Введение
Менеджер непрерывности бизнеса (Business Continuity Manager, BCM) – это функциональная роль или программный инструмент, обеспечивающий планирование и поддержание способности организации продолжать критически важные операции в условиях сбоев, стихийных бедствий, кибератак и других нарушающих событий. BCM охватывает весь жизненный цикл управления непрерывностью: от анализа влияния на бизнес (BIA) до разработки планов восстановления (BCP/DRP) и проведения учений.
История и контекст
Управление непрерывностью бизнеса сформировалось как дисциплина в 1980-х годах в финансовом секторе США после крупных сбоев в работе биржевых систем. В 2007 году Британский институт стандартов опубликовал BS 25999 – первый национальный стандарт по BCM. В 2012 году он был заменён международным стандартом ISO 22301, ставшим глобальным эталоном для систем менеджмента непрерывности бизнеса (BCMS).
В России требования к BCM закреплены в нормативных актах Банка России (для финансовых организаций), ФСБ и ФСТЭК (для объектов КИИ). Поправки в Федеральный закон № 187-ФЗ «О безопасности КИИ» существенно ужесточили требования к планированию непрерывности для критической информационной инфраструктуры.
Как это работает
Цикл BCM включает несколько ключевых этапов:
- BIA (Business Impact Analysis) – анализ влияния на бизнес: идентификация критических процессов, определение RTO (Recovery Time Objective – целевое время восстановления) и RPO (Recovery Point Objective – целевая точка восстановления).
- Оценка рисков – идентификация угроз и уязвимостей, оценка вероятности и последствий сценариев нарушений.
- Разработка BCP – создание плана непрерывности бизнеса: процедуры реагирования, список ответственных лиц, ресурсные требования.
- DRP (Disaster Recovery Plan) – план восстановления ИТ-инфраструктуры, включая резервные площадки, процедуры failover.
- Тестирование и учения – настольные упражнения, функциональные учения, полноценные симуляции сбоев.
- Мониторинг и пересмотр – регулярный аудит и актуализация планов с учётом изменений в бизнесе и угрозах.
Где применяется
- Банки и финансовые организации – требования регулятора к обеспечению непрерывности платёжных систем и банковских операций.
- Телекоммуникационные компании – непрерывность сетевых сервисов, требования к резервированию.
- Государственные органы и объекты КИИ – соответствие 187-ФЗ и нормативам ФСТЭК.
- Промышленные предприятия – обеспечение непрерывности производственных процессов.
- Поставщики облачных сервисов – SLA с гарантиями доступности, планы Disaster Recovery.
Преимущества и ограничения
Систематический подход к BCM снижает время простоя при инцидентах, минимизирует финансовые и репутационные потери, обеспечивает соответствие регуляторным требованиям. Инструменты BCM автоматизируют управление документацией, отслеживание RTO/RPO и оркестрацию учений. Ограничения: высокая стоимость внедрения и сопровождения; риск «бумажных» планов, не проверенных реальными учениями; сложность обеспечения актуальности документации в динамично меняющейся ИТ-среде.
Связь с другими понятиями
BCM тесно связан с Disaster Recovery (технический аспект восстановления ИТ), BCMP (Business Continuity Management Planning – программные платформы), управлением рисками и информационной безопасностью. В контексте ISO 22301 BCM интегрируется с другими системами менеджмента: ISO 27001 (СМИБ), ISO 9001 (СМК). Для объектов КИИ BCM пересекается с требованиями 187-ФЗ и планами реагирования на компьютерные инциденты.
