Российский рынок BCM (Business Continuity Management — управление непрерывностью бизнеса) находится в стадии становления, и это направление является совершенно новым для большей части отечественных компаний. Таково мнение экспертов, участвовавших в Business Continuity Russia-2009 (BCR) — состоявшейся в июле первой в России конференции по тематике BCM.
Специалисты считают, что план реализации BCM важен для организации любого размера, формы собственности и отраслевой принадлежности как механизм выживания и восстановления в чрезвычайных ситуациях, как стимулятор роста рейтингов, доверия со стороны инвесторов и клиентов, как залог благополучия организации, жизни и здоровья ее сотрудников, как свидетельство ее зрелости.
Однако портрет участников BCR не подтверждает общую заинтересованность российских организаций в разработке планов BCM и построении необходимых для этого систем: если судить по BCR, то сегодня налицо четко выраженная отраслевая востребованность BCM только в кредитно-финансовой среде. Как сообщил Павел Толыпин, руководитель дирекции ИТ-выставок объединения РЕСТЭК (организатора конференции), на приглашение на BCR откликнулись в основном ИТ- и ИБ-специалисты из банков и страховых компаний. Кстати, уровень представительства компаний свидетельствует о незрелости их отношения к организации непрерывности бизнеса (BC), поскольку, как заявляют эксперты, BCM в первую очередь нужен высшим руководителям и хозяевам бизнеса, именно их и ждали на конференции.
Пока же отечественные компании, согласно наблюдениям старшего консультанта департамента проектирования и консалтинга компании “Информзащита” Алексея Авакяна, в большинстве случаев под организацией BC понимают поддержку непрерывности ИТ-сервисов, что на самом деля является лишь частью реализации BCM. Построенные по такой схеме планы обеспечения BCM работают только в том случае, если угрозы находятся на стороне ИТ. “Но, к примеру, на отравление персонала в столовой или на блокирование антикризисной демонстрацией сотрудников на территории, где расположен офис компании, такие планы не рассчитаны, — заметил он. — Они также не отвечают на вопросы, какие убытки компания понесет при нарушении того или иного бизнес-процесса за конкретное время его прерывания, каковы связанные с этим репутационные риски, сколько из-за этого компания потеряет клиентов и т. п.”.
Даже среди казалось бы консолидированных единой кредитно-финансовой направленностью деятельности участников конференции наблюдается явное расслоение по уровню зрелости в отношении к BCM. Кого-то из них уже волнуют вопросы BCM в архитектуре облачных вычислений или состояние рынка аутсорсинга альтернативного офиса на время восстановления основного офиса после катастрофы, а кто-то вовсе не имеет плана восстановления на случай чрезвычайных ситуаций и испытывает большие сложности, стараясь выполнить рекомендации нового указанию ЦБ РФ от 05.03.2009 г. № 2194-У о внесении изменений в положение Банка России № 242-П “Об организации внутреннего контроля в кредитных организациях и банковских группах”.
Согласно наблюдениям генерального директора компании “Алмитек” Алексея Чеканова, изменения в документе 242-П ЦБ РФ разделили банковское сообщество на две части. С одной стороны оказались крупные банки, которые и без постановления 242-П занимались решением задач BCM, у которых есть для этого специальные подразделения, есть финансы и резервная инфраструктура, для которых рекомендации ЦБ означают несущественные поправки в уже налаженную работу. С другой стороны — небольшие банки (основной офис и два-три филиала с числом сотрудников в несколько сотен человек), у которых нет резервной инфраструктуры для реализации BCM, нет для этого бюджета, которые не знают даже, как подступиться к реализации постановления ЦБ.
По мнению Владимира Дрожжинова, советника руководителя агентства “Росинформтехнологии”, в России есть потребность стандартизовать подходы к BCM. Он полагает, что, несмотря на различия в подходах к BCM для организаций разной отраслевой принадлежности и разных масштабов, это возможно. Более того, он считает, что нужно разработать закон об обязательном наличии в государственных и коммерческих организациях плана восстановления после чрезвычайных ситуации.
Представители консалтинговых и BCM-производящих компаний тоже единодушны в положительной оценке влияния регуляторов на состояние рынка BCM, отмечая среди основных движущих факторов этого рынка наряду с ролью регуляторов также личный опыт компаний по преодолению последствий прерывания бизнеса, требования корпоративных стандартов, подготовку к первичному размещению акций на фондовых рынках (как базовое качество, ожидаемое акционерами от эмитентов) и к сертификации по стандарту ISO 27001.
Соглашаясь с коллегами, Алексей Чеканов обратился к регуляторам с просьбой вовлекать поставщиков услуг и продуктов BCM и их потребителей в процесс разработки новых нормативных актов, регулирующих эту область: “Склонен согласиться с тем, что нужно стремиться к тому, чтобы системы BCM работали во всех компаниях, но давайте делать это максимально комфортно для всех участников рынка. Требования не должны сваливаться как снег на голову. Нужно, чтобы наряду с требованиями регуляторы заботились о наличии методологий их реализации, чтобы поставщики и потребители были готовы к моменту ввода регулирования”.