План обеспечения непрерывности бизнеса это

План обеспечения непрерывности бизнеса является ключевым шагом для обеспечения того, как предприятия могли свести к минимуму потери, связанные с утечкой данных, кибератакой или другими бедствиями.

В этой статье рассматривается, почему так важно планирование обеспечения непрерывности бизнеса, как разработать BCP, а также как улучшить и пересмотреть свой план.

Что такое план обеспечения непрерывности бизнеса

План обеспечения непрерывности бизнеса (BCP) описывает процесс предотвращения и устранения ряда потенциальных угроз в случае непредвиденного инцидента, такого как кибератака, кража личных данных или утечка данных. Это позволяет быстро реагировать и сводит к минимуму воздействие и время восстановления.

Чтобы быть эффективным, BCP должен быть чрезвычайно подробным с краткосрочным и долгосрочным планированием, охватывающим все области бизнеса, которые могут быть затронуты. Это должно включать активы, персонал, бизнес-процессы и партнёров/клиентов.

Поскольку основное внимание при планировании аварийного восстановления уделяется восстановлению ИТ, его следует включить в BCP и предоставить чёткую «дорожную карту» для поддержания операций в различных сценариях.

1 2 Что такое непрерывность бизнеса

Почему важно планирование непрерывности бизнеса

Наличие плана означает, что вы можете реагировать быстро и решительно, сводя к минимуму сбои, что является ключом к сохранению доверия клиентов перед лицом кризиса. По этой причине планирование непрерывности бизнеса жизненно важно для предприятий любого размера.

Сбои любого рода, от сбоев программного обеспечения до пожаров, серьёзно повлияют на производительность и увеличат затраты. Если передовой опыт не соблюдается всеми сотрудниками, угрозы кибербезопасности со стороны Интернета вещей, спуфинга и ненадёжных паролей также могут привести к серьёзным сбоям в работе.

В то время как финансовые потери для крупных предприятий будут выше, последствия для компаний с меньшей маржей могут быть катастрофическими, поскольку совокупная стоимость штрафов или пеней, расходов на восстановление и потери бизнеса могут быстро возрасти.

В всех случаях необходимо избегать потери доверия клиентов – убытки, которые не могут быть покрыты страховкой.

Хотя план обеспечения непрерывности бизнеса не может предвидеть события, целостный подход может обеспечить наличие чётких указаний по обеспечению непрерывности работы, защите конфиденциальных данных и удержанию клиентов во время кризиса любого типа.

Как разработать план обеспечения непрерывности бизнеса

Прежде чем составить план обеспечения непрерывности бизнеса, важно оценить свой бизнес и его процессы. С точки зрения безопасности выявление уязвимостей поможет сделать существующие меры безопасности более надёжными, а также определить наиболее вероятные угрозы. Точно так же время, потраченное на обзор существующих процессов, может помочь выявить новые возможности повышения эффективности.

Внедрение процесса OPSEC (операционная безопасность) на этом этапе может помочь выявить слабые места в безопасности данных и сообщить о создании вашего BCP.

Обеcпечение непрерывности бизнеса. Часть 1

Что должно быть включено в план обеспечения непрерывности бизнеса?

Несмотря на то, что в разных организациях требования различаются, ключевыми компонентами эффективного плана обеспечения непрерывности бизнеса являются следующие:

Создайте команду планирования

Определите риски

Снижение рисков

• Проверка пожарной безопасности
• Внедрение пересмотренных процессов резервного копирования ИТ и облачной безопасности
• Повышение квалификации персонала
• Подготовка поставщиков на случай непредвиденных обстоятельств
• Обновление политики и инструментов кибербезопасности

Создайте стратегии непрерывности

• Существуют ли чёткие инструкции по доступу к резервным копиям данных?
• Актуальна ли контактная информация ключевого персонала и поставщиков?
• Какие задачи можно передать на аутсорсинг?
• Существует ли эффективная политика WFH?
• Используются ли ручные процессы, если доступ в Интернет закрыт?

Внедряйте и обучайте

Пример BCP

Хотя уровень детализации зависит от размера компании и задействованных отделов, в следующем примере показаны шаги, которые необходимо предпринять в случае утечки данных:

• Подтвердите характер атаки
• Немедленно сообщите всему персоналу
• Определите, что было скомпрометировано
• Срочно предотвратите дальнейшее повреждение
• Измените затронутые пароли и удалите права доступа
• Восстановление данных из резервных копий
• Вызов внешней поддержки
• Определите, как произошло нарушение
• Уведомление партнёров и клиентов по мере необходимости
• Определить последствия и стоимость нарушения
• Оценить и усилить безопасность по мере необходимости
• Просмотреть результат и скорректировать BCP
• Обеспечить обновленное обучение персонала

Все эти шаги должны иметь конкретные указания в BCP.

Как протестировать план обеспечения непрерывности бизнеса

Не ждите, пока разразится стихийное бедствие, чтобы узнать, адекватен ли ваш BCP. Лучший способ узнать, будет ли он эффективным, – регулярно проводить тщательное тестирование. Цели должны быть измерены и сравнены с предыдущими тестами, чтобы выявить и устранить слабые места.

Частота тестирования варьируется, но многие компании проверяют свои планы обеспечения непрерывности бизнеса до четырёх раз в год. Из-за широкого и подробного характера BCP существует несколько способов тестирования. Самый простой метод тестирования заключается в том, что группа планирования анализирует существующий план, выявляя слабые места и области, которые требуют обновлений в связи с изменениями в компании (контактные данные, поставщики и т.д.).

В рамках этого лицо, ответственное за определенный аспект, например за кибербезопасность, может представить элементы своего плана команде для критической проверки перед повторной оценкой, используя выбор наиболее подходящих сценариев стихийного бедствия.

Имитационные тесты также следует проводить ежегодно, чтобы определить, насколько хорошо планы работают в реальном сценарии. Это может включать учения по эвакуации, чтобы укрепить уверенность в непрерывности процессов. В моделировании должны участвовать сотрудники, не входящие в группу планирования, чтобы по-новому взглянуть на области, требующие большей ясности, или другие аспекты, которые в противном случае могли бы остаться незамеченными.

Улучшение и пересмотр плана обеспечения непрерывности бизнеса

В дополнение к изменениям, внесенным в процессе тестирования, обратная связь от каждого отдела поможет улучшить ваш общий план, предоставив специализированный взгляд на политики и процессы. В зависимости от структуры компании этот этап может проводиться после периодического тестирования или в процессе проверки.

Чтобы план обеспечения непрерывности бизнеса был эффективным в долгосрочной перспективе, его необходимо поддерживать. Если это станет ежеквартальной задачей для руководителей отделов, она не будет принята должным образом и может не обеспечить непрерывность обслуживания в случае возникновения кризиса.

Вместо этого все сотрудники должны быть обучены пониманию своей роли и важности быстрого реагирования для ограничения воздействия. Благодаря знакомству с аварийными процессами персонал будет чувствовать себя в большей безопасности и сможет позитивно и активно реагировать на любую ситуацию.

Источник: business-and-banks.ru

План обеспечения непрерывности бизнеса: что это такое и как его составить

Планы обеспечения непрерывности бизнеса важны для любой организации и могут помочь подготовить компанию к непредвиденным событиям. Имея план обеспечения непрерывности бизнеса, вы гарантируете, что люди, управляющие вашей компанией, будут хорошо подготовлены в случае аварии.

В этой статье мы обсудим, что такое план обеспечения непрерывности бизнеса, почему он важен и как вы можете создать план обеспечения непрерывности бизнеса для своей компании уже сегодня.

Что такое план обеспечения непрерывности бизнеса?

План обеспечения непрерывности бизнеса — это документ, в котором излагается важная информация о компании, необходимая в случае чрезвычайной ситуации или неожиданного события. Этот план может включать в себя советы и методы восстановления и предотвращения, используемые для защиты компании от угроз, а также для руководства сотрудниками и другим персоналом в случае стихийного бедствия. Большинство предприятий готовят план обеспечения непрерывности бизнеса вскоре после создания компании или позже, чтобы он был готов и доступен в случае возникновения чрезвычайной ситуации.

Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)

Чтобы создать план обеспечения непрерывности бизнеса, компания должна сначала определить потенциальные угрозы и чрезвычайные ситуации, с которыми она может столкнуться в течение своей жизни. Общие риски, которые может выявить компания, включают кибератаки и стихийные бедствия (наводнения, ураганы и т. д.). Основная цель состоит в том, чтобы определить, какие события могут повлиять на способность компании работать. После выявления этих рисков план обеспечения непрерывности бизнеса может включать следующее:

• Как конкретные угрозы повлияют на способность компании работать
• Ущерб, ожидаемый в случае наступления определенного события
• Создание и внедрение процедур, которые помогут снизить риски, связанные с угрозой
• Регулярное тестирование этих процедур, чтобы убедиться, что они эффективны
• Ежегодно (или чаще) пересматривайте план обеспечения непрерывности бизнеса, чтобы убедиться, что он актуален и эффективен.

Создание плана обеспечения непрерывности бизнеса может помочь компании продолжить работу в условиях стихийного бедствия. Без этого плана компания может потерять доход, увеличить расходы и в целом снизить прибыльность.

Почему важен план обеспечения непрерывности бизнеса?

Наличие актуального плана обеспечения непрерывности бизнеса может быть полезным по ряду причин. Эти планы важны, потому что они предоставляют компании действенные шаги, которые можно предпринять в случае чрезвычайной ситуации. Это может гарантировать, что персонал подготовлен и знает, что делать, чтобы компания продолжала работать, несмотря на неблагоприятные условия.

Кроме того, план обеспечения непрерывности бизнеса важен, поскольку он:

• Гарантирует, что все находятся на той же странице в случае чрезвычайной ситуации
• Готовит сотрудников к действиям в случае стихийных бедствий
• Обучает персонал действиям в определенных чрезвычайных ситуациях.
• Помогает компании лучше понять свой страховой полис и подготовиться к тому, что не покрывается полисом
• Может предотвратить избыточное время простоя в случае возникновения аварии
• Позволяет компаниям узнавать о потенциальных угрозах или слабостях внутри организации
• Может позволить предприятиям продолжать обслуживать клиентов, несмотря на чрезвычайную ситуацию

Чем более подробным будет план обеспечения непрерывности бизнеса, тем более подготовленной будет компания, если она когда-либо столкнется с чрезвычайной ситуацией или событием.

Как составить план обеспечения непрерывности бизнеса

Создание плана обеспечения непрерывности бизнеса часто состоит из нескольких шагов, которые компания должна выполнить, чтобы эффективно спланировать аварийную ситуацию. Ниже приведены наиболее часто используемые шаги при разработке плана обеспечения непрерывности бизнеса:

1. Подготовьте анализ влияния на бизнес

Первым шагом в создании плана обеспечения непрерывности бизнеса является формулировка анализа влияния на бизнес. В этом анализе рассматривается, какие функции бизнеса будут затронуты различными бедствиями, а также влияние этих воздействий на организацию.

Анализ воздействия на бизнес должен включать в себя операционные и финансовые последствия, которые потеря бизнеса окажет на компанию, а также когда эта потеря окажет наиболее сильное влияние на компанию. Анализ воздействия на бизнес позволяет организациям определить, какие бизнес-процессы окажут наибольшее влияние на операционные и финансовые функции компании.

2. Определите стратегии восстановления

Как только будет определено влияние, которое потеря бизнеса окажет на компанию, следующим шагом в создании плана обеспечения непрерывности бизнеса будет определение стратегий восстановления, которые можно использовать для восстановления наиболее важных функций бизнеса.

Например, в этом разделе могут быть даны ответы на такие вопросы, как, какие другие средства связи доступны в случае выхода из строя телефонных или компьютерных линий, какие продукты или услуги являются наиболее важными и должны быть восстановлены в первую очередь, и какие проблемы следует решить в течение первых 24 дней. 48 часов после непредвиденного события.

3. Разработайте план и организуйте команды

Многие компании сформируют команду, которая поможет разработать план обеспечения непрерывности бизнеса и его конкретную структуру. Эта группа, как правило, состоит из лиц, которые будут нести ответственность за выполнение плана обеспечения непрерывности бизнеса в случае аварии.

4. Протестируйте команду по обеспечению непрерывности бизнеса и составьте план

Чтобы убедиться, что план эффективен и ясен, а команда способна ему следовать, необходимо провести тесты. Тестирование можно проводить, моделируя различные сценарии риска и заставляя команду исполнять назначенную им роль в каждом сценарии. Команды также должны регулярно проходить обучение и быть в курсе любых изменений в плане или достижениях в области технологий, которые могут помочь во время чрезвычайной ситуации.

Как проанализировать влияние на непрерывность бизнеса

Для многих компаний первым шагом в создании плана обеспечения непрерывности бизнеса является анализ влияния конкретной ситуации на деятельность компании. Чаще всего это называют анализом влияния на бизнес. Ниже приведены шаги, которые вы можете предпринять, чтобы выполнить анализ влияния на бизнес вашей компании:

1. Определить влияние

Анализ воздействия на бизнес должен определить ожидаемое влияние, которое может оказать определенная ситуация на вашу компанию. Например, вы можете рассматривать потерю продаж, задержку доходов, нормативные штрафы, увеличение расходов и неудовлетворенность клиентов как часть воздействия, которое неожиданное событие может оказать на вашу организацию. Вы должны учитывать влияние различных сценариев риска, чтобы ваш список последствий был исчерпывающим.

2. Определите продолжительность и время неожиданного события

Определение того, когда определенный риск окажет наибольшее влияние на вашу компанию, также является важным шагом в анализе влияния на бизнес. Например, если вы столкнулись с отключением электроэнергии посреди ночи, вы можете не потерять много, если вообще бизнес.

Однако, если вы потеряли электроэнергию во время работы или на несколько дней подряд, вы, скорее всего, понесете значительные потери в бизнесе. Кроме того, если вы являетесь розничным магазином, и ваше место затоплено и не работает в течение нескольких недель, предшествующих Рождеству, вы можете потерять гораздо больше клиентов, чем если бы тот же сценарий произошел в более медленный период.

3. Используйте опрос

В дополнение к вышеупомянутым шагам вам также следует рассмотреть возможность опроса персонала в вашей организации, который знаком с ее процессами. Обращение к другим за их мнением о потенциальных последствиях риска может помочь вам охватить все возможные сценарии и лучше подготовиться.

Источник: buom.ru

Обеспечение непрерывной работы компании

Любой, пусть даже небольшой перерыв в деятельности компании, как правило, оборачивается для нее потерей доходов, клиентов, наносит ущерб деловой репутации. Поэтому обеспечение непрерывной работы компании является важной задачей современного руководителя. О том, какие действия следует предпринять для решения этой задачи, читайте в данной статье.

Любой, пусть даже небольшой перерыв в деятельности компании, как правило, оборачивается для нее потерей доходов, клиентов, наносит ущерб деловой репутации. Поэтому обеспечение непрерывной работы компании является важной задачей современного руководителя. О том, какие действия следует предпринять для решения этой задачи, читайте в данной статье. Принципы обеспечения непрерывности бизнеса

1. Разработка сценариев действий в случае наступления неблагоприятного события.
2. Составление плана мероприятий по обеспечению непрерывности бизнеса.

Рассмотрим эти этапы более подробно.

Анализ бизнес-процессов и аудит рисков

В ходе анализа бизнес-процессов должны быть выявлены так называемые узкие места, то есть наиболее проблемные участки, от которых зависит выполнение всего бизнес-процесса. Например, при анализе процесса закупки сырья и материалов для промышленного предприятия может выясниться, что наибольшую угрозу бизнесу представляет зависимость не от поставщиков, а от работы железной дороги, по которой осуществляется большинство поставок.

При анализе процесса поставки сырья и материалов риск-менеджер выявил риски, которые представлены в таблице.

Анализируя узкие места бизнес-процессов, риск-менеджер должен не только выявить возможные риски, но и определить вероятность наступления рискового события и объем возможных потерь. Сделать это можно как на основе анализа истории кризисных событий компании, так и путем экспертной оценки.

Результатом анализа бизнес-процессов и аудита рисков должна стать карта рисков, в которой содержится информация о вероятности наступления рискового события и размере потерь.

Для процесса «Поступление денежных средств» на основе статистики за предыдущие периоды были определены следующие риски:

1. Перебои с электроэнергией.
2. Сбои в работе оборудования.
3. Сбои в работе программного обеспечения.
4. Сбои в работе сетевого оборудования.
5. Недостаточная квалификация персонала.
6. Ошибки в вычислениях.

На основе результатов анализа и аудита данных рисков была составлена карта рисков (см. рисунок).

Каждая компания самостоятельно определяет границу зон исходя из стратегии, которую она реализует.

Пример предоставлен старшим консультантом отдела моделирования и совершенствования бизнес-процессов компании «Логика Бизнеса» Ильей Машковым.

Анализ бизнес-процессов и аудит рисков позволяют руководству компании хорошо ориентироваться в условиях кризисной ситуации. Обладая детальным описанием бизнес-процессов, менеджер, управляющий кризисной ситуацией, способен быстро изменить порядок выполнения того или иного процесса путем перераспределения функций вышедшего из строя блока (подразделения, сотрудника, оборудования) между остальными или задействовать альтернативные ресурсы компании.

Разработка сценариев действий

Для наиболее серьезных рисков, требующих оперативных решений по их предотвращению, разрабатываются сценарии действий и назначаются ответственные за их выполнение. В сценарии описывается, что и в какой последовательности должен делать персонал в случае наступления неблагоприятного события.

Сценарии действий могут содержать как непосредственное решение проблемы, так и методы ликвидации неблагоприятных последствий кризиса.

Например, в пятницу, 14 февраля 2003 года, в результате пожара на одной из московских АТС Альфа-Банк лишился около 800 городских номеров. С двадцатью московскими отделениями банка, а также с его клиентами и контрагентами была полностью или частично нарушена связь, под угрозой оказалось осуществление трейдинга и брокерских операций.

В данной ситуации Альфа-Банк не мог самостоятельно решить проблему. Поэтому был разработан сценарий ликвидации последствий аварии, который подразумевал следующие действия: переговоры с альтернативными провайдерами о предоставлении новых телефонных номеров, прокладку кабеля и настройку АТС на новые номера, доставку и установку IP-телефонии в пострадавшие отделения банка. В результате за выходные дни телефонная связь банка была восстановлена практически полностью.

Следует заметить, что разработанные сценарии необходимо тестировать — иногда то, что на бумаге выглядит логично, на практике может оказаться невыполнимым.

Составление плана мероприятий по обеспечению непрерывности бизнеса

Итогом создания системы управления рисками является план мероприятий по обеспечению непрерывности бизнеса. Он должен содержать следующие основные положения:

• перечень возможных проблем, которые необходимо отразить на карте рисков предприятия;
• способы страхования наиболее крупных рисков (привлечение страховых компаний, установка дублирующих информационных систем, альтернативных каналов связи и т. д.);
• сценарии действий в условиях кризисных ситуаций;
• список сотрудников, ответственных за выполнение сценариев.

Денис Камышев, риск-менеджер компании «РУСАЛ УК» (Москва)

План обеспечения непрерывности бизнеса (contingency plan) условно может быть разделен на две части. В первой содержится информация о вероятных рисках, с которыми компания может столкнуться в ходе своей деятельности (источником информации здесь может служить карта рисков компании), а во второй (основной) — различные варианты преодоления последствий тех или иных кризисных ситуаций (сценарии). Важно отметить необходимость регулярного обновления такого плана (планов) в соответствии с меняющейся внешней средой, изменением внутренних процедур работы компании, влияющих на механизмы взаимодействия в кризисной ситуации, а также появлением новых рисков, для которых необходимо разработать контрмеры по их устранению (или смягчению). По сути, план обеспечения непрерывности бизнеса является вершиной системы управления рисками и затрагивает интересы всех областей деятельности компании.

Игорь Беликов, директор Российского института директоров (Москва)

На мой взгляд, план обеспечения непрерывности бизнеса должен содержать следующие положения.

1. Описание системы подчиненности, которая будет действовать в кризисных ситуациях и может отличаться от той, которая используется в нормальных условиях.
2. Перечень рисков, с которыми сталкивается или может столкнуться компания, их приоритетность и регулярный анализ того, какие изменения в этом перечне и весе различных рисков произошли за период, прошедший с момента последней оценки.
3. Допустимые лимиты по каждому виду рисков (соответственно до определенного лимита предприятие берет риск на себя, а свыше — страхуется от риска или уклоняется от него).
4. Описание системы реагирования в ситуациях, когда потенциальные риски превратились в реальные.

Для того чтобы план по обеспечению бизнеса не превратился в некий абстрактный документ, карту рисков нужно периодически пересматривать. С течением времени появляются новые риски, а вероятность наступления уже существовавших меняется.

План как способ преодоления кризиса

Эффективная система обеспечения непрерывности бизнеса позволяет преодолеть самые экстремальные ситуации. Например, в здании одного из крупнейших английских банков — National Westminster Bank, где работали десятки тысяч человек, произошел взрыв. Однако в компании был заранее составлен полномасштабный план обеспечения непрерывности бизнеса: все бизнес-процессы были подробно описаны, назначены ответственные лица, продуманы альтернативные варианты размещения персонала, созданы резервные информационные системы. Это позволило банку продолжить работу уже через две недели, разместив сотрудников в новых офисах.

Как правило, подобного рода кризисные ситуации случаются довольно редко. Однако в современных условиях непредсказуемость становится неотъемлемой частью ведения бизнеса, поэтому даже без таких масштабных потрясений бизнес компании может оказаться под угрозой, если действия в критической ситуации не будут продуманы заранее.

Источник: delovoymir.biz