Изграждане на план за непрекъснатост на бизнеса: ключови правила

Бизнесът през XXI век е немислим без информационните технологии. Това е мощен двигател на икономиката, но в същото време източник на рискове. Непрекъснатостта на бизнеса е обвързана с приемствеността на ИТ услугите. Техният отказ заплашва в най-добрия случай с престой и финансови загуби, в най-лошия - с катастрофални последици. По какъв начин се осигурява информационна сигурност и непрекъснатост на бизнеса, прочетете нашия материал.

Компоненти на управлението на кризи: BCM, BCP, DRP

Колкото повече информационни технологии се използват в даден бизнес, толкова по-сериозно е необходимо да се осигурят непрекъснати процеси. Това се отнася за кредитни и финансови, телекомуникационни компании, високотехнологични предприятия с непрекъснат производствен цикъл, като атомни електроцентрали. Добре обмислената система за управление на кризи се търси в търговията на дребно, електронната търговия, публичния сектор - накратко, почти навсякъде, където непрекъснатостта на бизнеса е критично важна.

Редица отрасли имат специфични разпоредби за непрекъснатост на бизнеса, които трябва да се спазват, за да се лицензират дейности.

Степента на риска се определя от последиците от провал в работата на ИТ услуги. Например за банките дори краткото прекъсване на дейността е изпълнено с колосални материални загуби. И какво, ако се случи инцидент в авиокомпания или горивно-енергиен комплекс? Тук не само парите са заложени, но и живота на хората е застрашен.

Причините за бизнес рисковете са различни. Това са природни бедствия (не забравяйте замръзващия дъжд в Москва през 2021 г., икономическите щети, от които за АД „MOESK“ възлизат на около 1,3 милиарда рубли [1]), и аварии в енергийните системи, да не говорим за киберпрестъпления (техният брой Русия расте три до четири пъти годишно) [2]. Поради разнообразието от рискове, значимостта на информационната сигурност (ИС) не подлежи на съмнение.

Проучване, проведено от DEAC през 2021 г., показа ситуацията по отношение на рисковете за непрекъснатост на бизнеса в руската бизнес среда. Според резултатите, решенията за осигуряване на непрекъснатост на процесите са най-търсени в две области - финансова и информационна. Ако ИТ системите са недостъпни, 40% от анкетираните ще могат да работят не повече от час, 24% - не повече от минута. Най-голямата заплаха за непрекъснатостта на бизнеса представляват рисковете, свързани с информационната сигурност и промените в законодателството на страната. Нещо повече, почти половината от анкетираните вярват, че в близко бъдеще тези рискове само ще нарастват.

Съществуват инструменти за управление на кризи, чрез които се прилага общата информационна сигурност на едно предприятие. Това са специални технологични дисциплини - BCM (BCP & DRP). Те „изтичат“ от системата за информационна сигурност, наследявайки нейната методология и следните основни принципи:

  • анализ на риска при извънредни ситуации и въздействието на извънредните ситуации върху бизнес процесите и функциите;
  • контрол и управление на инциденти;
  • стратегически и тактически информационни и комуникационни технологии за планиране на приемственост (ИКТ).

BCM (BCP & DRP) осигуряват сигурността на бизнеса като цяло, което е посочено в много международни, национални и индустриални стандарти. По-специално ISO / IEC 27001, ISO 22301: 2021. Първият международен стандарт е посветен на проблемите на информационната сигурност като цяло, а вторият се отнася конкретно до използването на BCM. Съответствието с техните изисквания трябва да се има предвид при избора на център за данни за съхранение на информация. Ако трябва да използва собствените ресурси на компанията, струва си да помислите за прилагането на тези стандарти - това ще се превърне в ключ към сигурността на данните и непрекъснатостта на бизнеса.

Разглежданите дисциплини обаче не са идентични с управлението на информационната сигурност, което е само основата за тях. Исторически, започвайки с банално архивиране на информация, системата BCM постепенно обхваща, в допълнение към проблемите на информационната сигурност, почти всички аспекти на бизнес дейността, превръщайки се в цялостна структура на възгледите за методите за осигуряване на непрекъснатост на бизнеса - устойчивост на организацията към всички видове на прекъсвания, разрушения и загуби, предимно финансови.

За справка

  • BCM (Business Continuity Management) - управление на непрекъснатостта на бизнеса.
  • BCP (Business Continuity Planning) - планиране на непрекъснатостта на бизнеса.
  • DRP (Disaster Recovery Planning) - План за възстановяване при бедствия.

Планиране на бедствие?

Добър ден, уважаеми колеги.

В една от предишните статии за кризисни ситуации ние засегнахме въпросите за написването на антикризисен план на компанията (в международната класификация - BCP) и по-специално нейната ИТ част - IT BCP. Там бяха обсъдени и въпросите за значението на наличието на антикризисен план във всяка компания.

Основната тема на тази статия ще бъде по-задълбочено потапяне в този документ. Ще разгледаме подробно структурата на IT BCP, ще засегнем организационни и технически въпроси, а също така ще анализираме работещия IT BCP, като използваме пример за типичен вероятен риск. Статията ще бъде полезна за собствениците на бизнес, мениджърите на риска, ИТ директорите и други лидери, отговорни за непрекъснатостта на бизнеса.

Защо бизнесът се нуждае от планове за бедствия и как работят?

Различните компании в хода на работата си решават много стратегически и тактически задачи, но всички, по един или друг начин, се стремят към едно и също нещо - да подобрят представянето си на пазара, да минимизират разходите и да увеличат печалбите. На различни етапи от живота си бизнесът се сблъсква с извънредни ситуации, които могат драстично да променят хода на нормалната дейност на компанията или дори да я изхвърлят от пазара. За кратко, дълго или завинаги. Кръгът на задължителните задачи на всяка компания, независимо от големината и посоката на дейност, включва превантивна работа при извънредни ситуации - подготовка за тях, отработване в случай на настъпление, излизане с минимални загуби и по-нататъшно усъвършенстване в тази посока.

Като цяло компанията трябва да има единен документ BCP (план за непрекъснатост на бизнеса), който регулира и описва действията на компанията в типични кризисни ситуации и най-важното - действията в подготовка за тях.

Обикновено BCP се изписва, изпълнява и усъвършенства от старши служител по сигурността или ИТ директор, с пряк принос от ръководителя на организацията. На тези лица се възлага и задачата да формират антикризисен екип измежду служителите или чрез привличане на външни специалисти.

Нека да анализираме подробно как работи ИТ BCP като цяло и също така да засегнем някои функции.

Раздел 1 - Каталог на рисковите сценарии

През 2021 г. Банката на Русия одобри методически препоръки за осигуряване на непрекъснатост на операциите на некредитни финансови институции от 18 август 2021 г. № 28-MR. В което той обърна специално внимание на въпроса за осигуряване на информационна сигурност в небанкова финансова организация и работата на служителите на НФО при извънредни ситуации.

Нашите експерти изготвят необходимите документи за осигуряване на информационна сигурност и непрекъснатост на дейностите на небанкова финансова институция:

А. Документи, изготвени в съответствие с общите насоки на насоките:

  • Политика за информационна сигурност
  • Длъжностна характеристика на администратора по информационна сигурност
  • Заповед за одобряване на регламента за информационна сигурност и назначаване на отговорни лица за защита на информацията
  • Заповед за одобряване на списъка с информационни ресурси
  • Заповед за защитени стаи и стаи с ограничен достъп
  • Списък на стаите с ограничен достъп
  • Списък на служителите с достъп до помещения с ограничен достъп
  • Технически паспорт на защитените помещения
  • План за действие за информационна сигурност
  • План за работа за защита на информацията
  • Процедура за достъп до информация, софтуер и хардуерни ресурси
  • Разпореждане относно процедурата за достъп до информационни ресурси и одобряване на техния списък
  • Правилник за използване на софтуер
  • Заповед за използване на софтуер
  • Наредби за използването на интернет и електронни адрес на електронна поща
  • Списък на имейл адреси на служители
  • Заповед за използване на Интернет и електронна поща
  • Наредба за организацията на защитата с парола <
  • Заповед за организиране на защита с парола
  • Наредба за архивиране
  • Заповед за архивиране
  • Регламент за антивирусен контрол
  • Заповед за антивирусен контрол
  • Наредби за използването на мобилни устройства и носители за съхранение
  • План за осигуряване на непрекъснатост на работа и възстановяване на автоматизирана система
  • Заповед за прилагане на плана
  • Регламенти за реагиране при инциденти по сигурността на информацията
  • Бележка за информационна сигурност
  • Задължителна документация за гражданска защита и извънредни ситуации.

Б. Документи, изготвени в съответствие с допълнителните препоръки на насоките:

  • Политика за непрекъснатост на бизнеса
  • План за управление на инциденти
  • План за непрекъснатост на бизнеса и възстановяване
  • Планирано (целево) време за възобновяване и възстановяване на критични процеси (RTO).
  • Процедурата, методите, ресурсите и времето на мерките за предотвратяване, намаляване на въздействието и премахване на последствията от евентуално нарушение на ежедневното функциониране на организацията, причинено от извънредни ситуации.
  • Списък на аварийните фактори, които могат да доведат до спиране на критични процеси, и процедурата за активиране на плана за непрекъснатост на бизнеса под въздействието на всеки от факторите.
  • Включване на процедури в плана за непрекъснатост на бизнеса, чието изпълнение в ежедневната работа на организацията е необходимо за успешното изпълнение на плана за непрекъснатост на бизнеса (включително процедури, насочени към осигуряване на сигурността на информационните системи).
  • Списък на критичните процеси, както и приоритети за тяхното възстановяване.
  • Редът на изпълнение на критични процеси в извънредни ситуации, ако те са обект на промяна под въздействието на аварийни ситуации.
  • Процедурата за взаимодействие между органите за управление и служителите на организацията при извънредни ситуации, включително правомощията на органите за управление, подразделенията и служителите на организацията за прилагане на мерки по плана за непрекъснатост на бизнеса.
  • Процедурата за аварийно уведомяване и методът на комуникация между управителни органи, отдели и служители на организацията, информация за контакти на спешни оперативни служби (телефонни номера) и вътрешни контакти (телефонни номера, адреси на електронна поща) на лицата, отговорни за изпълнението на дейности в рамките на плана за непрекъснатост на бизнеса.
  • Процедурата за информиране на клиенти и контрагенти на организацията, както и на Банката на Русия за възникването и възможните последици от извънредни ситуации.
  • Процедура за преразглеждане (актуализиране) на плана за непрекъснатост на бизнеса.
  • Процедурата за архивиране на информация и бази данни, обслужващи критични процеси, за архивиране на машинен носител за съхранение, за да се възобновят тези процеси в случай на загуба или повреда на информация или бази данни поради извънредни ситуации.
  • Програма за обучение на отговорни служители на организацията относно безопасността и непрекъснатостта на критичните процеси.
  • Процедурата за управление на достъпа до информационни системи, обслужващи критични процеси, включително управление на правата и привилегиите на потребителите на информационни системи, диференциране на достъпа до тези системи въз основа на набор от правила за контрол на достъпа, установени в тях, както и наблюдение на спазването на тези правила ...
  • Процедурата за съставяне и представяне на упълномощения орган на доклад за приемствеността на организацията.

Пример за план за непрекъснатост на бизнеса на финансовата институция

1 Практическо ръководство, основано на общи насоки (глави 1-2)

Кредитно бюро (CRB), броят на заглавните части на кредитните истории, в които по-малко от 20 милиона

Агенции за кредитен рейтинг (CRA).

Планът за непрекъснатост на бизнеса е един от задължителните документи в корпоративното управление днес. Добре обмислен контролен списък за кризата е помогнал на много компании да избегнат оперативния колапс по време на първата вълна на пандемията COVID-19. Ако вашата организация все още няма такъв документ, сега е моментът да изготвите такъв. Или преразгледайте. Нашият постоянен експерт Наталия Виноградова разказва какви елементи трябва да бъдат включени в плана за непрекъснатост на бизнеса и какво да се търси при изготвянето му.

Един от основните проблеми по време на всяка криза е объркване и чувство на безпомощност, които възникват на всички нива на организацията и им пречат да предприемат необходимите действия навреме. Решаването му е основната задача на плана за непрекъснатост на бизнеса или BCP (Business Continuity Plan). Такъв план ви позволява да се съгласите предварително и да изработите основните антикризисни стъпки, да подкрепите работата на компанията и бързо да я възобновите в случай на неизправности. Всъщност това е набор от правила, които цялата компания трябва да спазва, за да гарантира непрекъснатостта на бизнес процесите и поддръжката на клиентите, както и да запази активите си.

Освен това BCP е възможност за лидер да се съсредоточи върху бизнеса и да определи на какво трябва да се даде основен приоритет по време на кризата („трябва да бъде“) и кое е важно, но не на първо място („Би било добре ...“).

Вашата стратегия ще се различава в зависимост от това, което е причинило бизнес кризата. Има три основни типа рискове (загуби).

  • Загуба на офис или производствено съоръжение - например, когато поради природни бедствия или пожар работата на офис, производство или склад е невъзможна.
  • Инфраструктурни загуби - когато прекъсване на електрозахранването, компютърен вирус или друга аварийна ситуация наруши работата на критични системи: счетоводство, ИТ системи и др.
  • Човешки загуби - всяко бедствие (отново глобална пандемия) лишава вашия персонал от възможността да изпълнява някои функции или да участва в някои процеси.

В случай на загуба на офис, планът трябва да включва опции за прехвърляне на служители на отдалечена работа - у дома или на всеки друг сайт (например в коворкинг пространство). В случай на проблеми с инфраструктурата, като правило е възможно да се намерят алтернативни технически решения за възстановяване на нормалната работа или ръчна поддръжка на най-критичните процеси. Ситуацията, когато останете без човешки ресурси, е най-трудната, тъй като ще трябва да привлечете нов персонал и да го обучите.

Три неща, на които трябва да обърнете максимално внимание, са следните.

Информация и сигурност. Основната задача е да се гарантира безопасността на организацията като цяло и на служителите в частност, както и да се информират всички за предприетите мерки. Осигурете закупуването на лични предпазни средства, погрижете се за безопасността на работните места, запишете правилата за безопасност, които персоналът трябва да спазва. Дръжте всички в течение, за да сведете до минимум слуховете, паниката и общото безпокойство. Ако е необходимо, отворете гореща линия.

Организация. По време на криза много бизнеси изпращат хората в неплатен отпуск, намаляват персонала и / или заплатите или започват да работят извън офиса. Направете план, за да поддържате организацията си да изпълнява ограниченията си и да се фокусира върху най-критичните процеси. Мониторингът на спазването на трудовото законодателство в тази ситуация е изключително важен и ще изисква допълнителна работа от служителите по персонала.

Финансови проблеми. За да оцелеете в кризата, имате нужда от постоянен паричен поток. В среда на бързо намаляващи доходи е наложително да се засили контролът върху разходите и движението на средства. Дори онези бизнеси, които сами се справят добре, може да имат партньори, чиято работа ще бъде негативно повлияна от кризата и това може да доведе до домино ефект.

- пъргавината и гъвкавостта е новата норма. Най-вероятно няма да можете да предскажете нито продължителността, нито мащаба на кризисната ситуация. Мерките, които сте предвидили в първоначалните си антикризисни планове, може да не са достатъчни или ще изискват спешни корекции.

Бизнесът през 21 век е немислим без информационните технологии. Това е мощен двигател на икономиката, но в същото време източник на рискове. Непрекъснатостта на бизнеса е обвързана с приемствеността на ИТ услугите. Техният отказ заплашва в най-добрия случай с престой и финансови загуби, в най-лошия - с катастрофални последици. По какъв начин се осигурява информационна сигурност и непрекъснатост на бизнеса, прочетете нашия материал.

Компоненти на управлението на кризи: BCM, BCP, DRP

Колкото повече информационни технологии се използват в даден бизнес, толкова по-сериозно е необходимо да се осигурят непрекъснати процеси. Това се отнася за кредитни и финансови, телекомуникационни компании, високотехнологични предприятия с непрекъснат производствен цикъл, като атомни електроцентрали. Добре обмислената система за управление на кризи се търси в търговията на дребно, електронната търговия, публичния сектор - накратко, почти навсякъде, където непрекъснатостта на бизнеса е критично важна.

Редица отрасли имат специфични разпоредби за непрекъснатост на бизнеса, които трябва да се спазват, за да се лицензират дейности.

Степента на риска се определя от последиците от провал в работата на ИТ услуги. Например за банките дори краткото прекъсване на дейността е изпълнено с колосални материални загуби. И какво, ако се случи инцидент в авиокомпания или горивно-енергиен комплекс? Тук не само парите са заложени, но и живота на хората е застрашен.

Причините за бизнес рисковете са различни. Това са природни бедствия (не забравяйте замръзващия дъжд в Москва през 2021 г., икономическите щети, от които за АД „MOESK“ възлизат на около 1,3 милиарда рубли [1]), и аварии в енергийните системи, да не говорим за киберпрестъпления (техният брой Русия расте три до четири пъти годишно) [2]. Поради разнообразието от рискове, значимостта на информационната сигурност (ИС) не подлежи на съмнение.

Проучване, проведено от DEAC през 2021 г., показа ситуацията по отношение на рисковете за непрекъснатост на бизнеса в руската бизнес среда. Според резултатите, решенията за осигуряване на непрекъснатост на процесите са най-търсени в две области - финансова и информационна. Ако ИТ системите са недостъпни, 40% от анкетираните ще могат да работят не повече от час, 24% - не повече от минута. Най-голямата заплаха за непрекъснатостта на бизнеса представляват рисковете, свързани с информационната сигурност и промените в законодателството на страната. Нещо повече, почти половината от анкетираните вярват, че в близко бъдеще тези рискове само ще нарастват.

Съществуват инструменти за управление на кризи, чрез които се прилага общата информационна сигурност на едно предприятие. Това са специални технологични дисциплини - BCM (BCP & DRP). Те „изтичат“ от системата за информационна сигурност, наследявайки нейната методология и следните основни принципи:

  • анализ на риска при извънредни ситуации и въздействието на извънредните ситуации върху бизнес процесите и функциите;
  • контрол и управление на инциденти;
  • стратегически и тактически информационни и комуникационни технологии за планиране на приемственост (ИКТ).

BCM (BCP & DRP) осигуряват сигурността на бизнеса като цяло, което е посочено в много международни, национални и индустриални стандарти. По-специално ISO / IEC 27001, ISO 22301: 2021. Първият международен стандарт е посветен на проблемите на информационната сигурност като цяло, а вторият се отнася конкретно до използването на BCM. Съответствието с техните изисквания трябва да се има предвид при избора на център за данни за съхранение на информация. Ако трябва да използва собствените ресурси на компанията, струва си да помислите за прилагането на тези стандарти - това ще се превърне в ключ към сигурността на данните и непрекъснатостта на бизнеса.

Използваме бисквитки
Използваме бисквитки, за да гарантираме, че ви даваме най-доброто преживяване на нашия уебсайт. Чрез използването на уебсайта се съгласявате с използването на "бисквитки".
Позволяват "бисквитките".