из четырех этапов ПРПД-цикла – Планирование системы управления непрерывностью бизнеса и Внедрение и эксплуатация СУНБ. После завершения этих этапов, можно считать сделанным первый шаг – удалось ввязаться в драку, как говорил Наполеон. Но теперь предстоит совершить второй шаг, к которому так беспечно отнесся французский император. Во второй части комментарии будут относиться к тому, каким образом СУНБ надо поддерживать в работоспособном состоянии и совершенствовать. Иными словами, как из состояния аврала, кризиса, ломки устоявшегося образа действий происходит переход в спокойное, стабильное, будничное состояние. Опасно преуменьшать значение этого шага, ведь именно здесь кроются главные причины неудач разнообразных проектов, продолжительных по срокам внедрения и связанных с достижением нематериальных или трудноизмеримых целей, таких как внедрение систем корпоративного управления (ERP) или реинжиниринг бизнес-процессов.

Закончить этот номер хочется старым, но как нельзя более уместным анекдотом.

Нашли как-то Петька с Василием Ивановичем популярный журнал по летному делу и решили полетать на трофейном самолете. Сели в кабину, Петька – читает, Василий Иванович – делает.
— Завести мотор – ключ по часовой стрелке направо.
— Сделано!
— Газ до упора.
— Сделано!
— Руль на себя.
— Сделано, взлетаем!
— Мертвая петля – руль до конца на себя, должны лететь вверх.
— Сделано!
— Теперь руль от себя – должны лететь вертикально вниз.
— Сделано, Петька, быстро-то как летим!
— Все, Василий Иванович, прилетели, тут пишут, что продолжение в следующем номере!!!

Список литературы

  1. British Standard BS 25999-2:2007 Business continuity management – Part 2: Specification. (http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030169700)
  2. Названия разделов и перевод терминов соответствует русскому переводу британского стандарта «Управление непрерывностью бизнеса – часть 2: Спецификация», выполненному компанией ООО «ГлобалТраст Солюшинс» (http://gtrust.ru/show_good.php?idtov=1135) совместно с ООО «Алмитек».
  3. Business Continuity Management. A crisis approach. Dominic Elliott, Ethne Swartz и Brahim Herbane
  4. Business Continuity: best practices. World-Class Business Continuity Management, Andrew Hiles, 2 издание

Внедрение управленческого процесса в организации можно условно разделить на два этапа. Первый – этап творческий, когда создается что-то новое, еще неизвестное. И второй – этап рутинный, когда активное созидание сменяется кропотливой работой по поддержанию в работоспособном состоянии всего того, что было создано на первом этапе. В журнале JetInfo, № 7(182), 2008, были даны комментарии к двум разделам британского стандарта BS 29999-2: «Планирование системы управления непрерывностью бизнеса» и «Внедрение и эксплуатация СУНБ». Эти разделы относятся к первому «творческому» этапу.

Часть 2

Материал данного номера содержит комментарии к двум другим разделам того же стандарта «Мониторинг и анализ СУНБ» и «Сопровождение и совершенствование СУНБ», которые в большей степени посвящены регулярно повторяемым штатным действиям. Однако подобные характеристики нисколько не умаляют важности подобных действий для обеспечения непрерывности бизнеса организации.

Мониторинг и анализ СУНБ

Главной задачей выполнения мониторинга и анализа СУНБ является обеспечение руководства компании объективной и полной информацией о работоспособности и эффективности СУНБ.

На ее основе руководство организации может оценить адекватность политики непрерывности бизнеса, скорректировать цели и рамки обеспечения непрерывности бизнеса, а также определить, какие действия по корректировке и улучшению необходимо выполнить. Можно выделить три способа проверки эффективности

СУНБ силами самой организации:

  1. самооценка, т.е. попытка посмотреть на разработанные процедуры и документы самими разработчиками. Требования стандарта, относящиеся к данному способу, перечислены в разделе стандарта «Сопровождение и анализ мер по УНБ», комментарии к ним были даны в журнале JetInfo, № 7(182) 2008;
  2. проведение внутреннего аудита, т.е. привлечение к аудиту представителей службы внутреннего аудита. Комментарии к требованиям стандарта, относящиеся к данному способу, даны ниже в разделе «Внутренний аудит»;
  3. управленческий пересмотр, т.е. анализ проделанной работы руководителями организации. Комментарии к требованиям стандарта, относящиеся к данному способу, даны ниже в разделе «Анализ СУНБ со стороны руководства».

Раздел 5.1. Внутренний аудит
Раздел 5.2. Анализ СУНБ со стороны руководства
Раздел 5.2.1 Общие положения
Раздел 5.2.2. Входные данные для анализа
Раздел 5.2.3. Выходные данные анализа

Рис. 1. Иерархия методов мониторинга и анализа СУНБ

Комментарии к разделу 5.1 стандарта BS 25999-2

Данный раздел посвящен проведению проверок СУНБ силами подразделения внутреннего аудита организации.

Комментарии к разделу 5.1.1 стандарта BS 25999-2

  1. В данном разделе перечисляются предъявляемые к внутренним аудиторским проверкам требования и цели, для достижения которых организации должны их проводить.
  2. В стандарте отмечается, что данные проверки должны проводиться на регулярной основе.
  3. В результате проведения внутренней аудиторской проверки должно быть определено, соответствует ли действующая система управления непрерывностью тем мерам, которые были запланированы, т.е. соответствует ли зафиксированное на бумаге суровой действительности.
  4. Внутренняя аудиторская проверка должна оценить правильно ли СУНБ реализована и поддерживается в рабочем состоянии СУНБ.
  5. По результатам внутренней аудиторской проверки должно быть сделано заключение о том, соответствует ли СУНБ целям, заявленным в политике УНБ организации.
  6. Наконец, конечной целью всякого внутреннего аудита вообще и аудита СУНБ в частности является доведение результатов проверки до сведения высшего руководства организации.

Комментарии к разделу 5.1.2 стандарта BS 25999-2

  1. Программа внутреннего аудита, как и любой другой процесс в организации имеет свой жизненный цикл, который описывается циклом Деминга: планирование – внедрение – реализация – поддержка1. Все этапы этого цикла должны основываться по крайней мере на следующей информации:
    • анализ воздействия на бизнес – нужен для определения того, действительно ли СУНБ обеспечивает непрерывность наиболее критичных бизнес-процессов;
    • анализ рисков – нужен для определения того, от каких рисков действительно обеспечивает защиту СУНБ;
    • меры контроля и превентивные меры – нужны для определения того, делается ли все возможное для предотвращения наступления ЧС и насколько эффективна система контроля СУНБ;
    • результаты предыдущих проверок – нужны для подтверждения того, что замеченные в ходе предыдущих аудиторских проверок, самостоятельных оценок и проверок СУНБ со стороны руководства недостатки были устранены.

Комментарии к разделу 5.1.3 стандарта BS 25999-2

  1. В данном разделе перечислены вопросы, ответы на которые должно содержать описание процедуры проведения аудиторских проверок. Это описание используется на всех этапах, начиная с введения ее в действие и заканчивая поддержанием процедуры в актуальном состоянии.
  2. В описании процедуры необходимо указать распределение зон ответственности при планировании, проведении проверок и составлении итоговых отчетов. Планирование и управление непрерывностью бизнеса включает в себя элементы многих дисциплин и один человек редко может в одиночку квалифицированно оценить все аспекты деятельности организации. Поэтому часто в аудиторской проверке СУНБ участвует группа специалистов и зоны ответственности каждого должна быть четко определена заранее.
  3. В описании процедуры необходимо указать уровень квалификации персонала, осуществляющего проверку. Это особенно важно, если проведением подобных проверок будет заниматься сотрудник, незнакомый с процессом УНБ, например, внутренний финансовый аудитор.
  4. В описании процедуры необходимо указать дополнительные требования, предъявляемые к планированию, проведению проверок и составлению итоговых отчетов.
  5. В описании процедуры должны быть указаны критерии успешности прохождения проверки. Для этого необходимо четко сформулировать цели ее проведения. Ими могут быть, например:
    • соответствие законодательным или нормативным актам, требованиям стандартов или внутренним регламентам организации;
    • определение состояния дел перед началом или в ходе реализации проекта по внедрению СУНБ в организации;
    • проверка осуществимости проекта по внедрению СУНБ в организации. Можно порекомендовать каждой организации осуществлять подобную проверку, когда она только собирается приступить к реализации широкомасштабного проекта в области УНБ;
    • всестороннее исследование деятельности компании с целью определения целесообразности вступления в те или иные взаимоотношения с контрагентами (due diligence) или с целью достижения каких-либо других стратегических целей организации, составной частью которых является процесс УНБ;
    • юридические действия, такие как предоставление вещественных доказательств, подтверждение соответствия планов реальным событиям и т.п.
  6. В описании процедуры должны быть указаны рамки проверки. На практике подобное мероприятие часто воспринимается лишь как проверка состояния ИТ-инфраструктуры. Чтобы избежать подобного упрощенческого отношения, в описывающем рамки проверки документе необходимо в явном виде указать управленческие вопросы, которые будут рассмотрены. Такими вопросами могут быть определение бизнес-рисков или изучение уровня потенциальной ответственности организации в различных ситуациях.
  7. В описании процедуры должна быть указана регулярность проведения проверки. В стандарте ничего не говорится о том, насколько часто следует проводить аудит, поэтому организация вправе сама выбирать их частоту, но, как правило, они проводятся не реже одного раза в год.
  8. В описании процедуры должны быть указаны методы проведения проверки. Как видно на рис. 1 внутренняя аудиторская проверка может использовать самый широкий спектр этих методов, которые были подробно описаны в журнале JetInfo, № 7(182) 2008.

Комментарии к разделу 5.1.4 стандарта BS 25999-2

  1. Данный раздел стандарта содержит требования, которые предъявляются к выбору аудиторов и порядку проведения аудиторских проверок. С одной стороны, внутренняя аудиторская проверка СУНБ является лишь частным случаем аудиторской проверки и поэтому должна отвечать тем же принципам, что и любая другая аудиторская проверка, а именно:
    • во время проверки поведение аудиторов должно быть этичным;
    • предоставление результатов должно быть справедливым;
    • в течение всей проверки должно проявляться профессиональное внимание;
    • процесс аудита должен быть независимым, что служит основой беспристрастности и объективности заключений;
    • аудит должен базироваться исключительно на свидетельствах.

С другой стороны, в самом стандарте подчеркивается лишь обязательность объективности и беспристрастности при проведении проверки.

Комментарии к разделу 5.2 стандарта BS 25999-2

Данный раздел посвящен второму способу проведения проверок СУНБ, а именно анализу системы управления непрерывностью бизнеса руководством организации.

Комментарии к разделу 5.2.1 стандарта BS 25999-2

  1. В стандарте подчеркивается, что руководство должно на регулярной основе проводить анализ СУНБ организации даже в том случае, если никаких значительных изменений не происходит. Однако в реальной жизни организации постоянно меняются. Появляются новые направления деятельности, происходят слияния и поглощения, применяются новые технологии. Каждое подобное изменение должно быть соответствующим образом отражено в СУНБ, как в индивидуальных планах непрерывности деятельности, так и в стратегических документах, таких, как политика непрерывности деятельности. Актуальность, адекватность и эффективность этих изменений должна быть проанализирована руководством.
  2. Главной задачей участия руководства в этом анализе является, конечно, не просто одобрение или неодобрение внесенных изменений и выполненных работ, а поиск возможностей дальнейшего улучшения СУНБ. Именно руководство, а не исполнители или аудиторы, обладая всей полнотой информации об организации и зная ее стратегические цели, может предложить такие усовершенствования, которые не могут быть предложены рядовыми сотрудниками.
  3. Естественным является требование стандарта документировать ход проведения анализа и полученные результаты.
  4. Все, записанное во время проведения анализа, получает статус записи, поэтому подпадает под действие законодательства о хранении записей организации, включая сроки хранения, условия хранения и уничтожения, требования к неизменности.

Комментарии к разделу 5.2.2 стандарта BS 25999-2

  1. Для того, чтобы сделанные выводы были максимально полезны при проведении пересмотра высшее руководство организации должно рассматривать не только саму систему УНБ, но и привлечь как можно больше дополнительных материалов. Данный раздел целиком посвящен перечислению тех данных, которые руководству организации следует использовать при проведении анализа.
  2. Руководство организации должно учитывать результаты предыдущих аудиторских проверок. Если это предусмотрено в договорах или если это позволяет уровень доверительности взаимоотношений, руководители должны учитывать результаты аналогичных проверок у поставщиков и партнеров, предоставляющих услуги аутсорсинга.
  3. С системой УНБ помимо сотрудников организации тем или иным образом взаимодействует множество людей, среди которых клиенты, контролирующие органы, аудиторы и другие заинтересованные стороны. Их замечания могут оказать неоценимую помощь, поскольку отражают взгляд на систему
    со стороны. Руководству организации следует предпринять усилия по сбору подобных отзывов о работе СУНБ и использовать эти отзывы при проведении анализа.
  4. Вместе с совершенствованием законодательной базы и технологий развивается и управление непрерывностью бизнеса. Появляются новые программные продукты и интернет-услуги, облегчающие поддержание СУНБ в актуальном состоянии, методические рекомендации и стандарты, повышающие эффективность СУНБ. Сотрудники, ответственные за работу СУНБ, обязаны собирать информацию обо всех подобных изменениях и предоставлять собранную информацию руководству при проведении анализа.
  5. Для обеспечения непрерывности деятельности используются действия двух типов – корректирующие и превентивные. Реализация и тех, и других, как правило, занимает длительное время, поэтому при проведении анализа высшему руководству следует принять во внимание их текущий статус. В следующем разделе эти действия будут рассмотрены более подробно.
  6. Даже самая совершенная СУНБ не может свести к нулю вероятность реализации угроз. Кроме того, некоторые угрозы (например, разрушительное землетрясение в Москве) могут считаться настолько маловероятными, что риски их реализации расцениваются как приемлемые. Эти уровни остаточного и приемлемого риска должны быть приняты во внимание при проведении анализа. В организациях с достаточно высоким уровнем зрелости процессов управления обычно существует документ Политика или Положение по управлению рисками, который содержит перечень таких рисков. В случае его существования этот документ обязательно должен учитываться при проведении анализа высшим руководством.
  7. Помимо изменений во внешнем мире в самой организации также регулярно происходят значительные перемены, например, обнаруживаются новые уязвимости, расширяется список угроз, в случае реализации которых может потребоваться обеспечивать непрерывность бизнеса. Возможна и такая ситуация, когда ряд угроз был ранее сознательно оставлен вне рамок проекта по построению СУНБ компании и только руководители организации могут принять решение о том, что наступило время расширить рамки проекта и включить в них эти угрозы.
  8. Трудно представить ситуацию, в которой по результатам анализа не было бы выявлено никаких недостатков. Для их устранения замеченных недостатков разрабатывается соответствующий план действий. Чтобы этот план не остался лишь на бумаге, при проведении последующего анализа руководители организации должны не забыть проверить ход реализации ранее намеченных шагов.
  9. Для проведения анализа руководителям организации должна быть предоставлена исчерпывающая информация обо всех рекомендациях по улучшению, полученных с момента проведения предыдущего анализа. Эти рекомендации могут поступать из множества источников, таких, как: клиенты, внешние аудиторы, новые нормативные документы, отраслевые, государственные, международные стандарты, договорные обязательства и др.
  10. В настоящее время в свободном доступе есть большое количество информации, посвященной методам обеспечения непрерывности деятельности. Среди англоязычных ресурсов можно указать сайт Британского института непрерывности бизнеса (Business Continuity Institute) http://www.thebci.org/ и портал Continuity Central http://www.continuitycentral.com/. Из русскоязычных ресурсов стоит назвать сайт «Управление Непрерывностью Бизнеса в России» http://www.bcp.ru/. Представленные на этих ресурсах материалы позволят всегда быть в курсе последних новостей в области УНБ и помогут применить лучшие практики для обеспечения непрерывности деятельности любой организации. При проведении анализа СУНБ руководителям организации полезно ознакомиться с представленными там материалами.
  11. В первой части стандарта BS 25999 неоднократно подчеркивалась необходимость достаточного уровня квалификации персонала, ответственного за внедрение и поддержание СУНБ. Для достижения требуемого уровня квалификации соответствующие сотрудники проходят обучение и участвуют в тренингах. При проведении анализа СУНБ руководители организации должны проверить результаты прошедшего обучения и дать ответы на такие вопросы, как:
    • достаточен ли теперь уровень компетентности обучавшихся сотрудников?
    • нужно ли направить в программу обучения дополнительных сотрудников?
    • соответствует ли программа обучения стоящим перед сотрудниками задачам?
  12. В первой части стандарта BS 25999 неоднократно подчеркивалась важность проведения тестирования всех элементов СУНБ, в т.ч. путем проведения учений различного масштаба. Уроки, извлеченные из применения мер УНБ на практике, всегда более ценны, чем теоретические знания. При проведении анализа СУНБ руководителям организации должна быть предоставлена исчерпывающая информация о проводившихся учениях и мерах по совершенствованию СУНБ, которые были предприняты по результатам этих учений.
  13. Еще более ценную информацию о состоянии СУНБ, чем проведение учений, дает устранение последствий реальных инцидентов. Поэтому аналогично ситуации с учениями при проведении анализа СУНБ руководителям организации должна быть предоставлена исчерпывающая информация об имевших место инцидентах, предпринятых мерах реагирования и извлеченных уроках.
  14. Наконец, стоит отметить, что ни в каком самом подробном документе не может быть предусмотрено все многообразие событий, которые способны оказать влияние на СУНБ. Для проведения анализа руководители вправе запрашивать любую другую информацию, которая, по их мнению, имеет отношение к совершенствованию СУНБ.

Комментарии к разделу 5.2.3 стандарта BS 25999-2

  1. Анализ СУНБ высшим руководством имеет очень большое значение. Не случайно в первом международном стандарте ISO 22399:2007, посвященном управлению непрерывностью операционной деятельности, этот анализ выделен в отдельный этап процесса УНБ (см. рис. 2 ). Такое большое значение придается участию руководителей по вполне понятной причине. Выводы, которые они сделают, и решения, которые они примут, имеют огромное значение для дальнейшей судьбы СУНБ и могут радикально изменить ход ее развития. Данный раздел стандарта целиком посвящен перечислению тех решений, которые руководство организации может принять по результатам проведения анализа.
  2. По результатам проведенного пересмотра руководством организации может быть принято решение о расширении рамок СУНБ, т.е. рассмотрении тех бизнес-процессов, которые ранее оставались за рамками СУНБ. Это закономерный процесс, так как наиболее безопасный подход к построению СУНБ заключается в построении системы для какого-нибудь одного бизнес-процесса и последующем постепенном включении в нее все новых и новых бизнес-процессов организации. Случаи сужения рамок на практике встречаются чрезвычайно редко.

Рис. 2. Важная роль анализа СУНБ высшим руководством организации в соответствии со стандартом ISO 22399:2007

  1. Проведенный руководством организации анализ должен приводить к повышению эффективности СУНБ. В качестве примера принятых решений и намеченных действий, связанных с ее повышением, можно указать такие, которые позволят:
    • уменьшить количество нарушений в работе, причины которых не установлены или не устранены;
    • уменьшить продолжительность прерываний бизнес-процессов;
    • уменьшить размер ущерба от прерывания бизнес-сервисов;
    • сократить время, которое проходит с момента изменений в организации до момента отражения этих изменений в планах;
    • сократить время обнаружения инцидента и принятия решения об активации плана обеспечения непрерывности деятельности;
    • сократить время, требующееся для возвращения в штатный режим работы после выполнения плана обеспечения непрерывности деятельности;
    • расширить список реализованных превентивных мер;
    • ускорить внедрение новых элементов СУНБ, упущенных из внимания;
    • повысить качество обучения сотрудников процессу УНБ;
    • увеличить частоту проведения тестирования СУНБ.
  2. В процессе проведения анализа на руководство организации ложится важная роль по донесению до ответственных за создание и поддержание стратегии и процедур УНБ сотрудников требований бизнеса, которые вытекают из новых стратегических целей, стоящих перед организацией. В ряде случаев представителям бизнес- и поддерживающих подразделений бывает непросто найти общий язык. В таких случаях именно руководство организации должно принять окончательное решение о том, каким именно образом следует модифицировать СУНБ.
  3. При проведении анализа руководители организации должны принять во внимание изменения в требованиях, предъявляемых к устойчивости деятельности организации. Это может быть особенно важно для тех организаций, от своевременного предоставления услуг которых может зависеть человеческая жизнь, например, услуг телекоммуникационной связи.
  4. Наступление определенных событий как внутри, так и вовне организации может приводить к необходимости изменить корпоративные бизнес-процессы. А поскольку изменение бизнес-процессов обычно ведет к ужесточению бизнес-требований к обеспечению их непрерывности, эти изменения также должны быть отражены в результатах анализа СУНБ.
  5. Руководство организации при проведении анализа должно обратить внимание на соответствие существующей СУНБ требованиям новых законодательных и нормативных актов и контрактных обязательств. В качестве примера можно привести Указание от 5 марта 2009 г. N 2194-У «О внесении изменений в положение Банка России от 16 декабря 2003 года 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Если до принятия этого Указания многие кредитные организации ограничивались созданием плана обеспечения непрерывности своей ИТ-инфраструктуры, то после его принятия все эти документы предстоит модифицировать для достижения гораздо более широкого круга целей, таких, как:
    • поддержание способности кредитной организации выполнять принятые на себя обязательства перед вкладчиками и кредиторами, в том числе перед Банком России (по кредитам Банка России, уплате процентов по ним и другим денежным обязательствам перед Банком России);
    • предупреждение и предотвращение возможного нарушения режима повседневного функционирования кредитной организации;
    • снижение тяжести последствий нарушения режима повседневного функционирования кредитной организации (в том числе размера материальных потерь, потерь информации, потери деловой репутации);
    • сохранение уровня управления кредитной организацией, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, их своевременную и полную реализацию;
    • обеспечение способности кредитной организации осуществлять расчеты в соответствии с принятыми на себя обязательствами, в том числе по кредитам Банка России, процентам по ним и другим денежным обязательствам перед Банком России;
    • обеспечение информационной безопасности кредитной организации, в том числе ее расчетной системы;
    • обеспечение благоприятных условий труда и безопасности служащих кредитной организации, безопасности лиц, находящихся в помещениях (посетителей) кредитной организации.
  6. Одним из решений, которые может принять лишь высшее руководство организации, является определение уровня остаточных рисков, которые сохраняются даже после реализации СУНБ. Принятие решения о снижении уровня остаточных рисков автоматически будет означать дополнительные расходы на более надежные и, как правило, более дорогостоящие превентивные меры и меры реагирования. Еще один параметр – уровень приемлемого риска – также может быть указан лишь руководителями организации, поскольку он описывает так называемый риск-аппетит, т.е тот уровень риска, при котором они все еще чувствуют себя комфортно. Снижение этого уровня обычно означает расширение рамок СУНБ, т.е. рассмотрение ряда рисков, которые ранее не рассматривались либо из-за незначительности ущерба, либо из-за очень малой вероятности реализации.
  7. Существует целый класс решений, которые могут быть приняты только руководителями организации по результатам проведения анализа СУНБ. Эти решения касаются выделения дополнительных материальных и людских ресурсов.
  8. Наконец, последним в списке, но не по значению, в стандарте упоминаются принятые по результатам анализа решения, касающиеся финансового и бюджетного обеспечения СУНБ.

Сопровождение и совершенствование СУНБ

Данный раздел посвящен вопросам функционирования и развития СУНБ. В процессе функционирования системы может возникнуть ситуация, в которой возникает угроза или происходит нарушение каких-либо нормативных, законодательных или других требований. Для предотвращения этой угрозы или устранения последствий ее реализации в организации выполняются соответствующие меры – превентивные или корректирующие. Требования стандарта, относящиеся к этим мерам, представлены в разделе 6.2. Внедрение в СУНБ этих мер для предотвращения случаев повторного нарушения служит одним из побудительных мотивов совершенствования СУНБ. Другие побудительные мотивы описаны в разделе 6.3.

Раздел 6.1. Превентивные и корректирующие меры
Раздел 6.1.1. Общие положения
Раздел 6.1.2. Превентивные меры
Раздел 6.1.3. Корректирующие меры
Раздел 6.2 Непрерывное совершенствование

Комментарии к разделу 6.1 стандарта BS 25999-2

Данный раздел посвящен мерам, которые организация должна предпринять, чтобы предотвратить нарушение нормативных, законодательных или других требований или устранить последствия такого нарушения, если оно все-таки произошло.

Комментарии к разделу 6.1.1 стандарта BS 25999-2

  1. Практические шаги по совершенствованию СУНБ имеют вид превентивных или корректирующих действий. В данном подразделе описываются требования общего характера, предъявляемые к подобным шагам.
  2. Соответствие реализуемых превентивных или корректирующих действий масштабу решаемых проблем всегда является непростой задачей. Например, для устранения выявленного в ходе внутреннего аудита недостаточного уровня компетенции сотрудников, который будет недостаточным для выполнения своих функций в условиях ЧС, можно предпринять широкий круг превентивных мер, начиная с покупки дополнительной литературы (чего, как правило, не достаточно), заканчивая приемом на постоянную работу профессиональных консультантов в этой области (что может быть чрезмерной мерой).
  3. Превентивные и корректирующие действия должны не только эффективно устранять возникшую проблему, но и соответствовать таким документам, как политика непрерывности бизнеса.
  4. Реализация превентивных и корректирующих действий не должна происходить спонтанно, т.к. вместе с устранением одной проблемы это может привести к развалу всей СУНБ, когда процедуры, записанные в планах, не могут быть выполнены в результате выполненных мер. По этой причине в стандарте выдвигается требование обязательного документирования всех изменений и соответствующей модификации планов обеспечения непрерывности деятельности.

Комментарии к разделу 6.1.2 стандарта BS 25999-2

  1. Превентивными мерами являются действия, которые заблаговременно предпринимаются с целью недопущения нарушения требований законодательных и нормативных актов, контролирующих органов, договорных обязательств и т.п. В организации должен существовать документ, содержащий описание процедуры выполнения превентивных мер. В данном подразделе перечислены требования, которые должны содержаться в этой процедуре.
  2. Процедура реализации превентивных мер должна содержать требования к выявлению потенциальных несоответствий и их последствий, т.е. описывать критерии, по которым может быть выявлено потенциальное нарушение законодательства.
  3. Процедура реализации превентивных мер должна описывать то, каким образом определяется нужное превентивное действие. Кроме того, в процедуре могут быть указаны отдельные требования, относящиеся к порядку выполнения превентивной меры.
  4. Как и при выполнении любых других действий в рамках СУНБ, к выполнению превентивных действий относится требование протоколировать результаты выполненного действия. Данные протоколы являются записями, которые подтверждают выполнение работ по совершенствованию СУНБ, а также служат источником информации для проведения последующего анализа.
  5. Протоколирование результатов является очень важным шагом, который служит для решения нескольких задач. Одной из этих задач является проведение анализа выполненной превентивной меры. Выполнение анализа необходимо для совершенствования СУНБ организации.
  6. Помимо нарушений законодательных требований процедура выполнения превентивных действий должна содержать критерии выявления изменившихся рисков. Эти критерии должны отвечать на вопрос, не упущены ли из внимания какие-либо важные риски.
  7. Само по себе выполнение превентивных мер порой бывает необходимым, но недостаточным для обеспечения непрерывной деятельности. Информация о выявленном потенциальном нарушении законодательных требований и реализованных превентивных мерах должна быть доведена до всех заинтересованных сторон, возможно, даже за пределами организации. По этой причине в процедуре выполнения превентивных мер должно быть указано, каким образом можно убедиться в том, что информация доведена до всех, кто в ней нуждается.
  8. Наконец, превентивных мер может быть несколько. В этом случае может потребоваться вводить приоритеты их выполнения. Эти приоритеты должны быть обоснованы с точки зрения анализа рисков, анализа влияния на бизнес и других факторов, например, доступности ресурсов. В процедуре выполнения превентивных мер должны быть указаны требования, в соответствии с которыми выстраивается эта система приоритетов.

Комментарии к разделу 6.1.3 стандарта BS 25999-2

  1. Корректирующими мерами являются действия, которые выполняются с целью уменьшения последствий разнообразных нарушений, связанных с реализацией и функционированием СУНБ, и предотвращения повторения подобных нарушений в будущем. Аналогично ситуации с превентивными мерами
    в организации должен существовать документ, содержащий описание процедуры выполнения корректирующих мер. В данном подразделе перечислены требования, которые должны содержаться в этой процедуре.
  2. Процедура выполнения корректирующих действий должна содержать критерии, отслеживание которых позволит выявить случаи нарушений.
  3. Помимо задачи обнаружения нарушений процедура выполнения корректирующих действий должна содержать критерии, которые позволят выявить причины произошедших нарушений.
  4. После выяснения причин процедура выполнения корректирующих действий должна содержать критерии, позволяющие сделать заключение о необходимости выполнения дополнительных действий, которые обеспечат невозможность повторного нарушения в будущем.
  5. В описании процедуры выполнения корректирующих действий должно быть подробно описано, каким образом определяется корректирующее действие, требуемое в данной ситуации. Здесь же, в случае необходимости, излагаются требования, предъявляемые к ходу выполнения выбранного действия.
  6. Так же как и в случае превентивных мер, процедура выполнения корректирующих действий должна содержать требования к протоколированию результатов выполненного. Данные протоколы являются в глазах проверяющих свидетельством выполнения работ по совершенствованию СУНБ, а также источником информации для проведения последующего анализа.
  7. Наконец, процедура реализация корректирующих мер должна содержать требования к проведению анализа выполненного корректирующего действия. На основе этого совершенствуются как корректирующие действия, так и вся СУНБ в целом.

Комментарии к разделу 6.2 стандарта BS 25999-2

  1. Данный раздел стандарта подчеркивает важность постоянного повышения эффективности СУНБ организации. Для этой цели следует использовать все инструменты, перечисленные в стандарте:
    • пересмотр политики и целей непрерывности деятельности;
    • аудиторские проверки;
    • анализ превентивных и корректирующих действий;
    • анализ СУНБ со стороны руководства.
  2. К этому надо добавить, совершенствование СУНБ включает в себя не только написание документов и тренировку команд, но и изменение атмосферы в организации, когда сотрудники организации чувствуют свою вовлеченность в процесс УНБ, не сопротивляются изменениям, а принимают участие в их реализации. Этого можно достигнуть с помощью таких мер, как:
    • награждение лучших в области УНБ (здесь ценна не столько награда, сколько возникновение духа соревновательности);
    • введение в организации специальной символики;
    • учреждение специальных корпоративных ритуалов;
    • активный пример со стороны высшего руководства;
    • популяризация достижений, выпуск специального информационного листка, распространение историй успеха.
  3. Следует заметить, что процесс управления непрерывностью деятельности организации не ограничивается СУНБ и тесно связан со множеством других управленческих процессов и процедур внутри организации. Ниже перечислены те из них, интеграция которых с процессом УНБ является абсолютно необходимой:
    • политика безопасности, включая физическую и информационную;
    • управление проектами;
    • процедуры репликации данных;
    • кризис-менеджемент;
    • инцидент-менеджмент;
    • политики удаленного доступа к ресурсам организации;
    • программа обучения персонала;
    • процедуры эскалации и оповещения;
    • взаимодействие со страховыми компаниями;
    • взаимодействие с государственными, муниципальными и проверяющими органами;
    • политика управления изменениями. На этом пункте хочется остановиться подробнее. Для поддержания актуальности планов обеспечения непрерывности в организации должна существовать политика управления изменениями, которая охватывает все происходящие и планируемые изменения операционной деятельности. В организации должна быть разработана и внедрена методология, которая позволит при изменении любого приложения, вычислительного оборудования или любого другого ресурса, участвующего в производственной деятельности, гарантировать, что все резервные копии данных, вычислительные или другие ресурсы обновлены соответствующим образом. Кроме того, если в промышленную эксплуатацию вводится новая система, в результате чего появляется новое оборудование, новые требования к производительности и т.д., руководители должны убедиться, что и планы обеспечения непрерывности деятельности изменены соответствующим образом. Политика управления изменениями не должна вносить значительных задержек в процесс их внедрения, однако, это не отменяет необходимости ведения их мониторинга и документирования.

Заключение

На этом комментирование содержательной части британского стандарта BS 25999-2:2007 можно считать завершенным. В двух номерах журнала JetInfo, № 7(182), 2008, и №11(186), 2008 описаны все этапы планирования, реализации и совершенствования процесса управления непрерывностью бизнеса. Важность и сложность этого процесса заслуживает большого внимания, а его реализация требует много сил, времени, настойчивости и дает немалый простор для творчества. Ранее я сетовал на то, что в России вопросу обеспечения непрерывности деятельности не уделяется должного внимания. Но ситуация меняется очень быстро. За время, прошедшее между выпусками этих двух номеров, банковская отрасль обрела если не полноценный стандарт, то весьма емкий и конкретный документ Указание ЦБ РФ от 5 марта 2009 г. N 2194-У «О внесении изменений в положение Банка России от 16 декабря 2003 года 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Кроме того, очень активно идет работа и в тех странах, которые считаются лидерами в области УНБ. Новые документы регулярно появляются в США, Великобритании. Вскоре после BS 25999 свет увидел первый международный стандарт ISO 22399. Думаю, что вскоре и российская законодательная база, относящаяся к УНБ, значительно расширится, что значительно облегчит работу по обеспечению непрерывности деятельности организации.

Список литературы

  1. Британский стандарт «BS 25999-2:2007: Управление непрерывностью бизнеса. Часть 2: Спецификация» (перевод на русский язык ООО «Глобалтраст солюшинс».
  2. Publicity Available Specification ISO/PAS 22399 Societal security – Guidelines for incident preparedness and operational continuity management.
  3. Указание ЦБ РФ от 5 марта 2009 г. N 2194-У «О внесении изменений в положение Банка России от 16 декабря 2003 года 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».
  4. Auditing Business Continuity. Global Best Practices by Rolf von Roessing, 2002.
  5. Business Continuity Management. A crisis management approach by Dominic Elliott, Ethne Swartz and Brahim Herbane.
  6. HB 292-2006 A Practitioners Guide to Business Continuity Management.
  7. Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента (ISO 19011:2002).
  8. Federal Financial Institutions Examination Council. Business Continuity Planning. IT Examination Handbook. March 2008

Jet Info №7, Jet Info №11

Автор: Константин Мусатов, инженер-проектировщик в Группе консалтинга «Инфосистемы Джет»

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x