Стандарты управления непрерывностью бизнеса | Открытые системы. СУБД | Издательство «Открытые системы»

Начало

Управление непрерывностью бизнеса (BCM — business continuity management) — большая тема, достойная отдельной книги.

В этой статье я приведу базовый подход к BCM, который может пригодиться небольшим и средним компаниям, например работающим в ИТ области.

Классическая структура документации BCM:

Чтобы ориентироваться в терминах, см. BCM — термины, примеры disruptions.

Политика управления непрерывностью бизнеса

Для совсем небольших компаний политику можно совместить с процедурой. Но для компаний побольше, а также компаний, имеющих постоянный контакт с зарубежными партнерами — лучше иметь краткую и лаконичную политику.

В Политике BCM нужно прописать:

• роли, ответственности, область действия;
• правила — что должен сделать каждый из офисов компании, либо каждое из подразделений (если речь идет о компании с одним офисом);
  вот примерный список обязательных действий: определить что защищать, до какого уровня, определить общую стратегию по защите, разработать собственно сами процедуры по защите;
• желательно упомянуть про необходимость соответствовать локальному законодательству, об интеграции с BCP планами поставщиков и вендоров;

Процедура управления непрерывностью бизнеса

В процедуре расписываем детали, как же мы будем все внедрять.

Я предлагаю упрощенный процесс BCM:

1 Business Impact Analysis — BIA

Первым шагом BIA является определение критичных бизнес-процессов и активов. 

Это анализ, и результат анализа — информация для определения, что же на самом деле стоит защищать от прерываний.  См. пример результата BIA:

BCP активности — чрезвычайно доргостоящи, и поэтому важно точно определить границы нашей защиты, и приоритет защищаемых активов. Когда начинаешь просчитывать MTD, RTO (см. BCM — термины, примеры disruptions), отвечать на вопросы про количество затронутых пользователей, то мозги прочищаются, и вырисовывается четкая картинка — что же реально важно для бизнеса.

Некоторые рекомендации по проведению грамотного BIA: 

• Необходимо организовать совещание с участием ключевых руководителей со стороны бизнеса и поддерживающих подразделений (сотрудники HR и IT отделов, менеджер ИБ, юрист и т.п.)
• Организатор совещания (лучше всего, если это будет кто-то из ключевых руководителей) готовит предварительную версию документа BIA, заполнив список критических бизнес-процессов и активов офиса на свое усмотрение;
• Во время совещания, участники уточняют данный список, проводят детальный анализ для каждого из пунктов.
• По результатам, принимается решение о необходимости разработки защитных/превентивных мер. В случае положительного решения, данный бизнес-процесс/актив в дальнейшем обрабатывается в Плане обеспечения непрерывности бизнеса офиса Компании.

Как правило, требуется несколько подобных совещаний для завершения BIA.

2 Risk Analysis — RA

Анализ рисков (RA) относится к области технической защиты информации, в отличие от BIA. BIA анализирует прерывания с точки зрения бизнеса и позволяет выработать стратегию по управлению непрерывностью бизнеса.

А процесс RA в свою очередь, основывается на результатах BIA и осуществляет технический анализ, что позволяет определить технические особенности внедрения.

Что делаем в рамках RA:

• оценивается стоимость активов;
• идентифицируются угрозы и уязвимости активов;
• разрабатываются защитные/превентивные меры для выбранных активов (которые в дальнейшем могут быть включены в Планы по обеспечению непрерывности бизнеса).

Если в компании уже имеется внедренный процесс управления рисками, то нужно полностью задействовать его. Если нет, то — внедрить:) Вообще, сейчас даже ИСО 9001 требует внедренного процесса управления рисками.

В процессе RA необходимо ориентироваться на предпочтительный уровень риска (risk appetite, см. BCM — термины, примеры disruptions). 

3 Стратегия управления непрерывностью бизнеса

Имея результаты проведенных BIA и RA, руководство принимает решение по каким ситуациям (бизнес-процессам/активам и соответствующим рискам) следует разрабатывать Планы по обеспечению непрерывности.

В общем случае существуют две стратегии:

• использование различных защитных/превентивных мер;
• дублирование ИС (в том числе использование альтернативных площадок).

Помните понятия RTO и MTD?

Так вот, если RTO = 8 ч., то сотрудники ИТ отдела скорее всего успеют переустановить системное ПО и восстановить данные из резервных копий. Если RTO = 1ч., то здесь наверняка потребуются дублирующие системы и компоненты (что гораздо дороже, чем восстановление данных из резервных копий).

Бывает, что руководство выставляет RTO в пару часов, но узнав стоимость мер по поддержанию такой цифры, быстро сдувается до 8-24 часов:)

Итак, определив стратегию, приступаем к написанию самих планов BCP.

4 Разработка и внедрение планов BCP

После предыдущих шагов, обычно в голове складывается список необходимых действий. Лучше создать стандартную структуру (шаблон)  плана BCP, и разложить в ней всю накопившуюся информацию.

В планах BCP должны быть рассмотрены:

• первоначальные шаги по реагированию на любые кризисные события (когда еще неизвестно, какую конкретно процедуру плана BCP нужно будет запускать); обычно это сбор ключевых сотрудников (команды BCP), информирование руководства и др.
• критерии активации и деактивации плана;
• детальные процедуры по восстановлению для каждого из кризисных событий; можно разместить их в виде приложений к плану;
• критерии успешности процедуры восстановления;
• процедура тестирования плана BCP;
• полезные контакты, практики, ссылки и т.д.

Пример содержимого документа:

Не забудьте про требования локального законодательства — оно всегда имеет приоритет перед любыми политиками компании. Если у компании тесные связи с вендорами/подрядчиками, то лучше бы добиться существования планов BCP и у них, и синхронизировать общие действия.

Разработанный план должен быть утвержден (буквально подписан) руководством компании. Хранить документ лушче не только в эл. виде, но и в бумажном, размещенным в надежных местах (сейф в кабинете директора, в бухгалтерии). В случае необходимости, каждый вовлеченный член команды BCP должен иметь беспрепятственный доступ к документу.

После разработки, план BCP должен быть внедрен (!) А то ведь некоторые забывают:)

Как внедрять? Я рекомендую на проектной основе. См. об этом в посте Внедрение процессов и практик.

5 Тестирование и мониторинг планов BCP

Планы по обеспечению непрерывности бизнеса можно считать надежными, только в случае их регулярного тестирования и актуализации.

При тестировании планов, выявляются несостыковки в инструкциях, проводится обучение персонала, повышается уровень взаимодействия и компетентности задействованных сотрудников.

Возможные подходы по тестированию планов BCP:

• Опрос (checklist test) — проводится методом анкетирования подразделений, задействованных сотрудников компании;
• Проход по плану (structured walk-through) — пошаговое ролевое чтение планов BCP членами команды BCP, вирутальное выполнение процедур планов BCP;
• Моделирование (simulation test) — виртуальное моделирование прерывания выбранных бизнес-процессов или сбоя активов;
• Тестирование на реальном объекте (interruption test) — реальная остановка бизнес-процесса/актива и выполнение комплекса работ по ее восстановлению согласно планам BCP.

Чем серьезнее бизнес, тем более серьезным должно быть тестирование. В идеале — проводятся реальные прерывания бизнес-процессов, с прогоном по всем шагам плана BCP. Я нечастно видел такое, но эффект классный — план становится реальным.

Ну а чаще всего, разыгрываются ролевые игры, когда за общим столом каждый из членов команды BCP «проигрывает» свои действия.

По результатам тестирования должен быть создан отчет, на основании которого принимаются решения об обновлении плана, применении доп. защитных мер и т.п. Кроме того, данный отчет требуется стандартом.

Еще хотел написать О создании культуры компании, о встраивании практик BCM в культуру компании. Но это же фантастика для славян, не будем:)

Iso 22301 business continuity management

Австралийские практики

Австралийское национальное агентство аудита подготовило ряд руководств для проведения сертификационного аудита программ управления непрерывностью бизнеса: «Руководство по лучшим практикам BCM, Better Practice Guide Business Continuity Management — Keeping the wheels in motion.

2000», «Руководство с рекомендациями по аудиту программ BCM, Report № 53 2002-03 Business Support Process Audit Business Continuity Management Follow-on Audit, 2002», «Руководство Business Continuity Management and Emergency Management in Centrelink, The Auditor-General Audit Report No.9 2003—04 Performance Audit».

Руководство по лучшим практикам BCM состоит из двух частей. В первой части приводятся основные термины и определения BCM в контексте управления рисками. Вторая часть содержит рекомендации для успешного управления непрерывностью бизнеса в чрезвычайных ситуациях и описания требуемых стратегий, планов и процедур BCM.

В австралийских руководствах процесс управления непрерывностью бизнеса рассматривается как составляющая корпоративного управления рисками. При этом принимаются в расчет риски как внутренние, так и внешние, которые находятся за пределами непосредственного контроля организацией.

Например, это могут быть внутренние риски стратегического уровня, влияющие на деятельность организации в целом, или риски операционного уровня, локально воздействующие на бизнес-процессы организации. Также принимается во внимание, что последствия рисков могут быть различными и способны приводить к финансовым потерям, юридическим преследованиям, потере имиджа и репутации, преследованиям со стороны регулирующих органов, прерываниям бизнеса и пр.

Под непрерывностью бизнеса в австралийских руководствах понимается свойство сохранять доступность критически важных бизнес-процессов и обеспечивающих активов для стабильного функционирования организации в чрезвычайных ситуациях. Считается, что управление рисками определяет организационные и технические контрмеры, которые направлены в первую очередь на предотвращение событий, прерывающих бизнес.

Управление непрерывностью бизнеса рассматривается как составляющая управления рисками, позволяющая определить экономически оправданные контрмеры, принимаемые в случае прерываний бизнеса. По существу, BCM касается фактических событий — реализации угроз непрерывности бизнеса — и действий, которые необходимо предпринять в ответ на эти события.

В руководстве приводится следующий пример. Использование паролей для доступа к информационным системам организации является превентивной мерой защиты от несанкционированного доступа, в то время как просмотр компьютерного журнала попыток доступа к информационной системе является корректирующей мерой, позволяющей обнаружить факт несанкционированного доступа.

В контексте BCM организация предполагает, что превентивные меры защиты не помогли (или не использовались) и произошло прерывание бизнеса. В этом случае организации надлежит принять ответные действия на обозначенные события пропорционально их значимости — вопросы вероятности реализации угроз и исходной причины (уязвимости системы), следовательно, больше в расчет не принимаются.

В руководстве подчеркивается, что основной целью BCM является поддержание в актуальном состоянии достаточного количества ресурсов, необходимых для стабильного функционирования организации в чрезвычайных ситуациях. Данное представление BCM существенно отличается от понятия аварийного восстановления после катастрофы (DR), которое тесно, если не исключительно, связывалось с информационными технологиями.

Здесь за счет смещения фокуса на организацию в целом, а не только на технологические аспекты, произошло усиление концепции непрерывности. Акцент сместился на критически важные для бизнеса процессы в целом, расширяя горизонты прежнего рассмотрения проблемы за пределы исключительно информационных систем.

В австралийских руководствах различают следующие основные этапы корпоративной программы BCM: запуск проекта; идентификация ключевых бизнес-процессов; анализ воздействия на бизнес (BIA); разработка мер непрерывности бизнеса; реализация мер непрерывности бизнеса; тестирование и поддержка ВСР.

Среди этих этапов достаточно важное место отводится анализу воздействия на бизнес. На этапе BIA основное внимание уделяется оценке возможных потерь, возникающих в результате нарушений функционирования бизнес-процессов. При этом рассматриваются различные категории потерь — например, превышение нормативного уровня операционных затрат, штрафные санкции в результате нарушения договорных обязательств, снижение возврата на инвестиции относительно запланированного уровня, потеря деловой репутации компании, вплоть до снижения рыночной стоимости компании.

Для надлежащего анализа воздействия на бизнес необходима исходная карта ключевых бизнес-процессов организации, для каждого из которых идентифицируются различного рода нарушения функционирования, потенциально ведущие к потерям. На основе карты ключевых бизнес-процессов строится аналитическая модель, связывающая различные нарушения в функционировании бизнес-процессов с категорией и масштабом потерь в результате такого нарушения.

В зависимости от доступности информации (структурированности поставленной задачи) масштаб потерь может оцениваться количественно (в денежном выражении) или качественно (по специально разработанной качественной шкале). По результатам оценки возможных потерь модель должна позволить оценить критичность бизнес-процессов как в целом, так и оценку критичности различного рода нарушений функционирования с привязкой к масштабу соответствующих потерь.

Параллельно с анализом критичности бизнес-процессов и зависимости масштабов потерь от нарушений функционирования бизнес-процессов рекомендуется проводить анализ информационных сервисов с привязкой к бизнес-процессам и информационным потокам. Например, можно проводить анализ корпоративной учетной системы, системы консолидированной отчетности, системы бизнес-аналитики на основе хранилища данных, информационного портала, корпоративной электронной почты, сервиса сетевой печати и др.

При этом рекомендуется более глубокая степень детализации, поскольку, к примеру, корпоративная учетная система фактически предоставляет несколько сервисов (поддержка бухгалтерии, поддержка управления человеческими ресурсами, поддержка материально-технического учета и др.), различным образом задействованных в бизнес-процессах компании.

В ходе анализа информационных сервисов производится их идентификация, анализ использования в рамках бизнес-процессов, анализ возможных нарушений в функционировании сервисов и предварительная оценка значимости сервисов с точки зрения бизнеса организации.

Анализ воздействия на бизнес рекомендуется завершать построением модели причинно-следственных взаимосвязей между функционированием бизнес-процессов, информационных сервисов и информационных потоков. Данная модель позволяет на основании информации о критичности бизнес-процессов и информационных потоков, а также о масштабах возможных потерь получить для каждого класса сервисов оценку критичности сервиса с точки зрения бизнеса компании и возможных потерь для бизнеса компании в зависимости от нарушения в функционировании сервиса и времени восстановления, экономически оправданных затрат на повышение уровня доступности сервиса.

***

Знание и умение использовать на практике выработанные в разных странах стандарты и практики BCM будут несомненно полезны для отечественных предприятий, многие из которых уже осознали важность работ по обеспечению непрерывности бизнеса и приступили к реализации соответствующих проектов.

Лучшие практики bci

Некоммерческий Институт непрерывности бизнеса основан в Великобритании в 1994 году и объединяет 4 тыс. сертифицированных специалистов в области обеспечения непрерывности бизнеса из 85 стран мира, включая Россию. Основное направление деятельности BCI — распространение и продвижение лучших практик управления непрерывностью бизнеса и аварийного восстановления в чрезвычайных ситуациях.

Хронология работы над стандартами в BCI начинается в 2002 году, когда институт выпустил документ Good Practice Guidelines 2002, содержащий описание лучших практик управления непрерывностью бизнеса, а через год на его основе была подготовлена спецификация Publicly Available Specification (PAS 56).

Первый документ, одобренный государственными органами Великобритании, обновлялся в 2005 и 2007 годах и распространяется бесплатно. В 2005 году BCI совместно с британским институтом стандартов BSI начал работу над стандартом BS 25999 по управлению непрерывностью бизнеса.

Через три года на основе BS 25999 был подготовлен международный стандарт ISO. В это же время BCI оказывал помощь в разработке и сопровождении государственных стандартов управления рисками и обеспечения непрерывности бизнеса в Австралии, Новой Зеландии, Сингапуре, Китае, вел работу по унификации подходов к обеспечению непрерывности бизнеса в Великобритании и США.

BCI также ведет большую работу по обучению и сертификации специалистов — учебная программа на основе Good Practice Guidelines была разработана в 2006 году, а с 2003 по 2009 год формировалась система сертификации специалистов по BCM. Сертификация BCI позволяет оценивать знания по десяти стандартам (Certification Standards for Business Continuity professionals):

• инициация и управление проектами в области непрерывности бизнеса (Initiation and Management);
• анализ воздействия на бизнес (Business Impact Analysis);
• оценка и управление рисками (Risk Evaluation and Control);
• разработка стратегий управления непрерывностью бизнеса (Developing Business Continuity Management Strategies);
• оперативное реагирование и действия в чрезвычайных ситуациях (Emergency Response and Operations);
• разработка и реализация планов непрерывности бизнеса и антикризисного управления (Developing and Implementing Business Continuity and Crisis Management Plans);
• программы осведомленности и обучения в области управления непрерывностью бизнеса (Awareness and Training Programs);
• сопровождение и поддержка планов непрерывности бизнеса и антикризисного управления (Maintaining and Exercising Business Continuity and Crisis Managements Plans);
• организация взаимодействия (сотрудники компании, подрядчики, партнеры, СМИ и пр.) в чрезвычайной ситуации (Crisis Communications);
• работа с внешними структурами и организациями (Coordination with External Agencies).

Специалисты в области непрерывности бизнеса могут получить сертификацию BCI следующих уровней: Associate (AMBCI) — начинающий специалист, знакомящийся с перечисленными стандартами управления непрерывностью бизнеса; Specialist (SBCI) — специалист с опытом работы не менее двух лет в области управления непрерывностью бизнеса, который знает и умеет пользоваться на практике не менее чем четырьмя стандартами сертификации; Member (MBCI) — практикующий специалист с опытом работы не менее двух лет в области управления непрерывностью бизнеса, который пользуется на практике всеми 10 стандартами сертификации; Fellow (FBCI) — практикующий специалист из числа руководителей с опытом работы не менее пяти лет в области управления непрерывностью бизнеса, который хорошо знает и умеет пользоваться на практике всеми 10 стандартами сертификации.

Лучшие практики dri

Некоммерческий Международный институт восстановления в чрезвычайных ситуациях создан при Вашингтонском университете в 1988 году и объединяет 3,5 тыс. сертифицированных специалистов в области обеспечения непрерывности бизнеса. Основные направления деятельности DRI: подготовка и распространение Общего свода знаний (Professional Practices for the Business Continuity Planner) в области восстановления в чрезвычайных ситуациях (DR); начальное обучение специалистов в области обеспечения бесперебойной деятельности организации в случае чрезвычайной ситуации; повышение квалификации специалистов по DR; экспертиза соответствующих стандартов и нормативных документов в области DR. Модель DRI по планированию действий в чрезвычайных ситуациях включает в себя семь этапов.

Этап 1. Инициация проекта:уточнение проблемы; определение целей и задач; анализ требований; определение допущений и используемых терминов; определение рамок и стоимости проекта; создание управляющего комитета проекта; определение политик непрерывности бизнеса.

Этап 2. Анализ требований: оценка и управление рисками; оценка воздействия на бизнес; выработка альтернативных стратегий; стоимостной анализ стратегий; определение бюджета программы управления непрерывностью бизнеса.

Этап 3. Разработка плана: определение целей и задач плана; уточнение целей и задач восстановления; определение состава и структуры плана; разработка плана и выработка необходимых сценариев действия; порядок приведения плана в действие; создание резервного офиса; программа управления персоналом; допустимая потеря данных; администрирование плана.

Этап 4. Реализация плана: определение первоочередных действий в чрезвычайных ситуациях; определение регламента работы антикризисного центра; распределение полномочий и ответственности; проверка эффективности управления непрерывностью бизнеса; детализация процедур действия в чрезвычайных ситуациях; уточнение требуемых ресурсов; проверка контрактных обязательств поставщиков.

Этап 5. Тестирование плана: определение целей и задач тестирования; разработка необходимых сценариев тестирования; оценка адекватности планов тестирования; обучение и программа осведомленности.

Этап 6. Сопровождение и поддержка плана: планирование сроков и требуемого бюджета; сопровождение необходимого программного обеспечения; пересмотр критериев; аудит планов; организация безопасного ознакомления с планом.

Этап 7. При необходимости ввод плана в действие.

Институт DRI тесно взаимодействует с BCI, например, в 1993 году совместно был разработан Общий свод знаний, основные темы которого совпадают со стандартами сертификации BCI. На основе этого свода DRI предложил сертификацию специалистов со следующими уровнями:

Associate Business Continuity Planner (ABCP) — начинающий специалист, знакомящийся с профессиональными практиками в области управления непрерывностью бизнеса; Certified Business Continuity Professional (CBCP) — сертифицированный специалист с опытом работы в области управления непрерывностью бизнеса, хорошо разбирающийся в не менее чем пяти темах общего свода знаний;

Certified Functional Continuity Professional (CFCP) — сертифицированный предметный специалист с опытом работы не менее двух лет в области управления непрерывностью бизнеса; Master Business Continuity Professional (MBCP) — мастер в области управления непрерывностью бизнеса, обладающий необходимыми знаниями и опытом работы не менее пяти лет, умеющий грамотно использовать полученные знания на практике.

Лучшие практики sans

Эксперты американского Института системных администраторов и администраторов безопасности различают план непрерывности бизнеса (BCP) и план аварийного восстановления (DRP). При этом BCP в отличие от DRP играет основную роль в программе управления непрерывностью бизнеса организации. Основные этапы жизненного цикла разработки BCP/DRP в версии SANS Institute представлены на рис. 2.

Стандарт bs 25999

Наиболее известным стандартом в области BCM является стандарт BS25999, разработанный BSI. Стандарт опубликован в двух частях: «Кодекс лучших практик, BS25999-1:2006. Code of Practice» и «Спецификации системы BCM, BS25999-2:2007. Specification».

Первая часть BS25999-1:2006. Code of Practice содержит общие рекомендации по управлению непрерывностью бизнеса в государственных и коммерческих организациях. Под BCM понимается системный процесс оценки текущего уровня зрелости компании в области непрерывности бизнеса и его приведение к более зрелому уровню в соответствии с целями и задачами бизнеса. К основным целям управления непрерывностью бизнеса относятся:

• сохранение стабильного функционирования компании в чрезвычайных ситуациях в течение продолжительного промежутка времени;
• защита репутации и имиджа компании в чрезвычайных ситуациях путем надлежащего использования соответствующих организационных и технических решений;
• совершенствование способности компании сохранять свое стабильное функционирование в чрезвычайных ситуациях.

Вторая часть BS25999-2:2007. Specification содержит сертификационные требования к системе управления непрерывностью бизнеса и позволяет провести аудит системы BCM организации на соответствие рекомендациям и требованиям первой части стандарта. Использование требований второй части обеспечивает возможность оценки существующей системы управления непрерывностью бизнеса организации и построения и внедрения комплексной системы BCM.

В стандарте BS 25999 описываются шесть основных этапов жизненного цикла BCM.

1. Программа управления непрерывностью бизнеса. На этом этапе рассматриваются вопросы политики BCM, включая заявление руководства об актуальности BCM, определение области действия BCM, основных целей и задач программы. Распределяются права и обязанности, продумывается реализация информирования по вопросам BCM.

Также на этом этапе определяется, как программа BCM будет поддерживаться в актуальном состоянии, как будут проходить регулярный анализ воздействия на бизнес компании и поддержка в актуальном состоянии документации, а также осуществляться мониторинг эффективности программы, управление затратами на программу и т. д.

2. Анализ требований к программе BCM. На этом этапе дается краткая характеристика деятельности организации, проводится оценка воздействия на бизнес, оценка существующих угроз, таких как воздействие на персонал и на инфраструктуру, потеря репутации, нарушение финансовой устойчивости, снижение качества продуктов или услуг, причинение ущерба окружающей среде и пр.

3. Определение стратегии BCM. Определяются исходные данные программы, такие как максимально допустимое прерывание бизнеса в чрезвычайных ситуациях и затраты, необходимые на возобновление бизнеса. Рассматриваются вопросы организации обучения и повышения квалификации персонала и управления знаниями.

Стратегия детально рассматривает действия в отношении помещений, технологий, информационных активов (защита электронных данных, безопасность отчуждаемых носителей информации, доступность аппаратно-программных активов), контрагентов и партнеров, а также взаимодействие со специальными ведомствами и организациями — правоохранительными органами, федеральной службой безопасности, службами экологической безопасности и др. На этом этапе руководство должно утвердить политику и стратегию BCM.

4. Разработка и реализация планов BCM. Формируются план реагирования на инциденты (Incident Management Plan, IMP) и план непрерывности бизнеса (Business Continuity Plan, BCP).

5. Поддержка и сопровождение программы BCM. Реализуются программа осведомленности и обучение по BCM, осуществляются поддержка программы BCM, включая оценку степени готовности ответственных лиц, анализ результатов мониторинга и контроля рисков и документирование изменений программы BCM, а также проводится оценка ее эффективности.

Оценка эффективности подразумевает анализ адекватности определения целей и задач программы BCM в соответствии с потребностями бизнеса, подтверждение компетенции и готовности к действиям в чрезвычайных ситуациях, анализ адекватности стратегии и планов обеспечения непрерывности бизнеса и др.

6. Формирование культуры BCM в организации. На последнем этапе жизненного цикла BCM рекомендуется обратить внимание на такие вопросы, как развитие лидерских качеств руководства организации, распределение обязанностей, эффективность программы осведомленности и т. д.

Заключение

Как бы ни банально звучало, эффективность планирования непрерывности бизнеса напрямую зависит от степени заинтересованности руководства.

А что по поводу сложности внедрения — тут все просто: глаза боятся, руки делают:)