Добрый день, уважаемые коллеги.
В одной из предыдущих статей, посвященной кризисным ситуациям мы коснулись вопросов написания антикризисного плана компании (в международной классификации - BCP) и, в частности, его IT-части - IT BCP. Там же были рассмотрены вопросы актуальности наличия антикризисного плана в каждой компании.
Основной темой настоящей статьи будет более глубокое погружение в данный документ. Мы детально рассмотрим структуру IT BCP, коснемся организационных и технических вопросов, а также разберем рабочий IT BCP на примере типового вероятного риска. Статья будет полезна собственникам бизнеса, риск-менеджерам, ИТ-директорам и другим руководителям, ответственным за непрерывность бизнеса.
Разные компании в процессе своей работы решают множество стратегических и тактических задач Но все, так или иначе, стремятся к одному и тому же – улучшению своих показателей на рынке, минимизации расходов и увеличению прибыли. На разных этапах своей жизни бизнесы сталкиваются с аварийными ситуациями, которые могут кардинально поменять течение нормальной операционной деятельности компании или даже выбросить ее с рынка. Ненадолго, надолго или навсегда. В круг обязательных задач любой компании, независимо от размера и направления деятельности, входит превентивная работа с аварийными ситуациями - подготовка к ним, отработка в случае наступления, выход с минимальными потерями и дальнейшее совершенствование в этом направлении.
В общем случае в компании должен существовать единый документ BCP (business continuity plan – план обеспечения непрерывности бизнеса), регламентирующий и описывающий действия компании в типовых кризисных ситуациях и, самое главное, - действия при подготовке к ним.
Как правило, BCP пишется, внедряется и совершенствуется старшим офицером по безопасности или IT-директором при непосредственном участии руководителя организации. На этих лиц также возложены задачи по формированию антикризисной команды из числа сотрудников или путем привлечения внешних специалистов.
Разберем детально, как устроен IT BCP в общем случае, а также коснемся некоторых особенностей.
Раздел 1 - Каталог сценариев рисков
Это основной раздел антикризисного плана, включающий в себя описание всевозможных кризисных сценариев, путей их развития и максимально безболезненного закрытия.
Для каждого сценария указываются в обязательном порядке следующие параметры:
Раздел 2 - Роли и ответственность ключевых игроков команды IT BCP
Данные раздел детально описывает роли всех участников процесса по закрытию риска. В общем случае включает в себя следующие роли:
В небольших компаниях довольно часто за BCP (при его наличии) отвечает один человек – генеральный директор. На него возлагается вся полнота ответственности за продолжение бизнеса в различных ситуациях.
Раздел 3 – Решение типовых задач
В данном разделе указываются все принятые в компании превентивные меры, направленные на продолжение ее функционирования в различных кризисных ситуациях с детальным описанием возможности и срока применения. Тезисно содержатся регламенты взаимодействия с внешними подрядчиками (телефонии, интернета, электричества) в части работы в критических ситуациях. Описываются режимы и сроки работы источников бесперебойного питания, дизель-генераторов, порядок переключения на резервные каналы связи (при их наличии).
Кроме того, данный раздел содержит инструкции по восстановлению типовых сервисов, пострадавших в результате реализации различных кризисных сценариев. Типичным примером подобной инструкции будет регламент восстановления работы сервера баз данных после полной гибели дискового хранилища, включающий в себя - порядок замены жестких дисков и, при необходимости, их закупки, порядок развертывания баз данных из резервных копий, порядок взаимодействия с заинтересованными пользователями во время и после восстановления работы сервиса.
Другие возможные разделы
Помимо описанных выше основных разделов для компаний, работающих в различных отраслях, в BCP могут быть введены специализированные разделы, характерные для конкретного бизнеса. Например, BCP крупных логистических компаний содержит детальные протоколы изменения маршрутов при отказе одного или нескольких логистических центров, складов. BCP компаний, работающих в сфере скоропортящихся продуктов питания, ориентирован в первую очередь на непрерывность работы рефрижераторов и возможность их гарантированной замены в установленные сроки.
Теперь, обладая необходимыми теоретическими знаниями и методикой построения IT BCP, в качестве примера разберем типовой риск, который также будет актуальный практически для любого бизнеса – долговременное отключение электричества. Данный риск является тяжёлым, в ряде случаев может привести к долгосрочной остановке или даже потере бизнеса в регионе. Имеет типовые сценарии наступления и развития, в зависимости от инфраструктуры предприятия. Имеет также типовые сценарии полного или частичного закрытия (устранения), в зависимости от того, какая сумма будет на это затрачена.
Итак, выдержка из реального IT BCP одной сервисной компании (публикуется с согласия автора):
Компания им имеет механизмы защиты, предназначенные для обеспечения непрерывности бизнеса в случае отключения электричества, в том числе: - 24x7 соглашения о поддержке / техническом обслуживании с ключевыми поставщиками; - Резервные батареи телефонной станции, рассчитанные на 3 часа работы; - Устройства ИБП (источники бесперебойного питания), питающие ключевые серверы, АТС и 10 персональных компьютеров пользователей, рассчитанные на 1 час работы; - Две независимые системы кондиционирования; - Системы газового пожаротушения; - Законсервированную резервную площадку с гарантированным временем развертывания в течение 24 часов. Протокол развертывания доступен по ссылке и инициируется COO или CEO; - Дизель-генератор с гарантированным временем старта в течение 15 минут.
Мы рассмотрели структуру типового IT BCP для компании средних размеров и детально разобрали пример его написания для типового риска. На основании данного материала ответственный за непрерывность бизнеса сотрудник сможет составить и проработать для себя подходящий BCP, проработать практически любые типовые риски, выбрать и оценить те, от которых необходимо защищаться в первую очередь, оценить финансовые затраты.