Чек-лист плана бизнес-непрерывности

Учебники

A disruption or a disaster can happen when you least expect it. In fact, 80% of data center managers have experienced an outage in the past three years. Whether it is a cyber attack, ransomware infection, human error or natural disaster, lengthy downtime can have a detrimental impact on your organization’s operations.

Имея надежный план обеспечения непрерывности бизнеса (БНБ) в качестве части стратегии управления рисками, вы можете поддерживать или быстро восстанавливать критически важные функции в случае сбоя. БНБ также защищает инфраструктуру компании и служит планом действий, которому вы можете следовать, чтобы правильно реагировать на инцидент.

В этом посте перечислены основные элементы контрольного списка плана обеспечения непрерывности бизнеса. Читайте дальше, чтобы узнать о наилучшем плане действий, который вам следует предпринять, чтобы успешно возобновить операции с минимальными последствиями.

Зачем вам нужен план обеспечения непрерывности бизнеса

A business continuity plan (BCP) determines how an organization can continue delivering products and services during unplanned disruptions. The BCP is a detailed strategy that helps mitigate the impact of a disaster on day-to-day activities while keeping the production environment going.

A comprehensive BCP should tackle all potential threats that could endanger your employees, resources and operations, whether it is a power outage, a malware infection or a natural disaster. This is particularly important since all these events can cause downtime, which, in turn, results in financial loss, reputational damage or permanent closure.

Основная цель плана обеспечения непрерывности бизнеса — обеспечить готовность к чрезвычайным ситуациям, позволяя вашей группе реагирования методично выполнять необходимые шаги до, во время и после чрезвычайной ситуации. Компании, не имеющие этого контрольного списка, могут столкнуться с трудностями в поддержании нормальных бизнес-процессов и рискуют безвозвратно потерять данные, системы или клиентов.

7-шаговый план обеспечения непрерывности бизнеса

7-шаговый контрольный список поможет вам сформулировать общую основу приоритетов, на которых вы сможете создать план обеспечения непрерывности бизнеса, адаптированный к вашей организации. Вы можете включить все процедуры, необходимые для поддержания бизнес-операций во время кризиса. Имейте в виду, что точные детали могут отличаться от компании к компании в зависимости от таких аспектов, как размер бизнеса, отрасль и тип угроз.

Стандартный план обеспечения непрерывности бизнеса обычно включает следующие шаги:

  1. Создайте группу реагирования на чрезвычайные ситуации
  2. Определите основные бизнес-услуги
  3. Проведение оценки рисков и анализ влияния на бизнес
  4. Разработка плана восстановления
  5. Установка целей восстановления и назначение места восстановления
  6. Обеспечение защиты всех бизнес-критических рабочих нагрузок
  7. Тестирование и обновление вашего плана бизнес-продолжения

Давайте ближе рассмотрим каждый из этих шагов, чтобы понять, почему они являются важными элементами любого чеклиста BCP.

1. Создание команды реагирования на чрезвычайные ситуации

Первый шаг в разработке плана бизнес-продолжения – сбор команды, ответственной за сохранение работоспособности компании в случае чрезвычайной ситуации. В команду BCP должны входить представители каждого отдела, занятого повседневной деятельностью, и должен быть назначен менеджер, ответственный за руководство усилиями по планированию бизнес-продолжения.

При идентификации ключевого персонала BCP необходимо составить обширный список бедствий, которые представляют наибольшую угрозу вашей организации, чтобы вы могли найти подходящих людей. Различные типы чрезвычайных ситуаций, такие как отказ информационной системы, отключение электроэнергии или повреждение зданий, требуют наличия сотрудников с определенными знаниями и опытом, чтобы обрабатывать их правильно и быстро.

Создайте таблицу для записи необходимой информации о членах команды реагирования, чтобы вы могли легко связаться с ними при необходимости. Ваша таблица может включать имя, должность, роль в команде реагирования и контактную информацию. Учтите, что вы должны назначить по крайней мере одного альтернативного кандидата на каждую роль в команде. Это позволит вам избежать узких мест в случае невыполнения основными делегатами своих обязанностей.

2. Определите ключевые бизнес-сервисы

Одной из основных целей плана обеспечения бизнес-продолжительности является помощь в определении процессов, оборудования и ресурсов, которые критичны для функционирования вашей организации. Это важные функции инфраструктуры и услуги, вокруг которых вы должны строить свой ПОБ.

Эти ключевые сервисы и элементы инфраструктуры, скорее всего, включают в себя:

  • Электросистемы и генераторы
  • Телекоммуникационные устройства – WAN, LAN, телефоны, компьютеры
  • ИТ-системы и серверы
  • Инфраструктура и помещения здания
  • Специализированное оборудование или критически важные поставки

Крайне важно восстановить эти элементы как можно скорее в случае нарушения, чтобы возобновить свою деятельность и защитить свои активы.

3. Проведите оценку рисков и анализ влияния на бизнес

После определения ключевых бизнес-услуг вы должны провести оценку воздействия риска, чтобы выявить уязвимости, связанные с основными системами, деятельностью и ресурсами. Оценка риска оценивает вероятность каждой угрозы и отражает вероятность возникновения бедствия.

Анализ воздействия на бизнес (BIA), обычно проводимый параллельно с оценкой риска, позволяет оценить критичность и серьезность воздействия на бизнес-операции. Основная цель BIA – проанализировать финансовые и операционные затраты, которые вы понесете в случае реализации риска. Это помогает определить уровень толерантности важных процессов и зависимостей, таких как клиенты и партнеры, если ключевые бизнес-функции ухудшаются, нарушаются или полностью останавливаются.

Вот упрощенная таблица, которую вы можете использовать в качестве шаблона для начала создания собственного анализа:

Бизнес-процесс Категория воздействия Тяжесть Максимальное допустимое время простоя (МДВ) Ожидаемые затраты Зависимости

Обратите внимание, что организации с несколькими сайтами должны проводить отдельную оценку рисков и BIA для каждого местоположения. Если эти сайты находятся на географическом расстоянии, то вызовы и риски могут различаться. Надежный план обеспечения бизнеса также учитывает отношения и зависимости между различными местоположениями.

4. Разработать план восстановления

После завершения предыдущих этапов наступает время создать план восстановления, который сводится к восстановлению ваших операций после катастрофы. Непрерывность бизнеса и восстановление после катастрофы тесно связаны, особенно учитывая, что план восстановления после катастрофы (DR) является неотъемлемой частью плана непрерывности бизнеса. Для получения более подробных шаблонов восстановления после катастрофы загрузите наш бесплатный белый доклад Руководство и шаблоны восстановления после катастрофы.

План восстановления после катастрофы определяет технические шаги, которые вам нужно выполнить, чтобы как можно скорее восстановить свои основные услуги. Имейте в виду, что план восстановления не ограничивается данными, поскольку он также должен включать машины, нагрузки и процессы.

Ваш план восстановления может использовать следующие стратегии, среди прочих:

  • Альтернативные бизнес-процессы – например, ручные обходные пути для механизированных или автоматизированных процессов, пока системы не будут снова запущены
  • A secondary or alternate site to resume business operations
  • Переключение сети и серверов на уровне сайта
  • Восстановление резервных копий бизнес-критических данных на удаленных сайтах
  • “Горячие” или резервные ресурсы, которые могут быть введены в эксплуатацию немедленно при отказе основных компонентов

Ниже приведено видео, объясняющее, как выполнить полное восстановление после катастрофы с использованием резервного копирования и репликации NAKIVO.

5. Установите цели восстановления и назначьте сайт восстановления (DR).

Целевое время восстановления (RTO) определяет, сколько времени простоя ИТ-системы бизнес может разумно допустить, прежде чем процессы или услуги будут восстановлены. Целевая точка восстановления (RPO) определяет, какую потерю данных бизнес может допустить. RTO и RPO являются важными показателями любого плана обеспечения непрерывности бизнеса.

Назначение площадки аварийного восстановления (DR) для сетевого/данных отказоустойчивого переключения является решающим, поскольку оно обеспечивает немедленную замену в случае выхода из строя вашей основной рабочей площадки. Кроме того, это помогает вам гарантировать достижение ваших целей восстановления.

Устройство аварийного восстановления, расположенное в другом географическом местоположении, действует как «резервная копия» ваших ресурсов, таких как виртуальные машины (ВМ). В случае отказа на уровне сайта, который приводит к сбою вашей рабочей сети, трафик может быть переключен на аварийное восстановление. «Резервные» ВМ по сути становятся рабочими нагрузками, эффективно восстанавливая бизнес-операции и обеспечивая непрерывность бизнеса.

Вы можете использовать передовые сторонние решения для защиты данных для репликации производственных ВМ на аварийную площадку за пределами площадки и установить интервал репликации в соответствии с вашим RPO. Реплицированная ВМ является точной копией исходной машины и может использоваться в автоматизированном процессе переключения при отказе при реализации плана аварийного восстановления.

6. Убедитесь, что все критически важные для бизнеса рабочие нагрузки защищены

Воздействие бедствия можно значительно смягчить, правильно защитив свои деловые данные. Сделайте свои резервные копии надежными, применяя правило 3-2-1: иметь не менее 3 резервных копий на 2 различных типах носителей информации, при этом хранить как минимум 1 копию за пределами офиса.

Проведите резервное копирование деловых данных в соответствии с методологией резервного копирования 3-2-1 для достижения минимальных значений RPO и RTO. Это также позволит вам убедиться, что те же бедствия, которые затронули вашу производственную сеть, не смогут повлиять на ваши резервные данные.

7. Проверьте и обновите свой план контингенции бизнеса

После завершения плана контингенции бизнеса требуется тщательное тестирование. Лучший способ сделать это – обучить ваших сотрудников, чтобы убедиться, что они полностью понимают свои роли и обязанности. Нельзя гарантировать готовность к чрезвычайным ситуациям без регулярного обучения и учебных упражнений. Более того, проведя полные симуляции, вы сможете выявить и устранить слабые места в вашем плане.

Убедитесь, что вы выполняете все процедуры для имитации хода реальной ситуации бедствия. Такие тесты лучше проводить ежеквартально, поскольку ключевые члены команды остаются знакомыми с процессом. Более того, изменения в вашей инфраструктуре, окружении, протоколах, рабочих нагрузках и/или рабочей силе могут внести сложности в план. Такие потенциальные затруднения часто обнаруживаются только в ходе полных пробегов.

Следует наблюдать за симуляциями независимому наблюдателю, который может делать заметки о всех уязвимостях. После каждого прохода должны проводиться дебрифинги, после чего вы можете составить отчет, документирующий выявленные слабые места и предложенные обновления. Отчеты, а также обновленный план обеспечения бизнеса, должны быть распространены среди всех членов команды.

Проверочный список плана обеспечения бизнеса

Вот упрощенный проверочный список плана обеспечения бизнеса, который позволяет пройти необходимые фазы для обеспечения готовности к чрезвычайным ситуациям.

Создать команду реагирования на бедствия

  • Назначить старшего менеджера по обеспечению бизнес-процессов
  • Создать комитет по обеспечению бизнеса
  • Выбрать членов команды реагирования
  • Определить роли и обязанности
  • Выбрать вторичных представителей для каждого члена команды
  • Установить четкую коммуникацию между всеми участниками

Определить важные бизнес-сервисы

  • Составить карту всех энергосистем
  • Определить телекоммуникационные устройства
  • Определить ИТ-системы и серверы
  • Определить объекты и специализированное оборудование
  • Определить взаимозависимость между услугами
  • Проверить службы экстренной помощи

Провести оценку рисков и анализ влияния на бизнес

  • Определить угрозы и уязвимости
  • Установить предел риска
  • Определить критические бизнес-процессы
  • Рассчитать максимально допустимое время простоя для каждой службы
  • Анализировать финансовые, юридические, регулирующие и клиентские последствия
  • Определить взаимозависимость между критическими функциями бизнеса

Разработать план восстановления              

  • Создать план непрерывности операций (COOP)
  • Составить руководство по ручным операциям для автоматизированных процессов
  • Подготовиться к отказу сети и серверов на уровне сайта
  • Проверить резервные копии критических данных, хранящиеся за пределами рабочего места
  • Гарантировать наличие резервных ресурсов

Установить цели восстановления и назначить место резервного восстановления (DR)

  • Назначить вторичное место для возобновления бизнес-операций
  • Установить цели восстановления точки (RPO)
  • Установить цели восстановления времени (RTO)
  • Управлять процессами восстановления после катастрофы

Защищать критические для бизнеса данные

  • Создавать резервные копии для критических данных бизнеса
  • Хранить данные на устройствах хранения на месте и за его пределами
  • Хранить воздушно-изолированные резервные копии
  • Включить невозможность изменения для определенных резервных копий

Тестировать и обновлять ваш план непрерывности бизнеса

  • Проводить ежегодные, полугодовые, квартальные испытания
  • Проводить полные симуляции плана непрерывности бизнеса ежегодно
  • Создать процесс аудита
  • Определить уязвимости и обновить план
  • Обучить своих сотрудников

Заключение

A business continuity plan checklist is essential to ensure that services can carry on smoothly while you recover the impacted workloads following a disruptive event. Organizations that fail to create a BCP risk suffering from major downtime and data loss which can cause irreparable financial and reputational damage.

Этот контрольный список предоставляет основу для эффективного плана обеспечения непрерывности бизнеса, который поможет вам противостоять даже самым худшим сценариям. Имейте в виду, что план обеспечения непрерывности бизнеса не может быть завершен без передового решения для защиты данных, такого как NAKIVO Backup & Replication. Решение NAKIVO включает все инструменты, необходимые для выполнения процессов резервного копирования и восстановления, автоматизации рабочих процессов аварийного восстановления и проведения незаметного тестирования аварийного восстановления, чтобы гарантировать достижение ваших целей восстановления.

Source:
https://www.nakivo.com/blog/business-continuity-plan-checklist/