На злобу дня, но про управление проектами.
Что такое Business Continuity Plan
Есть такая незаслуженно часто забываемая вещь, как Business Continuity Plan (кратко – BCP) или План обеспечения непрерывности бизнеса. Сам инструмент пришел из антикризисного менеджмента и прижился в управлении ИТ-проектами, так как при любом внедрении более-менее значимой системы вопрос, который должен задать себе как руководитель проекта, так и тот, кто принимает эту систему – “а что, если?!!!”. Прямо так, с тремя восклицательными знаками. Если система будет недоступна – какое влияние это окажет на бизнес? От ответа на этот вопрос будет зависеть серьезность и стоимость мер, которые необходимо предпринять как для того, чтобы а) катастрофа не произошла б) в случае, если она произойдет, был нанесен наименьший урон в) бизнес не остановился из-за катастрофы.
Вот ответ на пункт в) – это и есть Business Continuity Plan.
К слову, само понятие BCP неразрывно связано с DRP (Disaster Recovery Plan, или План восстановления после катастрофы), но про DRP подробнее как-нибудь в другой раз.
Пример из сегодняшней жизни
Сейчас отовсюду мы слышим новости о том, что сайты и ресурсы ведомств “легли” под DDos-атакой. Из вчерашнего – по всему интернету разлеталась новость о том, что якобы была взломана система электронного документооборота Росавиации, уничтожены все файлы и вообще произошел тот самый Disaster с большой буквы. Что делает Росавиация? Правильно, идет в инструкцию по делопроизводству, где написано, что вообще-то Росавиция использует электронный документооборот, но где обязательно есть раздел “А чего мы будем делать, если?!” (называется он, конечно, по-другому, но смысл такой). Вот там и написано, при каких условиях происходит переход – по решению генерального директора, при недоступности системы ЭДО более 4 часов, при уведомлении от госорганов о внешней киберугрозе и т.д.
Соответственно, Росавиация находит в реестре возможных катастроф ту, которая происходит сейчас (что бы это ни было – реальный взлом, угроза, перестраховка, сгоревший сервер и т.д.), читает там, что нужно сделать и делает – направляет во все российские авиакомпании и аэропорты уведомление через сеть АФТН о переходе на бумажный документооборот через телеграммы, курьеров и почту.
Все понятно, все прописано, скорость реакции мгновенная, не тратится время на совещания, принятие решений и т.д. Умные люди продумали все заранее и зафиксировали, исполнителям осталось сделать как написано.
Кстати, кто не знает, АФТН – это специализированная российская телеграфная сетка для передачи сообщений гражданской авиации. Дорогая, медленная, но своя. Мне тут по долгу работы последнее время пришлось погрузиться в тематику авиации, пока ничего непонятно, но очень интересно. Телеграмма точно подлинная, подлинный ли взлом – так и непонятно.
Как разработать план обеспечения непрерывности
Вообще BCP все оформляют в меру своих талантов, какого-то универсального общепринятого шаблона нет. В минимальной “комплектации” BCP обычно следующие блоки:
- Сценарии катастрофы (описание, степень влияния, триггеры и т.д.) – что теоретически может произойти, так как в зависимости от типа катастрофы способ обеспечения непрерывности бизнеса может отличаться. Если сгорел сервер – бежим поднимать на соседний из бэкапа, если ломают снаружи – перекрываем сеть и меняем пароли и т.д.
- Целевые показатели – сколько бизнес может простаивать при каком из типов катастрофы. Потому что, например, Росавиация не может не отправлять и не принимать данные, но может пару суток протянуть без доступа к историческим данным.
- Целевое действие – способ обеспечения непрерывности для каждого типа катастрофы со ссылкой на детальную инструкцию по претворению его в жизнь.
- Ответственные – хорошая практика – указать такового как со стороны ИТ, так и со стороны владельца системы.
Это прямо минимум, но он может сэкономить много нервных клеток, если катастрофа все-таки случится. В максимуме в этом же документе могут быть прописаны контрольные точки обеспечения непрерывности, поминутный тайминг, контакты, процесс координации, процесс принятия решения об откате BCP и еще сотня пунктов. Самый большой BCP, который я видела, содержал 226 страниц.
Для особо серьезных систем процесс BCP имеет смысл прописать в нормативных актах компании и зафиксировать приказом, для менее серьезных – достаточно будет документа в прямом доступе владельца системы и службы поддержки. Ну и при правильно выстроенных процессах проектного управления у руководителя проекта вообще не должно быть опции сдать систему на поддержку без BCP и DRP.
Как и с любым инструментом управления проектами – BCP нужно применять только по показаниям, а именно – для решений, остановка которых несет реальную проблему для бизнеса и будет для него болезненна. Поэтому, например, какая-нибудь системка управления корпоративными рассылками точно не требует BCP на 100+ страниц, а вот любая ERP – точно требует. Причем ERP ERP рознь – представьте, что будет, если, например, SAP перестанет работать у какой-нибудь Северстали на 4 часа? Да ничего не произойдет, ну придется потом нагнать пропущенное время, неприятно, но не смертельно. А теперь – если SAP встанет в X5? И по всей РФ встанут все продажи во всех Перекрестках и Пятерочках (там онлайн все)? Вот поэтому BCP у них будут отличаться, и отличаться сильно.
Ну и напоследок – как и любой инструмент управления проектами, BCP вполне применим в обычной бытовой жизни. Например, сейчас, при угрозе отключения внешних сервисов не самым плохим решением будет сделать бэкап, например, гугл-почты, создать ящик на яндексе и настроить пересылку писем на него. Если случится катастрофа – переключитесь на яндекс временно или постоянно. Это просто пример, ни к чему не призываю.
Более бытовой пример – дети имеют свойство пачкать и мочить одежду, а ходить без куртки в -20 или в мокрой куртке из-за того, что она не успела высохнуть – это вполне тянет на катастрофу с последующим воспалением легких. BCP – иметь второй комплект одежды или сушильную машину дома. У нас есть и то, и другое, двойное резервирование!
Пример плана обеспечения непрерывности или Business Continuity Plan
Скоро будет:)
Делаете BCP и DRP для своих проектов? Расскажите!
Добавить комментарий