Сложные условия работы современных предприятий обусловили необходимость обязательного создания и поддержания системы стратегического управления предприятием и системы обеспечения безопасности его работы (через поддержание непрерывности и бесперебойности работы всех его бизнес-процессов).
На сегодняшний день в теории и практике менеджмента существует большое число инструментов управления, позволяющих повысить эффективность работы предприятия, его обороты, прибыль, рентабельность и т. п., однако стратегическое управление и обеспечение безопасности — это в современном мире управленческие инструменты обязательные, базовые. Так, обеспечение безопасности позволяет сохранить целостность, функциональность предприятия, защитить его от разрушений и сбоев в работе. Это, в терминах науки психологии, — базовая потребность в безопасности, обеспечивающая выживаемость системы (объекта, субъекта, предприятия). В свою очередь, стратегическое управление позволяет реализовать, с одной стороны, базовую физиологическую потребность в экономических ресурсах, требуемых предприятию (в терминах психологических — это потребность «в пище, воде, сне, тепле, одежде, жилье и т. п». [23]), а, во-вторых, обеспечивает выживаемость предприятия в долгосрочной перспективе, т. е. реализует потребность в «организации, стабильности, защите» [23]. На рисунке (по аналогии с известной пирамидой А. Маслоу потребностей человека в психологии) представлена взаимосвязь между стратегическим управлением на предприятии, обеспечением его безопасности и прочими управленческими инструментами, направленными на дальнейшее повышение эффективности и результативности работы организации.
Необходимо отметить, что наряду с обеспечением базового функционирования предприятия (в текущей и долгосрочной перспективах) безопасность и стратегическое управление, безусловно, имеют значительное влияние и на рост результативности и эффективности работы предприятия (наряду с другими управленческими инструментами). Однако в отличие от других методов и способов управленческого воздействия, к основополагающей функции безопасности и стратегического менеджмента необходимо все же отнести их приоритетность в вопросах «выживаемости» предприятия в современном мире.
Высокая степень актуальности вопросов по безопасности предприятия обусловила разработку целого перечня международных и отечественных стандартов, регламентирующих оптимальный порядок работы предприятий в части повышения их безопасности. В соответствии с ними безопасность (в различных сферах деятельности человека) определяется следующим образом:
«состояние защищенности интересов организации в условиях угроз…» [5, с. 4]. При этом под угрозой подразумевается: «совокупность факторов и условий, создающих опасность…» [5].
«состояние объекта в системе его связей с точки зрения способности к устойчивости и развитию в условиях внутренних и внешних угроз, действий непредсказуемых и трудно прогнозируемых факторов» [24, с. 9]. При этом угроза определяется, как: «потенциально или реально возможное событие, действие, процесс или явление, которое способно нарушить его устойчивость и развитие или привести к остановке его деятельности» [24, с. 9];
«сопротивление…акту…, рассчитанному на нанесение вреда или ущерба…» [11, с. 3]. При этом менеджмент безопасности определяется, как «систематизированные и скоординированные действия и методы, с помощью которых организация оптимально управляет своими рисками и связанными с ними потенциальными угрозами и воздействиями» [11, с. 2], угроза — как: «любое возможное преднамеренное действие или ряд действий разрушающего характера» [11], а риск — как: «вероятность реализации акта незаконного вмешательства и его последствия» [11];
«все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности … Защищенность продукта, системы или услуги обычно рассматривается в контексте оценки фактических или ожидаемых угроз» [13]. При этом угроза рассматривается как «потенциальная причина инцидента, который может нанести ущерб системе или организации» [19];
«состояние системы, при котором риск снижен до приемлемого уровня риска и поддерживается на этом либо более низком уровне посредством непрерывного процесса выявления угроз, контроля факторов риска и управления состоянием» [14]. Угроза определяется, как «источник опасности, локализованный во времени и пространстве…» [14], а риск — как «мера количества опасности, измеряемой в форме интегрального экспертного значения как функции множества двух величин: нормированной частоты или меры возможности случайного появления опасных (рисковых) событий и возможного ущерба от этих событий» [14];
«отсутствие недопустимого риска» [4], где риск — это «сочетание вероятности нанесения ущерба и тяжести ущерба» [4], а ущерб — это «нанесение физического повреждения или другого вреда…» [4];
«состояние защищенности объекта от угроз причинения ущерба (вреда)…» [12]. В рассматриваемом документе угроза определяется, как «существующая возможность случайного или преднамеренного нанесения ущерба (вреда) защищаемому объекту» [12].
Специалистами в области безопасности принято выделять отдельно понятие «безопасности бизнеса» или «безопасности предпринимательской деятельности», определяемое, как «сохранение предприятия как целостного структурного образования и юридического лица и устойчивые (либо растущие) значения основных финансово-экономических показателей» [2].
Основываясь на вышеперечисленном, а также с учетом определений в области безопасности других специалистов [21], в рамках данного диссертационного исследования под безопасностью работы предприятия будем понимать такое состояние системы (процесса, объекта и (или) субъекта), когда действие внешних и внутренних факторов (угроз) не приводит к ухудшению системы (процесса, объекта и (или) субъекта) или к невозможности её функционирования и развития.
В международных стандартах, касающихся вопросов безопасности, исторически сложилось три базовых направления научной и практической деятельности, в рамках которых в том числе разрабатываются стандартизирующие документы. А именно:
риск-менеджмент (risk management), предполагающий «скоординированные действия по управлению организацией с учетом риска» [17, с. 2]. При этом под риском подразумевается «сочетание вероятности нанесения ущерба (т. е. нанесение физического повреждения или другого вреда) и тяжести этого ущерба» [4]. В некоторых документах риск идентифицируется, как «потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы» [18]. Для лучшего понимания различий между риском и угрозой можно дать следующие определения: угроза — это источник или причина ущерба, а риск — это сочетание вероятности и тяжести ущерба, а также, в зависимости от целей риск-менеджмента, и сам ущерб. Например, риском может являться короткое замыкание электрического оборудования в результате реализации угрозы наводнения и затопления данного электрического оборудования. В основе риск-менеджмента лежит создание структуры управления через воздействие на риск;
система менеджмента непрерывности бизнеса (business continuity management system, BCMS) (далее СМНБ), представляющая «часть общей системы менеджмента, которая направлена на установление, внедрение, осуществление, управление, мониторинг, анализ, поддержку и постоянное улучшение непрерывности бизнеса» [16, с. 2]. При этом под непрерывностью бизнеса подразумевается «стратегическая и тактическая способность организации планировать свою работу в случае инцидентов (т. е. «событий, реализация которых может привести к нарушению/разрушению деятельности организации, потерям, аварии или кризису» [8]) и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне» [10], а менеджмент непрерывности бизнеса определяется, как «процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействие на деятельность организации…, направленный на обеспечение управления восстановлением или продолжением деятельности организации в случае нарушений в ее работе, а также общей программой обеспечения непрерывности бизнеса организации» [10]. В основе менеджмента непрерывности бизнеса (далее МНБ) лежит создание структуры управления через воздействие на бизнес-процессы предприятия;
управление безопасностью по узкоспециализированным направлениям работы предприятия, таких как безопасность информационных технологий, финансовая безопасность, безопасность электрических систем и механизмов, оборудования, технологий, труда и т. п. В основе подхода — создание структуры управления через воздействие на отдельные объекты или процессы управления.
Исторически риск-менеджмент и управление безопасностью отдельных объектов предприятия возникли раньше, чем менеджмент непрерывности бизнеса, это привело к некоторым сложностям в системном понимании всех подходов к управлению вопросами безопасности на предприятии. Необходимо отметить, что специалистами в рассматриваемой области определены следующие взаимосвязи в системе управления безопасностью на предприятии: во-первых, риск-менеджмент считается подструктурой («компонентой» [1]) менеджмента непрерывности бизнеса, во-вторых, система менеджмента непрерывности бизнеса и управление безопасностью работы предприятия по своей сути являются понятиями идентичными (см., например, Д. Морен и К. Карр [22]). При этом отличительная особенность системы менеджмента непрерывности бизнеса заключается в том, что она предполагает создание системы безопасности на предприятии с позиции его бизнес-процессов. Другими словами, когда применяется термин СМНБ, то предполагается обеспечение безопасности бизнеса через управленческое воздействие на его процессы, обеспечение их непрерывности и бесперебойности.
Таким образом, безопасность бизнеса и непрерывность бизнеса по своей сути являются понятиями идентичными. При этом принципиальная разница заключается в том, что термин «непрерывность бизнеса» изначально предполагает критерий, определяющий безопасность предприятия. В системе менеджмента непрерывности бизнеса предприятие находится в безопасности, если его бизнеса-процессы осуществляются без сбоев, непрерывно даже в случае возникновения опасных ситуаций (реализации угроз, рисков). Т. е. в понятие непрерывность бизнеса изначально закладывается цель создания и функционирования всей системы безопасности на предприятии — обеспечение непрерывности деятельности предприятия.
Необходимо также отметить, что существующая международная и отечественная теория и практика в области управления безопасностью предприятия, основывающаяся на работе с угрозами и рисками, априори предполагает защиту, как раз от нарушения работы предприятия, его непрерывности и бесперебойности. Так как основывается на защите от угроз, представляющих из себя:
«потенциальную причину инцидента» [19]. При этом инцидентом является «утрата услуг, оборудования, устройств, или системные сбои и перегрузки, или ошибки пользователей или несоблюдение политик, рекомендаций, или нарушение физических мер защиты, или неконтролируемые изменения систем, или сбои программного обеспечения, отказы технических средств, или нарушение правил доступа» [19];
«источник опасности, потенциально являющийся причиной…повреждений, материальных потерь или снижения возможности выполнения функций, предписываемых системе» [15].
А также предполагает защиту от рисков, определяемых как:
«сочетание вероятности нанесения ущерба и тяжести этого ущерба» [4], где ущерб — это «нанесение… повреждения или другого вреда…» [4], т. е. нарушение целостности или бесперебойности функционирования системы, процесса, субъекта или объекта.
«потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы…» [18].
Таким образом, можно сделать вывод о том, что перечисленные выше определения и понятие «безопасности бизнеса» отражают суть понятия «непрерывности бизнеса». Необходимо отдельно отметить, что в некоторых международных стандартизирующих документах прямо указывается на то, что система менеджмента непрерывности бизнеса включает в себя систему безопасности предприятия. Так в ГОСТ Р 53647.3.-2010 написано: «Нормативно-правовые нормы РФ и обязательные процедуры в области обеспечения безопасности должны быть интегрированы в систему менеджмента непрерывности бизнеса организации» [7]. При этом само определение менеджмента непрерывности бизнеса дается очень близким к определениям безопасности: «Менеджмент непрерывности бизнеса — это процесс управления, в рамках которого определяют потенциальные угрозы и их воздействие на деловые операции организации» [7] либо фактически ему идентично: «деятельность в области обеспечения готовности к инцидентам и опасным ситуациям» [9]. А некоторые определения безопасности прямо указывают на непрерывность бизнеса, как на её обязательное условие: «Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации риска бизнеса, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса» [20].
Таким образом, в рамках данного исследования, опираясь на международную и отечественную теорию и практику, понятие «управление и (или) обеспечение непрерывности бизнеса» и понятие «управление и (или) обеспечение безопасностью работы предприятия» будем считать идентичными. При этом риск-менеджмент будем рассматривать как часть системы менеджмента непрерывности бизнеса (далее СМНБ).
Создание системы безопасности на предприятии, обеспечивающей непрерывность его работы (т. е. создание системы менеджмента непрерывности бизнеса, далее — СМНБ), осуществляется путем реализации определенной последовательности задач. В настоящее время существует несколько международных стандартов в данной области, адаптированных для России, позволяющих предприятиям создавать СМНБ, в том числе самостоятельно. Основываясь на них, в рамках данного исследования описана последовательность действий, требуемая для внедрения СМНБ на предприятии, с небольшими корректировками, связанными с проработкой отдельных моментов, значимых, во-первых, для практического внедрения СМНБ на предприятии, а, во-вторых, учитывающих интеграцию системы безопасности предприятия с системой его стратегического управления. В таблице 1 представлен перечень задач (последовательность действий) для создания системы безопасности работы предприятия (СМНБ), предложенный нами, и приведенный в соответствие с названиями и пояснениями, описанными в международных и отечественных регламентирующих документах. Для более полного понимания также будет описана логика, изложенная в стандартизирующих документах, на основании которой пользователям была предложена соответствующая последовательность действий для внедрения и поддержания работы системы менеджмента непрерывности бизнеса на предприятии.
ГОСТ Р 53647.1–2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство» (идентичен международному стандарту BS 25999–1:2006 «Business continuity management. Part 1: Code of practice») (далее ГОСТ Р 53647.1–2009) объединяет все задачи, необходимые для внедрения и поддержания работы СМНБ на предприятии («жизненный цикл менеджмента непрерывности бизнеса, т. е. — совокупность действий по обеспечению непрерывности бизнеса, которые охватывают все аспекты и элементы программы менеджмента непрерывности бизнеса» [6, с. 2]), в логические блоки — этапы создания системы менеджмента непрерывности бизнеса. К таким этапам относят:
управление программой МНБ;
анализ непрерывности бизнеса организации;
определение стратегии МНБ;
разработка и внедрение ответных мер МНБ;
применение, поддержка и анализ МНБ;
внедрение МНБ в культуру организации.
Последующая проработка вопросов внедрения СМНБ на предприятиях привела к созданию ГОСТ Р 53647.2–2009 «Менеджмент непрерывности бизнеса. Часть 2. Требования» (идентичен международному стандарту BS 25999–2:2007 «Business continuity management — Part 2: Specification) и ГОСТ Р 53647.3–2010 «Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению» (разработан с учетом основных требований международного документа BIP 2142:2007 The Route Map to Business Continuity Management. Meeting the Requirements of BS 25999) (далее ГОСТ Р 53647.3–2010), в рамках которых этапы создания системы менеджмента непрерывности бизнеса были структурированы в соответствии с, так называемым, циклом PDCA (Plan-Do-Check-Act, т. е. Планирование — Осуществление — Проверка (на соответствие планам) — Действие (по поддержке и улучшению)), который берется за основу во всех современных международных и отечественных стандартах «в области систем менеджмента» [7, с. 2]. Так, в соответствии с ГОСТ Р 53647.3–2010 «управление программой МНБ и внедрение МНБ в культуру организации являются элементами, связанными с элементами «планирование, проверка и действие» в цикле PDCA. Анализ непрерывности бизнеса организации, определение стратегии МНБ, разработка и внедрение ответных мер МНБ, применение, поддержка и анализ МНБ относятся к элементу цикла PDCA «осуществление» [7, с. 3]. В таблице А.1 перечень задач для создания СМНБ на предприятии, описанный в стандартизирующих документах, приведен в соответствие как с этапами «жизненного цикла менеджмента непрерывности бизнеса» [6, с. 2], так и с элементами цикла PDCA.
Таблица 1
Соответствие последовательности действий для создания системы менеджмента непрерывности бизнеса на предприятии (предложено автором) перечню задач для разработки СМНБ, описанный вмеждународных иотечественных стандартизирующих документах впривязке кэтапам «жизненного цикла менеджмента непрерывности бизнеса» иэлементам цикла PDCA
Перечень задач, требуемых для создания системы менеджмента непрерывности бизнеса на предприятии (разработано автором) |
Перечень задач, объединяющие их логические блоки иссылки на них вмеждународных иотечественных стандартизирующих документах |
|||
Соответствующий ему перечень задач ипояснения всоответствии сГОСТами |
Наименование стандартизирующего документа иномер страницы внем, на которой написана цитируемая информация |
Наименование этапа создания системы менеджмента непрерывности бизнеса, врамках которого, всоответствии сГОСТ Р 53647.1–2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство», объединяется ряд задач («Элемент жизненного цикла менеджмента непрерывности бизнеса») |
Наименование элементов цикла PDCA (Планирование— Осуществление— Проверка— Действие) , врамках которых, всоответствии сГОСТ Р 53647.2–2009 «Менеджмент непрерывности бизнеса. Часть 2. Требования» иГОСТ Р 53647.3–2010 «Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению», объединяются элементы жизненного цикла менеджмента непрерывности бизнеса |
|
Цель данного элемента: позволить организации идентифицировать критические виды деятельности и ресурсы, необходимые для поддержки ее ключевой продукции и услуг понять угрозы для них и выбрать соответствующую обработку риска[1] |
Стр. 6 ГОСТ Р 53647.2–2009 |
Осуществление |
||
1. Ранжирование бизнес-процессов предприятия по степени важности для достижения стратегической цели, выявление критических бизнес-процессов. Предполагает рассмотрение существующих бизнес-процессов на предприятии и ранжирование их с позиции достижения стратегической цели |
Идентификация целей организации, обязательств перед причастными сторонами, установленных законодательных и обязательных требований, особенностей рабочей среды и условий функционирования организации |
стр. 11 ГОСТ Р 53647.1–2009 |
Анализ непрерывности бизнеса организации |
Осуществление |
Идентификация критических видов деятельности |
стр. 12 ГОСТ Р 53647.1–2009 |
|||
Организация может классифицировать виды своей деятельности в соответствии с их приоритетностью для их восстановления |
стр. 12 ГОСТ Р 53647.1–2009 |
|||
2. Определение перечня и ранжирование ресурсов, напрямую влияющих на непрерывность выполнения критических бизнес-процессов предприятия, от наличия которых напрямую зависит бесперебойность бизнес-процесса |
Организация должна оценить ресурсы, необходимые для возобновления каждого вида деятельности |
стр. 12 ГОСТ Р 53647.1–2009 |
||
3. Определение перечня угроз по каждому ресурсу, реализация которых создает риски (т. е. опасности, ущерб или вред для ресурса). |
Оценка угроз критическим видам деятельности организации. В зависимости от целей применения МНБ [менеджмента непрерывности бизнеса] необходимо проводить анализ риска с точки зрения непрерывности критических видов деятельности организации и риска их нарушения. Критические виды деятельности должны поддерживаться такими ресурсами, как персонал, производственные площади, технологии, информация, запасы и причастные стороны. Организация должна оценить потенциальные угрозы для этих ресурсов, уязвимость каждого вида ресурса и потенциальное воздействие при превращении угрозы в инцидент, который может вызвать нарушение ее деятельности |
стр. 13 ГОСТ Р 53647.1–2009 |
Анализ непрерывности бизнеса организации |
Осуществление |
4. Ранжирование угроз по степени значимости влияния на непрерывность бизнеса. Присвоение ранга каждой угрозе, рассчитываемого на основании показателя степени значимости угрозы |
||||
5. Выбор варианта действия в отношении каждой из выявленных ранее угроз (1) разработка перечня мероприятий, направленных на предотвращение либо уменьшение степени значимости угрозы нарушения непрерывности бизнеса; 2) принятие риска; 3) передача риска; 4) приостановка или прекращение деятельности). Выбор одного из четырех вариантов работы с угрозой должен производиться на основании сравнения затрат предприятия, необходимых для предотвращения угрозы, и скорректированной (с учетом вероятности реализации угрозы) суммы затрат предприятия (на восстановление) и финансовых потерь (от простоя в период восстановления). Вероятность реализации угрозы не соответствует общепринятому определению, применяемому в теории вероятности и математической статистике, и требует отдельного алгоритма расчетов |
Выбор действий (стр. 13 ГОСТ Р 53647.1–2009) или обработка риска. Существует много вариантов, применимых к риску критических видов деятельности: принятие, управление или ограничение, снижение или предупреждение и планирование. Соответствующая обработка риска может включать в себя один из этих вариантов или их сочетание |
стр. 19 ГОСТ Р 53647.3–2010 |
||
6. Разработка перечня мероприятий, направленных на предотвращение либо уменьшение степени значимости угроз (или рисков) нарушения непрерывности работы предприятия через сохранение ключевых характеристик каждого ресурса на требуемом для предприятия уровне |
Оценка риска. Внутренние и внешние опасности, обязательства и уровень подверженности риску должны быть идентифицированы вместе с вероятностью появления опасности |
стр. 18–19 ГОСТ Р 53647.3–2010 |
Осуществление |
|
Цель данного элемента: идентификация мер…, которые позволят организации восстановить свои критические виды деятельности в пределах их целевого срока восстановления[2] |
стр. 7 ГОСТ Р 53647.2–2009 |
Определение стратегии МНБ |
||
7. Разработка перечня мероприятий, направленных на восстановление непрерывности процессов после реализации угрозы. Включает в себя следующие составляющие: |
Определение стратегий непрерывности бизнеса. …Организация должна рассмотреть пути достижения (продолжения) непрерывности деятельности. |
стр. 20 ГОСТ Р 53647.3–2010 |
||
1) определение порядка идентификации инцидента («серьезность нарушений/разрушений и их масштаб»); |
Оценка ситуации. Должны быть идентифицированы полномочия специалистов по определению масштаба и серьезности нарушений/разрушений. Должен быть установлен процесс проведения начальной оценки ситуации и непрерывный процесс мониторинга и обмена информацией с персоналом, ответственным за управление в условиях инцидента |
стр. 22 ГОСТ Р 53647.3–2010 |
||
2) разработка порядка начала действий по восстановлению непрерывности бизнеса после инцидента; |
Инициирование (активация) ответных мер. Должен быть определен процесс активации планов и оповещение лиц, ответственных за обмен информацией, и лиц и/или организаций, которые должны быть информированы об инциденте. Должны быть определены полномочия по активации упомянутых планов на соответствующем уровне организации. Организация должна обеспечить нахождение хотя бы одного сотрудника, наделенного полномочиями по активации планов, на рабочем месте и имел необходимые средства связи |
стр. 22 ГОСТ Р 53647.3–2010 |
||
3) организация обмена информацией между всеми заинтересованными лицами с момента идентификации инцидента и до полного восстановления непрерывности нарушенного процесса; |
Обмен информацией. …Важной задачей является информирование и постоянная передача данных об инциденте всем заинтересованным сторонам. …Должны быть определены организации и лица, которые должны быть проинформированы об инциденте, и лица, ответственные за донесение этой информации до адресата. …Во время нарушений/разрушений требуется точный и краткий обмен информацией. |
стр. 22 ГОСТ Р 53647.3–2010 |
||
4) распределение ответственности и полномочий между всеми участниками и заинтересованными лицами в период, когда произошло нарушение непрерывности работы и до её полного восстановления; |
Принятие решений. Существенно важно, чтобы в период больших разрушений в организации существовала структура, позволяющая руководству принимать обоснованные решения и держать ситуацию под контролем. В период крупных разрушений могут возникнуть противоречия в приоритетах, так как обычно ресурсы ограничены и руководители всех уровней полагают, что восстановление их деятельности наиболее важно. Решения о приоритетах должны быть приняты при перспективном проектировании, а не в период разрушений. Однако, каждая конкретная ситуация имеет свои особенности и должен существовать механизм адаптации при расстановке приоритетов. Координационный Совет должен выбирать стратегии и быть уполномочен для установления приоритетов и поэтому должен состоять из людей, которые осведомлены о работе всей организации |
стр. 22 ГОСТ Р 53647.3–2010 |
||
5) непосредственная разработка мероприятий (сценариев, вариантов) позволяющих восстановить непрерывность деятельности после инцидента; |
Возможные варианты обеспечения непрерывности бизнеса. Следующим этапом является определение способа восстановления каждого критического вида деятельности в пределах установленного целевого срока восстановления и выделенных ресурсов и перехода на обычный режим работы. При выборе соответствующего варианта или стратегии восстановления деятельности должны быть приняты во внимание максимально приемлемый период нарушений/разрушений для каждого вида деятельности, затраты на выполнение стратегий и ущерб от последствий бездействия |
стр. 23 ГОСТ Р 53647.3–2010 |
Разработка и внедрение ответных мер МНБ |
|
6) планирование порядка и способов информирования «ключевых причастных сторон» в случае значительных нарушений непрерывности бизнеса, в том числе потребителей, персонал, высшее руководство, СМИ и др. |
Стратегии обмена информацией. При наличии серьезных разрушений для организации существенно важно обеспечить соответствующий обмен информацией с внешними и внутренними причастными сторонами. У каждой из причастных сторон существуют определенные ожидания относительно работы организации, поэтому их волнует в какой мере разрушения скажутся на их деятельности |
стр. 25 ГОСТ Р 53647.3–2010 |
||
Создание структуры управления «ответными мерами на инцидент» («группу управления инцидентом или группу кризисного менеджмента») |
стр. 20 ГОСТ Р 53647.1–2009 |
Разработка и внедрение ответных мер МНБ |
||
Разработка планов, регламентирующих начало работы ответственных лиц после того, как непрерывность процессов была нарушена («инициирование плана») |
стр. 22 ГОСТ Р 53647.1–2009 |
|||
Разработка планов, регламентирующих порядок действий всех ответственных лиц после того, как они начали работу по восстановлению непрерывности бизнес-процессов предприятия на «первоначальной (наиболее острой) стадии развития инцидента («план управления инцидентом») |
стр.22 ГОСТ Р 53647.1–2009 |
|||
Разработка планов, регламентирующих работу всех ответственных лиц после на следующих (после первоначального, острого) этапах восстановления непрерывности бизнес-процессов («план обеспечения непрерывности бизнеса») |
стр. 25 ГОСТ Р 53647.1–2009 |
|||
8. Разработка и осуществление мер, направленных на повышение результативности внедрения в работу предприятия мероприятий по сохранению и восстановлению непрерывности бизнес-процессов |
Разработка программы по проведению учений |
стр. 27 ГОСТ Р 53647.1–2009 |
Применение, поддержка и анализ МНБ |
|
Непосредственное проведение самих учений |
стр. 28 ГОСТ Р 53647.1–2009 |
|||
Разработка (в том числе задокументированная) программы по поддержке менеджмента непрерывности бизнеса в части анализа и учета в разработанных ранее программах «любых изменений (внутренних или внешних), воздействующих на организацию» («меры по поддержке МНБ») |
стр. 29 ГОСТ Р 53647.1–2009 |
|||
Периодический анализ «способностей организации к МНБ, обеспечивать её непрерывную пригодность, адекватность и эффективность. Этот анализ должен быть зарегистрирован» |
стр. 29 ГОСТ Р 53647.1–2009 |
|||
Повышение осведомленности персонала предприятия о менеджменте непрерывности бизнеса, а также проведение оценки эффективности такой осведомленности («осведомленность») |
стр. 31 ГОСТ Р 53647.1–2009 |
Внедрение МНБ в культуру организации |
||
Организация регулярных обучений действиям, связанным с менеджментом непрерывности бизнеса всего персонала предприятия, как «вовлеченного в МНБ», так и не вовлеченного. |
стр. 32 ГОСТ Р 53647.1–2009 |
|||
Цель — определение области применения СМНБ, обеспечение четкого установления целей, их понимания и проведения по ним обмена информацией, демонстрация обязательств высшего руководства по МНБ, выделение необходимых ресурсов и обеспечение выполнения работ по МНБ компетентным персоналом |
стр. 5 ГОСТ Р 53647.2–2009 |
Управление программой МНБ |
Планирование. Проверка (на соответствие запланированному). Действие (по поддержке и улучшению) |
|
Цель — обеспечение внедрения непрерывности бизнеса в обычную операционную деятельность и процессы менеджмента организации, независимо от ее размера или сегмента рынка. |
стр. 5 ГОСТ Р 53647.2–2009 |
Внедрение МНБ в культуру организации |
||
Итак, для создания на предприятии системы менеджмента непрерывности бизнеса (СМНБ) необходимо выполнить следующую последовательность действий (блок-схема каждого этапа представлена на рисунке 2).
- Вначале необходимо проранжировать бизнес-процессы предприятия по степени важности для достижения стратегической цели предприятия, выявить критические бизнес-процессы. Данный этап предполагает рассмотрение существующих бизнес-процессов на предприятии и ранжирование их с позиции достижения стратегической цели. В результате определения приоритетов будут выявлены «критические» [6] бизнес-процессы, определяющим образом влияющие на реализацию стратегии предприятия (по аналогии с «критическими видами деятельности,… которые должны осуществляться для обеспечения поставки ключевой продукции и услуг, позволяющие достигать наиболее важных и первоочередных целей организации» [6] и «потеря которых может оказать в краткосрочный период деятельности максимальное негативное воздействие на организацию» [6, с. 12]).
- На втором этапе необходимо проранжировать ресурсы предприятия по степени важности для обеспечения непрерывности критических бизнес-процессов. Предполагается выявление перечня ресурсов, напрямую влияющих на непрерывность выполнения критических бизнес-процессов предприятия, от наличия которых напрямую зависит бесперебойность бизнес-процесса. При этом определение перечня ресурсов также предполагает формулирование ключевых характеристик каждого ресурса, наличие которых и позволяет идентифицировать наличие либо отсутствие данного ресурса с позиции обеспечения непрерывности бизнес-процесса. Формулирование ключевых характеристик каждого ресурса должно производиться в виде показателей оценки рассматриваемого ресурса.
- На третьем этапе по каждому ресурсу определяется перечень угроз, реализация которых создает риски (т. е. опасности, ущерб или вред для ресурса), во-первых, полной утраты (гибели) ресурса как такового, во-вторых, искажения ключевых характеристик ресурса, в результате которой также будет нарушена непрерывность ключевых бизнес-процессов предприятия.
- Далее необходимо проранжировать угрозы по степени значимости влияния на непрерывность бизнеса. При этом самой значимой угрозой является та, в результате реализации которой предприятие понесет наибольшие финансовые потери, как за счет остановки ключевых бизнес-процессов, так и за счет затрат, требуемых для восстановления непрерывности работы.
- На пятом этапе необходимо выбрать вариант действия в отношении каждой из выявленных ранее угроз. Возможны следующие четыре варианта действий на предприятии («выбор действий» [6, с. 13]):
1) разработка перечня мероприятий, направленных на предотвращение либо уменьшение степени значимости угрозы (или риска) нарушения непрерывности работы предприятия через сохранение ключевой характеристики ресурса на требуемом для предприятия уровне (вариант «непрерывности бизнеса» [6, c. 14], или «обработки риска (Treat)» [6, c. 14], или «снижение риска» [7, с. 19]). При применении данного варианта мероприятия по снижению угроз разрабатываются начиная с тех, чей показатель степени значимости наибольший;
Рис. 2. Последовательность действий для создания на предприятии СМНБ
2) «принятие риска» [6, с. 14] без разработки мероприятий по предотвращению либо уменьшению степени значимости угрозы нарушения непрерывности работы предприятия. В случае, когда, с одной стороны, риск является «небольшим по величине» [6, с. 14], а с другой, сложным для управления, а также в ситуации, когда «стоимость предпринятых ответных мер непропорциональна полученной выгоде» [6, с. 14], т. е. затраты на управление данным риском экономически нецелесообразны, оптимальным управленческим решением является именно «принятие риска»;
3) «передача риска. …Достигается путем применения обычных страховых или договорных соглашений, либо путем оплаты третьему лицу, которое принимает на себя риск любым способом» [6, с. 14];
4) приостановка или прекращение деятельности («изменение, приостановка или прекращение производства» [6, с. 14]). «Если не существует возможности снижения риска» [7, с. 20] либо затраты на предотвращения несопоставимо больше, чем последствия для предприятия в результате реализации угрозы, «может быть принято решение о прекращении деятельности» [7, с. 20].
- На шестом этапе в случае, если на предприятии принято решение об «обработке» [6, с. 14] или «снижении» [7, с. 19] угрозы разрабатывается перечень мероприятий, направленных на предотвращение либо уменьшение степени значимости угроз (или рисков) нарушения непрерывности работы предприятия через сохранение ключевых характеристик каждого ресурса на требуемом для предприятия уровне.
- На седьмом этапе создания СМНБ на предприятии необходимо разработать перечень мероприятий, направленных на восстановление непрерывности процессов после реализации угрозы [6, с. 19]. Седьмой этап включает в себя следующие составляющие:
1) определение порядка идентификации инцидента («серьезность нарушений/разрушений и их масштаб» [7, с. 22]);
2) разработка порядка начала действий по восстановлению непрерывности бизнеса после инцидента;
3) организация обмена информацией между всеми заинтересованными лицами с момента идентификации инцидента и до полного восстановления непрерывности нарушенного процесса;
4) распределение ответственности и полномочий между всеми участниками и заинтересованными лицами в период, когда произошло нарушение непрерывности работы и до её полного восстановления;
5) непосредственная разработка мероприятий (сценариев, вариантов) позволяющих восстановить непрерывность деятельности после инцидента;
6) планирование порядка и способов информирования «ключевых причастных сторон» в случае значительных нарушений непрерывности бизнеса, в том числе потребителей, персонал, высшее руководство, СМИ и др.
- На последнем этапе внедрения СМНБ на предприятии необходимо разработать и осуществить меры, направленных на повышение результативности внедрения в работу предприятия мероприятий по сохранению и восстановлению непрерывности бизнес-процессов. В соответствии с ГОСТ Р 53647.1–2009 включают в себя проведение учений сотрудников предприятия [6, с. 28], разработку «программы поддержки менеджмента непрерывности бизнеса» [6, с. 29] через корректировку разработанных ранее мероприятий в случае, если условия функционирования предприятия, его бизнес-процессов, ресурсов и (или) потенциальных угроз изменились, а также аудит и самооценку «своей компетентности и способности к менеджменту непрерывности бизнеса» [6, с. 30].
Ещё раз отметим, что функционирование предприятия, его жизнеспособность в современном мире, обуславливается его способностью, с одной стороны, к постоянному стратегическому развитию, а, с другой стороны, к сохранению устойчивости при неблагоприятных внешних и внутренних воздействиях, обеспечиваемой системой безопасности на предприятии.
В соответствии с принципом саморегулирования живых организмов (гомеостазом, т. е. «подвижным равновесным состоянием некоей системы, сохраняемое путем ее противодействия нарушающим равновесие внешним и внутренним факторам. Поддержание постоянства различных физиологических параметров организма…» [3]), а также теорией естественного отбора Ч. Р. Дарвина любая живая система будет жизнеспособна при условии, что, с одной стороны, она сможет сохранять устойчивость (т. е. поддерживать свои основные характеристики, параметры и свойства) при неблагоприятных воздействиях на неё, а, с другой стороны, постоянно развиваться, эффективным образом приспосабливаясь к постоянно изменяющимся внешним условиям жизни. Другими словами, любая живая система, так же, как и отдельная её часть, сохраняет жизнеспособность при условии постоянного развития и умении сохранять устойчивость и равновесие при любых неблагоприятных воздействиях на неё. Перенося условия функционирования живых систем на системы экономические, к которым также относятся предприятия, необходимо выделить, во-первых, стратегическое управление на предприятии, как инструмент его постоянного развития, и, во-вторых, обеспечение безопасности работы предприятия, как инструмент, обеспечивающий его устойчивость к любым негативным воздействиям. Обязательность развития и устойчивости (а в нашей терминологии стратегии и безопасности) для функционирования экономических систем нашла отражение и в современной экономической теории и практики (см., например, И. Я. Богданова: «Устойчивость и развитие — важнейшие характеристики экономики как единой системы» [25]).
Таким образом, жизнеспособность, устойчивость и результативность работы предприятия напрямую зависят от его стратегического развития и обеспечения безопасности (непрерывности выполняемых бизнес-процессов) его работы.
Литература:
1. Альтерман, Б. Д. Управление непрерывностью бизнеса и управление операционными рисками. Где курица и где яйцо? [Электронный ресурс] / Б. Д. Альтерман // Jet Info. — 2008. — № 7.– Режим доступа: http://www.jetinfo.ru/stati/upravlenie-nepreryvnostyu-biznesa-i-upravlenie-operatsionnymi-riskami-gde-kuritsa-i-gde-yajtso
2. Бекряшев, А. К., Белозеров, И. П., Бекряшева, Н. С., Леонов, И. В. Теневая экономика и экономическая преступность [Электронный ресурс] / А. К. Бекряшев, И. П. Белозеров, Н. С. Бекряшева, И. В. Леонов. — Режим доступа: http://newasp.omskreg.ru/bekryash/ch11p1.htm
3. Головин, С. Ю. Словарь практического психолога [Электронный ресурс] / С. Ю. Головин. — М.: АСТ, Харвест, 1998. — Режим доступа: http://psychology.academic.ru/447/ %D0 %B3 %D0 %BE %D0 %BC %D0 %B5 %D0 %BE %D1 %81 %D1 %82 %D0 %B0 %D0 %B7
4. ГОСТ Р 51898–2002 Аспекты безопасности. Правила включения в стандарты [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_51898–2002
5. ГОСТ Р 53114–2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_53114–2008
6. ГОСТ Р 53647.1–2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_53647.1–2009
7. ГОСТ Р 53647.3–2010 Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_53647.3–2010
8. ГОСТ Р 53647.4–2011
9. Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_53647.4–2011
10. ГОСТ Р 53647.5–2012 Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_53647.5–2012
11. ГОСТ Р 53647.8–2013 Менеджмент непрерывности бизнеса. Управление человеческими ресурсами [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_53647.8–2013
12. ГОСТ Р 53663–2009 Система менеджмента безопасности цепи поставок. Требования [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_53663–2009
13. ГОСТ Р 53704–2009 Системы безопасности комплексные и интегрированные. Общие технические требования [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_53704–2009
14. ГОСТ Р 54581–2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_54581–2011
15. ГОСТ Р 55860–2013 Воздушный транспорт. Система менеджмента безопасности авиационной деятельности. Общие принципы построения СМБ на всех этапах жизненного цикла авиационной техники. Структурная схема и функции модулей типовой СМБ. Общие положения [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_55860–2013
16. ГОСТ Р 56116–2014 Воздушный транспорт. Система менеджмента безопасности авиационной деятельности. Метрологические риски. Основные положения [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_56116–2014
17. ГОСТ Р ИСО 22301–2014 Системы менеджмента непрерывности бизнеса. Общие требования [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/search?searchid=2083849&text= %D0 %93 %D0 %9E %D0 %A1 %D0 %A2 %2022301–2014&web=0#
18. ГОСТ Р ИСО 31000–2010 Менеджмент риска. Принципы и руководство [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_ %D0 %98 %D0 %A1 %D0 %9E_31000–2010
19. ГОСТ Р ИСО ТО 13569–2007 Финансовые услуги. Рекомендации по информационной безопасности [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_ %D0 %98 %D0 %A1 %D0 %9E_ %D0 %A2 %D0 %9E_13569–2007
20. ГОСТ Р ИСО/МЭК 13335–1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_ %D0 %98 %D0 %A1 %D0 %9E/ %D0 %9C %D0 %AD %D0 %9A_13335–1-2006
21. ГОСТ Р ИСО/МЭК 27002–2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности [Электронный ресурс] // Открытая база ГОСТов. — Режим доступа: http://standartgost.ru/g/ %D0 %93 %D0 %9E %D0 %A1 %D0 %A2_ %D0 %A0_ %D0 %98 %D0 %A1 %D0 %9E/ %D0 %9C %D0 %AD %D0 %9A_27002–2012
22. Заплатинский В. М. Терминология науки о безопасности / В. М. Заплатинский // Zbornikprispevkovzmedzinarodnejvedeckejkonferencie «Bezhecnostnavedaabezpecnostnevzdelanie». — LiptovskyMikulas: AOSvLiptovskomMikulasi, 2006. — (CD nosic)
23. Морен, Д., Карр, К. и др. Основные принципы управления безопасностью [Электронный ресурс] / Д. Морен, К. Карр и др. // Директор информационной службы. — 2007. — № 8.– Режим доступа: http://www.osp.ru/cio/2007/08/4326267/
24. Мотивация. Основные теории [Электронный ресурс] // Сайт: Рsichov.net. Всё о психологии. — 2013. — 23 октября. — Режим доступа: http://psichov.net/motivatsiya-osnovnyie-teorii/
25. Рекомендации по созданию системы безопасности и защиты интеллектуальной собственности в проектной организации [Электронный ресурс] // ФГУП «ЦЕНТРИНВЕСТпроект». — 2006. — Режим доступа: http://standartgost.ru/g/pkey-14293848165
26. Цибарева, М. Е. Содержание понятия «экономическая устойчивость» фирмы [Электронный ресурс] / М. Е. Цибаева // Вестник СамГУ. — 2008. — № 7 (66). — Режим доступа: http://vestnik-samgu.samsu.ru/gum/2008web7/econ/econ20087.html
[1] Задачи объединяются в элементы жизненного цикла МНБ и в элементы цикла PDCA только в рамках ГОСТов
[2] Задачи объединяются в элементы жизненного цикла МНБ и в элементы цикла PDCA только в рамках ГОСТов