Под нештатными или чрезвычайными ситуациями
Под нештатными или чрезвычайными ситуациями понимаются внешние воздействия, приводящие к невозможности функционирования предприятия в обычном, регламентируемом соответствующими стандартами данного предприятия режиме.
К таким внешним воздействиям в первую очередь относятся:
- Отключение электроэнергии
- Пикетирование и забастовки
- Прорывы водопровода или канализации
- Террористические акты или их угроза
- Выход из строя кондиционеров
- Гражданские беспорядки
- Пожары
- Локальные конфликты
- Природные катаклизмы
Кроме прямых потерь организации несут издержки, связанные с нарушением процедур производственного и финансового учета, потерей расположения заказчиков, ухудшением имиджа и снижением конкурентоспособности.
Концепция, методы и средства обеспечения непрерывности бизнеса и восстановления деятельности после бедствий (Business Continuity Planning — BCP и Business Disaster Recovery — BDR) широко известны и апробированы на Западе при возникновении официально объявленных бедствий и чрезвычайных происшествий более мелкого характера. Они являются неотъемлемой частью производственной деятельности многих крупных компаний, что позволяет им обеспечить практически бесперебойное функционирование в случае чрезвычайных происшествий малого и среднего масштаба и восстанавливать свою деятельность с минимальными, заранее просчитанными убытками в случае широкомасштабных бедствий.
Для того, чтобы обезопасить себя на случай возникновения нештатных ситуаций, нужно иметь:
- План действий в нештатной ситуации,
- Хорошо обученные и тренированные "аварийные группы".
План обеспечения бесперебойного функционирования организации в случае нештатной ситуации представляет собой детальный перечень мероприятий, которые должны быть выполнены до, во время и после чрезвычайного происшествия или бедствия. Этот план документируется и регулярно испытывается для того, чтобы убедиться, что в случае нештатной ситуации он обеспечит продолжение деятельности организации и наличие резерва критически важных ресурсов.
Наличие даже очень хорошего плана не гарантирует защиту компании от неприятностей, если у нее нет хорошо обученных групп сотрудников, знающих, что, когда и как они должны делать при возникновении любой нештатной ситуации.
Аналитики отмечают, что потери от террористической атаки 11 сентября могли быть значительно больше, если бы отсутствовали планы действий в чрезвычайных ситуациях, имеющиеся у большинства американских компаний. Заметим, что многие из этих планов появились в преддверии 2000 г. в связи с так называемой "Проблемой 2000" (Таб. 1).
Таблица 1. Действия компаний по повышению безопасности в преддверии 2000 г. и после 11 сентября 2001 г.
Киберугрозы организационным системам | ИТ-индустрия создала инструменты для обнаружения и устранения "Проблемы 2000" (У2К) в аппаратных и программных средствах. Компании понесли значтельные затраты на тестирование, модификацию и замену своих систем | Имеется огромное число технических решений для обеспечения безопасности, и в каждом конкретном случае требуется проведение тщательного отбора. При этом нужно иметь в виду, что безопасность людей не менее важна, чем безопасность материальных активов |
Коммерческая зависимость и взаимозависимость компаний | Различные объединения промышленных предприятий проводили оценку угроз нарушения логистических цепочек и последствий таких нарушений. Компании требовали от своих поставщиков подтверждения устранения в своих информационных системах угроз, связанных с "Проблем ой 2000" | Компании углубили свое осознание проблем обеспечения устойчивости логистических цепочек. После 11 сентября они стали меньше полагаться на практику поставок точно в назначенный срок (just-in-time) и больше - на складские запасы "на всякий случай" (just-in-case) |
Киберугрозы критическим инфраструктурам | Владельцы и операторы инфраструктур (телекоммуникационных, трубопроводных и др.) обеспечили решение "Проблемы 2000" в своих системах, разработали и проверили планы их восстановления после бедствия и создали сети сотрудничества для обмена информацией и координации действий в чрезвычайных ситуациях | Компании очень вяло обмениваются информацией во всех сферах, кроме финансовой, где существуют долговременные доверительные отношения, позволяющие координировать действия в чрезвычайный ситуациях |
Нежелание делиться информацией | Конгресс США издал закон, по которому обмен информацией между Компаниями по "Проблеме 2000" не является нарушением антимонопольного законодательства | Сейчас в Конгрессе США рассматривается закон об обмене между компаниями антитеррористической информацией, подобный закону, принятому в отношении "Проблемы 2000" |
Атмосфера страха и неопределенности | Предприятия и их объединения организовали в прессе кампанию с целью убедить акционеров и публику в том, что последствия "Проблемы 2000" будут минимальными | Сразу после 11 сентября все компании публично выразили соболезнования родственникам погибших в зданиях ВТЦ |
Горизонт планирования | Знание точной даты проявления "Проблемы 2000" и понимание ее сути упростили планирование работ по ее преодолению. Наличие необходимого инструментария обусловило сокращение времени решения задачи | Время проведения террористической атаки и применяемые для этого средства непредсказуемы. Поэтому необходимо тщательное исследование рисков для определения соответствующих мер и инструментов защиты |
Готовы ли российские компании к внедрению у себя планов обеспечения непрерывности деятельности? Информация об этом противоречива. Изучение рынка сервисных ИТ-услуг, проведенное компанией Market-Visio/EDC в 2000-2001 гг. (http://www.edc.ru/), показало, что услуга по планированию непрерывности бизнеса (BCP) в России пока слабо востребована.
Исследование, проведенное в 2001 г. компанией Ernst & Young (www.ey.com/Russia/security-risk), свидетельствует о том, что 67% опрошенных ею российских компаний имеют планы обеспечения непрерывности бизнеса (BCP), причем у 61,2% этих компаний планы протестированы, а у 38,8% — нет.
Столь разные оценки объясняются тем, что Market-Visio/EDC опрашивала предприятия действительно по вопросу непрерывности бизнеса при комплексных угрозах (см. Таб. 2), а Ernst & Young, судя по содержанию отчета, только по проблемам информационной безопасности (отказы компьютеров, атаки хакеров, компьютерные вирусы и др.).
Таблица 2. Классификация прерывателей (рисков) бизнеса (не исчерпывающая)
Предпринимательский | Business Relocation | Переезд предприятия или организации в другое помещение или офис |
> | Espionage | Промышленный шпионаж |
> | Loss of Records | Утрата архива |
> | Mergers & Acquisitions | Слияние/приобретение предприятий/организаций |
> | Negative Publicity | Негативная информация о компании в прессе |
> | IS swop | Переход с ручной на автоматизированную информационную систему или с одной автоматизированной системы на другую |
> | Mask Show | "Наезд" криминальных, коммерческих или государственных структур |
Человеческий | Labor Disputes | Трудовой конфликт (забастовка, локаут и др.) |
> | Loss of Workforce | Организованный уход сотрудников или их потеря в результате, например, несчастного случая |
> | Staffing Issues | Невозможность набрать сотрудников |
> | Succession Planning | Отсутствие планирования замещения должностей |
> | The Human Factor | Человеческий фактор, терроризм в любой форме и с применением любого оружия |
> | Unauthorized Access | Несанкционированный доступ |
> | White Collar Crime | Преступления "белых воротничков" |
> | Workplace Violence | Силовые конфликты на рабочих местах |
Техногенный | Blackouts | Веерное отключение электроэнергии |
> | Computer Failure | Отказы компьютеров |
> | Computer Harking | Атаки хакеров |
> | Computer Viruses | Компьютерные вирусы |
> | Environmental Hazards | Аварии систем жизнеобеспечения (прорыв канализации, трубопроводов горячей и холодной воды., отказ воздуховодов и др.) |
> | Multi-Tenant Sites | Проблемы, вызванные размещением в одном здании нескольких компаний |
> | Power Outages | Перебой в электроснабжении |
> | Sick Building Syndrome | Синдром, вызванный наличием в материалах, из которых построено здание, вредных для здоровья примесей |
> | Transportation Disruptions | Нарушения работы общественного транспорта |
Природный | Blizzards | Снежная буря |
> | Earthquakes | Землетрясение |
> | Electrical Storms | Электромагнитные бури |
> | Hurricanes | Ураганы |
> | Tornadoes | Торнадо |
Природно-техногенный | Winter Weather | Зимняя погода |
> | Biological Hazards | Эпидемии |
> | Fine | Пожар |
> | Flooding | Наводнение |
> | Artificial and natural objects landing | Падение искуcственных (например, самолетов) и природных (например, метеоритов) объектов с неба |
Следует заметить, что осознание необходимости заботиться об информационной безопасности и связанная с этим разработка планов обеспечения непрерывности функционирования информационных систем — уже большой шаг российских предприятий к обеспечению устойчивости бизнеса.
Здесь не рассматривается большой пласт предпринимательских рисков, связанных с изменением курса национальной валюты, государственного регулирования, наносящего ущерб коммерческой деятельности, или политической системы. Эти риски заслуживают особого рассмотрения, поскольку для их снижения используются методы, существенно отличные от описанных в настоящей статье.