Luo liiketoiminnan jatkuvuussuunnitelma: Tärkeimmät säännöt

Liiketoiminta XXI-luvulla on mahdotonta ajatella ilman tietotekniikkaa. Se on voimakas talouden moottori, mutta samalla riskien lähde. Liiketoiminnan jatkuvuus on sidottu IT-palvelujen jatkuvuuteen. Heidän kieltäytyminen uhkaa parhaimmillaan seisokkeja ja taloudellisia menetyksiä, pahimmillaan - katastrofaalisia seurauksia. Millä tavoin tietoturva ja liiketoiminnan jatkuvuus taataan, lue materiaalimme.

Kriisinhallinnan komponentit: BCM, BCP, DRP

Mitä enemmän tietotekniikkaa yrityksessä käytetään, sitä vakavammin sen on varmistettava keskeytymättömät prosessit. Tämä koskee luotto- ja rahoitusyhtiöitä, teleyrityksiä, korkean teknologian yrityksiä, joilla on jatkuva tuotantosykli, kuten ydinvoimaloita. Hyvin harkittu kriisinhallintajärjestelmä on kysytty vähittäiskaupassa, verkkokaupassa ja julkisella sektorilla - lyhyesti sanottuna melkein kaikkialla, missä liiketoiminnan jatkuvuus on kriittisen tärkeää.

Monilla toimialoilla on erityiset toiminnan jatkuvuutta koskevat määräykset, joita on noudatettava toimiluvan saamiseksi.

Riskin aste määräytyy IT-palvelujen epäonnistumisen seurausten vuoksi. Esimerkiksi pankeille jopa lyhyt keskeytyminen toiminnassaan on täynnä valtavia aineellisia menetyksiä. Entä jos tapaus tapahtuu lentoyhtiössä tai polttoaine- ja energiakompleksissa? Täällä ei ole pelkästään rahaa, vaan ihmisten henki on vaarassa.

Liikeriskien syyt ovat erilaiset. Nämä ovat luonnonkatastrofit (muista Moskovan jäätyvä sade vuonna 2021, jonka taloudellinen vahinko JSC MOESKille oli noin miljardi ruplaa [1]), ja sähköjärjestelmien onnettomuudet, puhumattakaan tietoverkkorikoksista (vain niiden lukumäärä) Venäjällä kasvaa 3-4 kertaa vuodessa) [2]. Erilaisten riskien vuoksi tietoturvan (IS) merkitys on kiistaton.

DEAC: n vuonna 2021 tekemä tutkimus osoitti liiketoiminnan jatkuvuusriskien tilanteen Venäjän liiketoimintaympäristössä. Tulosten mukaan ratkaisut prosessien jatkuvuuden varmistamiseksi ovat eniten kysyttyjä kahdella alueella - taloudellisessa ja informaatiotekniikassa. Jos IT-järjestelmät eivät ole käytettävissä, 40% vastaajista voi jatkaa työskentelyä enintään tunnin, 24% - enintään minuutin. Suurimman uhan liiketoiminnan jatkuvuudelle aiheuttavat tietoturvaan liittyvät riskit ja muutokset maan lainsäädännössä. Lisäksi melkein puolet vastaajista uskoo, että lähitulevaisuudessa nämä riskit vain kasvavat.

On olemassa kriisinhallintatyökaluja, joiden avulla yrityksen yleinen tietoturva toteutetaan. Nämä ovat erityisiä teknisiä aloja - BCM (BCP & DRP). Ne "virtaavat" tietoturvajärjestelmästä, perimällä sen metodologian ja seuraavat perusperiaatteet:

  • hätätilanteiden riskianalyysi ja hätätilanteiden vaikutus liiketoimintaprosesseihin ja toimintoihin;
  • tapahtumien hallinta ja hallinta;
  • strategisen ja taktisen jatkuvuuden suunnittelu tieto- ja viestintätekniikka (ICT).

BCM (BCP & DRP) varmistaa koko yrityksen turvallisuuden, mikä on mainittu monissa kansainvälisissä, kansallisissa ja teollisuuden standardeissa. Erityisesti ISO / IEC 27001, ISO 22301: 2021. Ensimmäinen kansainvälinen standardi on omistettu tietoturvakysymyksille yleensä, toinen koskee erityisesti BCM: n käyttöä. Niiden vaatimusten noudattaminen on otettava huomioon valittaessa datakeskus tietojen tallentamista varten. Jos aiot käyttää yrityksen omia resursseja, kannattaa miettiä näiden standardien täytäntöönpanoa - tästä tulee avain tietoturvaan ja liiketoiminnan jatkuvuuteen.

Tarkasteltavat tieteenalat eivät kuitenkaan ole identtisiä tietoturvan hallinnan kanssa, mikä on vain niiden perusta. Historiallisesti, banaalisesta tietojen varmuuskopioinnista alkaen, BCM-järjestelmä kattoi tietoturvakysymysten lisäksi vähitellen melkein kaikki liiketoiminnan näkökohdat ja muuttui kokonaisvaltaiseksi näkemysmenetelmäksi liiketoiminnan jatkuvuuden varmistamiseksi - organisaation sietokyky kaikenlaisille epäonnistumisten, tuhojen ja menetysten, lähinnä taloudellisten,

Viitteeksi

  • BCM (liiketoiminnan jatkuvuuden hallinta) - liiketoiminnan jatkuvuuden hallinta.
  • BCP (liiketoiminnan jatkuvuuden suunnittelu) - liiketoiminnan jatkuvuuden suunnittelu.
  • DRP (Disaster Recovery Planning) - Palautussuunnitelma.

Suunnitteletko katastrofia?

Hyvää iltapäivää, hyvät kollegat.

Yhdessä edellisistä kriisitilanteita käsittelevistä artikkeleista käsittelimme yrityksen kriisien vastaisen suunnitelman (kansainvälisessä luokittelussa - BCP) ja erityisesti sen IT-osan - IT BCP - kirjoittamista. Siellä tarkasteltiin myös kriisien vastaisten suunnitelmien merkityksen merkitystä jokaisessa yrityksessä.

Tämän artikkelin pääaihe on syvempi sukellus tähän asiakirjaan. Harkitsemme yksityiskohtaisesti IT: n BCP: n rakennetta, kosketamme organisatorisia ja teknisiä kysymyksiä ja analysoimme myös toimivaa IT: n BCP: tä tyypillisen todennäköisen riskin esimerkin avulla. Artikkelista on hyötyä yritysten omistajille, riskienhallinnalle, tietohallintojohtajille ja muille liiketoiminnan jatkuvuudesta vastaaville johtajille.

Miksi yritykset tarvitsevat katastrofisuunnitelmia ja miten ne toimivat?

Eri yritykset ratkaisevat työnsä aikana monia strategisia ja taktisia tehtäviä. Mutta kaikki pyrkivät tavalla tai toisella samaan asiaan - parantamaan suorituskykyään markkinoilla, minimoimaan kustannukset ja lisäämään voittoja. Yritykset kohtaavat elämänsä eri vaiheissa hätätilanteita, jotka voivat rajusti muuttaa yrityksen normaalin toiminnan kulkua tai jopa heittää sen pois markkinoilta. Lyhyeksi ajaksi, pitkäksi aikaa tai ikuisesti. Minkä tahansa yrityksen pakollisten tehtävien valikoima, riippumatta toiminnan koosta ja suunnasta, sisältää ennaltaehkäisevän työn hätätilanteiden varalta - niihin valmistautuminen, työskentely hyökkäyksen sattuessa, poistuminen vähäisillä tappioilla ja edelleen parantaminen tähän suuntaan.

Yrityksellä on yleensä oltava yksi asiakirja BCP (liiketoiminnan jatkuvuussuunnitelma), joka säätelee ja kuvaa yrityksen toimintaa tyypillisissä kriisitilanteissa ja mikä tärkeintä, toimia niiden varalta.

Tyypillisesti BCP: n kirjoittaa, toteuttaa ja hienosäätää vanhempi turvallisuusvastaava tai tietohallintojohtaja organisaation johtajan suoralla panoksella. Näille henkilöille uskotaan myös tehtäväksi muodostaa kriisin vastainen ryhmä työntekijöiden keskuudesta tai houkutella ulkopuolisia asiantuntijoita.

Analysoidaan yksityiskohtaisesti, miten IT BCP toimii yleensä, ja kosketamme myös joitain ominaisuuksia.

Osa 1 - Riskiskenaarioiden luettelo

Vuonna 2021 Venäjän keskuspankki hyväksyi 18. elokuuta 2021 nro 28-MR metodologiset suositukset pankkien ulkopuolisten rahoituslaitosten toiminnan jatkuvuuden varmistamiseksi. Siinä hän kiinnitti erityistä huomiota tietoturvan varmistamiseen pankkien ulkopuolisessa rahoitusorganisaatiossa ja NFO: n työntekijöiden työhön hätätilanteissa.

Asiantuntijamme valmistavat tarvittavat asiakirjat tietoturvan varmistamiseksi ja pankkien ulkopuolisten rahoituslaitosten toiminnan jatkuvuuden varmistamiseksi:

A. Ohjeiden yleisten ohjeiden mukaisesti laaditut asiakirjat:

  • Tietoturvapolitiikka
  • Tietoturvavastaavan toimenkuva
  • Tilaus tietoturvasäännösten hyväksymisestä ja vastuuhenkilöiden nimittämisestä tietosuojaa varten
  • Tilaus tietolähteiden luettelon hyväksymisestä
  • Tilaus suojatuista ja rajoitetusti käytettävissä olevista huoneista
  • Luettelo huoneista, joihin on rajoitettu pääsy
  • Luettelo työntekijöistä, joilla on pääsy rajoitettuihin tiloihin
  • Suojattujen tilojen tekninen passi
  • Tietoturvallisuuden toimintasuunnitelma
  • Työsuunnitelma tietosuoja
  • Tieto-, ohjelmisto- ja laitteistoresurssien saantimenettely
  • Määräys tietolähteiden saatavuutta koskevasta menettelystä ja niiden luettelon hyväksyminen
  • Lausunto ohjelmistojen käyttö
  • Ohjelmistojen käyttöä koskeva tilaus <
  • Internetin ja sähköisen käteispostin käyttöä koskevat säännöt
  • Luettelo työntekijöiden sähköpostiosoitteista
  • Internetin ja sähköpostin käyttöä koskeva tilaus
  • Salasanasuojausta koskeva asetus
  • Salasanasuojauksen järjestämistä koskeva järjestys
  • Asetus varmuuskopiosta
  • Järjestys varmuuskopioinnista
  • Asetus virustentorjunnasta
  • Järjestys virustentorjunnasta
  • Mobiililaitteiden ja tallennusvälineiden käyttöä koskevat määräykset
  • Suunnitelma automaattisen järjestelmän toiminnan jatkuvuuden ja palauttamisen varmistamiseksi
  • Määräys suunnitelman toteuttamiseksi
  • Tietoturvaloukkauksiin reagoimista koskevat säännöt
  • Tietoturvamuistio
  • Pakollinen väestönsuojelu ja hätätilanteiden dokumentointi.

B. Asiakirjat, jotka on laadittu ohjeiden lisäsuositusten mukaisesti:

  • Liiketoiminnan jatkuvuuskäytäntö
  • Tapahtumien hallintasuunnitelma
  • Liiketoiminnan jatkuvuuden ja elvytyssuunnitelma
  • Suunniteltu (kohde) aika kriittisten prosessien (RTO) jatkamiseksi ja palauttamiseksi.
  • Menettely, menetelmät, resurssit ja toimenpiteiden ajoitus hätätilanteiden aiheuttaman organisaation päivittäisen toiminnan mahdollisen häiriön ehkäisemiseksi, vähentämiseksi ja seurausten eliminoimiseksi.
  • Luettelo hätätekijöistä, jotka voivat johtaa kriittisten prosessien keskeyttämiseen, ja menettely liiketoiminnan jatkuvuussuunnitelman aktivoimiseksi kunkin tekijän vaikutuksesta.
  • sellaisten menettelyjen sisällyttäminen liiketoiminnan jatkuvuussuunnitelmaan, joiden toteuttaminen organisaation päivittäisessä toiminnassa on välttämätöntä liiketoiminnan jatkuvuussuunnitelman onnistuneelle toteuttamiselle (mukaan lukien tietojärjestelmien turvallisuuden varmistamiseen tähtäävät menettelyt) .
  • Luettelo kriittisistä prosesseista ja niiden palauttamisen prioriteeteista.
  • Kriittisten prosessien toteuttamisjärjestys hätätilanteissa, jos ne voivat muuttua hätätilanteiden vaikutuksesta.
  • Menettely vuorovaikutuksessa organisaation johtoelinten ja työntekijöiden välillä hätätilanteissa, mukaan lukien organisaation hallintoelinten, osastojen ja työntekijöiden valtuudet toiminnan jatkuvuussuunnitelman mukaisten toimien toteuttamiseen.
  • Hätäilmoitusmenettely ja viestintätapa organisaation johtoelinten, osastojen ja työntekijöiden välillä, tiedot hätäoperaatioiden yhteyksistä (puhelinnumerot) ja sisäisistä yhteyksistä (puhelinnumerot, sähköpostiosoitteet) ) Henkilöt, jotka vastaavat toiminnan jatkuvuussuunnitelman toimintojen toteuttamisesta.
  • Menettely, jolla organisaation asiakkaille ja vastapuolille sekä Venäjän keskuspankille tiedotetaan hätätilanteista ja mahdollisista seurauksista.
  • Menettely liiketoiminnan jatkuvuussuunnitelman tarkistamiseksi (päivittämiseksi).
  • Menettely tietojen ja kriittisiä prosesseja palvelevien tietokantojen varmuuskopioimiseksi koneen tallennusvälineiden varmuuskopioimiseksi näiden prosessien jatkamiseksi, jos tiedot tai tietokannat katoavat tai vahingoittuvat hätätilanteista.
  • koulutusohjelma organisaation vastuullisille työntekijöille kriittisten prosessien turvallisuuden ja jatkuvuuden varmistamisesta.
  • Menettely kriittisiä prosesseja palvelevien tietojärjestelmien käytön hallitsemiseksi, mukaan lukien tietojärjestelmien käyttäjien oikeuksien ja etuoikeuksien hallinta, pääsyn rajoittaminen näihin järjestelmiin niissä vahvistettujen kulunvalvontasääntöjen perusteella näiden sääntöjen noudattamisen valvomiseksi ...
  • Menettely, jolla laaditaan ja toimitetaan valtuutetulle elimelle raportti organisaation toiminnan jatkuvuudesta.

Esimerkki rahoituslaitosten jatkuvuussuunnitelmasta

1 Käytännön opas, joka perustuu yleisiin ohjeisiin (luvut 1-2)

Credit Bureau (CRB), luottotietojen osuuksien lukumäärä, joissa alle 20 miljoonaa

Luottoluokituslaitokset (CRA).

Liiketoiminnan jatkuvuussuunnitelma on yksi hallinto-oikeuden pakollisista asiakirjoista tänään. Hyvin harkittu kriisin tarkistuslista on auttanut monia yrityksiä välttämään operatiivisen romahduksen COVID-19-pandemian ensimmäisen aallon aikana. Jos organisaatiollasi ei vielä ole tällaista asiakirjaa, nyt on aika laatia sellainen. Tai harkitse uudelleen. Pysyvä asiantuntijamme Natalya Vinogradova kertoo, mitkä elementit on sisällytettävä liiketoiminnan jatkuvuussuunnitelmaan ja mitä on syytä etsiä sen valmistelussa.

Yksi tärkeimmistä ongelmista kriisin aikana on sekaannus ja avuttomuuden tunne, joka syntyy organisaation kaikilla tasoilla ja estää niitä tekemästä tarvittavia toimia ajoissa. Sen ratkaiseminen on liiketoiminnan jatkuvuussuunnitelman eli BCP (Business Continuity Plan) päätehtävä. Tällaisen suunnitelman avulla voit sopia etukäteen ja selvittää tärkeimmät kriisinvastaiset toimet, tukea yrityksen työtä ja jatkaa sitä nopeasti mahdollisten epäonnistumisten yhteydessä. Itse asiassa se on joukko sääntöjä, joita koko yrityksen on noudatettava varmistaakseen liiketoimintaprosessien ja asiakastuen jatkuvuuden sekä säilyttääkseen varansa.

Lisäksi BCP on johtajalle mahdollisuus keskittyä liiketoimintaan ja päättää, mihin kriisin aikana tulisi kiinnittää ensisijaista huomiota ("täytyy olla") ja mikä on tärkeää, mutta ei ensinnäkin ("Olisi ollut hyvä ...").

Strategiasi vaihtelee sen mukaan, mikä aiheutti yrityskriisin. Riskejä on kolme päätyyppiä (tappiot).

  • Toimiston tai tuotantolaitoksen menetys - esimerkiksi kun toimiston, tuotannon tai varaston toiminta on mahdotonta luonnonkatastrofien tai tulipalon vuoksi.
  • Infrastruktuurihäviöt - kun sähkökatko, tietokonevirus tai jokin muu hätätilanne häiritsi kriittisten järjestelmien toimintaa: kirjanpito, IT-järjestelmät jne.
  • Ihmisten menetykset - jonkinlainen katastrofi ( jälleen kerran, maailmanlaajuinen pandemia) riistää henkilöstöltä kyvyn suorittaa joitain toimintoja tai osallistua joihinkin prosesseihin.

Jos toimisto menetetään, suunnitelmaan tulisi sisältyä vaihtoehtoja työntekijöiden siirtämiseksi etätyöhön - kotiin tai muualle (esimerkiksi coworking-tilaan). Infrastruktuuriongelmien yhteydessä on pääsääntöisesti mahdollista löytää vaihtoehtoisia teknisiä ratkaisuja normaalin toiminnan palauttamiseksi tai kriittisimpien prosessien tukemiseksi manuaalisesti. Tilanne, jossa jää ilman henkilöstöresursseja, on vaikein, koska joudut ottamaan mukaan uutta henkilöstöä ja kouluttamaan heitä.

Kolme asiaa, joihin on kiinnitettävä erityistä huomiota, ovat nämä.

Tiedot ja turvallisuus. Ensisijaisena tehtävänä on varmistaa organisaation turvallisuus yleensä ja erityisesti työntekijät sekä tiedottaa kaikille toteutetuista toimenpiteistä. Varmista henkilökohtaisten suojavarusteiden hankinta, pidä huolta työpaikkojen turvallisuudesta, kirjoita turvallisuusohjeet, joita henkilöstön on noudatettava. Pidä kaikki ajan tasalla minimoidaksesi huhut, paniikin ja yleisen ahdistuksen. Avaa tarvittaessa vihjelinja.

Organisaatio. Kriisitilanteissa monet yritykset lähettävät ihmisiä palkattomalle lomalle, leikkaavat henkilöstöä ja / tai palkkoja tai aloittavat työskentelyn toimiston ulkopuolella. Tee suunnitelma, jotta organisaatiosi pystyy toimimaan rajojensa yli ja keskittymään kriittisimpiin prosesseihin. Työlainsäädännön noudattamisen seuranta tässä tilanteessa on erittäin tärkeää, ja se vaatii henkilöstöltä lisää työtä.

Taloudelliset kysymykset. Kriisistä selviytymiseen tarvitaan vakaa kassavirta. Nopeasti laskevien tulojen edessä on välttämätöntä tiukentaa menojen ja varojen liikkumisen valvontaa. Jopa hyvin menestyvillä yrityksillä voi olla kumppaneita, joiden työhön kriisi vaikuttaa kielteisesti, ja tämä voi aiheuttaa dominoefektin.

- Ketteryys ja joustavuus ovat uusi normi. Todennäköisesti et pysty ennustamaan kriisin kestoa tai laajuutta. Alkuperäisissä kriisinvastaisissa suunnitelmissasi suunnittelemasi toimenpiteet eivät välttämättä riitä tai ne edellyttävät kiireellisiä mukautuksia.

Liiketoimintaa 2000-luvulla ei voida ajatella ilman tietotekniikkaa. Se on voimakas talouden moottori, mutta samalla riskien lähde. Liiketoiminnan jatkuvuus on sidottu IT-palvelujen jatkuvuuteen. Heidän kieltäytyminen uhkaa parhaimmillaan seisokkeja ja taloudellisia menetyksiä, pahimmillaan - katastrofaalisia seurauksia. Millä tavoin tietoturva ja liiketoiminnan jatkuvuus taataan, lue materiaalimme.

Kriisinhallinnan komponentit: BCM, BCP, DRP

Mitä enemmän tietotekniikkaa yrityksessä käytetään, sitä vakavammin sen on varmistettava keskeytymättömät prosessit. Tämä koskee luotto- ja rahoitusyhtiöitä, teleyrityksiä, korkean teknologian yrityksiä, joilla on jatkuva tuotantosykli, esimerkiksi ydinvoimaloita. Hyvin harkittu kriisinhallintajärjestelmä on kysytty vähittäiskaupassa, verkkokaupassa ja julkisella sektorilla - lyhyesti sanottuna melkein kaikkialla, missä liiketoiminnan jatkuvuus on kriittisen tärkeää.

Monilla toimialoilla on erityiset toiminnan jatkuvuutta koskevat määräykset, joita on noudatettava toimiluvan saamiseksi.

Riskin aste määräytyy IT-palvelujen epäonnistumisen seurausten vuoksi. Esimerkiksi pankeille jopa lyhyt keskeytyminen toiminnassaan on täynnä valtavia aineellisia menetyksiä. Entä jos tapaus tapahtuu lentoyhtiössä tai polttoaine- ja energiakompleksissa? Täällä ei ole pelkästään rahaa, vaan ihmisten henki on vaarassa.

Liikeriskien syyt ovat erilaiset. Nämä ovat luonnonkatastrofit (muista Moskovan jäätyvä sade vuonna 2021, jonka taloudellinen vahinko JSC MOESKille oli noin miljardi ruplaa [1]), ja sähköjärjestelmien onnettomuudet, puhumattakaan tietoverkkorikoksista (vain niiden lukumäärä) Venäjällä kasvaa 3-4 kertaa vuodessa) [2]. Erilaisten riskien vuoksi tietoturvan (IS) merkitys on kiistaton.

DEAC: n vuonna 2021 tekemä tutkimus osoitti liiketoiminnan jatkuvuusriskien tilanteen Venäjän liiketoimintaympäristössä. Tulosten mukaan ratkaisut prosessien jatkuvuuden varmistamiseksi ovat eniten kysyttyjä kahdella alueella - taloudellisessa ja informaatioteknologiassa. Jos IT-järjestelmät eivät ole käytettävissä, 40% vastaajista voi jatkaa työskentelyä enintään tunnin, 24% - enintään minuutin. Suurimman uhan liiketoiminnan jatkuvuudelle aiheuttavat tietoturvaan liittyvät riskit ja muutokset maan lainsäädännössä. Lisäksi lähes puolet vastaajista uskoo, että nämä riskit kasvavat vasta lähitulevaisuudessa.

On olemassa kriisinhallintatyökaluja, joiden avulla yrityksen yleinen tietoturva toteutetaan. Nämä ovat erityisiä teknisiä aloja - BCM (BCP & DRP). Ne "virtaavat" tietoturvajärjestelmästä, perimällä sen metodologian ja seuraavat perusperiaatteet:

  • hätätilanteiden riskianalyysi ja hätätilanteiden vaikutus liiketoimintaprosesseihin ja toimintoihin;
  • tapahtumien hallinta ja hallinta;
  • strategisen ja taktisen jatkuvuuden suunnittelu tieto- ja viestintätekniikka (ICT).

BCM (BCP & DRP) varmistaa koko yrityksen turvallisuuden, mikä on mainittu monissa kansainvälisissä, kansallisissa ja teollisuuden standardeissa. Erityisesti ISO / IEC 27001, ISO 22301: 2021. Ensimmäinen kansainvälinen standardi on omistettu tietoturvakysymyksille yleensä, toinen koskee erityisesti BCM: n käyttöä. Niiden vaatimusten noudattaminen on otettava huomioon valittaessa datakeskus tietojen tallentamista varten. Jos sen on tarkoitus käyttää yrityksen omia resursseja, on syytä miettiä näiden standardien täytäntöönpanoa - siitä tulee avain tietoturvaan ja liiketoiminnan jatkuvuuteen.

Käytämme evästeitä
Käytämme evästeitä varmistaaksemme, että annamme sinulle parhaan kokemuksen verkkosivuillamme. Käyttämällä verkkosivustoa hyväksyt evästeiden käytöstä.
Salli evästeet.