• (0)

    Что такое BS 25999?

    Ведущий стандарт по непрерывности бизнеса

    BS 25999-2 ― это Британский стандарт, изданный в 2007 году, который быстро стал основным стандартом управления непрерывностью бизнеса. И хотя это Британский национальный стандарт, он используется во многих странах мира. Предполагается, что в скором времени он будет принят в качестве международного стандарта (ISO 22301).

    Как и другие стандарты, определяющие системы управления (такие как ISO 27001, ISO 9001, ISO 14001 и пр.), стандарт BS 25999-2 также определяет систему управления непрерывностью бизнеса, которая содержит четыре аналогичных этапа: планирование, внедрение, анализ, контроль и, наконец, улучшение. Характерной чертой этих четырёх этапов является то, что система постоянно обновляется и улучшается для того, чтобы быть полезной в случае аварийной ситуации. Ниже перечислены некоторые ключевые процедуры и документы, необходимые для BS 25999-2:

    • Область применения системы управления непрерывностью бизнеса – точное определение той части организации, к которой применяется управление непрерывностью бизнеса
    • Политика управления непрерывностью бизнеса – определение целей, обязанностей и т.д.
    • Управление персоналом
    • Анализ последствий для деятельности и оценка рисков
    • Определение стратегии для обеспечения непрерывности бизнеса
    • Планы непрерывности бизнеса
    • Соблюдение планов и систем; усовершенствование

    Управление персоналом

    Ключевые процедуры
    Управление персоналом
    Стандарт устанавливает, что крайне важно определять необходимые знания и навыки; устанавливать и проводить необходимые тренинги; проверять, были ли достигнуты требуемые знания и навыки, и вести записи. BS 25999-2 также требует проведения ознакомительных программ и информирования сотрудников о важности управления непрерывностью бизнеса.

    Анализ последствий для деятельности и оценка рисков

    Анализ последствий для деятельности рассматривает важную деятельность организации, определяет максимально допустимый период сбоя, описывает взаимозависимость отдельных действий, определяет, какие действия являются критическими, исследует существующие взаимоотношения с поставщиками и привлечёнными сторонними партнёрами и, наконец, устанавливает целевое время восстановления.

    Оценка рисков проводится с целью установить, какие сбои и прочие нарушения в хозяйственной деятельности могут возникнуть, каковы могут быть их последствия, а также какие уязвимости и угрозы могут привести к подобным сбоям в работе организации. На основе такой оценки, организация определяет, как снизить вероятность риска и как его сгладить в случае возникновения.

     

    Определение стратегии непрерывности бизнеса

    Стратегия заключается в определении того, каким образом организация будет восстанавливаться в случае аварии. Стратегия определяется на основе результатов оценки рисков и анализа последствий для деятельности и обычно включает в себя альтернативные местоположения, варианты восстановления данных, восстановление человеческих ресурсов, коммуникации, оборудование, управление поставщиками, привлечение сторонних партнёров и т.д.
     

    План непрерывности бизнеса

    План по обеспечению непрерывности бизнеса включает в себя планы для реагирования на инциденты, процедуры активации для плана непрерывности бизнеса и планы восстановления для критических работ. Все они написаны на основе стратегии непрерывности бизнеса.

    План реагирования на инциденты должен включать способ определения видов инцидентов, каналов связи, типов реагирования, обязанностей и пр.

    Планы по восстановлению должны определять роли и обязанности, ключевые шаги для восстановления, местоположения, ресурсы, которые необходимо использовать, а также место их нахождения, приоритеты, какие действия необходимо предпринимать после завершения восстановления и пр.

    Соблюдение планов и систем; усовершенствование

    Стандарт предусматривает следующее:

    • Регулярные учения и испытания по планам с целью более тесного знакомства персонала с планами и проверки их информированности
    • Проведение внутренних аудитов на регулярной основе
    • Анализ управления для гарантии того, что система управления непрерывностью бизнеса работает, и для внесения соответствующих усовершенствований
    • Выполнение предупреждающих и корректирующих действий, чтобы усовершенствовать не только планы, но и другие элементы системы

    Документация

    BS 25999-2 требует следующей документации:

    • Область применения управления непрерывностью бизнеса
    • Политика управления непрерывностью бизнеса
    • Конкретные обязанности для управления непрерывностью бизнеса
    • Процедуры для управления документацией и записями, процедуры для корректирующих и предупреждающих действий
    • Методология анализа последствий для деятельности и результаты анализа
    • Методология оценки рисков
    • Стратегия непрерывности бизнеса
    • План непрерывности бизнеса, включающий план(-ы) реагирование на инциденты и план(-ы) восстановления
    • Записи

    Количество документов зависит от числа критических работ на предприятии. В организации с небольшим числом критических работ будет также и небольшое количество документов, связанных с анализом последствий для деятельности, оценкой рисков и планами по непрерывности бизнеса. А в компании большего размера и объём документации будет расширенный.

    Другие родственные стандарты

    В дополнение к BS 25999-2 и BS 25999-1 существует и «дополнительный» стандарт, который содержит больше подробностей того, как внедрять конкретные части BS 25999-2.

    Другими полезными стандартами являются ISO 27001, который даёт непрерывность бизнеса в более широком контексте информационной безопасности, и ISO 27005, который даёт подробное описание процесса оценки рисков.

    dejan-circle-new

    Деян Кошутич
    Ведущий эксперт
    ISO 27001/ISO 22301

    Есть вопросы по любому из шагов?

    Побеседуйте бесплатно с нашими консультантами

    НАЗНАЧЬТЕ БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ

    Бесплатный калькулятор окупаемости инвестиций в безопасность

    (in English)

    Вы когда-нибудь сталкивались с ситуацией, когда Вам говорили, что Ваши меры безопасности обходятся слишком дорого? Или когда Вам было сложно объяснить Вашему руководству, какие последствия могут быть в случае инцидента.

    УЗНАТЬ БОЛЬШЕ