BS 25999-2 ― это Британский стандарт, изданный в 2007 году, который быстро стал основным стандартом управления непрерывностью бизнеса. И хотя это Британский национальный стандарт, он используется во многих странах мира. Предполагается, что в скором времени он будет принят в качестве международного стандарта (ISO 22301).
Как и другие стандарты, определяющие системы управления (такие как ISO 27001, ISO 9001, ISO 14001 и пр.), стандарт BS 25999-2 также определяет систему управления непрерывностью бизнеса, которая содержит четыре аналогичных этапа: планирование, внедрение, анализ, контроль и, наконец, улучшение. Характерной чертой этих четырёх этапов является то, что система постоянно обновляется и улучшается для того, чтобы быть полезной в случае аварийной ситуации. Ниже перечислены некоторые ключевые процедуры и документы, необходимые для BS 25999-2:
Ключевые процедуры
Управление персоналом
Стандарт устанавливает, что крайне важно определять необходимые знания и навыки; устанавливать и проводить необходимые тренинги; проверять, были ли достигнуты требуемые знания и навыки, и вести записи. BS 25999-2 также требует проведения ознакомительных программ и информирования сотрудников о важности управления непрерывностью бизнеса.
Анализ последствий для деятельности рассматривает важную деятельность организации, определяет максимально допустимый период сбоя, описывает взаимозависимость отдельных действий, определяет, какие действия являются критическими, исследует существующие взаимоотношения с поставщиками и привлечёнными сторонними партнёрами и, наконец, устанавливает целевое время восстановления.
Оценка рисков проводится с целью установить, какие сбои и прочие нарушения в хозяйственной деятельности могут возникнуть, каковы могут быть их последствия, а также какие уязвимости и угрозы могут привести к подобным сбоям в работе организации. На основе такой оценки, организация определяет, как снизить вероятность риска и как его сгладить в случае возникновения.
Стратегия заключается в определении того, каким образом организация будет восстанавливаться в случае аварии. Стратегия определяется на основе результатов оценки рисков и анализа последствий для деятельности и обычно включает в себя альтернативные местоположения, варианты восстановления данных, восстановление человеческих ресурсов, коммуникации, оборудование, управление поставщиками, привлечение сторонних партнёров и т.д.
План по обеспечению непрерывности бизнеса включает в себя планы для реагирования на инциденты, процедуры активации для плана непрерывности бизнеса и планы восстановления для критических работ. Все они написаны на основе стратегии непрерывности бизнеса.
План реагирования на инциденты должен включать способ определения видов инцидентов, каналов связи, типов реагирования, обязанностей и пр.
Планы по восстановлению должны определять роли и обязанности, ключевые шаги для восстановления, местоположения, ресурсы, которые необходимо использовать, а также место их нахождения, приоритеты, какие действия необходимо предпринимать после завершения восстановления и пр.
Стандарт предусматривает следующее:
BS 25999-2 требует следующей документации:
Количество документов зависит от числа критических работ на предприятии. В организации с небольшим числом критических работ будет также и небольшое количество документов, связанных с анализом последствий для деятельности, оценкой рисков и планами по непрерывности бизнеса. А в компании большего размера и объём документации будет расширенный.
В дополнение к BS 25999-2 и BS 25999-1 существует и «дополнительный» стандарт, который содержит больше подробностей того, как внедрять конкретные части BS 25999-2.
Другими полезными стандартами являются ISO 27001, который даёт непрерывность бизнеса в более широком контексте информационной безопасности, и ISO 27005, который даёт подробное описание процесса оценки рисков.
Деян Кошутич
Ведущий эксперт
ISO 27001/ISO 22301
Побеседуйте бесплатно с нашими консультантами
НАЗНАЧЬТЕ БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ(in English)
Вы когда-нибудь сталкивались с ситуацией, когда Вам говорили, что Ваши меры безопасности обходятся слишком дорого? Или когда Вам было сложно объяснить Вашему руководству, какие последствия могут быть в случае инцидента.