Verslo tęstinumo ir atkūrimo po katastrofos politika – MVĮ

Verslo tęstinumo ir atkūrimo po katastrofos politika (P32S) parengta siekiant padėti organizacijoms, įskaitant mažas ir vidutines įmones (MVĮ) be dedikuotų IT komandų, palaikyti veiklą ir atkurti esmines IT paslaugas trikdančių įvykių, tokių kaip kibernetinės atakos, elektros tiekimo sutrikimai ir sistemų gedimai, akivaizdoje. Atsižvelgiant į MVĮ būdingus iššūkius, politika pateikia praktišką ir aiškią tęstinumo planavimo sistemą, kuri stiprina organizacijos atsparumą ir atitiktį reglamentavimo reikalavimams. Šios politikos taikymo sritis yra išsami: ji taikoma visoms kritinės svarbos sistemoms ir paslaugoms, darbuotojams ir išoriniams IT paslaugų teikėjams. Ji užtikrina pasirengimą įvairiems sutrikimams, įskaitant, bet neapsiribojant, kibernetiniais incidentais, aparatinės įrangos gedimais ar fiziniu neprieinamumu darbo vietoms. Politika apima esmines sritis: atsarginių kopijų valdymą, verslo tęstinumo planavimą (BCP), atkūrimo po katastrofos operacijas, personalo pasirengimą ir reglamentavimo reikalavimų įgyvendinimą. Ji konkrečiai numato, kad departamentai apibrėžtų ir kasmet testuotų tęstinumo apėjimo sprendimus trims svarbiausioms kritinėms funkcijoms, užtikrinant alternatyvius darbo srautus, kai pagrindinės sistemos neveikia. Vienas iš išskirtinių P32S bruožų – pritaikymas MVĮ, ką rodo MVĮ politikos žymėjimas ir generalinio direktoriaus (GD) paskyrimas politikos savininku. GD yra atskaitingas už politikos patvirtinimą, tęstinumo planų priežiūrą, reglamentavimo ataskaitas (pvz., BDAR pranešimus) ir reagavimo į incidentus koordinavimą. Išoriniai IT paslaugų teikėjai ir departamentų vadovai atlieka svarbius pagalbinius vaidmenis, užtikrindami, kad kritiniai atsarginių kopijų procesai, atkūrimo veiksmai ir alternatyvios operacijos būtų įvykdyti ir dokumentuoti. Toks paskirstymas užtikrina veiksmingas tęstinumo praktikas be perteklinės sudėtingos struktūros, netinkančios mažesnėms organizacijoms. Politikos centre – atitikties tarptautiniams ir regioniniams standartams akcentas, įskaitant ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, ES BDAR, NIS2, DORA ir COBIT 2019. Politika detaliai susieja privalomas veiklas, tokias kaip BCP palaikymas ir testavimas, visų rizikos vertinimų ir likutinės rizikos priėmimo dokumentavimas bei personalo mokymų teikimas. Skaidrūs valdysenos mechanizmai užtikrina pasirengimą auditui; organizacijos turi įrodyti ne tik nuolatinį procesų tobulinimą, bet ir atnaujintų planų, atsarginių kopijų validavimo ataskaitų bei mokymų dokumentacijos priežiūrą ir prieinamumą vidaus ir tiekėjų personalui. Kasmetinis BCP ir DR planų testavimas yra privalomas reikalavimas, kartu su scenarijais pagrįstomis personalo peržiūromis ir techniniais atkūrimo testais. Politika taip pat reikalauja griežtų atsarginių kopijų standartų, atkūrimo procedūrų laikymosi ir išsamių po incidento peržiūrų. Personalo ar paslaugų teikėjų neatitiktis gali lemti drausmines nuobaudas, sutarčių peržiūrą, pranešimą apie incidentus reguliuotojams arba organizacijos pasitikėjimo praradimą. Apibendrinant, ši politika MVĮ suteikia tvirtą, su reglamentavimo reikalavimais suderintą ir įgyvendinamą kelią verslo tęstinumui ir atkūrimui po katastrofos.