Непрерывность бизнеса стала социальной

Дмитрий Маркин
начальник отдела аудита и
консалтинга департамента
ИБ "АМТ-ГРУП"

15 мая 2012 г. официально вышел в свет международный стандарт ISO 22301 "Социальная безопасность. Системы управления непрерывностью бизнеса. Требования". Данный стандарт был разработан техническим комитетом ISO ТС 223 "Социальная безопасность" и вобрал в себя лучшее из британского стандарта BS 25999-2:2007 "Управление непрерывностью бизнеса. Часть 2: Спецификация".

Социальная безопасность в данном контексте понимается как обеспечение защиты общества и способность реагировать на инциденты, чрезвычайные ситуации и катастрофы, вызванные умышленными и/или непреднамеренными действиями людей, природными катаклизмами и техногенными сбоями.

Из всей серии стандартов "Социальная безопасность" для нас также представляют интерес:

• ISO 22300 "Социальная безопасность. Терминология", который содержит единый глоссарий для всей серии стандартов;
• ISO 22313 "Социальная безопасность. Системы управления непрерывностью бизнеса. Руководство", который является набором лучших практик для реализации требований ISO 22301 и разрабатывается взамен британского стандарта BS 25999-1:2006 "Управление непрерывностью бизнеса. Часть 1: Практические правила".

Основные новеллы ISO 22301

Структура стандарта ISO 22301 претерпела значительные изменения по сравнению с BS 25999-2 и была гармонизирована с руководством ISO Guide 83 (определяет единые требования по структуре стандартов на системы менеджмента) для удобства интеграции с другими системами менеджмента. Однако это не привело к появлению глобальных отличий в требованиях к построению системы управления непрерывностью бизнеса (СУНБ) и позволило сохранить преемственность подходов к реализации основных процессов и процедур управления. Среди основных нововведений хочется отметить:

1. Изменения в терминах и определениях, например замена понятия Stakeholders на Interested Parties и т.п.

2. Появление раздела 4 под названием "Контекст организации", описывающего среду, в которой организация ведет свою деятельность. Данное понятие идентично используемому в международном стандарте по управлению рисками ISO/IEC 27005:2011.

3. Появление выделенного раздела 5 "Лидерство", в котором четко определена роль высшего руководства организации в установлении целей и политики СУНБ.

4. Замена ключевого показателя при проведении анализа воздействия на бизнес MTPoD (Maximum tolerable period of disruption) на МАО (Maximum acceptable outage) - максимально допустимое время простоя; а также RTO (Recovery time objective) на Prioritized time-frames - приоритетные временные рамки восстановления критичных видов деятельности.

5. Появление показателя МВСО (Minimum business continuity objective), характеризующего минимальный уровень сервиса (и/или продуктов), приемлемого для достижения бизнес-целей организации во время простоя/прерывания.

6. Расширены требования к структуре управления инцидентами, в частности определены требования по условиям активации планов управления инцидентами и обозначен приоритет обеспечения безопасности человеческой жизни при осуществлении коммуникаций в рамках выполнения планов.

7. Появление выделенного раздела 9 "Оценка эффективности", который объединяет в себе процессы поддержки и пересмотра СУНБ. В данном разделе делается акцент на разработку метрик измерения эффективности СУНБ.

На наш взгляд, стандарт ISO 22301 стал намного более понятным по сравнению с BS 25999-2 с точки зрения циклической модели Деминга (Plan-Do-Check-Act). Работая со стандартом BS 25999-2, зачастую возникали сложности, связанные с необходимостью постоянного перемещения по тексту стандарта в поисках продолжения процесса.

Перспективы

Получение стандартом ISO 22301 международного статуса должно повысить его популярность и востребованность во всех отраслях экономики и бизнеса. При этом цели, которые ставит перед собой решившаяся на внедрение данного стандарта организация, могут быть различными:

• поддержание непрерывности ключевых бизнес-операций;
• демонстрация соответствия поставщикам и контрагентам;
• получение сертификата для повышения репутации и инвестиционной привлекательности на рынке.

Перспективы добровольной сертификации будут во многом зависеть от существующей конъюнктуры рынка услуг по построению СУНБ - насколько быстро смогут системные интеграторы разработать соответствующую услугу и создать предложение.

В любом случае стандарт ISO 22301 будет полезен при построении системы управления информационной безопасностью для реализации целей и механизмов контроля, определенных в приложении А.14 международного стандарта ISO/IEC 27001:2005.