Анна Кожина: «Создание эффективной системы обеспечения непрерывности деятельности банков»

07 Октября 2013 08:19

Обеспечение непрерывности функционирования ключевых видов деятельности - важнейшая задача для любого банка, чья успешная деятельность во многом зависит от его возможности гарантировать клиентам, акционерам и инвесторам выполнение взятых на себя обязательств перед ними, а также его готовности в случае наступления чрезвычайных обстоятельств оперативно и без потерь восстановить функционирование основных бизнес-процессов. В настоящее время в России вопросы, связанные с обеспечением непрерывности деятельности, рассматриваются в основном как часть задач построения IT-инфраструктуры или одной из проблем информационной безопасности. Однако, учитывая множество действующих в этой области отраслевых нормативных актов, возникает уверенность, что процедура обеспечения непрерывности деятельности и восстановления ее после наступления чрезвычайной ситуации постепенно становится масштабной, т. е. затрагивает все бизнес-процессы банка.

Сотрудники банка при разработке стратегии непрерывности бизнеса начинают ориентироваться на вопросы обеспечения надежности и отказоустойчивости критичных систем, при которой существующая или разрабатываемая IT-инфраструктура позволит организации восстановить работу после любых сбоев в режиме реального времени. Такая инфраструктура должна в максимально короткий срок предоставлять доступ всем работникам банка и другим заинтересованным сторонам к любой информации, необходимой для выполнения ими критичных бизнес-функций. Кредитные организации не в силах повлиять на вероятность возникновения чрезвычайной ситуации, а также заранее предотвратить возможные нарушения нормального ведения основной деятельности банка после сбоя (в результате природных или техногенных катастроф). Для сведения к минимуму последствий таких сбоев и минимизации риска их возникновения в информационных системах были разработаны различные рекомендации, методологии и отраслевые стандарты. В банковской сфере обязанность кредитных организаций реализовать процесс обеспечения непрерывности бизнеса и аварийного восстановления деятельности устанавливается следующими рекомендациями Центрального Банка Российской Федерации:
• Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2010):
П. 8.11«Требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний»;
• Положение ЦБ РФ от 16 декабря 2003 г. N 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (в ред. Указаний ЦБ РФ от 05.03.2009 N 2194-У):
П. 3.7. Абзац 1 «Кредитной организации необходимо обеспечить непрерывность деятельности и (или) восстановление деятельности, нарушенной в результате непредвиденных обстоятельств».

В качестве рекомендаций по выбору подходов к созданию систем обеспечения непрерывности бизнеса также можно использовать Стандарт Ассоциации российских банков (АРБ) «Программа управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации», а также международные стандарты по созданию систем управления непрерывностью бизнеса (Business Continuity Management Systems).

Преимущества создания системы обеспечения непрерывности деятельности

Если в кредитной организации существует высокий риск нарушения критичных видов деятельности, то и расходы на принятие этого риска внутри организации достаточно серьезные (банкам приходится увеличивать часть страховой суммы на поддержание этого актива), следовательно, возникает потребность в обработке этого риска, его снижении до приемлемого уровня.

Инвестиции в создание эффективной системы обеспечения непрерывности и восстановления деятельности позволяют кредитным организациям фактически освободить «связанный» капитал, уменьшить объем страховой суммы на погашение риска в случае возникновения чрезвычайной ситуации. Экономически целесообразными затраты на обеспечение непрерывности и восстановление деятельности окажутся в том случае, если при анализе этих затрат и получаемых выгод в отношении каждого возможного решения, направленного на снижение уровня рисков, руководство будет учитывать величину потенциального ущерба (от выявленных угроз нарушения функционирования каждого критичного процесса).

Таким образом, основными преимуществами создания в кредитных организациях эффективной системы обеспечения непрерывности деятельности и ее восстановления после прерываний (далее - системы ОНиВД) являются:
• Возможность заблаговременно определять воздействие, оказываемое в результате нарушения нормального хода деятельности, на бизнес-процессы и поддерживающие их IT-сервисы, а также эффективно реагировать на эти воздействия согласно разрабатываемым процедурам восстановления деятельности банковских систем и процессов после аварий;
• Способность организации к управлению рисками в отношении непрерывности основных бизнес-процессов и защите репутации кредитной организации;
• Соблюдение рекомендаций ЦБ РФ по обеспечению непрерывности бизнеса и аварийного восстановления деятельности кредитных организаций после прерываний;
• Обеспечение конкурентного преимущества благодаря проверенной способности обеспечивать непрерывное выполнение бизнес-функций работниками кредитной организации, предоставлять основные услуги и сервисы вовне.

Процесс создания эффективной системы обеспечения непрерывности деятельности


Создание системы обеспечения непрерывности и восстановления деятельности - циклический процесс, поэтому вначале необходимо правильно определить этапы его реализации и их необходимость. Хотелось бы выделить несколько этапов, которые важны при разработке эффективной системы ОНиВД. Работы по построению системы ОНиВД необходимо начинать с оценки рисков и анализа воздействия сбоев и прерываний на бизнес-процессы банка.

Кредитная организация определяет основные продукты и услуги, которые она предлагает клиентам, а также бизнес-процессы, которые их обеспечивают. Анализ предусматривает разработку списка рисков, входящих в рамки проекта, включая вероятные угрозы, разработку сценариев развития чрезвычайных ситуаций и определение качественной и, по возможности, количественной оценки допустимого ущерба от прерывания выполнения критичных бизнес-процессов. Определяются целевые значения параметров отказоустойчивости (RTO и RPO1) критичных бизнес-процессов и поддерживающих их IT-сервисов; формируется ранжированный по срочности восстановления каталог ресурсов, поддерживающих ключевые бизнес-процессы организации. После оформления результатов работ по анализу воздействия на бизнес, организациям следует сформировать стратегию по обеспечению непрерывности деятельности, а также выбрать меры по управлению непрерывностью и восстановлению критичных бизнес-процессов после аварий, которые позволят организации возобновлять наиболее важные виды деятельности в пределах целевых сроков восстановления.

Для этого определяются:
• Классы восстановления IT-сервисов и соответствующие им технологии восстановления;
• Стратегии защиты данных и систем;
• Стратегии аварийного восстановления IT-сервисов;
• Эскизно прорабатывается целевая катастрофоустойчивая IT-архитектура.

После утверждения руководством выбранной стратегии необходимо разработать соответствующие организационно-распорядительные документы: план обеспечения непрерывности бизнеса и его восстановления после прерывания (План ОНиВД ), инструкции, регламенты и руководства, а также операционные и производственные процедуры для пользователей и администраторов, регламентирующие реализацию положений, изложенных в стратегии и плане ОНиВД. Не менее важным этапом реализации проекта по построению системы ОНиВД является тестирование разрабатываемой системы.

Основной целью данного этапа является тестирование работы механизмов предотвращения, реагирования, возобновления непрерывной работы бизнес-процессов организации на практике, а также обучение работников банка указаниям и инструкциям плана обеспечения непрерывности и (или) восстановление деятельности. В целом проектирование и внедрение системы ОНиВД включает в себя целый комплекс работ на техническом, технологическом и организационном уровне.

Важно понимать, что комплексная система обеспечения непрерывности деятельности будет эффективной только если банку удастся произвести глубокую интеграцию разрабатываемой системы в культуру организации, в ее основные бизнес-процессы. Изменение корпоративной культуры является длительным и сложным процессом и для достижения успеха на этом этапе действовать нужно в нескольких направлениях. Во-первых, необходима активная поддержка работ по внедрению и поддержанию процессов обеспечения непрерывности бизнеса со стороны руководства на всех уровнях управления. Во-вторых, до работников кредитной организации следует донести важность работ по обеспечению непрерывности.

Процесс обеспечения непрерывности и восстановления деятельности не должен рассматриваться как задача исключительно технических или IT-подразделений. Необходимо регулярно проводить работу по донесению до бизнес-подразделений идеи, что задача обеспечения непрерывности бизнеса не может быть решена без их участия.

1 RTO (Recovery Time Objective) - интервал времени с момента
 возникновения критической ситуации, в течение которого необходимо восстановить процесс/сервис/IT-систему.
 RPO (Recovery Point Objective) - максимальный интервал времени,
 предшествующий моменту возникновения критической ситуации, за который допускается потеря данных.


 
вернуться назад

События

Новости

Корпоративные новости