ГОУ ВПО «Государственный университет аэрокосмического приборостроения» Дисциплина «Управление качеством сложных систем» (магистратура) Контрольная работа №1 для обучающихся заочной формы обучения «Ситуационное управление предприятием на основе стандартов и практик управления непрерывности бизнеса» Составитель: Щеников Я.А. Санкт-Петербург, 2023 Контрольная работа №1 «Ситуационное управление предприятием на основе стандартов и практик управления непрерывности бизнеса» Цель работы: получить навыки идентификации рисков с помощью методики BIA (анализ воздействия на бизнес) ТЕОРЕТИЧЕСКАЯ ЧАСТЬ Управление непрерывностью бизнеса (BCM, Business Continuity Management) Уровень конкурентоспособности и эффективности любого предприятия, помимо других факторов, определяется его способностью оперативно реагировать на внезапно возникающие чрезвычайные ситуации и инциденты, выходя из подобных ситуаций победителем. Для крупного производственного предприятия, работающего на глобальном рынке, прерывание производственного процесса на час – убытки на сотни миллионов рублей, на несколько дней – может поставить под угрозу существование самого предприятия. Даже небольшой перерыв в онлайнобслуживании может привести банк к серьёзным финансовым убыткам. В случае, когда чрезвычайная ситуация или инцидент происходят, например, в службе экстренного спасения, то даже небольшая пауза в работе может привести к гибели людей. В рамках анализа влияния на бизнес широко используется методика идентификации рисков Business Impact Analysis (BIA) [1]. Термины, использующиеся в стандарте управления непрерывности бизнеса: RA и RM (Risk Analysis и Risk Management) – анализ рисков и риск менеджмент; BEA (Business Environment Analysis) – анализ бизнес-процессов; BCM (Business Continuity Management) – управление непрерывностью бизнеса; BCP (Business Continuity Planning) – планирование непрерывности бизнеса; DRP (Disaster Recovery Planning) – план восстановления после сбоев; BIA (Business Impact Analysis) – анализ воздействия на бизнес – анализ критичных бизнес-процессов и их зависимостей (подрядчики, клиенты, другие бизнес-процессы, ИТ-услуги и т.д.), выполняемый в рамках процесса управления непрерывностью бизнеса; LBC (Level of Business Continuity) – уровень непрерывности бизнеса – описывает, какую долю штатной нагрузки должен обеспечивать бизнес-процесс в случае возникновения ЧС или инцидента [2]. Рис.1. Пояснения к терминам, использующимся в методике идентификации рисков BIA: RPO (Recovery Point Objective) – целевая точка восстановления – максимальный период за который могут быть потеряны данные. Время восстановления файлов из резервного хранилища не должно превышать показателя RPO. RTO (Recovery Time Objective) – время доступное для восстановления работоспособности систем и ресурсов компании, которые необходимы для выполнения критически важных видов деятельности, включая персонал и ИТ сервисы. WRT (Work Recovery Time) – время восстановления работы – максимально допустимый период времени, требуемый для проверки целостности системы и/или данных, требуемых для возобновления бизнес-процессов. MTD (Maximum Tolerable Downtime) – максимально приемлемый период простоя бизнеса – период, по истечении которого неблагоприятные последствия, возникшие в результате прерывания бизнеспроцессов из-за возникновения кризисной ситуации, становятся неприемлемыми. Внедрение системы обеспечения непрерывности бизнеса (BCM) на предприятии – это многоэтапный, комплексный процесс, который требует организации освоения технических и программных средств, определение и документирования действий, распределения ролей и сферы ответственности, обучения менеджмента и работников. Стратегия обеспечения непрерывности бизнеса должна затрагивать такие ключевые аспекты, как: обеспечение безопасности персонала и менеджмента, обеспечение заранее зарезервированными рабочими местами с производственным оборудованием, оргтехникой, документированной и критически важной информацией, обеспечением оперативной связью с клиентами, партнерами, поставщиками и подрядчиками. Каждого аспект должен быть проработан на предмет выявления отдельного алгоритма действий по скорейшему восстановлению бизнеса в период, определенный на этапе анализа рисков. В бизнес-процессах различных предприятий существуют различные критические точки. На этапе анализа бизнес-процессов эти точки выделяются и ранжируются по степени влияния на непрерывность бизнес-процессов предприятия. Для разных организаций риски прерывания бизнеса зависят от масштаба их деятельности и области в которой они работают. Так, в образовательном учреждении отказ кафедрального сервера даже на несколько дней не будет критичным, чего нельзя сказать о сбое в работе сервера учреждения, на котором могут быть размещены автоматизированная информационная система ВУЗа и система дистанционного обучения. Отказ корпоративной информационной системы в банке, вероятно, к кризису не приведет, а вот даже короткий сбой в системе онлайн-обслуживания клиентов повлечёт за собой финансовые и репутационные потери. Возможные риски прерывания бизнеса приведены на рисунках 2...5. землетрясение, пожар война, беспорядки прерывание подачи, загрязнение воды наводнение, ураган, сильный шторм Рис.2. Возможные риски для предприятия, вызванные стихийными бедствиями кибер-атака повреждение данных отказ критически важных систем неправильная настройка IT-оборудования уход ценного сотрудника наличие поставщикамонополиста отключение телекоммуникаций отключение IT-оборудования Рис.3. Возможные риски для предприятия, вызванные отказами оборудования кража критически важной информации саботаж работников эпидемия, пандемия отключение электроэнергии Рис.4. Возможные риски для предприятия, вызванные влиянием человеческого фактора Рис.5. Возможные риски для предприятия: другие причины Оценка воздействия на бизнес (BIA, Business Impact Analysis) По результатам анализа бизнес-процессов и оценки рисков строится карта ключевых бизнес-процессов с указанием причин, которые могут привести к потерям разных видов (рисунок 6). Рис.6.Карта ключевых бизнес-процессов с указанием причин, которые могут привести к различному типу потерь Затем строится модель, иллюстрирующая связь между этими нарушениями и категориями (масштабами) возможных потерь, которые могут быть зафиксированы как количественно, так и качественно. Можно выделить такие риски, как: репутационные, снижения рыночной стоимости компании, роста операционных затрат, санкций за нарушение контрактных обязательств и т.п. Данный этап подразумевает глубокий и анализ информации о бизнес-процессах предприятия: финансовая деятельность предприятия, текущее и планируемое состояние инфраструктуры предприятия, в том числе IT-инфраструктуры предприятия. Результатом анализа возможного ущерба будет полноценная картина бизнеса, отражающая общий уровень критичности всех бизнес-процессов, а также отдельных нарушений их функционирования в соотношении с величиной потерь. Оценка позволяет выявить слабые места в бизнес-процессах, делает понятными способы укрепления уязвимых точек. Очень важно провести экономический анализ возможного ущерба, вызванного простоем бизнес-процессов. По результатам анализа должны быть определены необходимые для критичных бизнес-процессов тайм-ауты и производственные мощности на случай возникновения чрезвычайной ситуации. Пример оценки рисков предприятия с помощью методики BIA [1] приведен в таблице 1. 4 часа 8 часов 1 неделя Нет Нет Все 72 ч 48 ч 2 3 3 3 4 Средний Нет Нет Нет Все 24 ч 12 ч 4 4 4 4 4 Высокий Нет Саботаж Нет Нет Все 24 ч 24 ч 3 3 4 4 4 Высокий Нет Кибер-атака и последующий системный сбой Сбой программного обеспечения Случайное повреждение данных Стихийных бедствий или другим катаклизмам Потеря энергоснабжения Потеря дата центра (или связи с дата центром) Риск большого сбоя из-за остановки производственной деятельности Нет Да Все 4ч 2ч 3 3 4 4 4 Высокий Нет Нет Да Все 2-3 ч 1ч 2 2 3 4 4 Высокий Нет Нет Нет Все 2-3 ч 2ч 3 3 4 4 4 Средний Да Да Нет Все 72 ч 48 ч 2 2 4 4 4 Высокий Нет Нет Нет Все 1ч 2ч 3ч 4 4 4 4 4 Высокий Нет Нет Да Все 1ч 2ч 3ч 1 1 2 2 3 Средний Нет Нет Нет Все 1ч 4ч 1 2 3 4 4 Высокий Нет 3ч 3ч Планы BCP существуют? 2 часа Потеря сотрудников компании до 30 процентов Забастовка Приоритет восстановления Высокий/Средний/Низкий 1 час Целевая точка восстановления (Recovery Point Objective, RPO), ч Максимально приемлемый период прерывания бизнеса (Maximum Tolerable Downtime, MTD), ч Целевое время восстановления (Recovery Time Objective, RTO), ч Количество затронутых пользователей Степень воздействия* Актив передан (Outsourced) внешнему подрядчику? Задействован внешний заказчик Критическое событие для бизнеспроцесса/актива Пример оценки рисков предприятия с помощью методики BIA Таблица 1 * Степень воздействия: 0 – без воздействия, 1 – незначительное воздействие, 2 – затрудняет бизнеспроцессы, 3 – серьезное воздействие, 4 – бизнес-процессы прерваны. Основное преимущество, получаемое при внедрении системы менеджмента непрерывности бизнеса BCM, заключается в поддержании непрерывности работы компании. Планы обеспечения непрерывности бизнеса нуждаются в периодической актуализации и тестировании. Только в этом случае их можно считать надежными. Разработанный план BCM утверждается руководством предприятия. Когда возникает чрезвычайная ситуация или инцидент, то каждое ответственное лицо должно иметь оперативный доступ к планам. Необходимо иметь достаточное количество копий как в электронном, так и в печатном виде, последние должны храниться в надежных местах: сейф в кабинете директора, в бухгалтерии. ПРАКТИЧЕСКАЯ ЧАСТЬ Проведите оценку рисков для своего варианта предприятия (таблица 2) методом BIA (таблица 1). Таблица 2 Варианты работы для самостоятельного выполнения № варианта Вариант предприятия для рассмотрения 1 Оператор сотовой связи стандарта 4G 2 Городская водоочистная станция 3 Предприятие по производству тяжелого вооружения 4 Детский сад с ясельным отделением 5 Крупный государственный банк Крупное государственное многопрофильное медицинское учреждение 6 7 Общеобразовательная школа 8 Крупный склад продовольственных товаров 9 Интернет провайдер 10 Крупный политехнический ВУЗ 11 Отделение почты 12 IT-компания, предоставляющая облачные услуги 13 Хранилище федерального агентства по государственным резервам 14 Телекомпания ФИО Батищева Наталья Васильевна Гурман Ирина Владимировна Гусева Людмила Ибрагимовна Катинская Екатерина Александровна Ковкова Мария Александровна Кошкарова Татьяна Сергеевна Павленко Нина Александровна Савинская Алиса Александровна Сафонова Дина Романовна Серегина Инга Дмитриевна Сиденко Мария Алексеевна Холостова Лилиана Романовна Цыганков Андрей Сергеевич № Варианта 1 2 3 4 5 6 7 8 9 10 11 12 13 Требования к содержанию отчёта 1. 2. 3. 4. Титульный лист, оформленный в соответствующим стандартом ГУАП. Номер варианта (предприятие для рассмотрения). Таблица аналогичная таблице 1, содержащая результаты оценки риска с помощью методики BIA для своего варианта предприятия. Вывод: какие выявленные риски наиболее критичные для рассматриваемого в работе предприятия. Библиографический список 1. 2. 3. 4. ГОСТ Р ИСО/МЭК 31010 – 2011. Менеджмент риска. Методы оценки риска. М.: Стандартинформ, 2012. - 70 с. Business Continuity Institute. URL: https://www.thebci.org/. (Дата обращения 19.10.22). ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования. М.: Стандартинформ, 2015. - 36с. Стандарты управления непрерывностью бизнеса URL: https://www.osp.ru/os/2012/01/13012922 (Дата обращения 10.10.22).
