Обеспечение непрерывности деятельности организации в нештатных ситуациях

Под нештатными или чрезвычайными ситуациями


Под нештатными или чрезвычайными ситуациями понимаются внешние воздействия, приводящие к невозможности функционирования предприятия в обычном, регламентируемом соответствующими стандартами данного предприятия режиме.
К таким внешним воздействиям в первую очередь относятся:
  • Отключение электроэнергии
  • Пикетирование и забастовки
  • Прорывы водопровода или канализации
  • Террористические акты или их угроза
  • Выход из строя кондиционеров
  • Гражданские беспорядки
  • Пожары
  • Локальные конфликты
  • Природные катаклизмы

Кроме прямых потерь организации несут издержки, связанные с нарушением процедур производственного и финансового учета, потерей расположения заказчиков, ухудшением имиджа и снижением конкурентоспособности.
Концепция, методы и средства обеспечения непрерывности бизнеса и восстановления деятельности после бедствий (Business Continuity Planning — BCP и Business Disaster Recovery — BDR) широко известны и апробированы на Западе при возникновении официально объявленных бедствий и чрезвычайных происшествий более мелкого характера. Они являются неотъемлемой частью производственной деятельности многих крупных компаний, что позволяет им обеспечить практически бесперебойное функционирование в случае чрезвычайных происшествий малого и среднего масштаба и восстанавливать свою деятельность с минимальными, заранее просчитанными убытками в случае широкомасштабных бедствий.
Для того, чтобы обезопасить себя на случай возникновения нештатных ситуаций, нужно иметь:
  • План действий в нештатной ситуации,
  • Хорошо обученные и тренированные "аварийные группы".

План обеспечения бесперебойного функционирования организации в случае нештатной ситуации представляет собой детальный перечень мероприятий, которые должны быть выполнены до, во время и после чрезвычайного происшествия или бедствия. Этот план документируется и регулярно испытывается для того, чтобы убедиться, что в случае нештатной ситуации он обеспечит продолжение деятельности организации и наличие резерва критически важных ресурсов.
Наличие даже очень хорошего плана не гарантирует защиту компании от неприятностей, если у нее нет хорошо обученных групп сотрудников, знающих, что, когда и как они должны делать при возникновении любой нештатной ситуации.


Аналитики отмечают, что потери от террористической атаки 11 сентября могли быть значительно больше, если бы отсутствовали планы действий в чрезвычайных ситуациях, имеющиеся у большинства американских компаний. Заметим, что многие из этих планов появились в преддверии 2000 г. в связи с так называемой "Проблемой 2000" (Таб. 1).
Таблица 1. Действия компаний по повышению безопасности в преддверии 2000 г. и после 11 сентября 2001 г.

>ДЕЙСТВИЯ

РИСКИ
В ПРЕДДВЕРИИ 2000 Г.
ПОСЛЕ 11 СЕНТЯБРЯ 2001 Г.

Киберугрозы организационным системам

ИТ-индустрия создала инструменты для обнаружения и устранения "Проблемы 2000" (У2К) в аппаратных и программных средствах. Компании понесли значтельные затраты на тестирование, модификацию и замену своих систем

Имеется огромное число технических решений для обеспечения безопасности, и в каждом конкретном случае требуется проведение тщательного отбора. При этом нужно иметь в виду, что безопасность людей не менее важна, чем безопасность материальных активов

Коммерческая зависимость и взаимозависимость компаний

Различные объединения промышленных предприятий проводили оценку угроз нарушения логистических цепочек и последствий таких нарушений. Компании требовали от своих поставщиков подтверждения устранения в своих информационных системах угроз, связанных с "Проблем ой 2000"

Компании углубили свое осознание проблем обеспечения устойчивости логистических цепочек. После 11 сентября они стали меньше полагаться на практику поставок точно в назначенный срок (just-in-time) и больше - на складские запасы "на всякий случай" (just-in-case)



Киберугрозы критическим инфраструктурам

Владельцы и операторы инфраструктур (телекоммуникационных, трубопроводных и др.) обеспечили решение "Проблемы 2000" в своих системах, разработали и проверили планы их восстановления после бедствия и создали сети сотрудничества для обмена информацией и координации действий в чрезвычайных ситуациях

Компании очень вяло обмениваются информацией во всех сферах, кроме финансовой, где существуют долговременные доверительные отношения, позволяющие координировать действия в чрезвычайный ситуациях



Нежелание делиться информацией

Конгресс США издал закон, по которому обмен информацией между Компаниями по "Проблеме 2000" не является нарушением антимонопольного законодательства

Сейчас в Конгрессе США рассматривается закон об обмене между компаниями антитеррористической информацией, подобный закону, принятому в отношении "Проблемы 2000"

Атмосфера страха и неопределенности

Предприятия и их объединения организовали в прессе кампанию с целью убедить акционеров и публику в том, что последствия "Проблемы 2000" будут минимальными

Сразу после 11 сентября все компании публично выразили соболезнования родственникам погибших в зданиях ВТЦ

Горизонт планирования

Знание точной даты проявления "Проблемы 2000" и понимание ее сути упростили планирование работ по ее преодолению. Наличие необходимого инструментария обусловило сокращение времени решения задачи

Время проведения террористической атаки и применяемые для этого средства непредсказуемы. Поэтому необходимо тщательное исследование рисков для определения соответствующих мер и инструментов защиты

Готовы ли российские компании к внедрению у себя планов обеспечения непрерывности деятельности? Информация об этом противоречива. Изучение рынка сервисных ИТ-услуг, проведенное компанией Market-Visio/EDC в 2000-2001 гг. (http://www.edc.ru/), показало, что услуга по планированию непрерывности бизнеса (BCP) в России пока слабо востребована.
Исследование, проведенное в 2001 г. компанией Ernst & Young (www.ey.com/Russia/security-risk), свидетельствует о том, что 67% опрошенных ею российских компаний имеют планы обеспечения непрерывности бизнеса (BCP), причем у 61,2% этих компаний планы протестированы, а у 38,8% — нет.
Столь разные оценки объясняются тем, что Market-Visio/EDC опрашивала предприятия действительно по вопросу непрерывности бизнеса при комплексных угрозах (см. Таб. 2), а Ernst & Young, судя по содержанию отчета, только по проблемам информационной безопасности (отказы компьютеров, атаки хакеров, компьютерные вирусы и др.).


Таблица 2. Классификация прерывателей (рисков) бизнеса (не исчерпывающая)

ТИП ПРЕРЫВАТЕЛЯ БИЗНЕСА
АНГЛИЙСКОЕ НАЗВАНИЕ ПРЕРЫВАТЕЛЯ
РУССКОЕ НАЗВАНИЕ ПРЕРЫВАТЕЛЯ

Предпринимательский

Business Relocation

Переезд предприятия или организации в другое помещение или офис

>		Espionage

Промышленный шпионаж

>		Loss of Records

Утрата архива

>		Mergers & Acquisitions

Слияние/приобретение предприятий/организаций

>		Negative Publicity

Негативная информация о компании в прессе

>		IS swop

Переход с ручной на автоматизированную информационную систему или с одной автоматизированной системы на другую

>		Mask Show

"Наезд" криминальных, коммерческих или государственных структур

Человеческий

Labor Disputes

Трудовой конфликт (забастовка, локаут и др.)

>		Loss of Workforce

Организованный уход сотрудников или их потеря в результате, например, несчастного случая

>		Staffing Issues

Невозможность набрать сотрудников

>		Succession Planning

Отсутствие планирования замещения должностей

>		The Human Factor

Человеческий фактор, терроризм в любой форме и с применением любого оружия

>		Unauthorized Access

Несанкционированный доступ

>		White Collar Crime

Преступления "белых воротничков"

>		Workplace Violence

Силовые конфликты на рабочих местах

Техногенный

Blackouts

Веерное отключение электроэнергии

>		Computer Failure

Отказы компьютеров

>		Computer Harking

Атаки хакеров

>		Computer Viruses

Компьютерные вирусы

>		Environmental Hazards

Аварии систем жизнеобеспечения (прорыв канализации, трубопроводов горячей и холодной воды., отказ воздуховодов и др.)

>		Multi-Tenant Sites

Проблемы, вызванные размещением в одном здании нескольких компаний

>		Power Outages

Перебой в электроснабжении

>		Sick Building Syndrome

Синдром, вызванный наличием в материалах, из которых построено здание, вредных для здоровья примесей

>		Transportation Disruptions

Нарушения работы общественного транспорта



Природный

Blizzards

Снежная буря

>		Earthquakes

Землетрясение

>		Electrical Storms

Электромагнитные бури

>		Hurricanes

Ураганы

>		Tornadoes

Торнадо

Природно-техногенный

Winter Weather

Зимняя погода

>		Biological Hazards

Эпидемии

>		Fine

Пожар

>		Flooding

Наводнение

>		Artificial and natural objects landing

Падение искуcственных (например, самолетов) и природных (например, метеоритов) объектов с неба

Следует заметить, что осознание необходимости заботиться об информационной безопасности и связанная с этим разработка планов обеспечения непрерывности функционирования информационных систем — уже большой шаг российских предприятий к обеспечению устойчивости бизнеса.
Здесь не рассматривается большой пласт предпринимательских рисков, связанных с изменением курса национальной валюты, государственного регулирования, наносящего ущерб коммерческой деятельности, или политической системы. Эти риски заслуживают особого рассмотрения, поскольку для их снижения используются методы, существенно отличные от описанных в настоящей статье.

Содержание раздела