Бизнес-процессы организации имеют разную ценность. Оценка ценности процессов может осуществляться через понимание влияния недопустимых событий на деятельность организации и специфики деятельности самой организации. Обычно недопустимые события могут остановить или существенно снизить показатели критически значимых бизнес-процессов.
На основании анализа перечня целевых систем возможно выявить связь бизнес-процессов между собой и их влияние друг на друга (например, один процесс является поставщиком данных для другого процесса). Таким образом можно понять, в рамках функционирования каких процессов могут произойти недопустимые события и каким образом недопустимые события могут повлиять на эти бизнес-процессы.
Пример
Недопустимое событие: Вывод более 3 млн рублей со счета организации.
Целевая система: «Банк — клиент».
Критически значимые бизнес-процессы, использующие целевую систему: «Процесс выплаты заработной платы», «Процесс расчета с поставщиками».
Одна и та же целевая система может использоваться большим числом бизнес-процессов. В рамках этих бизнес-процессов с целевой системой может работать множество пользователей с различными правами доступа, выданными в соответствии с должностными обязанностями. Иногда выданные права доступа являются излишними или вызывают конфликт полномочий. Например, в рамках одного бизнес-процесса один и тот же сотрудник может выступать и исполнителем, и аудитором, осуществляющим контроль за совершенными им же действиями.
Понимание важности бизнес-процессов позволяет отделить несущественные процессы от целевых систем, а значит, уменьшить поверхность атаки. Например, если целевая система используется только для получения отчетности в режиме чтения, то можно выгружать отчетные документы на отдельный сервер на периодической основе.
Пример
Формирование выгрузки из ERP-системы (целевая система) оборотно-сальдовой ведомости на выделенный сервер. Таким образом пользователи, которым требуется доступ к такой ведомости, не будут напрямую взаимодействовать с целевой системой.
Для определения критически значимых бизнес-процессов необходимо выполнить следующие четыре шага.
| Шаг | Описание шага | Результат |
|---|
| Шаг 1. Определить связь недопустимых событий с нарушением бизнес-процессов организации | Провести анализ недопустимых событий (далее — НС) и связанных с ними целевых систем на предмет выявления бизнес-процессов, которые наиболее подвержены влиянию рассматриваемых НС. Именно эти процессы, скорее всего, являются критически значимыми. Некоторые НС будут прямо указывать на остановку или нарушение таких бизнес-процессов | Критически значимые бизнес-процессы, определенные на основе НС |
| Шаг 2. Определить критически значимые бизнес-процессы на основании анализа целевых систем и собственной классификации | Для целевых систем необходимо определить все бизнес-процессы, которые их используют. Затем следует определить важность этих бизнес-процессов для организации, это позволит в будущем отделить несущественные процессы от целевых систем. Кроме того, в организации может использоваться собственная классификация бизнес-процессов, ее также следует учитывать при определении критически значимых процессов | Критически значимые бизнес-процессы, определенные на основе анализа целевых систем и собственной классификации |
| Шаг 3. Определить критически значимые бизнес-процессы в соответствии с требованиями законодательства | Для некоторых отраслей экономики критерии отнесения тех или иных бизнес-процессов к критически значимым должны быть определены с учетом требований законодательства. Например, для объектов критической информационной инфраструктуры, организаций здравоохранения, банковской сферы это будут:
- Постановление Правительства РФ от 08.02.2018 № 127;
- Положение Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»;
- Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения | Критически значимые бизнес-процессы, определенные на основе законодательства |
| Шаг 4. Сформировать перечень критически значимых бизнес-процессов организации | На основе анализа, проведенного в предыдущих шагах, информации о связи бизнес-процессов с НС, данных об использовании бизнес-процессами целевых систем и критериев отнесения бизнес-процессов к критически значимым, полученных от регуляторов или принятых внутри организации, необходимо сформировать перечень критически значимых бизнес-процессов. Таким образом будет получен перечень таких бизнес-процессов организации и выявлена их связь с целевыми системами | Перечень критически значимых бизнес-процессов организации |
Большая часть критически значимых бизнес-процессов будет определена уже на первом шаге, так как недопустимые события напрямую указывают на деятельность или бизнес-процессы организации, наиболее важные для ее существования. Однако последующие шаги способствуют проведению более детального анализа и разработке более подробного перечня критически значимых бизнес-процессов. Перечень таких бизнес-процессов может быть в дальнейшем использован для проверки полноты информации в перечне недопустимых событий.
Таблица 1. Пример формы перечня критически значимых бизнес-процессов
| № | Наименование бизнес-процесса | Краткое описание бизнес-процесса | Причина отнесения к критически значимым | Используемые целевые системы |
|---|
| 1 | «Фабрика платежей» | Процесс оперативного управления денежными средствами организации | Непосредственно связан с недопустимым событием «Вывод более 3 млн рублей со счета организации» | Система «банк —клиент» |
| 2 | Начисление и расчет зарплаты, отпускных и больничных выплат | Процесс начисления и расчета заработной платы, отпускных и больничных | Непосредственно связан с целевой системой «банк —клиент» | Система «банк —клиент»;
ERP-система организации |
| 3 | Подготовка и сдача бухгалтерской отчетности | Процесс подготовки и сдачи бухгалтерской отчетности | Непосредственно связан с целевой системой «банк —клиент» | Система «банк —клиент»;
ERP-система организации |
| 4 | Автоматизированное управление производством | Процесс управления производственной линией | Один из основных производственных процессов организации, отнесенной к субъектам КИИ | MES-система |
Артемий Пономарёв