Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

5 вопросов для улучшения планов непрерывности бизнеса

Аватар пользователя Игорь Бурцев
Автор: Бурцев Игорь, -
(0)
()

Сегодня хотел поделиться свободным переводом показавшейся мне интересной статьи на сайте ISACA «5 вопросов для улучшения планов непрерывности бизнеса» (5 Questions to Improve Business Resiliency Plans). В рамках этой статьи говорится о том, какие основные моменты необходимо рассматривать при периодическом пересмотре планов непрерывности бизнеса.

Итак, предлагается 5 основных вопроса, которые необходимо задавать в ходе каждого пересмотра планов непрерывности бизнеса: 

1. Охватывают ли планы непрерывности бизнеса все текущие критичные бизнес процессы и виды деятельности компании?
Скорость развития и изменения бизнес процессов во многих компаниях очень велика, что не может не сказываться на актуальности разработанных ранее планов непрерывности. Поэтому, при очередном пересмотре планов просто обязательно необходимо учитывать произошедшие изменения в деятельности компании и всегда иметь актуальный перечень наиболее критичных процессов, в отношении которых следует дорабатывать текущие планы непрерывности. 
Как мы знаем, критичные бизнес процессы мы определяем в ходе проведения анализа влияния на бизнес (BIA – Business Impact Analysis). При этом, чтобы упростить задачу в части актуализации бизнес процесс, может помочь некий журнал всех значительных изменений, произошедших в компании с момента предыдущего пересмотра планов непрерывности.

2. Актуальна ли приложенная в планах контактная информация лиц, задействованных в их реализации (в том числе и третьих сторон)?
Тут говорится о важности того, чтобы в плане непрерывности присутствовала актуальная контактная информация лиц, которые задействованы в ликвидации чрезвычайных ситуаций и восстановлении деятельности, что обеспечит успешную реализацию планов в случае возникновения реальных нештатных ситуаций. 
Кроме того, важно обеспечивать актуальность контактной информации и в различных справочниках и адресных книгах, которые присутствуют в компании, так как зачастую люди, ответственные за их актуализацию, просто отсутствуют в компании, что в конечном итоге ведет к полной или почти полной бесполезности таких справочников.  
Аналогично и с контактной информацией по представителям третьих стороны (особенно провайдеров, предоставляющих услуги и сервисы компании). С актуализацией этих данные порой обстоит все еще хуже, так как тут еще накладывается граница между организациями. 
В связи со всем этим, проверка корректности указанной в планах непрерывности контактной информации должна являться неотъемлемой частью каждого пересмотра или тестирования плана непрерывности. 
Кроме того, хорошей практикой является проверка доступности основных ответственных за реализацию плана непрерывности лиц в нерабочее время и выходные дни, так как в реальности чрезвычайная ситуация может произойти в любое время, как рабочее так и не рабочее. 

3. Готовы и хотят ли основные ответственные лица участвовать в реализации планов непрерывности?
Часто недооцениваемым, но весьма важным фактором реализации любого плана непрерывности является доступности и готовность/желание участвовать в мероприятиях по восстановлению основных ответственных лиц. После разработки и внедрения плана, лица, которые ранее согласились участвовать в реализации мероприятий плана в случае возникновения непредвиденных обстоятельств, со временем, ввиду происходящих изменений, могут потерять интерес к участию в реализации мероприятий плана непрерывности. 
Поэтому важно при очередном пересмотре плана непрерывности подтверждать готовность и способность участников плана, участвовать в его реализации. Кроме того, необходимо напоминать им об их обязанностях и ответственности по реализации мероприятий плана, чтобы гарантироваться, что в случае необходимости они будут должным образом подготовлены (некое постоянное обучение и повышение осведомленности участников плана непрерывности). 
Кроме того, у участников плана всегда должна быть возможность отказаться от своего привлечения к реализации мероприятий плана непрерывности (т.е. не должно оказываться давления со стороны на участие в плане), если они считают, что такое привлечение не является необходимым. 
Этот пункт мне, конечно, показался не совсем соответствующим российским реалиям, так как у нас все-таки распределение обязанностей больше осуществляется в добровольно-принудительном порядке. 

4. Проводится ли обучение и инструктажи участников планов непрерывности?
Все лица, участвующие в реализации плана непрерывности, должны проходить периодическое обучения и повышение осведомленности по тематике реализации планов непрерывности, что позволит обеспечить их способность действовать правильным образом в случае возникновения реальной нештатной ситуации. При этом необходимо применять не только базовое обучение, но и тестирование планов непрерывности, когда отрабатываются действия участников плана в условиях, приближенных к реальным нештатным ситуациям.

5. Актуальны ли определенные ранее значения целевого времени восстановления (RTO) и целевой точки восстановления (RPO) для процессов и ресурсов, их обеспечивающих? 
RTO и RPO определяются на этапе разработке планов непрерывности в ходе реализации BIA, при этом для каждого процесса, а также ресурса, который обеспечивает реализацию бизнес-процесса, определяются свои значения RTO и RPO, исходя из потребностей бизнеса и реальных возможностей по восстановлению. 
Но, ввиду постоянных изменений в организации, а также ее приоритетах, со временем меняются и значения RTO и RPO, которые необходимо обеспечивать в рамках плана непрерывности. При этом, надо понимать, что чем меньше значения RTO и RPO, тем выше затраты компании на фактическое достижение этих значений. 
В связи с этим, при пересмотре планов непрерывности необходимо актуализировать значения определенных ранее RTO и RPO, чтобы с одной стороны не тратить излишние средства на достижение не актуальных требований, а с другой реализовывать дополнительные мероприятия в случае повышения требований к RTO и RPO. 

Оцените материал:
Total votes: 361
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.