27.04.2009

Комментарии к рекомендациям ЦБ РФ относительно непрерывности бизнеса

img_small_151

Автор: Алексей Авакян

Должность: Старший консультант департамента проектирования и консалтинга компании «Информзащита»

Пятого марта 2009 года Центральный Банк Российской Федерации внес изменения в положение 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Это изменение коснулось и пункта 3.7, согласно которому:

 

“…кредитная организация должна иметь план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств… Кредитная организация определяет порядок проверки возможности выполнения плана действий.”

По-сути от кредитной организации требуется иметь план непрерывности бизнеса и проводить регулярное тестирование этого плана. Требования Указа, разработанного ЦБ РФ, схожи с требованиями британского стандарта BS 25999, посвященного управлению непрерывностью бизнеса. Хотя в России нет еще ни одного предприятия, прошедшего сертификацию в этой области, и тема непрерывности бизнеса (и здесь я имею в виду именно бизнеса, а не ИТ-услуг) является весьма новой для нашего рынка, в западных странах этот вопрос уже давно не нов. Уже формализованы лучшие практики в области непрерывности, существует обширная сеть консультационных компаний, оказывающих соответствующие услуги, существуют международные институты по непрерывности бизнеса и восстановлению после аварий (BCI, DRII).

Для того,  чтобы внести некоторую ясность, мне хотелось бы осветить основные шаги, которые требуются для создания плана обеспечения непрерывности бизнеса. Приведенные шаги весьма стандартны. Нужно понять следующие вещи:

  1. Каковы цели. Прежде чем приступать к планированию, необходимо понять какие основные цели и задачи преследует банк при создании этих планов. К счастью, ЦБ РФ уже дал перечень готовых целей и задач, которые должны быть документально прописаны в плане. К этим целям и задачам, указанным в приложении 5 п.4 можно добавить еще собственные, специфичные именно для вашего банка. 
  2. Где внедрять. Хотя в рекомендациях ЦБ РФ это явным образом не описывается, надо четко понимать еще на ранней стадии, в каких офисах банка, а также в каких департаментах внутри отдельного офиса будет внедряться этот план. Возможно, вы решите начать с наименее важного офиса как с тестовой площадки.
  3. Какие ключевые функции бизнеса должны быть возобновлены в первую очередь. Понятно, что в экстренной ситуации работа некоторых отделов может быть вообще приостановлена на несколько дней без каких-либо ощутимых потерь. Деятельность же другие отделов должна быть возобновлена в течение нескольких часов или даже минут. Для этого надо понять, как будут нарастать потери из-за остановки тех или иных ключевых функций. Исходя из этого, можно понять степень критичности. Также необходимо знать, в какие сроки следует восстановить те или иные функции, чтобы кумулятивные потери организации не превысили заранее согласованный и допустимый уровень потерь. Все эти действия происходят на стадии, называемой «анализ влияния на бизнес».
  4. От каких угроз следует защищаться. Совершенно очевидно, что сильное землетрясение в центре Москвы почти исключено, в то время как подтопление здания и просадка грунта вполне возможные явления. Чтобы понять возможные риски, надо провести так называемый анализ рисков. Те из рисков, которые вероятны и несут за собой большие потери, выходят в пятерку или десятку лидеров. Организация сама решает, к каким из них стоит готовиться и включать в основу дальнейшего планирования непрерывности бизнеса.
  5. Как реагировать на инцидент. Очень важно заранее назначить ответственных за координацию действий в случае реализации угрозы. Надо заранее иметь четко прописанную структуру действий, в каких случаях активизируются какие участки плана. План может содержать как опцию перевода сотрудников на работу из дома, так и перемещение их в переговорные комнаты этажом ниже. Как опцию экстренного переключения на запасной центр обработки данных, так и планомерное восстановление резервного центра с завозом дополнительного оборудования. Все эти опции должны согласовываться с временными рамками восстановления, определенными ранее. На этой стадии достаточно ограничиться лаконичным описанием этих опций восстановления, а также снабдить их маршрутным листом – как, кто и в какой последовательности активизирует ту или иную опцию (участок плана). Здесь же надо четко указать какие из внешних контрагентов или поставщиков услуг, клиентов или акционеров немедленно оповещаются о введении плана в действие.
  6. Создать детальный план. И лишь после того, как существует ясное понимание целей, охвата, временных рамок и существующих опций восстановления, а также структуры реагирования (активизации участков плана), можно перейти к детальному описанию самого плана. Все то, что рекомендуется включить в эти планы, ЦБ РФ установил в пункте 9 «Содержание планов организации непрерывности и восстановления деятельности»

Для проведения успешного тестирования плана, следует сначала разработать два документа:

  • Программу тестирования, включающую в себя план график проведения будущих тестов, области банка, где эти тесты будут проводиться, тип и длительность тестирования, участники тестирования.
  • План отдельного теста, включая формы отчетов, контрольный список действий, критерии успешности теста и формы отчетов о проведении.

А затем периодически выполнять запланированные тесты. Пункт 11 рекомендаций достаточно подробно расписывает детали тестирования. Важно, чтобы каждый из проведенных тестов «оставлял» за собой записи проведенных действий – именно на эти записи будет смотреть проверяющий орган, если рекомендации ЦБРФ перерастут в требования регулятора