План обеспечения непрерывности бизнеса (business continuity plan или сокращенно BCP) — это спонсируемый и утвержденный руководством документ, в котором содержится дорожная карта того, как организация возобновит свою деятельность в случае непредвиденного стихийного бедствия или антропогенного события, такого как ураган, пожар или нарушение данных.

В случае стихийного бедствия ваш бизнес может рухнуть.

Что такое план обеспечения непрерывности бизнеса?


Планирование обеспечения непрерывности бизнеса может создать или разрушить ваше конкурентное преимущество.

Каждая организация, большая или малая, должна иметь проверенный план обеспечения непрерывности бизнеса (BCP). В случае стихийного бедствия отсутствие плана вызывает хаос и может привести к травмам и смерти сотрудников, ущербу для деловой репутации, штрафам за несоблюдение требований, непродуктивным сотрудникам, потерянным доходам и финансовым потерям.

75% компаний, не имеющих планов обеспечения непрерывности бизнеса, терпят неудачу в течение трех лет после стихийного бедствия. Согласно отчету, опубликованному Федеральным агентством по чрезвычайным ситуациям (FEMA), 40% малых предприятий не открываются после стихийного бедствия, а еще 25% закрываются в течение одного года.

 

Почему важен план обеспечения непрерывности бизнеса?


Как владелец бизнеса или руководитель, вы должны понимать, сколько незапланированная чрезвычайная ситуация может стоить вашему бизнесу. Например, Международная корпорация данных (IDC) сообщает следующие типичные затраты для компании из списка Fortune 1000:

  • Средняя общая стоимость незапланированного простоя приложений составляет от 1,25 до 2,5 млрд долларов в год.
  • Средняя почасовая стоимость сбоя инфраструктуры составляет 100 000 долларов в час.
  • Средняя стоимость критического сбоя приложения в час составляет от 500 000 до 1 000 000 долларов США.


Для предприятий малого и среднего бизнеса (SMB) расчетная стоимость простоя составляет от нескольких сотен до многих тысяч долларов в минуту. Сколько это может стоить вашей компании, зависит от характера и размера вашего бизнеса.

Чтобы рассчитать, сколько это будет стоить вам, если ваш бизнес прекратит свою деятельность, вам необходимо учесть все следующее:

  • Упущенный доход
  • Снижение производительности труда сотрудников
  • Стрессовые сотрудники, особенно в сфере ИТ
  • Недовольные клиенты
  • Ущерб бренду
  • Возможные юридические санкции за несоблюдение нормативных требований
    Скомпрометированные уровни обслуживания (как внутренние, так и внешние)

 

Каковы три ключевых элемента планирования обеспечения непрерывности бизнеса?


Планы обеспечения непрерывности бизнеса направлены на выявление, противодействие и снижение рисков, связанных с потенциальными угрозами, при обеспечении непрерывности ваших бизнес-процессов.

Комплексный план обеспечения непрерывности бизнеса (BCP) состоит из трех основных элементов. Давайте рассмотрим их ниже.

План реагирования на чрезвычайные ситуации


Планы действий в чрезвычайных ситуациях содержат исчерпывающий набор руководящих принципов и протоколов, позволяющих свести к минимуму негативное воздействие на здоровье и безопасность персонала и смягчить общий разрушительный эффект чрезвычайной ситуации.

Здесь крайне важно обучить весь свой персонал, чтобы ваш персонал мог быстро и эффективно реагировать на угрозу.

Ваш план реагирования на чрезвычайные ситуации должен включать следующее:

  • Конкретные цели для аварийно-спасательных служб
  • Контактная информация для экстренных случаев
  • Проектирование путей эвакуации и зон стоянки
  • Оценка и совершенствование связи для реагирования на чрезвычайные ситуации

Протоколы связи и антикризисное управление
При обсуждении планов обеспечения непрерывности бизнеса понятия «антикризисное управление» и «управление чрезвычайными ситуациями» не являются взаимозаменяемыми. Кризисное управление является связующим звеном между реагированием на чрезвычайные ситуации и этапом оперативного восстановления.

Эффективный план обеспечения непрерывности бизнеса зависит от тщательного процесса планирования антикризисного управления. Каждый план CM должен включать:

  • Проверку доступных ресурсов для поддержки процесса принятия решений и действий ответственного персонала
  • Определение критических функций, чтобы предоставить инструкции по управлению кризисом и восстановлению после него.
  • Разработку и мониторинг контроля состояния для отслеживания ключевых действий персонала и координации действий по устранению инцидентов.
  • Инициацию планирования на случай непредвиденных обстоятельств, чтобы определить необходимые протоколы связи.


Бедствия происходят без предупреждения. Они могут проверить даже самых опытных людей, поэтому крайне важно обучить сотрудников, выявить пробелы в антикризисном плане и тщательно подготовить ответственные команды для обеспечения успешного плана обеспечения непрерывности бизнеса.


После того, как план разработан, очень важно просмотреть и протестировать его, чтобы убедиться, что все критически важные функции работают должным образом и дадут результаты в случае стихийного бедствия.

 

Восстановление хозяйственной деятельности


Третьим столпом управления непрерывностью бизнеса является план оперативного восстановления. Такой план гарантирует, что персонал и бизнес-активы будут защищены, а основные функции восстановлены после сбоя в работе, чрезвычайной ситуации, кризиса или целенаправленных кибератак.

Планы оперативного восстановления должны:

  • Обеспечить оценку рисков для ключевых областей бизнеса
  • Рассчитайте реалистичное целевое время восстановления (RTO)
  • Назначьте элементы управления и разработайте стратегии восстановления, чтобы команда по обеспечению непрерывности бизнеса могла управлять рисками безопасности для вашего основного сайта, удаленного офиса, среды центра обработки данных и альтернативного сайта. (или сайты)
  • Проведите анализ воздействия на бизнес, чтобы определить влияние значительных угроз на производительность офиса, логистику, цепочку поставок и потоки доходов.


Шаблон плана обеспечения непрерывности бизнеса может показаться идеальным на бумаге. Однако угрозы и проблемы безопасности часто обостряются после перерыва в работе. Крайне важно выявить все потенциальные уязвимости в вашей программе обеспечения непрерывности бизнеса, вызванные стихийными бедствиями, технологическим сбоем или человеческим фактором, и соответствующим образом подготовиться к ним.

Кто должен участвовать в планировании обеспечения непрерывности бизнеса?


Сначала назначается менеджер по обеспечению непрерывности бизнеса (BCM), который собирает команду и руководит разработкой плана. Этот человек должен иметь поддержку на самом высоком уровне организации, чтобы добиться успеха. Это означает, что программа должна иметь исполнительного спонсора и участие высшего руководства через Руководящий комитет.

Опыт показывает, что программы BCP при спонсорской поддержке руководства с большей вероятностью достигают своих целей по времени восстановления (RTO), чем программы без спонсорской поддержки со стороны руководства.

BCM выбирает людей из всей организации для присоединения к команде. Выбор основан на анализе того, какие виды непредвиденных событий могут произойти, будь то стихийные бедствия или погодные явления, пожары, угрозы сотрудникам или периметру объектов, саботаж, забастовки сотрудников, ИТ-события, сбои оборудования, вредоносное программное обеспечение. атаки, утечка данных, проблемы с безопасностью сотрудников, перебои в цепочке поставок, перебои в подаче электроэнергии, материальный ущерб, кража имущества, проблемы с безопасностью продукции, социальные волнения или террористические атаки, скандалы, связанные с репутацией руководства или компании, смерть или неожиданный уход топ-менеджера.

В состав команды BCP обычно входят:

  • Исполнительный спонсор
  • Менеджер по обеспечению непрерывности бизнеса
  • Сотрудник службы безопасности
  • Руководитель информационной службы
  • Ключевые поставщики и партнеры
  • Руководители конкретных отделов, в том числе: управление финансовыми рисками / соблюдение нормативных требований, управление объектами обслуживания клиентов, связи с общественностью и общение с сотрудниками, человеческие ресурсы, производство / распространение, информационные технологии, операции, логистика.

 

В чем разница между обеспечением непрерывности бизнеса и аварийным восстановлением ИТ в отношении критически важных бизнес-функций?


Хотя большинство людей считают планирование непрерывности бизнеса и аварийного восстановления взаимозаменяемыми, это разные планы.

План обеспечения непрерывности бизнеса дает указания, как гарантировать, что организация поддерживает или возобновляет бизнес после аварии, устанавливает целевые точки восстановления (RPO) и RTO для возобновления деятельности компании. Он описывает процессы и процедуры для активизации экстренной эвакуации и направлен на определение ролей, обязанностей и контактов.

Это гарантирует сотрудникам безопасное временное рабочее место (при необходимости) с доступом к системам, приложениям и телефонам, необходимым для выполнения их работы. Он обеспечивает запуск и работу ключевых бизнес-процессов, возобновление внутренних и внешних коммуникаций, доступность веб-сайта в сети и бесперебойную работу других важных операций.

План аварийного восстановления ИТ является частью плана обеспечения непрерывности бизнеса. Аварийное восстановление предназначено для восстановления технологических сервисов, таких как системы, сети и данные, на «рабочие столы сотрудников». Затем вступает в действие план обеспечения непрерывности бизнеса, чтобы вернуть сотрудников к работе за своими «рабочими столами» со всеми другими инструментами, необходимыми им для возобновления нормальной работы бизнеса.

 

Что должно быть включено в план обеспечения непрерывности бизнеса?


Процесс планирования непрерывности бизнеса может показаться сложным для многих компаний. Тем не менее, вашему бизнесу требуется комплексная стратегия, чтобы пережить стихийное бедствие или кибератаку.

Ниже приведены несколько общих компонентов почти каждого плана управления непрерывностью бизнеса.

Рекомендации по общению


Важно знать, как вы будете общаться с персоналом, клиентами, деловыми партнерами и поставщиками, если бизнес-функции прекратятся. Здесь лучше всего обеспечить вторичную линию связи для беспрепятственной передачи важных сообщений.

Ключевые контакты


Ваш план требует наличия четких контактных лиц для всех сотрудников в случае стихийного бедствия. Вам также необходимо назначить ответственное лицо (или группу) для наблюдения за BCP и убедиться, что каждый сотрудник знает, как с ними связаться.

 

Анализ влияния на бизнес и оценка угроз


Понимание потенциальных угроз, которые могут привести к простоям и потере доходов, имеет решающее значение. Как мы уже обсуждали, существуют различные причины сбоев, вам необходимо классифицировать их и присвоить каждой из них уровни риска.

Ответьте на следующие вопросы, чтобы облегчить процесс:

  • Насколько вероятна угроза?
  • Какое влияние эта угроза окажет на бизнес-операции?


Кроме того, подумайте, как нарушение повседневных процессов повлияет на затраты на корпоративное программное обеспечение и резервное копирование данных, локальные компьютерные системы, эффективность бизнес-функций и удовлетворенность клиентов.

Расчет всего этого поможет рассчитать, сколько доходов будет потеряно из-за стихийного бедствия.

Продавцы и поставщики


Ваш BCP зависит от непрерывного контакта с продавцами, поставщиками, арендодателями, поставщиками ИТ и резервных площадок. Знание того, что вы можете связаться со всеми из них, облегчит часть стресса, связанного с процессом аварийного восстановления.

Протоколы восстановления


Ваша стратегия восстановления требует знания всех критически важных для бизнеса операций и определения приоритетов их восстановления. Подготовка и запуск ваших систем должна быть первым этапом ваших планов аварийного восстановления. Рекомендуется внедрять их поэтапно. Это уменьшит риск человеческой ошибки, сбоя системы или недопонимания.

План по ликвидации последствий катастрофы


Надежный BCP требует специального плана для управления бизнес-функциями после стихийного бедствия. (наводнение, пожар, ураган, буря и т.д.)

Очень важно рассчитать вероятность того, что стихийное бедствие повлияет на процессы вашей компании. Затем вы должны разработать план, в котором будет указано, что делать в конкретных сценариях, чтобы защитить своих сотрудников, свести к минимуму время простоя и обеспечить стабильные потоки доходов.

 

Распространенные ошибки при создании плана обеспечения непрерывности бизнеса


При создании плана обеспечения непрерывности бизнеса можно допустить несколько ошибок. Вот некоторые:

ИТ и бизнес несовместимы


Предположим, вы владелец малого и среднего бизнеса. В прошлом году ваша организация разработала план обеспечения непрерывности бизнеса. Сегодня вы попросили копию плана для рассмотрения. Читая его, вы были удивлены, увидев, что RTO для электронных писем руководителей составляет 24 часа. Вы не помните, чтобы кто-то из команды спрашивал вас об этом. Вы и ваши менеджеры думали, что система электронной почты будет доступна в течение четырех часов после аварии. Вы задавались вопросом, почему с вами и другими менеджерами не проконсультировались и есть ли у других подразделений бизнеса требования, не предусмотренные планом обеспечения непрерывности бизнеса.

Во-первых, управленческая команда должна быть вовлечена в любые инициативы по планированию обеспечения непрерывности бизнеса, чтобы быть эффективными. Кроме того, в команду BCM должны входить избранные лица, принимающие решения, из других отделов бизнеса, а также финансовые партнеры, ключевые заинтересованные стороны, представители службы поддержки клиентов, надежные поставщики и ИТ-персонал. Эти лица должны активно привлекаться для обеспечения соответствия плана обеспечения непрерывности бизнеса целям организации. Они должны иметь возможность принимать решения относительно стратегий обеспечения непрерывности бизнеса для своего отдела и бизнеса в целом.

Каждый член команды должен найти время, чтобы понять деятельность организации, в том числе ее продукты и услуги и то, как они предоставляются. Обладая этими знаниями, команда может лучше масштабировать программу, чтобы гарантировать, что организация сможет восстановиться после аварии.

План непрерывности бизнеса не проверяется


Вы запросили у своей команды копию отчета о тестировании плана обеспечения непрерывности бизнеса. Вы обнаруживаете, что план никогда не проверялся.

Непроверенный план почти так же плох, как отсутствие плана вообще. Без постоянного тестирования нет уверенности в том, что стратегия обеспечит восстановление вашей компании после аварии.

В недавней статье Кристофер Бриттон, главный операционный директор RockDove Solutions, предлагает выполнять каждый план следующим образом:

  • Обзор контрольного списка — проверка высокого уровня по каждому элементу плана — должен проводиться два раза в год.
  • Аварийные учения, которые требуют участия всех заинтересованных сторон, должны проводиться один раз в год. Это усиливает роль каждого участника в случае бедствия и обеспечивает работу плана.
  • Кабинетную проверку следует проводить раз в два года. В этом обзоре ключевые сотрудники, которым назначены роли и обязанности по управлению аварийными ситуациями, собираются для обсуждения смоделированных аварийных ситуаций.
  • Всестороннюю проверку следует проводить раз в два года или при значительных изменениях в организации, таких как серьезное изменение ИТ-инфраструктуры, слияние или другие серьезные изменения в бизнес-операциях. Этот тип проверки позволяет заинтересованным сторонам просмотреть текущий план, чтобы выявить новые риски и соответствующим образом обновить план.
  • Пробный тест на восстановление следует проводить каждые два-три года. При таком обзоре план полностью тестируется, чтобы выявить пробелы, помочь сотрудникам выполнять свои роли и убедиться, что организация может восстановиться в соответствии с запланированными RTO и RPO.

 

План непрерывности бизнеса устарел


Поскольку ваша команда разработала первоначальную версию плана обеспечения непрерывности бизнеса, вы понимаете, что виртуализировали часть своей ИТ-среды, и спрашиваете, включены ли в план эти изменения ИТ-инфраструктуры. Вам говорят, что BCP не обновлялся.

План обеспечения непрерывности бизнеса должен обновляться всякий раз, когда организация вносит изменения в операции, которые вводят новые категории рисков. Заинтересованные стороны должны регулярно встречаться для обсуждения изменений в бизнесе, которые могут повлиять на план.

Для получения дополнительной информации по этой теме обратитесь к статье Acronis под названием «Вы уверены, что ваш план обеспечения непрерывности бизнеса все еще работает?»

 

Новые угрозы не учитываются в вашем решении BCP


Вы должны постоянно обновлять свой план для устранения любых новых рисков и киберугроз, поскольку новая угроза может быть столь же разрушительной, как и другие бедствия, которые уже включены в ваш план.

В первой половине 2021 года четыре из пяти организаций столкнулись с нарушением кибербезопасности, вызванным уязвимостью в их экосистемах сторонних поставщиков. Хотя вы можете считать, что ваш SMB «слишком мал, чтобы на него можно было нацелиться», вы подвергаетесь риску постоянно растущего числа автоматических атак и атак на цепочки поставок, нацеленных на ваших поставщиков ИТ-услуг.

Многие малые и средние предприятия не предпринимают надлежащих действий для защиты своих систем и данных. Уже одно это делает их главной целью для нападения.

Планы обеспечения непрерывности бизнеса и аварийного восстановления должны быть сосредоточены на кибербезопасности, чтобы бизнес мог быть уверен, что выдержит атаку и сможет сделать это быстро.

 

Если у вас нет плана обеспечения непрерывности бизнеса, начните сегодня


Если вы не являетесь руководителем компании, ваша первая цель должна состоять в том, чтобы получить спонсорскую поддержку BCP. Для начала разошлите эту статью всем своим руководителям, чтобы они начали обсуждение. Как только вы получите спонсорскую поддержку со стороны руководства, подумайте о том, чтобы нанять консультанта для помощи в разработке вашего плана, если это позволяет ваш бюджет. Кроме того, поищите в Интернете загружаемый шаблон плана, который поможет вам в этом процессе. (однако имейте в виду, что общего шаблона недостаточно для охвата всех уникальных аспектов компании; ответственная команда должна адаптировать его к конкретным потребностям и требованиям вашей компании)

Рассмотрите и определите приоритетность типов стихийных бедствий, которые чаще всего затрагивают вашу отрасль, и сформулируйте свой план, чтобы в первую очередь справиться с ними. Самое главное, регулярно проверяйте план, чтобы убедиться, что у вас есть рабочие процессы для смягчения последствий потенциальных аварий.

 

Подходит ли планирование обеспечения непрерывности бизнеса для вашего бизнеса?


План обеспечения непрерывности бизнеса жизненно важен для поддержания вашего бизнеса... в бизнесе в случае стихийного бедствия.

Ни одна компания не застрахована от стихийных бедствий, таких как пожар или экстремальные погодные катаклизмы. Возможно, что еще более важно, антропогенные катастрофы — программы-вымогатели, вредоносное ПО и другие хакерские атаки на бизнес-данные — растут с угрожающей скоростью.

Каждая компания должна принимать упреждающие меры для защиты от потенциальных бедствий. Самое главное, каждая компания должна быть готова возобновить свою деятельность, если (или когда) произойдет бедствие. Было бы лучше иметь протестированный и обновленный BCP, включая практичную и хорошо документированную стратегию резервного копирования.

 

Как Acronis может защитить любой бизнес — комплексное решение для обеспечения непрерывности бизнеса


Неотъемлемой частью плана обеспечения непрерывности бизнеса и аварийного восстановления является то, что каждый бизнес должен иметь подходящее решение для обеспечения кибербезопасности, чтобы обеспечить выполнение бизнес-операций даже после сбоя.

Acronis Cyber Protect предоставляет малым и средним предприятиям и более крупным организациям следующее:

  • Управление кибербезопасностью и защитой конечных точек, оценка уязвимостей и управление исправлениями, удаленный рабочий стол и состояние дисков
  • Полнофункциональная защита от вредоносных программ на основе машинного интеллекта (MI) нового поколения, включая фильтрацию URL-адресов и автоматическое сканирование резервных копий.
  • Быстрое и надежное восстановление ваших приложений, систем и данных на любом устройстве после любого инцидента


Acronis Cyber Protect использует революционный подход к киберзащите. Интеграция защиты данных с кибербезопасностью устраняет сложность, обеспечивает лучшую защиту от современных угроз и повышает эффективность за счет экономии времени и денег.

 

 

test drive Три шага для правильного выбора системы резервного копирования




 В современном мире перегруженном информацией трудно сделать правильный выбор.
 
Мы предлагаем вам три бесплатных сервиса, которые помогут выбрать и построить систему резервного копирования своей мечты.

1. Расчет спeцификации программного обеспечения

Откройте форму расчета спецификации.

Внесите данные о своих серверах и получите безошибочную спецификацию для покупки или оценки будущих затрат.

2. Виртуальная демонстрация продукта

Системы резервного копирования достаточно сложное программное обеспечение. Не всегда можно найти достаточное количество времени и тестовую среду, чтобы провести полноценное тестирование и выявить сильные и слабые стороны.

В этом случае, рекомендуем сначала посмотреть как работает программа в виртуальной лаборатории. 

3. Получить пробную версию

Заполните форму запроса на получение пробной версии

Убедитесь, что программное обеспечение для резервного копирования это именно то, что вам необходимо

 

Лучшие практики резервного копирования 
Купить программное обеспечение в Казахстане (бесплатный расчет спецификации)
Бесплатные пробные версии программ для резервного копирования
Шаги к системе резервного копирования

 

Детальная информация о продуктах Acronis

 

 
Специализированные ресурсы о технологиях резервного копирования

 

 

Acronis Cyber Protect

 

Acronis DeviceLock DLP
UC Computer-Press Technologies