Как автоматизировать процесс обеспечения непрерывности бизнеса
Безопасность Цифровизация
Работа предприятий периодически осложняется разнообразными инцидентами, происшествиями и даже стихийными бедствиями, степень которых варьируется от незначительных до катастрофических. Угрозы и сбои означают потерю доходов, рост затрат и, в конечном итоге, падение прибыльности. При этом предприятия не могут полагаться только на страхование, поскольку оно не покрывает все расходы и ущерб от потери клиентов, которые переходят к конкурентам. Поэтому план обеспечения непрерывности ведения деятельности (Business Continuity Plan, BCP) является важной частью любого бизнеса.
Что такое Security Vision BCP
Security Vision BCP — это решение для автоматизации процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций. Продукт находится на стыке технологий: затрагивает как процессы ИБ, оперируя последствиями реализации угроз, связанных с отказом работоспособности информационных систем, оборудования, утраты ключевых поставщиков, персонала или помещений, так и процессы ИТ, анализируя информационную модель предприятия, обслуживающие ресурсы, метрики работоспособности активов и процедуры восстановления.
Security Vision BCP разработан с учетом требований международных и отечественных стандартов в области обеспечения управления непрерывностью бизнеса, таких как:
- ISO 22301 международный стандарт «Система управления непрерывностью бизнеса. Требования»;
- ГОСТ Р ИСО 22301–2021 национальный стандарт РФ «Надежность в технике. Системы менеджмента непрерывности деятельности. Требования»;
- положение ЦБ РФ N 787-П от 12.01.2022 «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг»;
- указание ЦБ РФ N 4148-У от 06.10.2016 «О требованиях к разработке и утверждению плана обеспечения непрерывности деятельности репозитария и плана обеспечения финансовой устойчивости репозитария»;
- постановление правительства РФ N 730 от 26.08.2013 «Об утверждении Положения о разработке планов мероприятий по локализации и ликвидации последствий аварий на опасных производственных объектах».
Security Vision BCP позволяет обеспечить реализацию процесса на всех стадиях его жизненного цикла.
На стадии «Анализ воздействия на бизнес и оценка риска» реализован процесс сбора информации о бизнес-процессах и ресурсах, от которых они зависят, методом рассылки и анализа опросных листов владельцам ресурсов с целью определения операционных, юридических, финансовых и других последствий сбоя и как следствие установления ключевых метрик:
- максимально допустимый период прерывания деятельности (MTPD);
- целевая продолжительность восстановления (RTO);
- целевая точка восстановления (RPO).
На стадии «Планирование обеспечения непрерывности бизнеса» продукт позволяет систематизировать планы обеспечения непрерывности конкретных бизнес-процессов по конкретным типам чрезвычайных ситуаций. Планы позволяют включить в них:
- конкретные шаги по устранению сбоев;
- условия активации и деактивации плана;
- роли и обязанности, ключевые контакты;
- описание методов и средств коммуникации.
Стадия «Определение и внедрение процедур непрерывности бизнеса» реализована системой заявок, в рамках которых можно поставить и проконтролировать выполнение задач на приведение инфраструктуры в соответствии утвержденным планам обеспечения непрерывности.
Также реализована возможность проводить регулярные тестирования планов непрерывности с оценкой достижения ключевых показателей эффективности.
Ресурсно-сервисная модель
Основой продукта является ресурсно-сервисная модель, которая включает в себя функционал воспроизведения информационной модели предприятия, начиная с фундаментальных сущностей, которыми оперирует бизнес (например, бизнес-процессы, обеспечивающие функциональную деятельность компании) и заканчивая техническими активами, которые являются необходимыми ресурсами для реализации бизнес-активов.
Ключевыми бизнес-объектами ресурсно-сервисной модели являются бизнес-процесс, продукт, поставщик, помещение, технологическое оборудование.
Связующим звеном между бизнес- и техническими объектами является объект «Информационная система», которая может быть дальше декомпозирована на приложение и СЗИ. В целом объекты связаны между собой иерархичным образом в соответствии с разработанной моделью данных.
Плюс к этому учитывается принцип зависимости одной сущности от другой (например, бизнес-процесс может полностью зависеть от функционирования определенной информационной системы). Благодаря наличию визуального представления в виде графа можно отследить взаимосвязи между объектами до уровня необходимой детализации.
Business Impact Analysis
В рамках проведения анализа воздействия на деятельность аналитику BCM (Business continuity management, Управление непрерывностью бизнеса) дается возможность сформировать область оценки процесса, где он может указать подразделения, продукты или бизнес-процессы, по которым планируется проведение оценки. При этом на графе связей отразятся объекты, по которым будут созданы опросные листы. Граф связей, в свою очередь, является интерактивным и позволяет раскрывать связи объектов для отображения их зависимостей, а также добавлять объекты к области оценки.
После формирования опросных листов аналитику доступны функции отзыва опросного листа, изменения срока и ответственного за заполнение, а также создания новых опросных листов уже в процессе оценки, что может быть особенно актуально, если в рамках процесса были выявлены объекты, ранее не учтенные при формировании области оценки.
Вопросы опросных листов формируются на основе справочников, которые позволяют тонко настроить их в зависимости от релевантных для конкретной организации значений таких параметров, как:
- периоды прерывания деятельности;
- типы последствий;
- категории последствий;
- стратегии действий в случае недоступности ресурса.
Также в системе справочников можно создать любое количество дополнительных вопросов с любым количеством ответов.
Промежуточные итоги заполнения опросных листов всегда доступны аналитику BCM на краткой и полной карточке процесса оценки в удобном для анализа виде. Информация о выявленных расхождениях ключевых метрик или внесении изменений в свойства объекта отображается в форме всплывающих подсказок на соответствующих опросных листах.
По результатам оценки последствий доступно автоматическое обновление данных объектов ресурсно-сервисной модели.
Также на всех этапах анализа воздействия на деятельность аналитику BCM доступно создание заявок на устранение выявленных расхождений, либо приведения инфраструктуры организации в соответствие заявленным требованиям.
Business Continuity Plan
Основной задачей модуля Security Vision BCP является создание плана непрерывности бизнеса для каждого подразделения и поддержание его в актуальном состоянии.
План непрерывности бизнеса представляет собой сущность, которая аккумулирует в себе актуальную информацию по бизнес-процессам данного подразделения в разрезе критичности и ключевых метрик. Таким образом, план непрерывности является логическим продолжением завершенного процесса BIA (Business impact analysis, Анализ воздействия на бизнес).
Взаимосвязи между бизнес-процессами и связанными с ними сущностями удобно отслеживать на графе. Дальнейшая декомпозиция связей позволяет, при необходимости, получить более детальную картину.
План непрерывности содержит в себе набор сценариев чрезвычайных ситуаций и перечень действий для каждого из них (в системе за это отвечает объект «План восстановления»). Действия разбиваются на три этапа, которые могут быть как последовательными, так и параллельными:
- немедленные меры в случае ЧС (эвакуация персонала, вызов пожарной бригады);
- меры по поддержанию функционирования подразделения (перевод на удаленную работу, переезд на альтернативную площадку);
- меры по восстановлению нормального функционирования подразделения (восстановление ИТ-инфраструктуры).
Для каждого действия указываются ответственный за него и максимально допустимый срок исполнения. Также указываются заранее выработанные критерии возврата к нормальному функционированию бизнеса. Таким образом, при активации плана непрерывности будет реализован тот план действий, который отвечает за произошедшую нештатную ситуацию.
Критерии готовности в разработке цифровых продуктов. Definition of Ready, Definition of Done и Acceptance Criteria
CNews AnalyticsНа плане непрерывности предусмотрена матрица коммуникаций, в которую входят контакты и роли ответственных за исполнение плана, а также внешние и внутренние экстренные контакты организации.
За поддержание актуальности плана непрерывности отвечает объект «План тестирования», в который закладывается процедура проверки готовности и полноты планов непрерывности и восстановления для каждого сценария ЧС. По результатам проведенного тестирования составляется и прикладывается отчет о его успешности. В случае выявления не прошедших тестирование этапов создается задача на внесение корректировок в соответствующий план непрерывности.
Тестирование проводится на регулярной основе, и система автоматически рассылает ответственным лицам уведомления о необходимости провести то или иное тестирование в зависимости от заложенного в нее графика.
Отчеты и дашборды
В модуль Security Vision BCP включены преднастроенные отчеты, позволяющие выгружать данные как по отдельным объектам системы — объекты ресурсно-сервисной модели, процессы оценки, опросные листы и др., так и сводные отчеты, которые содержат консолидированную информацию.
Также включены несколько преднастроенных дашбордов, отображающих ключевую информацию по статусам процессов оценки, опросных листов, а также по сводной аналитике собранных сведений.
Все дашборды автоматически обновляются и являются интерактивными: пользователь может «провалиться» в необходимой срез данных и увидеть источник для расчета того или иного показателя.
Гибкий конструктор платформы Security Vision позволяет пользователям создавать свои собственные отчеты и дашборды по принципу no-code, не прибегая к инструментам разработки и верстки.
Часть экосистемы Security Vision
Ресурсно-сервисная модель BCP также является полноценной составляющей модуля управления активами, входящего в экосистему Security Vision. Помимо основного функционала, модуль управления активами тесно связан с другими продуктами экосистемы, обеспечивая синергию функционала линейки продуктов в единой области данных путем взаимного обогащения, переиспользования информации и единого управляющего интерфейса. Модуль активов является важным источником базовой информации, используемой продуктами экосистемы, такой как перечень уязвимостей ПО/ОС, установленные обновления, а также артефакты и свидетельства, используемые в процессах управления инцидентами или управления рисками.
Максим Анненков
Полный текст статьи читайте на CNews