Разработка и реализация процесса управления инцидентами иб в соответствии с лучшими практиками обеспечивает следующее
Download 1.2 Mb.
|
текст лекции
|
Рис. 3.3. Взаимосвязь понятий, описывающих восстановление деятельности
Также используется параметр «уровень непрерывности бизнеса» LBC (англ, level of business continuity), который описывает, какую долю штатной нагрузки должен обеспечивать бизнес-процесс в случае ЧС. Возможны случаи, когда в кризисной ситуации будет достаточно восстановить только 50 % производительности в штатном режиме. Взаимосвязь упомянутых выше понятий, описывающих восстановление бизнеса организации, представлена рис. 3.4. Штатный А ПРОИЗВОДИТЕЛЬНОСТЬ уровень" : производительности ВРЕМЯ Время восстановления штатного уровня производительно сти RTO Минимальный уровень производительности* Максимальный срок возобновления минимального уровня производительности/ Целевое время восстановления Максимально допустимая TPDmax продолжительность нарушения нормального хода деятельности Рис. 3.4. Взаимосвязь понятий, описывающих восстановление деятельности Идентификация и оценка осознанных угроз, которые могут нарушить производство и поставку ключевой продукции и услуг организации, поддерживающие их КВД, активы и ресурсы. В зависимости от целей УНБ проводится анализ рисков с точки зрения непрерывности КВД организации и риска их нарушения. Организация оценивает потенциальные угрозы для всех ресурсов, уязвимость каждого вида ресурса и потенциальное воздействие при превращении угрозы в инцидент, который может вызвать нарушение ее деятельности. Конкретные угрозы описываются как опасные события или действия, которые могут в какой-то момент оказать негативное воздействие на ресурсы, например, такие угрозы, как пожар, наводнение, нарушение энергоснабжения, потеря персонала, невыход персонала на работу, компьютерные вирусы или отказ компьютерных аппаратных средств. Уязвимости такие, как неустойчивость работы одного элемента системы, отдельные несоответствия в противопожарной защите, неустойчивость к скачкам напряжения электросети, неукомплектованность персоналом, незащищенность или неустойчивость отдельных частей ИТ и т. д., используются угрозами. Воздействие на бизнес является следствием воздействия угроз на уязвимости. Оценка воздействий и долговременных последствий отказов, отсутствия активов и ресурсов при выполнении вышеуказанных видов деятельности. Организация осуществляет анализ воздействия на бизнес - точно определенный, документированный и применимый способ определения воздействия любого нарушения функционирования видов деятельности, которые поддерживают ключевую продукцию и услуги организации. При этом для каждого вида критической деятельности в рамках области действия программы УНБ организация выполняет определенные мероприятия: Оценивает воздействие нарушений деятельности, которые могут произойти по прошествии длительного времени. Устанавливает максимально приемлемый период нарушения каждого вида деятельности путем идентификации: максимального периода времени после начала нарушения, в пределах которого деятельность должна быть возобновлена; минимального уровня выполнения этой деятельности после ее возобновления, периода времени, в пределах которого должен быть возобновлен нормальный уровень осуществления деятельности. При этом надо помнить, что при нарушении деятельности воздействие, как правило, возрастает со временем и по-разному влияет на каждый вид деятельности, а воздействие нарушений функционирования может также изменяться в зависимости от дня, месяца или этапа жизненного цикла бизнеса. Идентифицирует любые взаимозависимые виды деятельности, активы, инфраструктуру или ресурсы, которые следует непрерывно поддерживать в рабочем состоянии и/или восстанавливать в установленные сроки. При оценке воздействий рассматриваются вопросы, касающиеся целей и задач бизнеса организации и ее причастных сторон и включающие оценку: воздействий на благосостояние персонала или общества; воздействий повреждений или потерь на производственные площади, технологии или информацию организации; воздействий нарушения законодательных и обязательных требований; потери репутации; снижения финансовой устойчивости; ухудшения качества продукции или услуги; ущерба окружающей среде. Организация документирует метод оценки воздействия нарушений деятельности организации, полученные выходные данные и результаты их анализа. По окончании анализа воздействия на бизнес и оценки рисков для каждого из КВД организация идентифицирует соответствующие меры по снижению потерь и обработке рисков: чтобы уменьшить вероятность нарушений деятельности; сократить период нарушений деятельности; ограничить воздействие нарушений на ключевые виды продукции и услуги организации. Организация выбирает и внедряет соответствующие меры по обработке риска для каждого КВД в соответствии с установленным уровнем приемлемого риска. Стратегии снижения потерь, называемые моделью 4Т («Treat» - обработка; «Tolerate» - допустимость, принятие риска; «Transfer» - передача риска; «Terminate» - изменение, приостановка или прекращение производства) могут быть использованы в любых комбинациях в сочетании с другими вариантами, когда не все риски могут быть предотвращены или уменьшены до приемлемого уровня. Если организация решила применить для ключевой продукции или услуги стратегию УНБ, то устанавливается целевой срок восстановления и в соответствии с этим показателем проводится оценка стратегии УНБ. При некоторых обстоятельствах допустимо изменение, приостановка или прекращение производства продукции, оказания услуги, деятельности функционального подразделения или процесса. Этот вариант рассматривается только тогда, когда он не противоречит установленным целям организации, законодательным требованиям, договорным обязательствам и ожиданиям причастных сторон. Он в основном применим при ограниченном сроке жизни услуги, продукции, деятельности, функционального подразделения или процесса. Высшее руководство утверждает перечень ключевой продукции и услуг, анализ воздействия на бизнес и результаты оценки рисков, что свидетельствует о должном проведении данных работ и соответствии полученных результатов потребностям организации. Все это на следующем этапе позволяет выбрать конкретную стратегию ОНБ, наилучшим образом соответствующую политике УНБ. 3.3.3. Определение стратегии УНБ По результатам проведенного на предыдущем этапе анализа организация выбирает подходящую для нее стратегию УНБ, соответствующую установленным целям и ресурсам, необходимым для восстановления каждого из КВД. Стратегия УНБ направлена на повышение устойчивости организации к нарушениям и разрушениям, что достигается путем обеспечения непрерывности КВД и/или их восстановления на приемлемом минимальном уровне и в сроки, установленные в результате анализа воздействий на бизнес. Следовательно, стратегия УНБ решает целый ряд задач [27]: обеспечение безопасности сотрудников; обеспечение персонала рабочими помещениями; обеспечение техническими средствами; обеспечение доступа к необходимой информации; обеспечение необходимыми материалами; обеспечение взаимодействия с партнерами, подрядчиками, поставщиками, клиентами и другими заинтересованными сторонами. Для решения каждой из этих задач вырабатывается собственная стратегия, нацеленная на достижение параметров восстановления, определенных на предыдущем этапе. При этом учитывается необходимость [9—13]: разработки мер уменьшения вероятности появления инцидентов и/или снижения их возможных последствий; разработки мер по ослаблению последствий инцидентов и восстановлению деятельности организации после них, а также мер по обеспечению устойчивости работы организации; обеспечения непрерывности КВД, для которых принято решение о внедрении системы ОНБ, во время инцидента и после него; учета видов деятельности, которые не были идентифицированы как критические. А также следующие факторы: максимально приемлемый период нарушения КВД; затраты на внедрение стратегии УНБ; последствия бездействия. В каждом конкретном случае организация минимизирует вероятность невыполнения решения по ОНБ из-за воздействия инцидента, вызвавшего нарушение ее деятельности. Высшее руководство утверждает выбранные документированные стратегии УНБ для подтверждения того, что они выбраны должным образом, учитывают вероятные характеристики причин и последствий нарушений и соответствуют поставленным целям организации в пределах допустимого совокупного риска организации. При определении, внедрении или проверке стратегии УНБ организация на начальной стадии налаживает контакт с территориальными гос- органами экстренного реагирования (в РФ - МЧС), ответственными за работу по прогнозированию, оценке, предупреждению, подготовке мероприятий и действий по восстановлению при возникновении гражданских чрезвычайных ситуаций (ГЧС). ГЧС могут привести к смертельным случаям среди людей и/или причинению им физических повреждений (травм), оказать серьезное и долгосрочное воздействие на психологическое, социальное и экономическое благосостояние людей и общества и быстро привести к существенному нарушению в работе общественного транспорта, основных коммуникаций, критических видов инфраструктуры, перебоям в поставках товаров, работ, услуг и истощению запасов. При возникновении ГЧС организации руководствуются требованиями нормативно-правовых актов РФ, в том числе утвержденными Министерством по чрезвычайным ситуациям (МЧС) РФ, и соответствующими официальными планами мероприятий для таких случаев. В свою очередь основные госорганы экстренного реагирования обеспечивают официальное оповещение о ГЧС, в том числе оповещение о начале и окончании инцидента (например, оценке риска), предупреждение об опасности, обмен информацией и консультации и совместные меры по восстановлению после ГЧС. Для реализации стратегии УНБ требуются следующие ранее перечисленные ресурсы организации: персонал, производственные площади, технологии, информация, запасы и причастные стороны [9, 11]. Download 1.2 Mb. Do'stlaringiz bilan baham: 
|