В ISO стандарт 22301:2012 непрекъснатостта на дейността е определена като способността на дадена организация да продължава да предоставя продукти или услуги на приемливи, предварително зададени нива и след случай на прекъсване. Този стандарт определя управлението на непрекъснатостта на дейността като процес на цялостно управление, който:
-
определя потенциалните заплахи за организацията и въздействията върху бизнес операциите, които могат да причинят тези заплахи, ако станат реалност; и
-
дава рамка за изграждане на устойчивост на организацията, така че тя да може да реагира ефективно, като гарантира интересите на своите ключови заинтересовани страни, репутация, марка и създаващи стойност дейности.
Тъй като ECN е разпределена система с възел във всяка държава членка и в Агенцията, непрекъснатостта на услугата трябва да се гарантира както на национално, така и на европейско равнище.
Рисковете и проблемите, застрашаващи безпроблемното функциониране на различните компоненти от рамката на EUROSUR, трябва да бъдат идентифицирани и оценени, а националните координационни центрове и Агенцията трябва да бъдат подготвени да реагират подходящо при възникване на тези рискове. Националните координационни центрове и Агенцията трябва да предотвратяват или поне да свеждат до минимум потенциалното въздействие на заплаха или риск, който застрашава потока на информация в ECN и оказва въздействие върху създаването, поддържането и разпространяването на НКС, ЕКС и ОПРК.
-
Агенцията носи отговорност за изследване на рисковете и заплахите, на които ECN като цяло е възможно да бъде изложена, и гарантира нейната стабилност и добро функциониране.
-
националните координационни центрове носят отговорност за гарантиране на ефективното използване на своя възел от EUROSUR, за въвеждането на своите данни в ECN и за осигуряването на необходимите съоръжения за правилното функциониране на техния възел на ECN, както и гарантират, че необходимите мерки за сигурност са въведени с цел защита на възела на ECN. НКЦ трябва да гарантират свързаност с мрежите на НКЦ и своите национални системи, за да дадат възможност за използването и прехвърлянето на данни в рамките на ECN.
Тези задължения трябва да бъдат спазени чрез разработване на планове за непрекъснатост на дейността в рамките на Агенцията и на всеки НКЦ, както е описано в Меморандума за разбирателство, и въз основа на следните пет ключови стъпки:
4.5.1Анализ на въздействието
Целта на тази стъпка е да се определят ключовите процеси и функции в рамките на системата и въздействието, в случай че те спрат да бъдат достъпни за операции.
Анализът обхваща функциите и услугите, предоставяни от Агенцията, ECN и НКЦ, като те са категоризирани като:
-
Критични функции — не могат да бъдат прекъсвани за повече от час. Недостъпността на тези функции трябва да бъде незабавно отстранена, тъй като те оказват силно въздействие върху функционирането на цялата рамка на EUROSUR.
-
Основни функции — допустимо е прекъсване най-много за един ден. Въпреки това те следва да бъдат възстановени възможно най-бързо, а в най-добрия случай да бъдат недостъпни за не повече от около два часа.
-
Необходими функции — функции, които са важни за правилното функциониране на рамката на EUROSUR и ключови за резултатите на НКЦ в дългосрочен план. Те могат да бъдат прекъсвани най-много за седмица, без това да оказва влияние върху ключовите резултати; въпреки това те следва да бъдат възстановени възможно най-бързо.
Като част от процеса по акредитация е извършен анализ на риска за дейността за ECN.
4.5.2Управление на риска
Целта на тази стъпка е установяване, анализиране, контрол и наблюдение на рисковете. Рисковете трябва да бъдат оценявани във връзка с вероятността те да възникнат и последствията от тяхното възникване. Типичните рискове включват:
-
загуба на ключови активи (централен офис, оборудване или инфраструктура);
-
загуба на ключов персонал (включително неговото отсъствие);
-
загуба на спомагателни външни услуги (например сключили договор външни доставчици, загуба на електричество, вода и други комунални услуги).
4.5.3Разработване на стратегия и план за непрекъснатост на дейността
Целта на стратегията за непрекъснатост на дейността е да се определят критериите за приемане на риска и мерките за смекчаване на неприемливи рискове. За всички критични, основни и необходими функции трябва да е определен срок за възстановяване. В плана за непрекъснатост на дейността са описани процедурите, по които организациите се ръководят за реагиране, възстановяване, възобновяване и подновяване на функционирането на предварително зададеното оперативно ниво след прекъсване. Тези планове обикновено включват подробности, свързани със:
-
целта, обхвата и потребителите на плана;
-
референтни документи;
-
предположения;
-
роли и отговорности;
-
ключови лица за контакт;
-
активиране и деактивиране на плана;
-
комуникация;
-
реагиране при инциденти;
-
ред на възстановяването на дейности;
-
планове за възстановяване на дейности;
-
планове за възстановяване при бедствия;
-
необходими ресурси;
-
възстановяване и възобновяване на дейности.
Тези планове следва да бъдат интегрирани в цялостния план за непрекъснатост на дейността на държавите членки и на Агенцията.
4.5.4Комуникация в случай на прекъсване
Ако непрекъснатостта на дейността на ECN бъде преустановена, НКЦ и Агенцията се уведомяват взаимно за инцидента и за възможното въздействие, използвайки каналите на комуникация, определени в Меморандума за разбирателство. Уведомлението следва да включва описание на прекъсването, неговото въздействие върху ECN и дали НКЦ или Агенцията са активирали своите планове за непрекъснатост на дейността. Ако прекъсването може да има по-широко въздействие, всички държави членки трябва също да бъдат уведомени за инцидента и неговото потенциално въздействие.
Ако държава членка или Агенцията извършват тестове, които е възможно да имат потенциално въздействие върху цялостното функциониране на ECN, те предварително се уведомяват взаимно за тестовете и техните очаквани ефекти и продължителност.
4.5.5Поддържане на управлението на непрекъснатостта на дейността
Тези процеси и планове трябва редовно да бъдат поддържани, коригирани и подобрявани, за да се гарантира, че те са подходящи за настоящата ситуация. Това включва редовно провеждане на тестове и упражнения, предприемане на корективни действия и изменение и одитиране на процесите и плановете.
Сподели с приятели: |