Наши популярные онлайн курсы
Определение целевых сроков восстановления – RTO
Определение целевых значений времени восстановления (RTO) для операций является одной из наиболее важных задач, которые будет выполнять менеджер по обеспечению непрерывности бизнеса. Если определите параметры восстановления неправильно, то вся основа вашей стратегии восстановления будет ошибочна. Часто, вместо того чтобы сделать объективную оценку, RTO определяется внутренней политикой и менеджерами, желающими, чтобы их часть организации (и, следовательно, самих себя) считалась важной.
Долгое время все задаются вопросом, был ли какой-либо научный способ, или даже правило, для определения RTO, но никогда не сталкивались подобным. Некоторое время назад я связался с группой BCMIX LinkedIn, чтобы спросить, как участники определяли свои RTO. У меня есть много объяснений процесса их определения, но нет установленного правила. Большинство людей говорили, что определение RTO – это сочетание здравого смысла, знания организации и опыта. Все это очень хорошо, но как новичок получит этот опыт?
В отсутствие какого-либо установленного метода определения RTO вот Вам несколько мыслей на эту тему:
Первым шагом для определения RTO является определение "максимально допустимого периода нарушения" (MTPD) для рассматриваемой деятельности. Для тех из вас, кто не знаком с MTPD, это термин, используемый в GPG 2018 BCI, который определяет его как "время, которое потребуется для того, чтобы неблагоприятные последствия, которые могут возникнуть в результате непредоставления продукта/услуги или выполнения деятельности, стали неприемлемыми " или проще говоря – точка невозврата. Существует эквивалентная концепция, изложенная в стандарте ISO 22301. Это можно найти в разделе 8.2.2, где стандарт просит вас оценить влияние с течением времени, как часть анализа влияния на бизнес.
При определении MTPD вы ищете "продолжительность, после которой жизнеспособность организации будет бесповоротно поставлена под угрозу"….
Я думаю, что многие борются с концепцией MTPD и для большинства организаций очень сложно точно определить. Существует очень мало организаций, которые могли бы пережить 30 дней, но не 31 день, например.
Существует также проблема, заключающаяся в том, что некоторым организациям, особенно правительственным, может быть неприемлема остановка даже когда небольшая часть многофункциональной организации терпит неудачу, это вряд-ли приведет к гибели всей организации.
Как мы видим выше, "точка невозврата" означает разные вещи для разных организаций. Перед определением MTPD важно согласовать критерии организации.
MTPD процесс – это оценка, которая должна находиться в пределах приблизительных временных рамок, скажем, один-три месяца или два дня – две недели. В зависимости от типа организации можно определить шесть или семь временных шкал для MTPD. Например, для "офисной организации", которая обычно работает с 9 утра до 5 вечера пять дней в неделю, я бы использовал следующие временные шкалы, чтобы увидеть, куда упадет MTPD:
0-24 часов
От 24 часов до 3 дней
от 3 дней до 1 недели
от 1 недели до 2 недель
от 3 недель до 1 месяца
от 1 месяца до 3 месяцев
3 месяца +
Для организации, которая работает 24/7, такой как больница, я бы изменил временные рамки, возможно:
0-1 часов
От 1 до 6 часов
От 6 часов до 24 часов
от 1 дня до 3 дней
от 1 недели до 2 недель
От 4 недель до 1 месяца
1 месяц +
Даже если MTPD деятельности является приблизительной оценкой, мы все еще можем использовать MTPD для дифференциации между различными действиями. Некоторые виды деятельности будут иметь более длительный MTPD, чем другие, и это начинает давать нам указание на то, какие виды деятельности будут восстановлены первыми, а какие могут подождать некоторое время.
Как только мы получим MTPD всех критичных бизнес-процессов, мы сможем определить параметр RTO. Здесь предполагается "оценка", поскольку RTO может немного измениться после этапа проектирования (стратегии) жизненного цикла непрерывности бизнеса. При рассмотрении соответствующей стратегии восстановления RTO по практическим или финансовым причинам может потребоваться корректировка RTO. Принимая решение о RTO, мы знаем, что RTO должен сидеть где-то на временной шкале до значения MTPD.
Если параметр RTO находится слишком близко к моменту начала инцидента, то мы можем слишком быстро восстановить функции и, следовательно, будет необходимо инвестировать средства в возможности быстрого реагирования. В качестве крайнего примера: деятельность, которая имеет MTPD один месяц + не нуждается в RTO два часа. С другой стороны, если RTO находится слишком близко к MTPD, то RTO может быть бессмысленным и приведёт к риску наступления MTPD и поэтому организации может быть нанесен безвозвратный ущерб.
Ещё один вариант определения RTO деятельности находится в средней трети временной линии. Как показано зеленой зоной на рисунке ниже.
В качестве примера, как показано на рис. 3 (ниже), MTPD находится в интервале времени от трех недель до одного месяца. Мы берем наименьшее время из временных рамок MTPD (три недели), а затем делим временную шкалу на три части. RTO сидит где-то между одной неделей и двумя неделями. Затем ваше решение зависит от того, находится ли он ближе к 1 неделе/8 дней или ближе к 2 неделям/12 дням или он должен находится посередине.
Если MTPD другой активности находился в пределах временного интервала от шести до 12 часов, то RTO будет где-то между двумя и четырьмя часами.
После того как мы определились с RTO, мы должны перейти к этапу "проектирования" жизненного цикла непрерывности бизнеса. На этапе проектирования мы рассматриваем и затем согласовываем стратегию восстановления для этой деятельности. Следует отметить, что RTO может измениться на этапе проектирования, так как его, возможно, придется скорректировать для выполнения конкретной стратегии. Как только RTO "укрепится", необходимо все RTO деятельности в организации должны быть утверждены высшем руководством. Это для проверки того, что они соответствуют требованиям организации и приемлемы для Бизнеса.
Больше информации по Непрерывности бизнеса, Управлению рисками и Киберустойчивости в нашем комьюнити ?