24 Июнь

Планы по обеспечению непрерывности бизнеса


В своей заметке Обеспечение непрерывности бизнеса и восстановление после сбоев я рассказывал о практическом подходе к построению системы управления непрерывностью бизнеса и обещал отдельно написать о документах, разрабатываемых в ходе планирования.
Сначала опишу некоторые общие моменты планов, а затем перейду к специфике.

Общее для всех планов

В планах мы закрепляем принятые на этапе планирования решения относительно того, кто и что будет делать в ходе кризисной ситуации. Это делается для того, чтобы минимизировать временные потери в ходе восстановления.

Вспомните кадры событий 11-го сентября в башнях-близнецах в Нью-Йорке. Кто-то без лишней паники спускался к выходу, а кто-то ждал разрешения своего удаленного начальства. Мы тратим время на планирование для того, чтобы не тратить его на неразумные действия в ходе самой кризисной ситуации.

Также для нас очень важна скорость передачи информации. Для этого в планы включаются схемы оповещения и вся необходимая контактная информация. Практика показывает, что, лицо, принимающее ключевые решения, в момент кризиса, как правило, находится в отпуске или у дамы сердца. В таких случаях первоочередной становится поиск человека, знающего номер мобильного телефона этого менеджера.


Специфика

Политика обеспечения непрерывности бизнеса компании

Политика, как правило, отвечает на следующие простые вопросы:
  • Для чего BCP/DRP нужно компании?
  • На каких направлениях деятельности компании система управления непрерывностью бизнеса будет концентрироваться?
  • Как разграничены зоны ответственности по обеспечению непрерывности бизнеса?
  • Какими принципами компания будет руководствоваться в ходе построения системы управления непрерывностью бизнеса?
Общий план обеспечения непрерывности бизнеса и восстановления после сбоев

В плане описываются выбранные наиболее серьезные риски/сценарии (потеря офиса, потеря датацентра и т.д.) и стратегии восстановления (перенос процессов в другой офис, удаленная работа и т.д.). Описываются задачи команд восстановления и определяется их состав (команда оценки ситуации, административная команда, команда обеспечения физической безопасности и т.д.).

План действий антикризисного комитета

Данный план определяет действия высшего руководства компании. Как правило, план определяет новые зоны ответственности руководителей компании в ходе кризиса, так как в идеале развесистый орган исполнительной власти компании на время кризиса должен трансформироваться в небольшую оперативную группу управления.

План, как правило, отвечает на следующие вопросы:
  • Кто и как финансирует процесс восстановления?
  • Кто делает публичные заявления?
  • Кто контролирует ход работ по восстановлению?
  • Кто отвечает за взаимодействие с третьими сторонами?
  • Где будет работать антикризисный комитет в ходе кризиса (в случае, если офис не доступен)?
  • и т.д и т.д.

План PR-отдела по реагированию на кризис

План содержит описание специфичных действий PR-отдела, заранее подготовленные тексты сообщений, контактную информацию журналистов. Наверное, многие видели, как слаженно работают специалисты по связям с общественностью авиакомпаний в случае крушения авиалайнера: почти мгновенно появляются взвешенные заявления от руководства компании, начинает свою работу выделенный для несчастливого рейса сайт, на котором публикуется важная информация (имена пассажиров, новости и т.д.).

Заметил интересную деталь. В PR-планах, подготовленных западными специалистами, очень часто можно найти советы по ведению открытого диалога со СМИ. В российской практике подобная стратегия выбирается редко, а иногда используется даже постановка в основных СМИ “блока” на передаваемую информацию.

План HR-отдела по реагированию на кризис

Как правило, план содержит описание действий по реализации двух основных функций отдела кадров в ходе кризисной ситуации – оповещение сотрудников и их семей и взаимодействие со страховыми компаниями.

Планы обеспечения непрерывности деятельности бизнес-подразделений

Планы обеспечения непрерывности деятельности критичных бизнес-подразделений, как правило, содержат описание угроз, которые могут прервать бизнес-процессы и описание действий сотрудников в случае их реализации.

Большую ценность планов представляют альтернативные процедуры, позволяющие выполнять бизнес-процесс альтернативным способом. Например, сотрудники банковского колл-центра, отвечающие за блокировку карт, должны четко знать, как можно заблокировать карту через VISA, в случае недоступности внутренней банковской системы.

Важная роль в системе документации по обеспечению непрерывности бизнеса отведена и ИТ-планам, но о них я напишу в одной из следующих заметок.

Александр Дорофеев (c)
Posted by admin under обеспечение непрерывности бизнеса | Comments Off |
10 Июнь

Обеспечение непрерывности бизнеса и восстановление после сбоев

Сегодня многие компании начинают задумываться о планировании непрерывности бизнеса (Business Continuity Planning) и восстановлении после сбоев (Disaster Recovery Planning). Эффективная система управления непрерывностью бизнеса позволит минимизировать денежные потери в случае реализации угрозы прерывания бизнеса. Банковским же организациям необходимо выполнять требования Положения 242-П "Об организации внутреннего контроля". В настоящей заметке я рассмотрю основные этапы создания эффективной системы управления непрерывностью бизнеса и ее организационную структуру.

Как создается система управления непрерывностью бизнеса?

У каждой компании свой путь к эффективной системы управления непрерывностью бизнеса, который зависит от вида деятельности, размера организации, корпоративной культуры и многих других факторов. Рассмотрим основные шаги проекта по внедрению
полноценной системы управления непрерывностью бизнеса.

Шаг 1. Оценка рисков

Первым шагом на пути к обеспечению непрерывности бизнеса является создание в компании процесса по идентификации угроз, которые могут оказать столь негативное влияние на бизнес компании.

Перечень угроз для каждой компании будет индивидуальным, но некоторые угрозы будут актуальны для многих компаний.

Приведу примеры некоторых угроз:
  • недоступность офиса;
  • недоступность датацентра;
  • массовое отравление персонала;
  • и т.д.

После идентификации угроз, проводится оценка рисков (как правило, с помощью наиболее понятного и удобного способа и в результате мы получаем ТОП N рисков, с которыми нужно бороться в первую очередь.

Шаг 2. Оценка влияния прерываний на бизнес и определение требований

На этом шаге решается несколько задач, но разбивать его на отдельные шаги, как правило, нецелесообразно.

Задачами данного этапа являются:
  • определение последствий прерывания процессов;
  • выявление критичных бизнес-процессов;
  • выявление взаимозависимости процессов;
  • определение информационных систем, поддерживающих критичные бизнес-процессы;
  • определение требований бизнеса к целевому времени восстановления системы (RTO – Recovery Time Objective) и целевой точки восстановления (RPO – Recovery Point Objective);
  • определение требований к ресурсам, необходимым для минимального поддержания функционирования процессов (персонал, рабочие станции).

Замечание из практики

Очень часто руководители бизнес-подразделений пытаются завысить критичность процессов своего подразделения. Для того чтобы получить адекватную оценку критичности бизнес-процессов необходимо получить подтверждения оценок от руководителей более высокого уровня.

Также в ходе данного этапа формируются списки критичных сотрудников (20% тех, кто делает 80% работы), что также сталкивается с сопротивлением со стороны руководителей подразделений по понятным причинам.

Шаг 3. Оценка текущего состояния

После того, как мы поняли, какие бизнес-процессы для нас являются критичными и определили требования к информационным системам, необходимо определить, насколько эти требования выполнимы в текущих условиях.

На данном шаге мы получаем информацию о существующих проблемах, что позволит нам в ходе непосредственного планирования определить, какие решения нужно принять для выполнения требований бизнеса.

Шаг 4. Разработка нормативной документации системы управления непрерыностью бизнеса

Для того чтобы наша система управления непрерывностью бизнеса заработала, необходима разработка ряда нормативных документов. На мой взгляд, набор документации по BCP для крупной компании должен содержать:

  • Политику обеспечения непрерывности бизнеса;
  • План действий антикризисного комитета;
  • План PR-отдела по реагированию на кризис;
  • План HR-отдела по реагированию на кризис;
  • Планы обеспечения непрерывности деятельности бизнес-подразделений;
  • План восстановления ИТ после сбоев;
  • Инструкции по восстановлению информационных систем;
  • Общий план обеспечения непрерывности бизнеса и восстановления после сбоев;
  • Схемы рассадки персонала
Детально содержание данных документов я рассмотрю в одной из следующих своих заметок.

Шаг 5. Внедрение контрмер

Для повышения устойчивости компании принимают различные решения:
  • договариваются с соседями по бизнес-центру о предоставлении площадей в случае кризисной ситуации;
  • территориально разносят подразделения;
  • выбирают один из офисов в качестве резервной площадки;
  • строят или арендуют резервные датацентры;
  • и т.д и т.д.
В зависимости от требований к целевому времени восстановления может появиться необходимость внедрения различных технических решений, либо настройки существующих в соответствии с требованиями бизнеса.

Обеспечить необходимый уровень устойчивости к сбоям и скорейшее восстановление нам помогут:
  • кластерные решения;
  • виртуализация;
  • системы резервного копирования;
  • сети хранения данных;
  • территориальное разнесение серверов;
  • резервные каналы связи.
Сотрудники должны изучить разработанные планы и знать, что им делать в случае кризисной ситуации.

Шаг 6. Тестирование

После того, как мы определились с угрозами прерывания нашего бизнеса и приняли и внедрили в жизнь соответствующие контрмеры, нам необходимо проверить, насколько все то что мы создали, позволит нам противостоять угрозам в действительности. Для этого необходимо тестирование эффективности принятых мер.

Бывают различные виды тестирования. Можно тестировать только планы, тогда сотрудники собираются в одном помещении и имитируют выполнение действий, которые они бы предприняли в соответствии с планами, а можно устроить боевое тестирование – отозвать партию продукции, остановить работу “боевого” сервера и т.п. Объем и вид тестирования выбираются, исходя из необходимости проверить работоспособность решения/плана и не нанести ущерб бизнесу.


Организационная структура

Для того, чтобы непрерывность бизнеса обеспечивалась, необходимо иметь соответствующую организационную структуру.

В ходе обычного функционирования компании, как правило, выделяется человек (очень редко отдел), который отвечает за поддержание работоспособности системы управления непрерывностью бизнеса (обновление документации, результатов анализа рисков и т.п.). Такого человека часто называют менеджером по обеспечению непрерывности бизнеса. В каждом критичном бизнес-подразделении также назначается координатор, ответственный за поддержание актуальными планов подразделений.

В случае возникновения кризисной ситуации созывается антикризисный комитет, который берет управление компанией на себя для сокращения времени реакции. Для восстановления деятельности создаются специальные команды восстановления, которые и подчиняются антикризисному комитету.

Замечание из практики

Цель создания антикризисного комитета понятна: в случае кризисной ситуации очень важна малая скорость реакции, и поэтому необходимо сосредоточивание власти у довольно малой группы руководителей. Таким образом, если обычно компания управляется десятью директорами, то в случае кризисной ситуации, управление может осуществляться 2-3-мя топ-менеджерами. Понятно, что здесь появляются политические вопросы, в которые консультанты не любят вмешиваться, и иногда антикризисный комитет просто полностью дублирует исполнительный орган управления компании, что, на мой взгляд, не оправдано.

Продолжение следует.

Posted by admin under обеспечение непрерывности бизнеса | Comments Off |