Վիրահատությունները և Կառավարումը նպաստում են բիզնեսի գործընթացների շարունակականությանը
Բիզնես գործընթացների շարունակականությունը (BCP) (BCP)
1) Ի՞ նչ է BCP-ն և ինչո՞ ւ է այն անհրաժեշտ։
BCP-ը (Business Intinuity Planning) համակարգային մոտեցում է բիզնեսի գործընթացների կայունության բարելավմանը ցանկացած ձախողման դեպքում 'դենսատորի ձախողումից մինչև պրովայդերի ճգնաժամը, տվյալների արտահոսքը կամ բեռի հանկարծակի աճը։
Բարձր բեռնված ապրանքներում (iGaming, fintech, մարքեթինգային) դա միայն ենթակառուցվածքի մասին չէ, սա վստահության պահպանման, կարգավորող պարտավորությունների պահպանման և եկամուտների պաշտպանության մասին է։
Նպատակները
Պահպանել կրիտիկական ծառայությունների և տվյալների հասանելիությունը։
Նվազագույնի հասցնել վերականգնման ժամանակը (RTO) և տվյալների կորուստները (RPO)։
Ապահովել թիմերի, հաղորդակցությունների և արտաքին գործընկերների արդյունավետությունը ճգնաժամի մեջ։
Ստանդարտացնել արձագանքը և ուսուցումը։
2) BCP հիմնական բաղադրիչները
1. BIA (Business Impact Analysis) - գնահատում է գործընթացների և բիզնեսի վրա ձախողումների ազդեցությունը։
2. Ռիսկերը և սցենարները սպառնալիքների մատրիցն են (ենթակառուցվածքային, արտաքին, մարդկային)։
3. RTO/RPO նպատակները վերականգնման և թույլատրելի տարածքների հիմնական արժեքներն են։
4. Վերականգնման պլանը (PPP) մանրամասն քայլեր են համակարգերի և գործընթացների վերարտադրման համար։
5. Հաղորդակցությունները ներքին և արտաքին ջրանցքներ են, ծանուցումների ձևանմուշներ։
6. Փորձարկումը և ստուգումը ստուգման, ուսմունքների, փոստի վերլուծության մեթոդն են։
7. Տարբերակների փաստաթղթավորումը և վերահսկումը կենտրոնացված հասանելիությունն ու արդիականությունն են։
3) Ազդեցության վերլուծություն (BIA)
BIA-ն որոշում է, թե որ գործընթացները կրիտիկական են, և որքան արագ պետք է վերականգնվեն։
Մեթոդաբանություն
1. Բոլոր բիզնես գործընթացների իրականացումը (Payments, Bets, Games, KYC, Supert)։
2. Կախվածության սահմանումը (ծառայություններ, տվյալներ, պրովայդերներ, աշխատակիցներ)։
3. Ձախողման ազդեցության գնահատումը 'ֆինանսական, իրավաբանական, հեղինակական, վիրահատական։
4. RTO/RPO տեղադրումը յուրաքանչյուր գործընթացի համար։
5. Գերակայություն ՝ «Must Have», «Should Have», «Nice to Have»։
Օրինակ
4) Ռիսկերի մատրիցա
5) RTO, RPO և քննադատության մակարդակներ
RTO (Recovery Time Objective) 'որքա՞ ն ժամանակ թույլատրելի է վերականգնել։
RPO (Recovery Point Objective), որ տվյալների ծավալը կարող է կորցնել։
Գործընթացների դասերը
6) DRP (Disaster Recovery Plan)
Նպատակը 'ապահովել համակարգերի արագ և հետևողական վերականգնումը։
Քայլերը
1. Որոշեք սցենարները (CODA աղետը, PSA-ի ձախողումը, միգրանտների փոխզիջումը, ցանցի կորուստը)։
2. Յուրաքանչյուր սցենարի համար պատրաստի շրջադարձային playbook է։
3. Աջակցել DR ենթակառուցվածքը 'պահեստային կլաստերներ, BD կրկնօրինակներ, CDN/edge։
4. Պարբերաբար փորձարկել RTO/RPO և failover ընթացակարգերը։
5. Պահել բոլոր հրահանգները միասնական պահարանում տարբերակների վերահսկման հետ։
DR ձևաչափի օրինակ
Scenario: EU region falls
RTO: 30 min RPO: 5 min
Actions:
1. Activate plan DR # EU
2. Switch DNS → AP Region
3. Verify database consistency (replication lag ≤ 60s)
4. Update Status on StatusPage
5. Perform API benchmarking7) Թիմերի և դերերի կազմակերպությունը
BCP-2019 'ծրագրի սեփականատերը, կազմակերպում է ռուսական և թեստեր։
DR lead: պատասխանատու է DR պլանների տեխնոլոգիական իրականացման համար։
Domain Owners: ապահովում են իրենց գործընթացների շարունակականությունը (Payments, Games, KYC)։
Հաղորդակցությունների թիմը պատասխանատու է ներքին/արտաքին ծանուցումների և կարգավիճակի պլատֆորմների համար։
HR/Admin: BCP անձնակազմի համար (հեռացում, հաղորդակցություն, հասանելի)։
Legal/Compliance: կարգավորող ծանուցումներ և իրավաբանական միջոցներ։
8) Հաղորդակցություն ճգնաժամի մեջ
Կանոնները
Հստակ ջրանցքներ և պահեստային կապեր։
Առաջին ապդեյթը 15 րոպե անց է։
Հաղորդակցությունների միակ տոնայնությունը, փաստերը և ETA-ը։
Նորարարությունները յուրաքանչյուր N րոպեների փակումից առաջ։
Վերականգնումից հետո զեկույցը և հետմորտը։
Excapdeit
[HH: MM] PSP-X failed. Impact: Deposits in EU region.
Measures: feilover on PSP-Y. ETA stabilization: 30 min.
The next update is at 15:00.9) Փորձարկում և ուսուցում
Տեխնիկական 'failover թեստեր, BD վերականգնումը, DDoS սիմուլյացիան։
Վիրահատական 'handover/rolley թիմերի փոփոխություն։
Ամբողջական BCP ուսուցումները '«blackout» սցենարը կամ պրովայդերի անհասանելիությունը։
Ինտենսիվությունը
DR թեստերը եռամսյակային են։
BCP-ամբողջական ուսուցումը տարեկան 1-2 անգամ է։
Փաստաթղթավորումը 'արդյունքները, շեղումները RTO/RPO-ից, բարելավման գործողություններ։
10) Մետրիկի և KPI
RTO compli.ru-ն 'տեխնոլոգիական նպատակների վերականգնված գործընթացների տոկոսը։
RPO compli.ru: Գործընթացների տոկոսը առանց տվյալների կորցնելու> 2019։
DR test success rate 'վերականգնման գործընթացների հաջողակ ստուգումներ։
BCP coverage 'իրական պլանների գործընթացների մասնաբաժինը (> 90%)։
Comics SLA-ն '15 րոպե առաջին զեկույցը, ETA-ի նորարարությունը։
Postmortem SLA: 100 տոկոսը քննադատական իրադարձություններ են, որոնք վերլուծում են 2472 ռուբլիներ
11) Մոսկվան և գիտելիքների կառավարումը
Մեկ BCP պահեստը (տարբերակները, սեփականատերերը, վերանայման ամսաթվերը)։
Տարբերակների վերահսկումը 'ստուգումը ոչ պակաս, քան 6 ամիս։
Հասանելիություն 'օֆլայն պատճեններ և պահեստային կապի ջրանցքներ (ներառյալ հեռուստացույցը/մեսենջերները)։
Տե՛ ս ՝ հղում BCP-ում SOP-ում, պատահականության գործընթացներում և վիրահատական դաշբորդներում։
Համաժամացումը Risk Register-ի և EuroPolicies-ի հետ։
12) 30/60/90 - իրականացման պլանը
30 օր
Որոշել BCP սեփականատերը և քննադատական գործընթացները։
Կատարել հիմնական BIA և դասակարգումը (RTO/RPO)։
Ստեղծել ռիսկերի մատրիցա և պատահականության կատալոգը։
Մշակել CPP ձևանմուշները և գերակա ծառայությունների առաջին տարբերակը։
60 օր
Անցկացնել փորձնական DR թեստավորումը (failover, BD վերականգնումը)։
Պատրաստել հաղորդակցման ձևանմուշներ և եղջերաթաղանթի բաշխում։
Ստեղծել BCP փաստաթղթերի միասնական պահեստ և SOP ինտեգրացիա։
Սկսել թիմերի ուսուցումը և on-call անձնակազմը։
90 օր
Անցկացնել միջտարածաշրջանային BCP ուսուցում։
Անցկացնել RTO/RPO և KPI մեթրիկը։
Ավարտել BCP գործընթացների վերանայման և ավտոմատիզացման պլանը։
Միացրեք BCP-ը եռամսյակային OKR-ում և ներքին անվտանգության ստուգումներ։
13) Anti-patterna
«BCP միայն վագոնի համար», իրական թեստեր և սեփականատերեր չկան։
Հնացած DR հրահանգները, որոնք չեն ընկնում ներկա ճարտարապետների հետ։
Հաղորդակցությունների և հաղորդակցությունների անհավասարակշիռ ջրանցքները։
Չճշտված կախվածությունը (PSA, CDN, KYC-պրովայդերներ)։
Հետմորտեմների բացակայությունը ձախողումներից հետո։
Չկա BCP հասանելիություն ցանցի անկման ժամանակ։
14) BCP փաստաթղթի կառուցվածքի օրինակ
1. Objectives and Scope
2. Critical Processes (BIA)
3. Risk Matrix
4. Target RTO/RPO
5. DRP (by scenario)
6. Contacts and Roles
7. Communication templates
8. Schedule of tests and exercises
9. Reporting and auditing
10. Version and update history15) Ինտեգրումը այլ բաժինների հետ
Վիրահատական վերլուծություն 'headro.ru և քայքայումը մինչև 2019 թվականը։
Ծանուցումների և ալերտների համակարգը 'վաղ ազդանշաններ BCP ընթացակարգերի գործարկման համար։
Կառավարման էթիկան ՝ թափանցիկ հաշվետվություններ և ազնիվ թեստեր։
AI-օգնականները 'BCP-կամարների ավտոմատ պատրաստումը և DR-24k-թերթերը։
Պատասխանատվության մշակույթը 'դասընթացներ, «game days», հետադարձ հայացքներ։
16) FAQ
Q: Ինչպե՞ ս է BCP-ը տարբերվում։
A: BCP-ն ավելի լայն է 'ընդգրկում է մարդկանց, գործընթացներ, հաղորդակցություններ, գործընկերներ և ենթակառուցվածքներ։ PPP-ը IT համակարգերի վերականգնման պլանն է։
Q 'Ինչպե՞ ս հաճախ նորարարել BCP-ը։
Ա 'Ճարտարապետության յուրաքանչյուր մեծ փոփոխությունից հետո, 6 ամսից ոչ պակաս։
Q 'Արդյո՞ ք պետք է ներառել գործընկերները։
Ա 'Այո։ PSA, KYC և ստուդիաները շարունակականության շղթայի մի մասն են, պետք է ունենան իրենց OLA և BCP պայմանագրերը։