IX Международная студенческая научная конференция Студенческий научный форум - 2017

Актуальность работы заключается в том, план по обеспечению непрерывности и восстановления любой организация служит руководством к действию во время кризиса, воздействие внешних и внутренних угроз и гарантирует, что ни один важный аспект не будет упущен. Профессионально составленный план направляет действия даже неопытных сотрудников.

Наличие детального, регулярно испытываемого плана поможет оградить любую организацию от судебных исков по поводу халатности. Само существование плана служит доказательством того, что руководство компании не пренебрегло подготовкой к возможным бедствиям.

Основные выгоды от составления детального плана обеспечения бесперебойной деятельности состоят в следующем:

• минимизация потенциальных финансовых потерь;

• уменьшение юридической ответственности;

• сокращение времени нарушения нормальной работы;

• обеспечение стабильности деятельности организации;

• организованное восстановление деятельности;

• сведение к минимуму суммы страховых взносов;

• уменьшение нагрузки на ведущих сотрудников;

• лучшая сохранность имущества;

• обеспечение безопасности персонала и заказчиков;

• соблюдение требований законов и инструкций.

Объектом изучения в данной работе является «Первая глазная клиника» г. Москва.

Предметом исследования являются пути повышения эффективности и непрерывности «Первой глазной клиники».

Целью курсовой работы является разработка плана по обеспечению непрерывности и восстановлению деятельности «Первой глазной клиники».

Исходя из поставленной цели работы, нужно выделить несколько задач, которые необходимо решить, чтобы достичь этой цели:

• Рассмотреть и изучить основные виды угроз организации и рассмотреть «Первую глазную клинику».

• Разработать план по обеспечению непрерывности и восстановлению деятельности организации.

Практическая значимость работы заключается в дальнейшем использовании и применения плана по обеспечению непрерывности и восстановления к организациям данного типам.

§1. Понятие и характеристика управления непрерывностью бизнеса

При управлении организацией даже незначительные сбои могут приостановить бизнес-процессы и повлиять на достижение корпоративных целей, поэтому действовать интуитивно здесь уже не получится. Большое число участников каждого бизнес-процесса, используемые системы и процедуры, факторы, влияющие на исход ситуации, — все это говорит о том, что процесс возврата к нормальному режиму работы необходимо четко регламентировать, назначая ответственных лиц, разрабатывая схемы действий и методы контроля. В последнее время идет активная популяризация методов предупреждения нештатных ситуаций и реагирования на них, или, иными словами, обеспечения непрерывности деятельности организации. Однако количество российских организаций, внедряющих эти методы, по-прежнему невелико.

Что понимается под термином "обеспечение непрерывности деятельности организации"? Прежде всего он обозначает процесс, обеспечивающий возможность поддержания или быстрого восстановления деятельности организации на приемлемом уровне в случае наступления события, имеющего значительные последствия при относительно невысокой вероятности его возникновения (например, серьезной аварии оборудования, пожара, затопления и т. п.).

Для обеспечения непрерывности деятельности организации необходимо:

определять ключевые, критически важные для деятельности ресурсы организации;

проводить оценку рисков и факторов влияния;

разрабатывать на основе информации о рисках стратегические и тактические планы, а также процедуры и методы контроля и определять сферы ответственности;

внедрять контрольные процедуры и организовывать эффективное взаимодействие между ответственными сотрудниками;

осуществлять мониторинг и оптимизировать процесс обеспечения непрерывности деятельности организации.

Успешное проведение процесса обеспечения непрерывности деятельности организации, как правило, позволяет получить ощутимый положительный результат во многих сферах деятельности. Он может, в частности, выражаться:

• в обеспечении возможности оказывать клиентам услуги на заявленном уровне качества даже при наличии существенного негативного внешнего воздействия, что является конкурентным преимуществом, повышающим доверие клиентов к организации, позволяющим удержать существующих клиентов и привлечь новых;

• в укреплении репутации/бренда организации за счет минимизации последствий от наступления негативных событий;

• в сохранении активов и снижении зависимости организации от ключевых активов;

• в укреплении рейтинга организации, повышении ее привлекательности для инвесторов (в условиях активизации процессов выхода российских компаний на международные финансовые рынки это может стать преимуществом при проведении первичного размещения акций (IPO)).

Рассмотрим жизненный цикл программы управления непрерывности, который представлен в таблице 1.

Таблица 1 – Этапы жизненного цикла корпоративной программы ECP

Этапы жизненного цикла корпоративной программы ECP	Возможные шаги компании
Этап 1: Анализ требований к обеспечению непрерывности бизнеса
Необходимо: Провести анализ критически важных бизнес-процессов компании и поддерживающей инфраструктуры. Выявить и верифицировать актуальные угрозы и уязвимости бизнес-процессов. Оценить основные риски (RA) бизнес-процессов. Оценить потенциальные финансовые убытки в случае возникновения чрезвычайных ситуаций. Провести полный анализ воздействия на бизнес (ΒΙΑ) по бизнес единицам компании.	Результаты: Методика оценки и ранжирования критически важных бизнес-процессов компании. Методика верификации угроз и уязвимостей бизнес-процессов компании. Методика оценивания рисков. Отчет RA с анализом рисков и приоритетами, и первоочередными задачами обеспечения непрерывности бизнеса. Методика оценки ущерба в случае чрезвычайных ситуаций. Отчет ΒΙΑ с оценками активов компании и возможного ущерба в результате возникновения чрезвычайных ситуаций.
Этап 2: Планирование непрерывности бизнеса
Необходимо: Сформировать и утвердить группу планирования и управления непрерывностью бизнеса ВСРМ. Выработать стратегии и планы обеспечения непрерывности для каждой бизнес единицы компании. Определить первоочередные мероприятия по обеспечению непрерывности бизнеса Выработать альтернативные решения. Выбрать оптимальное решение из имеющихся альтернатив Определить необходимые ресурсы для планирования и управления непрерывностью бизнеса. Определить и утвердить бюджет планирования и управления непрерывностью бизнеса.	Результаты: Состав группы планирования и управления непрерывностью бизнеса. Стратегии непрерывности бизнеса. Планы непрерывности бизнеса для каждой бизнес единицы компании. Перечень первоочередных мероприятий по обеспечению непрерывности бизнеса. Список альтернатив и критериев выбора оптимального решения. Должностные инструкции сотрудников компании по обеспечению непрерывностью бизнеса с определением роли, обязанностей и степени ответственности каждого сотрудника. Формализованные требования к планированию и управлению непрерывностью бизнеса. Оценки стоимости возможных решений по обеспечению непрерывности бизнеса. Критерии выбора поставщиков решений ВСР. Выписки из бюджета компании на планирование и управление непрерывностью бизнеса.
Этап 3: Поддержка и сопровождение планов и процедур непрерывности бизнеса
Необходимо: Обучить сотрудников компании вопросам обеспечения непрерывности и управления бизнеса. Разработать регламенты сопровождения и поддержки планов непрерывности бизнеса, ВСР. Закупить необходимые инструментальные средства поддержки ВСР. Установить и настроить инструментальные средства поддержки ВСР. Выработать систему оповещения о корректировке и внесении изменений в ВСР. Разработать контрольные тесты эффективности планов непрерывности бизнеса и график контрольных проверок. Выработать формальные критерии оценивания проводимых проверок ВСР. Разработать порядок внесения изменений в ВСР	Результаты: Сертификаты сотрудников в области ВСМ. Методики и руководства по установке, настройке и сервисного обслуживания инструментальных средств ВСР. Спецификации регламентов поддержки ВСР. Схемы оповещений о вносимых изменениях. Методика тестирования и верификации ВСР Формальные критерии оценивания ВСР представления результатов тестирования. Отчеты о тестировании планов ВСР. Инструкция о порядке внесения изменений в ВСР. Руководства по сопровождению и поддержки непрерывности бизнеса.

В таблице отображены необходимые действия со стороны предприятия для каждого из этапов, а также описано каких результатов сможет достичь компания проведшая тот или иной этап.

В наши дни большое распространение получила практика внедрения решений по восстановлению работоспособности бизнеса после аварий и катастроф или в других нештатных ситуациях. В большинстве организаций эти решения сводятся к введению процедур регулярного резервного копирования данных, критичных для ведения операционной деятельности организации, а также к дублированию жизненно важных вычислительных и поддерживающих мощностей на случай непредвиденной их остановки. В современных организациях редко можно увидеть серверные помещения, не оснащенные системами пожаротушения и переключения на резервные источники питания. Однако сохранность информационных систем — первый и необходимый шаг к достижению непрерывности бизнес-процессов — вовсе не гарантирует их стабильной работы.

Именно эффективностью процесса обеспечения непрерывности бизнеса определяется его устойчивость к внешнему и внутреннему негативному воздействию. Непрерывность деятельности организации также подразумевает эффективное восстановление работы после аварий.

Немалую роль в обеспечении непрерывности деятельности организации играют такие составляющие, как независимость от человеческого фактора в части соблюдения важнейших процедур, взаимозаменяемость ключевых ресурсов, а также время принятия решений в тех или иных ситуациях. Так, в случае увольнения сотрудника, имеющего исключительный опыт работы и уполномоченного совершать ответственные действия, необходимо точно знать, сколько времени потребуется для обучения и включения в рабочий процесс нового сотрудника, способного полностью заменить своего предшественника.

Многие организации, приступающие к внедрению процесса обеспечения непрерывности деятельности организации, обнаруживают, что для эффективного старта им не хватает входящих данных, иными словами, информации о том, с чего начать это внедрение. С информационными системами все достаточно понятно, потому что не вызывает сомнения необходимость обеспечения сохранности данных путем регулярного резервного копирования, бесперебойной подачи электропитания для вычислительных систем, резервирования каналов связи, реализации возможности быстрого переключения на резервные компоненты (например, посредством замены серверов) и осуществления контроля за внесением изменений в вычислительные системы. Однако на практике гораздо более важным фактором может оказаться наличие специалистов, которые будут держать эти информационные системы под контролем, а также согласованность их действий с действиями других участников бизнес-процессов — пользователей. Полнота рассмотрения ключевых ресурсов организации — залог успешного планирования обеспечения непрерывности деятельности организации.

Определив ключевые ресурсы организации, необходимо провести оценку вероятности наступления неблагоприятных событий и их потенциальных последствий для этих ресурсов и для организации в целом. Бесспорно, для того чтобы наиболее эффективно отреагировать на риски, желательно располагать материальной (количественной) оценкой потенциальных последствий по каждому виду риска. Однако получить такую оценку иногда бывает затруднительно. Так, например, сложно подсчитать материальный ущерб, нанесенный организации, предоставляющей услуги, при наступлении событий, которые оказывают непосредственное влияние на возможность предоставления этих услуг, потому что прямого ущерба здесь может и не быть. В частности, если организация не сможет должным образом поддерживать пользователей своих ИТ-услуг, то она не ощутит мгновенного ущерба, который мог бы иметь материальное выражение, но это может повредить репутации организации, что в свою очередь негативно отразится на ее будущем финансовом состоянии и доверии к ней со стороны инвесторов.

Существует и обратная зависимость: если риск непредоставления ИТ-услуг на должном уровне затрагивает процессы, непосредственно связанные с получением дохода, то эффект (ущерб) от наступления последующих событий можно выразить в денежном эквиваленте, т. е. оценить его количественно.

В практике управления рисками, как правило, используются 4 стратегии реагирования на них, объединенные под аббревиатурой TARA (transfer, accept, reduce, avoid).

Стратегия передачи риска (transfer) предполагает вступление в договорные отношения для определения минимального объема услуг в рамках сотрудничества с третьей стороной, осуществляющей бизнес-функцию (аутсорсинг).

Принятие риска (accept) означает признание готовности бизнеса к последствиям от наступления риска и к предполагаемому финансовому ущербу (такая стратегия реагирования на риски может быть выбрана, например, в том случае, если предполагаемый ущерб является несущественным).

Стратегия снижения риска (reduce) предусматривает внедрение механизмов (например, таких как контрольные процедуры), уменьшающих вероятность наступления риска и степень влияния последствий от его наступления. Контрольные процедуры в свою очередь могут предупреждать событие (например, в ситуации, которая будет классифицирована как "пожар в серверном помещении", предупреждающей процедурой станет использование в местах возможного возникновения пожара негорючих материалов и поддержание в них температурного режима, позволяющего избежать перегрева техники) либо своевременно выявлять его, таким образом минимизируя последствия от реализации риска. Наглядным примером использования предупреждающих контрольных процедур является создание кадрового резерва для поддержания бизнес-функций организации или разработка плана действий в случае отсутствия ключевых сотрудников.

Наконец, выбор организацией стратегии избежания риска (avoid) говорит о том, что она не будет осуществлять деятельность, связанную с данным риском. Стратегия реагирования на риски отражена в процедурах обеспечения непрерывности деятельности организации и восстановления после аварий.

§2. «Первая глазная клиника» г. Москва и описание ее основных бизнес-процессов

Объектом исследования является «Первая глазная клиника России», которая расположена в г. Москва, по адресу ул. Вересаева, д. 14. В клинике работают квалифицированные специалисты, прошедшие обучения в ведущих медицинских центрах России, Австрии, Англии, Германии, Голландии, Японии. Рассмотрим подробнее на организационной диаграмме. (Рис. 1)

Во главе «Первой глазной клиники» стоит директор, у которого в подчинении стоит заместитель директора, управляющий всем персоналом в клинике. Все документы проходят через заместителя, в следствии попадая к директору. В подчинении у заместителя директора находятся администратор, две медицинские сестры, два офтальмологхирурга, три врача – офтальмолога и два лазерного хирурга.

Основными источниками доходов глазной клиники являются денежные средства, полученные от клиентов, за реализованные услуги в сфере офтальмологии.

«Первая глазная клиника» является членом международной ассоциации диагностических центров и в своей работе руководствуется идеологией и технологией ведущих диагностических центров России.

Цель «Первой глазной клиники» -оказание высококвалифицированной и специализированной медицинской помощи в сфере офтальмологии.

Задачи «Первой глазной клиники»:

1. Оказание медицинской помощи

Оказание первой и неотложной медицинской помощи, в области офтальмологии, больным при острых и внезапных заболеваниях, травмах, и других несчастных случаях.

1. Диагностика зрения

Раннее выявление заболеваний, квалифицированное и в полном объеме обследование больных и здоровых, обратившихся в клинику.

1. Консультация

Проведение консультаций в области офтальмологии.

1. Ведение личной карты пациента

Ведение личной карты пациента, хранение истории болезни и лечения пациента.

1. Коррекция зрения

Лечение глазных заболеваний таких как катаракта, близорукость, астигматизм, глаукома и т.д. Проведение операций по согласию пациента.

1. Предоставление стационара

Предоставление стационара для пациента клиники, до и после операции по коррекции зрения.

1. Постоперационное обследование

Оказание постоперационного обследования пациента клиники через некоторое время после проведения плановой операции.

1. Подбор очков и контактных линз

Проверка остроты зрения, возможная коррекция зрения, выбор диоптрий, очков, оправ и контактных линз. Подбор специальных средств по уходу за линзами и очками.

Предмет и цели деятельности: оказание высококвалифицированной и специализированной медицинской помощи в сфере офтальмологии.

Преимущества данной организации:

1. Индивидуальный подход к пациентам.

2. Команда профессионалов, ориентированных на результат.

3. Современное оснащение всех подразделений клиники.

4. Широкие возможности диагностики.

5. Операционная, оснащенная по мировым стандартам.

6. Высокотехнологичные методики лечения заболеваний глаз.

7. Расходные материалы и медикаменты ведущих мировых производителей.

8. Только импортные искусственные хрусталики.

9. Удобный режим работы.

10. Доступные цены.

Как и любого другого предприятия, у данной организации имеются свои основные бизнес-процессы. Основные бизнес-процессы «Первой Глазной Клиники»:

1. Активное привлечение и развитие пациентов:

1. Акции;

2. Купоны;

3. Скидки;

4. Единая точка входа;

5. Запись на прием;

6. Автоуведомления;

2. Процессы оказания медицинских услуг:

1. Оборудование;

2. Каталог услуг;

3. Квалификация сотрудников;

4. Расписание специалистов;

5. Качество оказания услуг;

6. Личный кабинет пациента;

7. История болезни;

8. Документооборот.

Клиентами «Первой глазной клиники» г. Москва являются, в основном, физические лица.

Рисунок 1 – Организационная структура «Первой глазной клиники»

«Первая Глазная Клиника» сотрудничает только с лучшими организациями, занимающимися изготовлением и поставкой офтальмологического оборудования, расходных материалов для работы клиники и прочей необходимой продукции.

• Alcon

Компания «Alcon» – признанный мировой лидер в области производства офтальмологической продукции. На сегодняшний день в компании работает порядка 12 тысяч сотрудниках на 26 производственных объектах по всему миру. Деятельность «Alcon» основана на новейших технологиях и передовых инновациях в области лечения заболеваний глаз, обеспечивая все необходимое для потребителей. «Alcon» предлагает широчайший ассортимент оборудования для хирургических манипуляций, различных приборов, обычных и контактных линз, фармацевтических продуктов и средств по уходу за глазами.

• Медин-Урал

Предприятие«Медин-Урал», чьи профессиональные изделия хорошо известны в России и странах СНГ,ведет свою работу уже больше двадцати лет. В широком ассортименте продукции предприятия представлены изделия для любого направления медицины, начиная от общей хирургии и заканчивая офтальмологией и нейрохирургией. Предприятие использует только новейшие способы механообработки и заточки приборов, что позволяет добиться высокого качества и прекрасного результата в работе.

• Rayner

Первой в мире изобрела искусственный хрусталик именно английская компания«Rayner», в 2010 году отпраздновавшая столетие своей работы. Вот уже больше полувека она помогает вернуть отличное зрение пациентам по всему миру. Компания «Rayner»не стоит на месте и постоянно совершенствует технологии, при этом строго контролируя качество производимых линз. Чтобы обеспечить полноценный контроль качества все линзы производятся только в Соединенном Королевстве. В 2009 году деятельность компании «Rayner»была отмечена высшим знаком почета – Королевской наградой за достижения в области инновационных технологий и качества продукции, полученной из рук самой королевы Елизаветы II.

• ООО «МедЛаб»

ООО «МедЛаб»является дочерним австрийско-российским предприятиемавстрийской компании «ASKIN&Co» – на сегодняшний день это крупнейший европейскийдистрибьютерофтальмологической продукции. ООО «МедЛаб» специализируется на продвижении и продаже различных расходных материалов для современной офтальмологической практики.

• Новартис

История компании «Новартис»началась в России еще в середине XIX века. Сегодня на территории Российской Федерации представлены все ее бизнес подравделения: «НовартисФарма», «Сандоз», «Алкон», «Новартис ОТС», «Новартис Вакцины и Диагностика» и «НовартисЭнималХелс». Свыше 2400 сотрудников компании «Новартис» работают в большинстве регионов России, создавая продукцию высочайшего уровня для сферы здравоохранения.

• Гранд Оптикс

Компания «Гранд Оптикс», основанная в 2004году, является современной организацией, специализирующейся на поставках новейшего офтальмологического оборудования и расходных материалов ведущих компаний-производителей, таких как Xcelens, Topcon, Tomey, Baush+Lomb, A.R.C Laser, OcularInstruments иSciCan. В числе постоянных партнеров «Гранд Оптикс» числятся лучшие офтальмологические клиники, глазные центры и салоны оптики по всей России. Компания предлагает своим клиентам широчайший ассортимент продукции для удовлетворения даже самого притязательного профессионального запроса. Работа сотрудников направлена на постоянный рост и достижение новых профессиональных рубежей, в том числе, благодаря налаживанию связей с отечественными и зарубежными партнерами.

• RUMEX Group

«RUMEX Group»– это холдинг, вышедший на рынок России и стран СНГ в 1991 году. Он специализируется на изготовлении микрохирургического оборудования для офтальмологии и кардиохирургии, поставляет оборудование и расходные материалы мировых производителей-лидеров.

• ООО «Б. Браун Медикал»

ООО «Б. Браун Медикал» является дочерним предприятием«B. BraunGroup», признанного одним из ведущих мировых лидеров в сфере поставок товаров для отрасли здравоохранения в Россию. Компания занимается поставкой исключительно высококачественных медицинских изделий, имеющих прекрасную репутацию в сфере практикующих специалистов.

• Адвокат

Цибульский Андрей Владимирович — осуществляет юридическую деятельность с 2003 года. Обладает двумя высшими образованиями, в 2006 году успешно защитил магистерскую диссертацию в Российской школе частного права при Президенте РФ. Полученные знания позволили ему успешно защищать интересы клиентов в многочисленных налоговых, корпоративных и общегражданских спорах в Арбитражных судах и судах общей юрисдикции.

• ДЕЗНЭТ

«ДЕЗНЭТ» – это компания, специализирующаяся на поставке самого полного спектра современных дезинфекционных и антисептических средств, оборудования медицинского назначения и расходных материалов для повседневной практики медицинских учреждений по всей России.

• Группа Клиник «Центр Эстетической Стоматологии»

Группа Клиник «Центр Эстетической Стоматологии» успешно развивается с 1997 года и уже 19 лет занимает лидирующие позиции среди Российских стоматологических клиник, благодаря достижению наилучших результатов в различных областях стоматологии. Свидетельством этого, являются шесть современных клиник в лучших районах Москвы, предлагающих полный спектр стоматологических услуг высочайшего качества, инновационные методы диагностики и лечения, при помощи современного оборудования, применения эксклюзивных методик и безвредных материалов последнего поколения. Доктора Группы клиник "Центр эстетической стоматологии" имеют научные степени и звания, регулярно участвуют в международных конференциях, семинарах и выставках, поддерживают научную связь с Университетом "Шарите" (Германия, Берлин). Среди нас 11 кандидатов мед.наук и 3 доктора медицинских наук. В 2012 году Группа клиник "Центр эстетической стоматологии" была награждена международной премией "Грация". Это стало признанием нашего многолетнего труда, успехов и достижений в области лечения зубов Москвичей и гостей нашего города. http://www.impl.ru/

• МД ВИЖН

Компания «МД ВИЖН», являющаяся эксклюзивным представителем NIDEK Сo. Ltd (Япония), –одна из самых интенсивно развивающихся организаций в сфере поставок качественного японского медицинского оборудования во все регионы Российской Федерации и стран СНГ. NIDEK считается крупнейшим производителем огромного спектра оборудования для офтальмологической практики не только в Японии, но и во всем мире. На сегодняшний день компания имеет статус транснациональной корпорации с множеством исследовательских филиалов в странах Европы и США. Научнаядеятельность ведется в тесном сотрудничестве с университетами и медицинскими центрами с мировым именем. NIDEK является признанным лидером в сфере выращивания искусственных тканей человеческого организма. В данный момент компания при поддержке японского правительстваразрабатывает систему искусственного зрения.

• ООО «ПОЛИСТ лайн»

Компания «ПОЛИСТ лайн» была основана в 1992 году и является частью холдинга «POLIST group». Он объединяет четыре компании, чья деятельность заключается в продаже оборудования и расходных материалов для офтальмологической практики и техническомобслуживании медицинской техники.

§3. Построение плана обеспечения непрерывности бизнеса частной глазной клиники

Работа над обеспечением непрерывности - это комплекс мероприятий, итогом реализации которых является план обеспечения непрерывности. Для создания любого плана обеспечения непрерывности функционирования «Первой глазной клиники» нам необходима, для начала, оценка всех возможных рисков.

Риски:

• Трудовыми ресурсами (спецификация персонала, низкий уровень вовлеченности исполнителей)

• Временные риски

• Технические риски

• Риски, связанные с бюджетом.

Угрозы: пожар, нарушение электропитания, социальный инжиниринг, зависимость от партнеров, разрушение/повреждение медицинского оборудования, аварии технических средств и каналов связи, сбои и отказы программных средств, недобросовестное исполнение обязанностей, халатность, ошибка персонала.

Таблица 2 – Описание рисков и уязвимостей

Описание риска (угрозы)	Уязвимости	Возможный источник угрозы	Вероятные последствия - результаты реализации угрозы (сценарии)
Сбои и отказы программных средств и технических средств	Отсутствие механизма защиты от перегрузки канала связи. Архитектура приложения, неоптимизированная для высоких нагрузок Отсутствие дополнительных программных средств Не согласованы сроки поставки	Персонал	Изменение данных, необходимых для управления проектами Отклонение работ от плана
Пожар	Неисправность системы пожаротушения	Рабочий персонал	Пожар
Зависимость от партнеров	Несвоевременная поставка оборудования	Партнеры	Отказ клиентам в оказании услуг Отмена сложных и срочных плановых операций
Трудовые ресурсы	спецификация персонала, низкий уровень вовлеченности исполнителей в реализацию проектов	Руководство	Срыв плановых операций, отсутствие прибыли, клиенты и партнеры отказываются в дальнейшем работать
Финансовые	Недостаточно средств, экономический кризис	Руководство	Разорение фирмы

После описания рисков и возможных уязвимостей нужно приступить к ранжированию критически важных бизнес-процессов и классификации источников угроз.

TPD max(англ. Maximum tolerable period of disruption) – максимально приемлемый (допустимый) период восстановления бизнес процесса организации, можно выделить данный показатель для основного рабочего времени и дня не основного(например, ночное время).

RTO (англ. Recovery time objective) – целевой срок(время) восстановления каждого вида деятельности организации.

LBC (англ. Level of business continuity) – «уровень непрерывности бизнеса», описывающий какую долю штатной нагрузки должен обеспечивать бизнес-процесс в случае чрезвычайной ситуации.

Таблица 3 – Ранжирование критически важных бизнес-процессов

Исполнение проекта
Реализация плана лечения	TPD max =5 дней RTO max = 2 часа LBC = 75%
Обеспечение качества лечения	TPD max =2 часа RTO max = 30 минут LBC = 50%
Управление командой по лечению пациента (операция)	TPD max =2 часа RTO max = 4 часа LBC = 75%
Учет исполнения лечения	TPD max=4 часа RTO max = 1 час LBC = 50%
Инициация проекта
Разработка концепции	TPD max = 2 часа RTO = 3 часа LBC = 70%
Рассмотрение и утверждение концепции.	TPD max = 30 минут RTO = 1 час LBC = 20%
Принятие решения о начале лечения	TPD max = 15 минут RTO = 3 часа часов LBC = 50%

Таблица 4 – Классификация источников угроз

Источник угрозы ИБ	Описание
Класс 1. Источники угроз ИБ, связанные с неблагоприятными событиями природного, техногенного и социального характера
Пожар	Неконтролируемый процесс горения, сопровождающийся уничтожением материальных ценностей и создающий опасность для жизни людей. Возможные причины: поджог, самовозгорание, природное явление
Природные катастрофы, чрезвычайные ситуации и стихийные бедствия	Природные явления разрушительного характера (наводнения, землетрясения, извержения вулканов, ураганы, смерчи, тайфуны, цунами и т.д.)
Техногенные катастрофы	Разрушительный процесс, развивающийся в результате нарушения нормального взаимодействия технологических объектов между собой или с компонентами окружающей природной среды, приводящий к гибели людей, разрушению и повреждению объектов экономики и компонентов окружающей природной среды
Нарушение внутриклиматических условий	Негативное изменение климатических условий в помещениях, где расположены технические средства и/или находится персонал: значительные изменения температуры и влажности, повышение содержания углекислого газа, пыли и т.п. Возможные последствия: сбои, отказы и аварии технических средств, снижение работоспособности и нанесение ущерба здоровью персонала, нарушение непрерывности выполнения процессов, снижение качества информационных услуг (сервисов)
Нарушение электропитания	Нарушение или снижение качества электропитания. Возможные причины: техногенная катастрофа, стихийное бедствие, природное явление, террористический акт, пожар и т.п. Возможные последствия: сбои и отказы технических средств
Нарушение функционирования систем жизнеобеспечения	Сбои и аварии в системах водоснабжения, канализации, отопления
Угроза здоровью персонала	Угроза здоровью персонала в результате радиационных, биологических, механических, термических, химических и иных воздействий со стороны окружающей среды, объектов инженерной инфраструктуры, технических средств, пищевые отравления, производственный травматизм. Возможные причины: техногенные или природные катастрофы, аварии объектов инженерной инфраструктуры, неисправность оборудования, несоблюдение правил техники безопасности и охраны труда, санитарных правил и т.д. Возможные последствия: нехватка персонала, денежные выплаты, судебные разбирательства
Класс 2. Источники угроз ИБ, связанные с деятельностью террористов и лиц, совершающих преступления и правонарушения
Социальный инжиниринг	Умышленные действия сторонних лиц, преследующих мошеннические цели, реализуемые посредством обмана, введения в заблуждение работников организации БС РФ. Возможные последствия: ошибки работников, нарушение свойств, утрата информационных активов, нарушение непрерывности процессов, снижение качества информационных услуг (сервисов)
Класс 3. Источники угроз ИБ, связанные с деятельностью поставщиков/провайдеров/партнеров
Зависимость от партнеров	Зависимость от партнеров заставляет организацию полагаться на их информационную безопасность, организация должна быть уверена, что партнер сможет обеспечить должный уровень безопасности либо учитывать данный источник угроз
Ошибки, допущенные при заключении контрактов с провайдерами внешних услуг	Неточности и неопределенности в договоре с провайдером внешних услуг, которые могут создавать проблемы в работе заказчика
Нарушения договорных обязательств сторонними (третьими) лицами	Невыполнение со стороны третьих лиц взятых на себя обязательств по качеству, составу, содержанию и/или порядку оказания услуг, поставки продукции и т.д. Например, невыполнение требований разработчиками, поставщиками программно-технических средств и услуг или внешними пользователями
Ошибки в обеспечении безопасности информационных систем на стадиях жизненного цикла	Ошибки в обеспечении безопасности при разработке, эксплуатации, сопровождении и выводе из эксплуатации информационных систем
Разработка и использование некачественной документации	Некачественное выполнение документированного описания технологических процессов обработки, хранения, передачи данных, руководств для персонала, участвующего в этих технологических процессах, а также описания средств обеспечения ИБ и руководств по их использованию
Использование программных средств и информации без гарантии источника	Использование в информационной системе организации непроверенных данных или нелицензионного программного обеспечения
Класс 4. Источники угроз ИБ, связанные со сбоями, отказами, разрушениями/повреждениями программных и технических средств
Превышение допустимой нагрузки	Неумышленное превышение допустимой нагрузки на вычислительные, сетевые ресурсы системы. Выполнение работниками объема операций большего, чем это допускается психофизиологическими нормами. Возможные причины: малая вычислительная и/или пропускная мощность, неправильная организация бизнес-процессов. Возможные последствия: сбои и отказы технических средств, нарушение доступности технических средств, ошибки персонала, нанесение вреда здоровью
Разрушение/повреждение, аварии технических средств и каналов связи	Физическое разрушение/повреждение технических средств (канала связи) или определенное сочетание отказов его элементов, приводящее к нарушениям функционирования, сопряженным с особо значительными техническими потерями, делающее невозможным функционирование технического средства (канала связи) в целом в течение значительного периода времени. Возможные причины: действие внешних (физический несанкционированный доступ, террористический акт, техногенная катастрофа, стихийное бедствие, природное явление, массовые беспорядки) и/или внутренних (значительные отказы элементов технических средств) факторов. Возможные последствия: нарушение свойств информационных активов, их утрата, нарушение непрерывности выполнения процессов, снижение качества информационных услуг (сервисов)
Сбои и отказы программных средств	Нарушение работоспособности программных средств. Возможные причины: недопустимое изменение параметров или свойств программных средств под влиянием внутренних процессов (ошибок) и/или внешних воздействий со стороны вредоносных программ, оператора и технических средств. Возможные последствия: нарушение свойств информационных активов, нарушение непрерывности выполнения процессов, снижение качества информационных услуг (сервисов)
Сбои и отказы технических средств и каналов связи	Прерывание работоспособности технических средств или невозможность выполнения ими своих функций в заранее установленных границах. Возможные причины: недопустимое изменение характеристик технических средств под влиянием внутренних процессов, сложность технических средств, нехватка персонала, недостаточное техническое обслуживание. Возможные последствия: сбои, отказы программных средств, аварии систем, нарушение доступности информационных активов, нарушение непрерывности выполнения процессов, снижение качества информационных услуг (сервисов)
Нарушения функциональности архивной системы	Нарушение конфиденциальности и целостности архивных данных и/или непредоставление услуг архивной системой (нарушение доступности) вследствие случайных ошибок пользователей или неправильного управления архивной системой, а также вследствие физических воздействий на компоненты архивной системы
Класс 5. Источники угроз ИБ, связанные с деятельностью внутренних нарушителей ИБ
Недобросовестное исполнение обязанностей	Сознательное неисполнение работниками определенных обязанностей или небрежное их исполнение
Халатность	Неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе
Причинение имущественного ущерба	Умышленное нанесение персоналом вреда информационным активам. В первую очередь вредительство может быть направлено на технические и программные средства, а также на информационные активы. Возможные последствия: ущерб, вызванный нарушением свойств активов, включая их разрушение и уничтожение
Ошибка персонала	Любые не соответствующие установленному регламенту или сложившимся практикам действия персонала, совершаемые без злого умысла. Возможные причины: недостаточно четко определенные обязанности, халатность, недостаточное обучение или квалификация персонала. Возникновению ошибок способствуют отсутствие дисциплинарного процесса и документирования процессов, предоставление избыточных полномочий, умышленное использование методов социального инжиниринга по отношению к персоналу. Возможные последствия: нарушение конфиденциальности и целостности информации, утрата информационных активов, нарушение непрерывности выполнения процессов, снижение качества информационных услуг (сервисов), сбои и отказы технических и программных средств
Хищение	Совершенное с корыстной целью противоправное безвозмездное изъятие и/или обращение имущества организации БС РФ, причинившие ущерб собственнику или иному владельцу этого имущества
Выполнение вредоносных программ	Внедрение в систему и выполнение вредоносных программ: программных закладок, “троянских коней”, программных “вирусов” и “червей” и т.п. Возможные причины: беспечность, халатность, низкая квалификация персонала (пользователей), наличие уязвимостей используемых программных средств. Возможные последствия: несанкционированный доступ к информационным активам, нарушение их свойств, сбои, отказы и уничтожение программных средств, нарушение непрерывности выполнения процессов, снижение качества информационных услуг (сервисов)
Использование информационных активов не по назначению	Умышленное использование информационных активов организации в целях, отличных от целей организации. Возможные причины: отсутствие контроля персонала. Возможные последствия: нехватка вычислительных, сетевых или людских ресурсов, прямой ущерб организации
Нарушения персоналом организационных мер по обеспечению ИБ	Несоблюдение персоналом требований внутренних документов, регламентирующих деятельность по ИБ
Ошибки кадровой работы	Ошибки кадровой работы заключаются в приеме на работу неквалифицированных сотрудников, увольнении/перемещении сотрудников без проведения сопутствующих процедур по обеспечению ИБ, непроведении или нерегулярном проведении тренингов и проверок персонала
Класс 6. Источники угроз ИБ, связанные с деятельностью внешних нарушителей ИБ
Действия неавторизованного субъекта	Умышленные действия со стороны субъекта из внешней по отношению к области обеспечения ИБ среды. Возможные последствия: разрушение и уничтожение технических и программных средств, внедрение и выполнение вредоносных программ, нарушение свойств, утрата информационных активов и сервисов
Ложное сообщение об угрозе	Ложное сообщение об угрозе, такой как: пожар, террористический акт, техногенная катастрофа, гражданские беспорядки и т.д. Возможные последствия: нарушение свойств информационных активов, их утрата, нарушение непрерывности выполнения процессов, снижение качества информационных услуг (сервисов)
Неконтролируемая модификация информационного актива	Неумышленное изменение информационных активов. Возможные причины: сбои оборудования, природные факторы и техногенные катастрофы. Возможные последствия: нарушение непрерывности выполнения процессов, прямой ущерб организации
Несанкционированный логический доступ	Несанкционированный логический доступ неавторизованных субъектов к компонентам подразделения и информационным активам. Возможные причины: компрометация пароля, предоставление пользователям/администраторам избыточных прав доступа, недостатки (отсутствие) механизмов аутентификации пользователей и администраторов, ошибки администрирования, оставление без присмотра программно-технических средств. Одним из путей получения несанкционированного доступа к системе является умышленное внедрение вредоносных программ с целью хищения пароля для входа в систему или получения прав доступа. Возможные последствия: нарушение свойств информационных активов, сбои, отказы и аварии программных и технических средств, нарушение непрерывности процессов и/или снижение качества информационных услуг (сервисов)
Несанкционированный физический доступ	Физический несанкционированный доступ неавторизованных лиц в контролируемую зону расположения технических средств и/или информационных активов. Возможные причины: может осуществляться путем обхода средств контроля физического доступа или использования утраченных/похищенных средств обеспечения доступа. Возможные последствия: разрушение и уничтожение технических и программных средств, нарушение конфиденциальности, целостности, доступности информационных активов, нарушение непрерывности процессов и/или снижение качества информационных услуг (сервисов)
Класс 7. Источники угроз ИБ, связанные с несоответствием требованиям надзорных и регулирующих органов, действующему законодательству
Несоответствие внутренних документов действующему законодательству	Несоответствие деятельности может привести к административным и уголовным санкциям со стороны судебных, надзорных и регулирующих органов в отношении должностных лиц подразделения, вызвать остановку отдельных видов деятельности
Изменчивость и несогласованность требований надзорных и регулирующих органов, вышестоящих инстанций	Непостоянство, различия и коллизии в содержании требований и/или порядке их выполнения способны дезорганизовать деятельность подразделения или его отдельных служб, снизить ее эффективность и качество, а при определенных обстоятельствах — затруднить ее осуществление. Способствует “размыванию” или пересечению зон ответственности исполнителей и служб, манипуляции со стороны ответственных лиц и служб своими правами и обязанностями в ущерб общей деятельности. Приводит к перераспределению ресурсов в пользу той деятельности (зачастую не основной), за несоблюдение требований к которой наказание наиболее ощутимо для организации (должностного лица)

Все угрозы можно разделить на три основные группы:

I. Обусловленные действиями субъекта (антропогенные источники) – субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированны как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.

Угрозы:

• потеря персонала;

• невыход персонала на работу;

• атаки хакеров;

• компьютерные вирусы;

• выход из строя обеспечивающих систем (халатность);

• угроза некорректности данных (ошибки персонала);

• угроза целостности данных (хищение).

II. Обусловленные техническими средствами (техногенные источники)– эти источники угроз менее прогнозируемы и напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.

Угрозы:

• отказ компьютерных аппаратных средств;

• сбои в работе аппаратных и программных средств;

• выход из строя аппаратных средств.

III. Стихийные источники– данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия, или др. обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы.

Угрозы:

• пожары,

• нарушение функционирования систем жизнеобеспечения,

• нарушение внутриклиматических условий,

• нарушение электропитания и др.

Стратегия управления непрерывностью бизнеса имеет свою цель и область применения: целью документа является восстановление критичных важных организационных и технических процессов после их сбоя, определив четкую последовательность действий.

Обеспечение непрерывности бизнеса включает в себя такие цели:

• поддержание способности компании выполнять принятые на себя обязательства перед клиентами и партнерами, предупреждение и предотвращение возможного нарушения режима повседневного функционирования компании;

• сохранения уровня управления компании, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, своевременную полную реализацию;

• снижение последствий нарушения режима повседневного функционирования;

• обеспечение соответствия всех механизмов принципов непрерывности бизнеса требованиям нормативно-правовых актов, государственных стандартов, утвержденных в компании актов, планов, программ и т.п.

План обеспечения непрерывности включает поддержку процесса восстановления в штатный режим работы следующих сервисов: электронная почта, файловый сервис.

Рамки плана. Настоящий план предназначен для случаев сбоев в работе критически важных сервисов, вызванных сбоями оборудования/программного обеспечения (аварийный режим) более чем на 2 часа. План предназначен для использования в случае:

• с неблагоприятными событиями природного, техногенного и социального характера (пожар, чрезвычайные ситуации и стихийные бедствия, техногенные катастрофы, нарушение электропитания, нарушение функционирования жизнеобеспечения);

• серьезных инцидентов в области информационной безопасности (вирусные атаки, DOS атаки, приводящие к нарушению работоспособности всех информационных систем, социальный инжиниринг, ошибки персонала, недобросовестное исполнение обязанностей, использование информационных активов не по назначению, несанкционированный доступ).

• связанные со сбоями, отказами, разрушениями/повреждениями программных и технических средств (выхода из строя аппаратных компонентов, выхода из строя оборудования кондиционирования в серверном помещении, сбои и отказы программных средств, нарушения функциональности криптографической системы, нарушения функциональности архивной системы).

Для поддержания готовности к реагированию при реализации угроз, влияющих на непрерывность сервиса, необходимо создание восстановительной команды.

Таблица 5 - Распределение функций, ответственности и полномочий

Роль	Обязанности
	До аварии	В аварийный период	После аварии
Координатор планирования обеспечения непрерывности	инициировать процесс первичной выработки стратегий и плана непрерывности для наиболее критичных ИТ-сервисов; поддерживать актуальность стратегий и планов обеспечения непрерывности; проводить периодическое тестирование; информировать сотрудников компании, вовлеченных в обеспечение непрерывности сервиса	Осуществлять информационную поддержку руководителя АВК по вопросам восстановления	Инициировать вопрос пересмотра стратегий, планов, процедур непрерывности
Ответственный за резервное копирование	Подготовка плана восстановления важных данных во время ЧС и аварии; обеспечить еженедельное/ежедневное (сразу после внесения изменений) резервное копирование	Следовать строго инструкции по восстановлению данных; проверить все данные и настройки резервного копирования; согласовать действия с вышестоящим руководством.	Пересмотреть актуальность плана по восстановлению данных, в случае краха; донести важную информацию до руководства; сообщить о результатах восстановления
Ответственный за функционирование локальной сети	Организовать дублирование на случай аварии, чтобы система продолжала функционирование; написать инструкцию по действиям.	Провести анализ текущей ситуации; проверить работоспособность дублирования и функционирования системы после аварии; отчитаться перед руководством	Сообщить руководству о своих действиях и о положении системы, после проверки ее работоспособности
Администратор	Анализ воздействия аварии на бизнес; определение рисков, угрожающих бизнесу в целом, и предоставление информации руководству компании.	Оценить ситуацию и принять решение об объявлении аварийной ситуации и санкционировать активацию плана; поддерживать контакты с вышестоящими организациями и сотрудничать с местными властями; предоставлять своевременную информацию руководителям компании.	Предоставлять руководителю компании, службе безопасности, информацию, связанную с аварией и планом восстановления
Специалист технической поддержки пользователей.	Написать инструкции по действию специалистов ТП на случай аварии и дальнейшей поддержке пользователей	Оценить ситуацию; по возможности сообщить пользователям, которые обратились, о задержке в оказании помощи; действовать согласно инструкции	Пересмотреть план, в случае краха. Отчитаться перед руководством; оказать оперативную помощь всем обратившимся пользователям

Задачей плана является восстановление сервис в течение 1-2 ч. На восстановление каж­дого сервиса отводится 1 час. Допустимой потерей данных при восстановлении системы является потеря данных за интервал в 2 ч.

Общей стратегией выполнения плана является:

• Оповещение ответственного администратора;

• Диагностика неисправности;

• Переход работы сервисов на оборудование «холодного» резерва;

• Работа на оборудовании «холодного» резерва;

• Восстановление штатного способа предоставления сервиса;

• Возврат к штатному режиму функционирования.

Активация настоящего плана производится: визуальный осмотр серверного помещения и определение невозможности запуска аппаратных средств, получение информации от энергокомпании о выключении электропитания в серверном помещении более чем на 2 часа, выход из строя аппаратных компонентов и невозможности их замены.

В случае наступления данного события, ответственный администратор системы должен быть незамедлительно уведомлен о необходимости активации плана.

Активацию данного плана не следует проводить в случаях: кратковременного (до 2 часов) выключения электропитания, проведения монтажных и других работ в серверном помещении, связанных с отключением электропитания в серверном помещении.

Настоящий план подлежит пересмотру каждые 6 месяцев. В рамках процедуры актуа­лизации плана должна быть проверена актуальность конфигурации оборудования и ПО, контактной информации всех лиц, имеющих отношение к данному плану. В процессе актуализации плана должна быть проведена проверка сроков действия всех договоров на поддержку (гарантийных договоров) систем, включенных в план. Срок действия вышеупомянутых договоров должен быть не менее даты следующего пересмот­ра настоящего плана (6 месяцев). Процедура актуализации должна также быть выполнена до планового срока в случае, если в систему вносятся существенные изменения, например, происходит миграция на но­вое оборудование.

По завершении процедуры актуализации план должен быть заново опубликован и размещен в доступных для ответственных лиц местах.

Частота обновлений компонентов:

• Оценка рисков: 6 месяцев

• Стратегия обеспечения непрерывности сервиса:12 мес

• Роли и обязанности команды восстановления:12 мес

• Состав команды восстановления и контактная информация: 3 мес

Тестирование плана аварийного восстановление должно осуществляться на регуляр­ной основе с интервалом не более 4 месяцев. Тестирование плана производится в нерабо­чее время или в выходные дни.

После получения информации о недоступности сервиса, ответственный админист­ратор, получивший сигнал, должен проинформировать одного из представителей руково­дства компании о происшествии. В случае наступления существенного (т.е. такого, который не смог быть оператив­но устранен ответственным администратором) сбоя в предоставлении сервиса, служба технической поддержки должна быть незамедлительно проинформирована ответственным администратором.

В случае, если наблюдаются события, которые могут привести к сбою/существенной деградации сервиса в ближайшем будущем, ответственному админи­стратору сначала необходимо провести первичную диагностику, оценить риски и требуе­мые действия по восстановлению, и потом, в случае существенной вероятности возникно­вения сбоев в предоставлении сервиса, проинформировать Службу заказчика. В любом случае, сообщение в службу технической поддержки должно содержать сле­дующую информацию:

• Сервис(ы), предоставление которых полностью, либо частично, нарушено (мо­жет быть нарушено);

• Прогнозное время устранения проблемы (если может быть определено на дан­ном этапе);

• Возможные альтернативные способы предоставления сервиса, если таковые существуют.

После наступления аварийной ситуации сервисы будут недоступны для пользова­телей. Службе технической поддержки необходимо проинформировать основных сотруд­ников, которые используют сервисы.

Опишем мероприятия по обеспечению непрерывности:

Фаза 0. Обнаружение инцидента: В течение фазы 0 происходит первичное обнаружение инцидента, возможно лицами, не являющимися специалистами в данном вопросе, первичная оцен­ка степени серьезности повреждений и информирование администратора. Любое лицо: если инцидент затрагивает безопасность людей, звонить в спец службы. Группа технической поддержки должна оценить длительность выхода сервиса из строя (если превышает 1 ч, то информировать администратора). Администратор сервиса должен оценить длительность выхода сервиса из строя.

Фаза 1. Идентификация инцидента, выбор стратегии: В течение фазы 1 происходит идентификация характера повреждений специа­листами, детальная оценка степени серьезности повреждений и производится выбор стратегии восстановления.

Специалист, ответственный за поврежденный компонент обязан проанализировать характер повреждения, оценить время восстановления, принять решение об объявлении аварии или передать инцидент специалисту.

Фазы 2 и 3. Частичное и полное восстановление сервиса: В течение фаз 2 и 3 выполняется процесс частичного и полного восстановления сервиса соответственно. При этом в ходе работ возможно выявления непредвиденных обстоятельств, которые могут привести к изменению уровня инцидента и возврата к этапу выбора стратегии, возможно, с переходом на план более высокого уровня.

Администратор определяет приоритеты восстановления, проверить достаточность аппаратного обеспечения на момент восстановления. Ответственный за резервное копирование должен проверить достаточность материала резервных копий. Ответственный за функционирование локальной сети: проверить работоспособность локальной сети после аварии, ЧС.

Фаза 4. Выход в штатный режим функционирования: Фаза 4 характеризуется обеспечением полного спектра услуг для бизнес-про­цессов со стороны ИТ-сервиса, однако, его внутренняя архитектура отличает­ся от штатной (например, отсутствует дублирование компонент).

Администратор должен определить компоненты восстановления системы, получить из резерва недостающие компоненты. Ответственные лица, администратор сервиса: привести архитектуру сервиса к штатной

Документирование и анализ инцидента: По окончании процесса восстановления (возможно, до окончания фазы 4) необходимо проведение подробного документирования инцидента и процесса восстановления сервиса от его последствий. Кроме того, анализ процесса вос­становления может привести к изменениям в стратегии и планах обеспечения непрерывности сервисов.

Заключение

Исследовав в данной работе существующие угрозы для организации, как внешние так и внутренние, рассмотрев кратко их последствия и реализацию, коротко описали вид деятельности одной из организаций для которой применим план по обеспечению непрерывной деятельности, перешли к разработке стратегии обеспечения непрерывности деятельности в организации, разработка и внедрение процедур реагирования и встраивание процесса управления непрерывностью деятельности в культуру организации. Это позволило разработать методологию разработки и примерное содержание плана обеспечения непрерывности и восстановления деятельности организации.

На основе этих сведений был разработан примерный план по обеспечению непрерывной деятельности организации исходя из существующих и актуальных угроз, который в дальнейшем обеспечит стабильную работу организации на нужном уровне, а также разработка процедур, которые обеспечат выживание организации при нарушении ее нормальной деятельности.

Таким образом, поставленная в курсовой работе цель, заключающаяся в разработке плана по обеспечению непрерывности и восстановлению достигнута.

Список литературы

1. Веснин В.Р. Менеджмент: учеб. – 3-е изд., перераб. и доп. – М.: ТК Велби, Изд-во Проспект, 2007. – 504 с.

2. Мескон М.Х, Альберт М., Хедоури Ф Основы менеджмента: Пер. с англ. – М.: Дело, 2006. – 720 с.

3. K. Степанов И.Г. Организация производства: Учебное пособие. - Новокузнецк: РИО НФИ КемГУ, 2003. - 93 с.

4. Виханский О.С. , Наумов А.И Менеджмент: 4-е изд., перераб. и доп. – М.: Экономистъ, 2005. – 670 с.

5. Алексеева, М.М. Планирование деятельности фирмы: учебно-методическое пособие/М.М. Алексеева - М.: Финансы и статистика, 2002.

6. Козлов, В.Д. Управление организационной культурой / В.Д. Козлов. - М.: Изд-во МГУ, 2001. - 132с.

7. Молодчик А.В. Менеджмент: стратегия, структура, персонал, знание: учеб. пособие для вузов. – М.: Изд. дом ГУ ВШЭ, 2005. – 296 с.

8. Шекшня С.В. Управление персоналом в современной организации. – М.: ЗАО «Бизнес-школа» «Интел-Синтез», 2000.

9. Карминский А.М., Карминский С.А., Нестеров П.В., Черников Б.В. Информатизация бизнеса: концепции, технологии, системы. - М.: Финансы и статистика, 2004. - 624 с.

10. Порншев, А.Г. Управление организацией/ А.Г. Порншев, З.П. Румянцева, Н. А. Саломатин- М.: ИНФРА-М, 2005. - 412с.

11. Бойдел,Т. Как улучшить управление организацией: пособие для руководителя / Т. Бойдел - М.: АО «Ассиана», 2004. - 312с.

12. Кузьмин, С.А. Менеджмент/ С.А. Кузьмин. - М.: Наука, 2007. - 367с.

13. www.iso27000.ruСтруктурные подразделения [Электронный ресурс] – Режим доступа: http://magtu.ru/sveden/struct/strukturnye-podrazdeleniya.html (дата обращения: 18.12.2016).

14. Романова, М.В. Указания по оформлению курсовых работ для бакалавров направления 080500.62 «Бизнес-информатика» [Текст] / Е.В. Чернова, М.В. Романова – Магнитогорск: Изд-во Магнитогорск. гос. техн. ун-та им. Г.И. Носова, 2014. – 29 с.

15. Романова, М.В. Методические рекомендации по написанию курсовых работ по дисциплине «ЭЛЕКТРОННЫЙ БИЗНЕС» для студентов направления 080700.62 - «Бизнес-информатика» [Текст] / М.В. Романова, А.Н. Старков – Магнитогорск : МаГУ, 2013. – с.

16. Марченко, А. Л. Метод Актуальные вопросы разработки и использования электронных изданий и ресурсов в обучении электротехнике и электронике в вузе [Текст]: монография / А. Л. Марченко – М.: МАТИ, 2010. – 160 с.

17. Чернова Е.В. Профессиональные компетенции магистров бизнес-информатики в курсе «Управление непрерывностью бизнеса» / Научные труды SWorld. – Выпуск 3(44). Том 4. – Иваново: Научный мир, 2016 – 100 с. - с.22-27

18. Веснин В.Р. Менеджмент: учеб. – 3-е изд., перераб. и доп. – М.: ТК Велби, Изд-во Проспект. – 504 с.

19. Чусавитина Г.Н., Макашова В.Н. Управление проектами с использованием Microsoft Project: Практикум. Магнитогоск: МаГУ, 2009. — 196 c

20. ГОСТ Р 55751-2013 Информационно-коммуникационные технологии в образовании. Электронные учебно-методические комплексы. Требования и характеристики [Текст]. – Введ. 2015–01–01. – Москва : Стандартинформ, 2014.

21. ГОСТ Р 53625-2009 (ИСО/МЭК 19796-1:2005) Информационная технология. Обучение, образование и подготовка. Менеджмент качества, обеспечение качества и метрики. Часть 1. Общий подход [Текст]. – Введ. 2011–01–01. – Москва : Стандартинформ, 2011.

22. ГОСТ Р 1.0-2004 Стандартизация в Российской Федерации. Основные положения [Текст]. – Введ. 2005–07–01. – Москва : ИПК Издательство стандартов, 2005.

23. Стандарт электронного учебно-методического комплекса термины и определения требования и система оценки качества СМК 4.2.3.10.2007 [Текст]. – Тюмень : Тюменский нефтегазовый университет , 2009.

24. Федеральный закон от 29.12.2012 N 273-ФЗ (ред. от 14.12.2015) «Об образовании в Российской Федерации» [Электронный ресурс] // СПС Консультант Плюс: – режим доступа: http://www.consultant.ru/document/cons_doc_LAW_140174/ (дата обращения: 17.12.2015)

25. Маниковский П.М. Формирование представлений об электронных образовательных ресурсах и их текущее состояние(на примере научной библиотеки забайкальского государственного университета) / П.М. Маниковский [Электронный ресурс] // Гуманитарный вектор. Серия: Педагогика, психология – 2013. – Режим доступа: http://cyberleninka.ru/article/n/formirovanie-predstavleniy-ob-elektronnyh-obrazovatelnyh-resursah-i-ih-tekuschee-sostoyanie-na-primere-nauchnoy-biblioteki (дата обращения: 17.12.2015).

26. Оценка качества образовательных услуг [Электронный ресурс] – Режим доступа: http://ido.rudn.ru/Open/menegment/t6_3.htm (дата обращения: 17.12.2015).

27. Емельянова А.В. Многокритериальная оптимизация решений в логистике на основе метода анализа иерархий / А.В. Емельянова, А.И. Закиева [Электронный ресурс] – 2015. – Режим доступа: http://www.scienceforum.ru/2015/900/11033 (дата обращения: 17.12.2015).

28. Методы экспертных оценок [Электронный ресурс] – 2013 – Режим доступа: http://habrahabr.ru/post/189626/ (дата обращения: 17.12.2015).

29. Котляров И.Д. Классификация Интернет-предприятий иерархий / И.Д. Котляров [Электронный ресурс] // Современная наука: Актуальные проблемы теории и практики – 2014. – Режим доступа: http://www.vipstd.ru/nauteh/index.php/---ep14-12/1353-a (дата обращения: 17.12.2015).

30. Метод комплексной оценки качества продукции [Электронный ресурс] – Режим доступа: http://studme.org/1382032811642/menedzhment/metod_kompleksnoy_ otsenki_kachestva_produktsii (дата обращения: 17.12.2015).

Код для цитирования: Скопировать