Обычная для конца лета полоса стихийных бедствий в сочетании с мощными вихрями, бушующими в экономике, должна заставить технических специалистов более тщательно проанализировать имеющиеся у них планы выживания в случае возникновения чрезвычайных ситуаций независимо от их характера.
При этом корпоративные ИТ-менеджеры не должны ограничиваться технической стороной вопроса, а кроме того, нужно составить планы и для ключевых подразделений компании, чтобы лучше подготовиться ко всякого рода неожиданностям. В то же время им следует воспользоваться разработанными в последнее время стандартами и программами сертификации в области обеспечения непрерывности бизнеса.
Управление обеспечением непрерывности бизнеса (business continuity management, BCM) включает описание организационной структуры для построения защиты компании от потенциальных угроз, которые могут носить финансовый, технический, социальный, политический или экологический характер.
Посредством BCM бизнес выявляет важнейшие процессы, которые необходимо защитить; предугадывает потенциальные угрозы по отношению к этим процессам (и тем самым к самой компании и ко всем, кто вложил в нее деньги); прогнозирует вероятность влияния этих угроз на ведение компанией бизнеса; четко определяет подлежащие восстановлению процессы или способы обойтись без них; разрабатывает методы тестирования и совершенствования этих восстановительных мероприятий в течение определенного времени. Располагая такими планами, компания в конечном итоге должна быть готова продолжить бизнес-операции в том объеме, который плановый комитет сочтет приемлемым еще до того, как разразится катастрофа.
Существует много различных способов обеспечить на практике необходимую устойчивость компании и всех протекающих в ней процессов. Действительно, план BCM должен соответствовать принятой в данной организации философии, ее готовности идти на риск и долгосрочным целям. Однако он должен основываться на хорошо поддающихся определению целях и показателях реальной работы, чтобы его можно было сравнивать и сопоставлять с проводимыми в других фирмах плановыми мероприятиями по упрочению своей безопасности, охватывающими и удаленные подразделения. План BCM способен обеспечить лишь ограниченную устойчивость компании, если ее зарубежные предприятия, составляющие цепочки поставок партнеры или заграничные филиалы не придерживаются тех же стандартов при планировании непрерывности бизнеса.
Стандарт BCM имеет важнейшее значение для обеспечения гарантий надлежащего уровня внешним подразделениям. Он позволяет измерять и сопоставлять ваши мероприятия с действиями смежных структур, тем самым предоставляя возможность распространить философию вашей организации на взаимоотношения с другими компаниями. Одновременно повышается готовность компании удовлетворять требования нормативных актов и пожелания клиентов.
Такой подход к обеспечению непрерывности бизнеса может стать существенным конкурентным преимуществом для компании, если адекватность предусмотренных ею мер подтверждена в процессе некой сертификации. Сертификация позволит компании быстро доказать партнерам и филиалам, что она соответствует определенному стандарту, когда речь зайдет о планировании непрерывности бизнеса.
“Подготовка плана обеспечения непрерывности бизнеса предполагает изучение протекающих в компании процессов и выяснение, как она функционирует, где сосредоточены риски и как нужно выстраивать процессы и стратегии для смягчения этих рисков, — считает Тодд Вандервен, президент BSI Management Systems, America. — Сертификация позволяет проводить аудит этих процессов. Поэтому когда вы общаетесь с партнерами, составляющими цепочку поставок, вы можете спросить, обеспечивается ли у них непрерывность бизнеса. Они могут ответить положительно, но если данный процесс не сертифицирован, вы никогда не можете быть уверены в правильности ответа”.
К сожалению, одним из недостатков существующего стандарта BCM является его недифференцированность. Ведь то, что хорошо для одной компании, может не подойти для другой. Предприятие, использующее BCM, должно убедиться, что принятая стратегия отвечает текущим интересам бизнеса и акционеров, обеспечивает необходимую степень устойчивости к рискам и действительно может быть реализована с учетом выделенного для этой деятельности персонала и бюджетных средств. Таким образом, положения хорошо спроектированного стандарта должны носить общий характер, чтобы в их рамки укладывались действия различных компаний независимо от их профиля и миссии. В то же время эти положения должны быть достаточно конкретными, чтобы стандарт мог достичь своих целей.
Ресурсы BCM Для получения дополнительной информации по управлению непрерывностью бизнеса используйте следующие ресурсы. ·
Avalution www.avulation.com ·
ASIS International www.asisonline.com ·
Business Continuity Institute www.thebci.org ·
British Standards Institute, America www.bsiamerica.com ·
Стандарт BCM Британского института стандартов www.BS25999.com ·
Министерство внутренних дел США www.ready.gov ·
Disaster Recovery Journal www.drj.com ·
DRI International www.drii.org
Ответственные за реализацию BCM руководители должны понимать, что это не разовое мероприятие. План необходимо регулярно оценивать и тестировать на предмет соответствия потребностям компании, адаптировать к меняющимся условиям бизнеса. В отсутствие четкого процесса оценки он быстро устареет. Может оказаться, что такой план удовлетворит аудиторов во время проверки, но будет неэффективным в реальной чрезвычайной ситуации.
Имеющиеся стандарты
В прошлом году общественный закон 110-53 (раздел IX) обязал министерство национальной безопасности США возглавить разработку, реализацию и администрирование программы добровольной сертификации BCM в частном секторе и содействовать формированию стандарта де-факто.
Министерство пока не смогло рекомендовать стандарт для этой программы добровольной сертификации, а материалов, размещенных на его веб-сайте и призванных помочь компаниям в составлении планов на случай катастрофы, недостаточно для реализации полноценных BCM-инициатив, не говоря уже о программе сертификации.
В настоящее время единственным стандартом BCM, соблюдение которого поддается проверке и который может помочь руководителям выявить все нуждающиеся в защите процессы и сделать их более устойчивыми, является BS 25999 Британского института стандартов (British Standard Institution, www.BS25999.com) ·В ноябре исполняется год с момента появления этого стандарта. В сущности он составлен из двух различных документов, которые можно приобрести по отдельности.
Часть первая представляет собой сборник норм и правил. Здесь описываются терминология, сфера применения и цели BCM. Часть вторая содержит саму спецификацию в виде списка шагов, которые необходимо предпринять, чтобы достичь целей бизнеса. Таким образом, вторая часть допускает аудит и сертификацию, создает основу для сопоставлений, необходимых при распространении BCM за пределы компании.
Сейчас сертификация осуществляется независимыми компаниями, такими как Avalution Consulting и BSI Management Systems. Они же предоставляют консультационные услуги при ведении пилотных проектов BCM или расширении масштабов действующих систем.
Такие компании могут обеспечить беспристрастные и объективные рекомендации и разработать стратегии, помогая своим клиентам выйти на уровень требований, предъявляемых при сертификации. В конечном итоге, однако, министерство национальной безопасности США возложило управление программой сертификации на ANAB — Национальный совет по аккредитации (National Accreditation Board) Американского национального института стандартов (American National Standards Institute). Поэтому со временем в процесс сертификации, проводимой компаниями Avalution и BSI Management Systems, вероятно, придётся вносить изменения.
Тем не менее представители BSI Management Systems быстро сообразили, что компаниям не обязательно проводить сертификацию на соответствие стандарту BS 25999, чтобы получить ощутимые преимущества.
“Вы можете с помощью BCM составить список мероприятий, необходимых для поддержания устойчивости организации, выявить ключевые процессы, подлежащие защите, и определить, кто из сотрудников должен отвечать за это”, — сказал Вандервен.
А планирование с учетом BS 25999, по его мнению, поможет руководству ознакомиться с положением дел в компании.
“BS 25999 заставляет организацию изучить протекающие в ней процессы, которые далеко не всегда очевидны, — считает он. — Некоторые наши клиенты полагали, что они должны отслеживать 80 видов деятельности. А на поверку оказывалось, что ключевых процессов, которые действительно имеют значение для их бизнеса, всего восемнадцать. Это позволяло им сконцентрировать усилия и обеспечить поддержку и защиту именно этих весемнадцати важнейших процессов”.
Хотя BS 25999 признан во всем мире (в том числе министерством национальной безопасности США), разрабатывается национальный BCM-стандарт США. Например, недавно компания ASIS International, которая занимается информационной безопасностью, уведомила Американский национальный институт стандартов, что приступает к работе над новым стандартом BCM.
По словам Вандервена, Британский институт стандартов сотрудничает с ASIS. Приступить к совместной работе планировалось в начале ноября.
Вандервен исходит из того, что ASIS будет широко использовать BS 25999, а через два-три года попытается утвердить свою разработку в качестве стандарта Международной организации по стандартизации (ИСО).
Жизненный цикл BCM
Программа управления обеспечением непрерывности бизнеса подразумевает глубокое изучение организации, оценку системы управления рисками, тестирование предлагаемых мер и внесение необходимых изменений. Стандарты, такие как BS 25999, могут помочь соответствующим специалистам сформулировать руководящие указания, которые позволят запустить и отладить эти процессы. Чтобы выбрать стандарт, наиболее полно соответствующий потребностям вашей компании и ее акционеров, специалисты по обеспечению непрерывности бизнеса должны задаться следующими вопросами. ·
- Включает ли данный стандарт анализ рисков, описание бизнес-процессов и стратегию смягчения рисков? ·
- Является ли разработанный план применимым и эффективным во всех странах, в которых компания ведет бизнес или имеет партнеров? ·
- Стандарт описывает не просто очередной проект в области ИТ. Поэтому важно, изложен ли план обеспечения непрерывности бизнеса понятным для бизнеса языком и не перегружен ли техническими терминами. ·
- Предусматривает ли стандарт возможность впоследствии расширить, проверить и пересмотреть план, если в этом возникнет необходимость?
Источник: BSI Institute.