План непрерывности бизнеса

✅ ️Нужны деньги? Хочешь заработать? Ищешь возможность?✅ ️

✅ ️Заходи к нам в VIP телеграм канал БЕСПЛАТНО!✅ ️

✅ ️Это твой шанс! Успей вступить пока БЕСПЛАТНО!✅ ️

======================

>>>🔥🔥🔥(Вступить в VIP Telegram канал БЕСПЛАТНО)🔥🔥🔥<<<

======================

✅ ️ ▲ ✅ ▲ ️✅ ▲ ️✅ ▲ ️✅ ▲ ✅ ️

COVID-19: Шаблон стратегии непрерывности бизнеса + 6 лучших практик стратегического планирования

План непрерывности бизнеса

Планирование непрерывности бизнеса

Только полноправные пользователи могут оставлять комментарии. Войдите , пожалуйста. Все сервисы Хабра. Как стать автором. Войти Регистрация. Softline Компания. Семь шагов к непрерывности бизнеса Блог компании Softline В настоящее время существует огромное количество методик управления непрерывностью бизнеса, которые помогают в проведении планирования, улучшения доступности критически важных бизнес-процессов компании. Но эти методики содержат теоретические основы непрерывности бизнеса и не отвечают на вопрос «Как реализовать такой проект? В настоящей статье описана последовательность действий, которые дадут вам представление о том, как внедряется система управления непрерывностью бизнеса, и какие результаты вы получите на каждом этапе. Жизненный цикл процесса управления непрерывностью бизнеса Управление непрерывностью бизнеса компании является циклическим процессом, который должен учитывать возможные изменения в бизнесе, сфере ИТ, законодательстве и других областях, влияющие на деятельность организации, а также помогать ей адаптироваться к этим изменениям. Другими словами, управление непрерывностью бизнеса является процессом его постоянного совершенствования, что, в свою очередь, повышает уверенность компании в надежности планов обеспечения непрерывности бизнеса. Жизненный цикл процесса управления непрерывностью бизнеса включает 7 этапов, на каждом из которых определены последовательность шагов и результат перечень этапов был построен на основе цикла BCM Institute\\\\\\\\\\\[8\\\\\\\\\\\]. Инициация проекта Проект — это деятельность, направленная на создание уникального продукта, услуги или результата. Руководство PMBOK — Пятое издание На данном этапе определяется содержание проекта обеспечения непрерывности бизнеса и разрабатывается его пошаговый план. В нем определяется, как будет исполняться проект, как будет проводиться его мониторинг, контроль и закрытие, а также определяются границы проекта, роли членов проектной команды и цели проекта. Помимо вышеперечисленных действий, необходимо определить потребность в проекте. Для некоторых компаний непрерывность бизнеса — это обеспечение эффективности критически важных бизнес-функций, а также демонстрация устойчивости бизнеса клиентам. Но нельзя забывать, что существуют требования нормативно-правовых актов и регулирующих органов к непрерывности бизнеса. Методы обеспечения безопасности. Системы менеджмента информационной безопасности A. Системы менеджмента непрерывности бизнеса Данный стандарт посвящен непрерывности бизнеса. В стандарте прописаны: — требования, необходимые для установления системы менеджмента непрерывности бизнеса в компании; — требования к функциям высшего руководства в системе менеджмента непрерывности бизнеса; — требования к установлению стратегических целей и руководящих принципов системы менеджмента непрерывности бизнеса; — требования к обеспечению непрерывности бизнеса, порядок разработки процедур управления в условиях инцидента. Настоящий стандарт устанавливает требования к планированию, созданию, функционированию, мониторингу, анализу, проведению учений, поддержке и улучшению документированной системы менеджмента непрерывности бизнеса. Носит рекомендательный характер. Требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний В организации банковской системы должен быть определен план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания. План должен содержать инструкции и порядок действий работников организации банковской системы по восстановлению бизнеса. Также должны быть установлены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановлению после прерывания, в том числе требования к мероприятиям по восстановлению необходимой информации, программного обеспечения, технических средств, а также каналов связи. В случае если система классифицирована по 1 или 2 классу защищенности, описанные в приказе требования носят обязательный характер. В том случае, если для информационной системы персональных данных определен 1 или 2 уровень защищенности, описанные в приказе требования носят обязательный характер. После того, как план проекта окончательно сформирован и разработан, его необходимо направить руководству компании для утверждения. Работа по плану должна начинаться только после согласования с руководством. Обратите внимание! В некоторых компаниях спонсор проекта не уделяет ему должного внимания, и ответственность возлагается на менеджера среднего звена. Это может привести к проблемам в коммуникации заинтересованных сторон и снижению поддержки высшего руководства компании. Данную проблему можно решить путем создания проектного комитета, куда войдут представители всех заинтересованных сторон. Комитет должен периодически проводить встречи, решать проблемы и обсуждать ход проекта. Анализ воздействия на бизнес Анализ воздействия на бизнес — метод позволяющий исследовать воздействие инцидентов на ключевые виды деятельности и процессы компании. На данном этапе предусмотрено детальное изучение процессов компании. Для этого консультант проводит интервью с руководством отделов, входящих в область проекта. А затем определяется максимально допустимое время простоя Maximum Allowable Outage. Время, в течение которого должно происходить восстановление бизнес-функции или ресурса при наступлении нештатных ситуаций. Целевая точка восстановления определяет объем допустимых потерь данных в случае прерывания операций. Например, если RPO равен 15 минутам — допускается потеря данных за последние 15 минут. Уровень доступности сервиса в определенный момент времени. На рисунке изображено, как определяются вышеперечисленные метрики. Результатом проведения анализа воздействия на бизнес являются: — перечень ранжированных по приоритетам критических процессов и соответствующих взаимозависимостей; — зарегистрированные экономические и производственные воздействия, вызванные нарушением критических процессов; — вспомогательные ресурсы, необходимые для идентифицированных критических процессов; — возможные сроки простоя и восстановления критических процессов и взаимосвязанных информационных технологий. Зачастую владельцы бизнес-процессов намеренно или неосознанно завышают целевые значение нормативов восстановления, что способствует искажению анализа и влечет за собой необоснованные расходы. Чтобы избежать этой проблемы, необходимо вместе с проектной группой, а также с заинтересованными сторонами рассмотреть ценность бизнес-функции в контексте происшествия, которое затронуло всю компанию. Этот подход позволит объективно определить нормативы восстановления. Оценка рисков Риск — влияние неопределенности на цели. Отступление: в данной статье не рассматриваются детали оценки рисков. ISO «Менеджмент рисков. Словарь» Целью оценки рисков в рамках управления непрерывностью бизнеса является определение событий, которые могут привести к нарушению деятельности компании, а также их последствий ущерб. Оценка риска обеспечивает: — понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей компании; — понимание угроз и их источников; — идентификацию ключевых факторов, формирующих риск; уязвимых мест компании и ее систем; — выбор способов обработки риска; — соответствие требованиям стандартов. Процесс оценки рисков состоит из: — Идентификации риска — процесс определения элементов риска, описания каждого из них, составления их перечня. Целью идентификации риска является составление перечня источников риска и угроз, которые могут повлиять на достижение каждой из установленных целей компании; — Анализ риска — процесс исследования информации о риске. Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также в выборе соответствующей стратегии и методов обработки; — Сравнительная оценка риска — сопоставление его уровня с критериями, установленными при определении области применения менеджмента риска, для определения типа риска и его значимости. Оценка рисков в дальнейшем позволит обоснованно выработать стратегию непрерывности бизнеса, а также поможет определить оптимальный сценарий ее реализации. Разработка стратегии непрерывности бизнеса После того как были проанализировали требования к непрерывности, необходимо выбрать и обосновать возможные технические и организационные решения. В процессе выбора решения необходимо детально рассмотреть возможные действия в отношении помещений, технологий, информационных активов, контрагентов, а также партнеров. Данные решения, как правило, выбираются с целью: — защиты приоритетных видов деятельности компании; — их эффективного восстановления; — смягчения последствий инцидентов, разработки ответных и превентивных мер. Примечание: выбор решения должен основываться на стоимости восстановления и стоимости простоя. Отступление: подробно вышеперечисленные решения будут рассмотрены в отдельной статье. Основными отличиями вышеперечисленных решений являются стоимость и время восстановления деятельности компании. Решения помогают в реализации эффективной стратегии непрерывности бизнеса. Но для того, чтобы определить оптимальный вариант, необходимо выбирать стратегические решения, исходя из результатов анализа воздействий на бизнес и оценки рисков этот подход поможет обосновать руководству необходимость инвестиций в проект управления непрерывностью бизнеса. Разработка и внедрение планов непрерывности бизнеса План — это заранее намеченная система мероприятий, предусматривающая порядок, последовательность и сроки выполнения работ. В соответствии с лучшими практиками \\\\\\\\\\\[1, 2, 4\\\\\\\\\\\], планы управления непрерывностью должны состоять из трёх компонентов: 1. Реагирование на чрезвычайные ситуации — определяет последовательность действий, которые необходимо осуществить при обнаружении инцидента. Управление инцидентами — определяет методы, необходимые для смягчения или уменьшения размера происшествия. Восстановление деятельности — определяет последовательность действий, которые необходимо осуществить для того, чтобы восстановить сервис на заданном уровне. Примечание: для наглядности используйте блок-схемы и другие графические способы представления информации. Примерная структура плана обеспечения непрерывности бизнеса: 1. Введение 1. Исходная информация 1. Границы действия плана 1. Предпосылки создания плана 2. Концепция 2. Описание системы обеспечения непрерывности 2. Описание этапов восстановления непрерывности 2. Роли и их обязанности 3. Активация плана 3. Критерии и порядок активации 3. Порядок уведомления заинтересованных лиц 3. Порядок оценки происшествия 4. Контроль 5. Восстановление 5. Последовательность восстановления непрерывности Специалистами NIST было разработано руководство \\\\\\\\\\\[1\\\\\\\\\\\], которое достаточно подробно описывает необходимые планы обеспечения непрерывности бизнеса. Системы менеджмента непрерывности бизнеса»: 8. Обязанности организаций в области защиты населения и территорий от чрезвычайных ситуаций «Организации обязаны предоставлять в установленном порядке информацию в области защиты населения и территорий от чрезвычайных ситуаций, а также оповещать работников организаций об угрозе возникновения или о возникновении чрезвычайных ситуаций ». Critical Infrastructure Protection Plan CIP План защиты критических инфраструктур План направлен на защиту ключевых ресурсов и компонентов национальной инфраструктуры. N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Cyber Incident Response Plan План реагирования на кибер-инциденты План, описывающий процедуры реакции на инциденты, связанные с атаками хакеров, вторжения в информационную систему и другие проблемы безопасности. Методы и средства обеспечения безопасности. Incident Handling Guide». Information System Contingency Plan ISCP План на случай непредвиденных ситуаций в информационных системах План восстановления системы, сетей и основных приложений после аварии. Вышеперечисленные документы составляются исходя из потребностей компании, но на практике чаще всего применяются следующие виды планов: — План реагирования на инциденты — данный вид плана может включать в себя план реагирования на кибер-инциденты, план на случай непредвиденных ситуаций в информационных системах. Данный план поможет уменьшить масштабы катастрофы и смягчить ее последствия, что даст возможность сэкономить время и дополнительное преимущество при активации остальных типов планов; — План действия персонала в чрезвычайных ситуациях — в соответствии с требованиями Федерального закона от Данный вид плана осуществляет поддержу плана обеспечения непрерывности бизнеса и направлен на восстановление работоспособности отдельных систем и приложений; — План обеспечения непрерывности бизнеса — сфокусирован на поддержке бизнес-процессов компании во время и после чрезвычайной ситуации; направлен на обеспечение возможности продолжения выполнения компанией критических важных для нее видов деятельности на установленном приемлемом уровне; — План антикризисных коммуникаций — данный план поможет сохранить репутацию компании в кризисной ситуации. На этапе составления планов непрерывности бизнеса некоторые компании сосредоточиваются на технических решениях и не придают значения организационным мерам. В связи с этим необходимо указать на необходимость применения организационных мер наравне с техническими. Для этого проводятся обучающие семинары, тестирование планов, выпускаются учебные материалы. Тестирование и пересмотр планов Тестирование осуществляется для проверки работоспособности планов при возникновении определенного набора обстоятельств, влияющих на деятельность компании. План тестирования выбирается с учетом типа компании и ее целей. Тесты — инструменты оценки, которые используют количественные метрики для проверки работоспособности ИТ-системы или ее компонента. NIST Special Publication «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities» К целям тестирования можно отнести: — получение подтверждений работоспособности планов; — проверка достаточности методического и технического обеспечения; — получение необходимых навыков и знаний. После того как была определена цель тестирования, разрабатывается сценарий, определяется метод тестирования и согласовывается с руководством. Чаще всего применяются следующие методы \\\\\\\\\\\[2\\\\\\\\\\\]: — Настольная проверка Tabletop ; — Имитация Imitation ; — Полное тестирование Full business continuity testing. Отступление: подробно вышеперечисленные методы тестирования будут рассмотрены в отдельной статье. После проведения тестирования составляются отчеты, в которых указываются сценарии и результаты тестирования, а также предложения по улучшению планов непрерывности деятельности. Компании должны выбирать способ тестирования исходя из своих целей и финансовых возможностей. Полное тестирование является самым эффективным так как оно позволяет выявить множество недостатков, но из-за высоких рисков почти не используется на практике. Если компания решила использовать данный вид тестирования, необходимо заручиться поддержкой партнеров или воспользоваться услугами подрядчиков, чтобы минимизировать риски и предупредить значительные простои. Обслуживание и обновление планов Как уже отмечалось выше, управление непрерывностью бизнеса компании является циклическим процессом. А это значит, что нельзя ограничиваться одним только формированием планов, необходимо сопровождать, обновлять и совершенствовать их ежегодно, а иногда и чаще, например, в следующих случаях: 1. Изменение ИТ-инфраструктуры; 2. Изменение организационной структуры компании; 3. Изменения в законодательстве; 4. Обнаружение недостатков в планах при их тестировании. Заключение Управление непрерывностью бизнеса обеспечивает объединение всех применяемых на предприятии мер в целостный, адекватный реальным угрозам и управляемый комплекс, позволяющий компании непрерывно предоставлять услуги, избежать влияния чрезвычайных ситуаций на деятельность и минимизировать возможный ущерб. Этот комплекс состоит из семи этапов, которые должны быть реализованы в компании для обеспечения непрерывности предоставления услуг и производства продуктов. В данной статье описан каждый этап с привязкой к российским реалиям, а также указаны моменты, на которые стоит обратить внимание при реализации данного проекта. Литература 1. Методы оценки риска» 4. Укажите причину минуса, чтобы автор поработал над ошибками. Платежная система. Похожие публикации. Softline Venture Partners принимает заявки в бизнес-акселератор по ИТ 3 1,5k 3 5. Вакансии компании Softline Senior Python Разработчик. Ведущий инженер по внедрению сервисов кибербезопасности. Больше вакансий компании. Почему для иллюстраций к бизнес-статьям всегда используют картинки такого странного стиля, как картинка для привлечения внимания? Я бы в стратегию добавил варианты обработки риска: 1. Игнорировать или принять риск. Снизить последствия возникновения риска до приемлемого уровня. Избегать возникновения такого рода риска. Дата основания год Локация Москва Россия Сайт softline. Представитель Softliner. Softline Venture Partners softlinevp. Читать Softlinegroup. LookIT LookIT — бесплатное мобильное приложение «Календарь Айтишника»: — события IT-индустрии: исторические, праздничные и просто интересные; — график предстоящих IT-мероприятий; — скидки и полезности. Блог на Хабре. CloudMaster — это про самообслуживание разработчиков в корпоративном ЦОДе и облачных сервисах 1,2k 0. Самое читаемое. Ваш аккаунт Войти Регистрация. Настройка языка. О сайте. Служба поддержки. Мобильная версия. Интерфейс Русский. Сохранить настройки. Системы менеджмента информационной безопасности. Системы менеджмента непрерывности бизнеса. Требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний. В организации банковской системы должен быть определен план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания. Набор задокументированных процедур, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения выполнения компанией критических важных видов деятельности на установленном приемлемом уровне. Фокусируется на восстановлении критически важных функций компании на альтернативной площадке и на их выполнении в течение 30 дней. В данном плане задокументированы процедуры и правила внешних и внутренних коммуникаций в случае чрезвычайных ситуаций. План, описывающий процедуры реакции на инциденты, связанные с атаками хакеров, вторжения в информационную систему и другие проблемы безопасности. План восстановления системы, сетей и основных приложений после аварии. В данном плане определяется порядок обеспечения безопасности персонала и процедуры эвакуации в случае чрезвычайных ситуаций.

Практическая работа поиск информации в сети интернет