ФЕДЕРАЛЬНОЕ АГЕНТСТВО
МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА Часть 2 Требования
Предисловие Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения» Сведения о стандарте 1 ПОДГОТОВЛЕН Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД») на основе собственного аутентичного перевода стандарта, указанного в пункте 4 2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Перспективные производственные технологии, менеджмент и оценка рисков» 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. № 998-ст 4 Настоящий стандарт идентичен национальному стандарту Великобритании BS 25999-2:2007 «Менеджмент непрерывности бизнеса. Часть 2. Требования» (BS 25999-2:2007 «Business continuity management - Part 2: Specification») 5 ВВЕДЕН ВПЕРВЫЕ Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет СОДЕРЖАНИЕ Введение Общие положения Настоящий стандарт устанавливает требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса (СМНБ). Для достижения этой цели следует учесть следующие важные факторы: a) осознание потребности в обеспечении непрерывности бизнеса и потребности в установлении политики и целей в области непрерывности бизнеса; b) внедрение и осуществление средств и мероприятий по управлению совокупным риском при обеспечении непрерывности бизнеса организации; c) проведение мониторинга и анализа эффективности СМНБ; d) постоянное улучшение, основанное на достоверных и объективных измерениях. СМНБ, как любая другая система менеджмента, включает в себя следующие ключевые компоненты: a) политику; b) человеческие ресурсы (персонал) с соответствующими обязанностями и полномочиями; c) процессы менеджмента, которые касаются: 1) политики; 2) планирования; 3) внедрения и функционирования; 4) оценки выполнения работ; 5) анализа менеджмента; 6) улучшения; d) записи, обеспечивающие свидетельства аудита; e) специальные процессы, связанные с непрерывностью бизнеса, такие как анализ воздействия на бизнес (АВБ) и разработка плана обеспечения непрерывности бизнеса. Цикл «планирование - осуществление - проверка - действие» (PDCA) В настоящем стандарте цикл «планирование - осуществление - проверка - действие» применяется к разработке, внедрению, функционированию, мониторингу, проведению учений, поддержке и постоянному улучшению СМНБ организации. Применение этого цикла обеспечивает необходимую степень соответствия СМНБ другим стандартам по системам менеджмента, таким как ИСО 9001:20051), ИСО 14001:20042), ИСО/МЭК 27001:20053) и серии ИСО/МЭК 200004), и поддерживает последовательное и интегрированное внедрение и функционирование системы со взаимосвязанными системами менеджмента (см. приложение А). _____________ 1) ИСО 9001:2005 «Системы менеджмента качества. Требования». 2) ИСО 14001:2004 «Системы экологического менеджмента. Требования и руководство по применению». 3) ИСО/МЭК 27001:2005 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Торы 4) ИСО/МЭК 20000-1:2005 «Информационная технология. Управление услугами. Часть 1. Общие положения и словарь». ИСО/МЭК 20000-2:2005 «Информационная технология. Управление услугами. Часть 2. Практическое руководство». На рисунке 1 показаны входные данные СМНБ в виде требований к обеспечению непрерывности бизнеса и ожиданий заинтересованных сторон, которые через взаимосвязанные виды деятельности и процессы, образуют выходные данные (результаты) обеспечения непрерывности бизнеса (т.е. управлению непрерывностью бизнеса), которые отвечают этим требованиям и ожиданиям заинтересованных сторон. Широко распространенный подход, объединяющий цикл PDCA и виды деятельности по обеспечению непрерывности бизнеса, рекомендованные в [1], приведен на рисунке 2. Данный итеративный процесс обеспечивает создание и постоянное управление непрерывностью бизнеса организации (описание элементов жизненного цикла менеджмента непрерывности бизнеса см. в 3.7 [1]). Требования настоящего стандарта следует применять наряду с нормативно-правовыми актами в области обеспечения безопасности, которые имеют обязательную силу на территории Российской Федерации. Нормативно-правовые нормы РФ и обязательные процедуры в области обеспечения безопасности должны быть интегрированы в систему менеджмента непрерывности бизнеса организации. По возможности следует избегать дублирования в документации по обеспечению непрерывности бизнеса действующих документов организации. Рисунок 1 - Применение цикла PDCA к процессам СМНБ
Рисунок 2 - Элементы жизненного цикла менеджмента непрерывности бизнеса В качестве синонимов термина «менеджмент непрерывности бизнеса» часто используют термины «управление непрерывностью бизнеса», «управление непрерывностью деятельности», «управление бесперебойностью работы». Выбор термина зависит от потребностей организации и требований ее причастных сторон. НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА Часть 2 Требования Business continuity management. Part 2. Requirements Дата введения - 2010-12-01 1 Область примененияНастоящий стандарт устанавливает требования к планированию, созданию, внедрению, функционированию, мониторингу, анализу, проведению учений, поддержке и улучшению документированной системы менеджмента непрерывности бизнеса (СМНБ) с позиций управления совокупным риском бизнеса организации. Установленные в настоящем стандарте требования являются общими и могут быть применены различными организациями (или их отдельными подразделениями), независимо от типа, размера и характера бизнеса. Степень применения этих требований зависит от операционной среды организации и уровня ее сложности. Настоящий стандарт не содержит типовой структуры СМНБ, организации следует создать СМНБ, соответствующую своим потребностям и требованиям причастных сторон. Эти потребности должны быть определены на основе: законодательных и обязательных требований; требований, установленных потребителями; требований к бизнесу; выпускаемых продукции и услуг; используемых процессов; размера и структуры организации и требований ее причастных сторон. Настоящий стандарт может быть использован внутренними и внешними сторонами, включая органы по сертификации, для оценки соответствия установленным организацией требованиям к непрерывности бизнеса, соответствующим требованиям потребителей, законодательным и обязательным требованиям. 2 Термины и определенияВ настоящем стандарте применены следующие термины с соответствующими определениями: 2.1 деятельность (activity): Процесс или система процессов, осуществляемых организацией с целью производства одного или более видов продукции, оказания услуг или их поддержки. Примечание - Примером подобных процессов являются бухгалтерский учет, обеспечение информационных (ИТ) и телекоммуникационных технологий, производство, сбыт. 2.2 аудит (проверка) (audit): Систематический, независимый и документированный процесс получения свидетельств аудита (проверки) и их объективной сравнительной оценки с целью установления степени выполнения согласованных критериев аудита (проверки). 2.3 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне. 2.4 менеджмент непрерывности бизнеса (business continuity management; BCM); МНБ: Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействие на деятельность организации, который создает основу для повышения устойчивости организации к инцидентам и направлен на реализацию эффективных ответных мер против них, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность. Примечание - Менеджмент непрерывности бизнеса включает в себя управление восстановлением или продолжением деятельности организации в случае нарушений в ее работе, а также общей программой обеспечения непрерывности бизнеса организации путем обучения, практического применения и анализа непрерывности бизнеса, направленных на осуществление и актуализацию планов непрерывности бизнеса. 2.5 жизненный цикл менеджмента непрерывности бизнеса (business continuity management lifecycle): Совокупность действий по обеспечению непрерывности бизнеса, которые охватывают все аспекты и элементы программы менеджмента непрерывности бизнеса. Примечание - Этапы жизненного цикла менеджмента непрерывности бизнеса показаны на рисунке 2. 2.6 персонал менеджмента непрерывности бизнеса (business continuity management personnel): Должностные лица организации, ответственные за политику в области СМНБ и ее реализацию, внедрение и поддержку СМНБ, а также за инициирование планов менеджмента непрерывности бизнеса и планов управления инцидентом, обладающие соответствующими полномочиями. 2.7 программа менеджмента непрерывности бизнеса (business continuity management programme): Процесс постоянного менеджмента, поддерживаемый со стороны высшего руководства и обеспечиваемый необходимыми ресурсами, направленный на осуществление необходимых мер по идентификации воздействия потенциальных потерь, поддержку жизнеспособной стратегии непрерывности бизнеса и планов восстановления бизнеса, а также на обеспечение непрерывности производства продукции и оказания услуг путем обучения и проведения учений, внедрения, анализа и поддержания в рабочем состоянии непрерывности бизнеса организации. 2.8 ответные меры менеджмента непрерывности бизнеса (business continuity management response): Элемент МНБ, направленный на разработку и внедрение соответствующих планов и мер, обеспечивающих непрерывность критических видов деятельности и контролируемость инцидента. 2.9 система менеджмента непрерывности бизнеса; СМНБ (business continuity management system; BCMS): Часть интегрированной системы менеджмента организации, охватывающая создание, внедрение, функционирование, мониторинг, анализ, поддержку и улучшение менеджмента непрерывности бизнеса в организации. Примечание - СМНБ включает в себя структуру, политику, план действий, распределение ответственности и полномочий, процедуры, процессы и ресурсы организации 2.10 план обеспечения непрерывности бизнеса; ПНБ (business continuity plan; BCP): Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения организацией выполнения критически важных для нее видов деятельности на установленном приемлемом уровне. 2.11 стратегия непрерывности бизнеса (business continuity strategy): Способы обеспечения непрерывности бизнеса организации, направленные на восстановление и продолжение ее деятельности в случае инцидентов, вызывающих нарушение в ее работе. 2.12 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на него разрушающих факторов. 2.13 последствие (consequence): Результат инцидента, который может повлиять на достижение целей организации. Примечания 1 Для каждого инцидента должно быть проведено ранжирование последствий. 2 Последствия могут быть определенными и неопределенными, а также могут иметь позитивное или негативное воздействие на достижение целей организации. 2.14 анализ эффективности затрат (cost-benefit analysis): Финансово-экономический метод, применение которого позволяет оценить затраты на МНБ, сопоставить их с полученной от его внедрения выгодой. Примечание - Выгода может быть определена с позиции финансов, репутации, производства продукции, предоставления услуг, выполнения обязательных требований и т.п. 2.15 критические виды деятельности (critical activities): Виды деятельности организации, которые должны осуществляться для обеспечения поставки ключевой продукции и услуг, позволяющие достигать наиболее важных и первоочередных целей организации. 2.16 нарушение деятельности (организации) (disruption): Невозможность поставки продукции или оказания услуг, установленных в соответствии с целями организации, или перебои в этой деятельности, вызванные ожидаемым (например, забастовка рабочих) или непредвиденным (например, отключение электрической энергии) событием или явлением. 2.17 учения (exercise): Мероприятия, в процессе которых частично или полностью проходит отработка действий (репетиция), предусмотренных планом(ами) обеспечения непрерывности бизнеса, направленные на то, чтобы план(ы) содержал(и) необходимую информацию и при выполнении приводили к запланированным результатам. Примечание - Учения обычно включают в себя инициирование процедуры непрерывности бизнеса, но чаще объявленную или необъявленную имитацию инцидента нарушения непрерывности бизнеса, в процессе которого участники инсценируют возможную ситуацию с целью оценки потенциальных проблем, связанных с их преодолением до наступления реального инцидента. 2.18 выгоды (gain): Положительные последствия. 2.19 воздействие (impact): Оцененные последствия для конкретного случая. 2.20 инцидент (incident): Ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе. 2.21 план управления инцидентом (incident management plan): Точно установленный и документально оформленный план действий, предназначенный для использования при возникновении инцидента, который обычно охватывает вовлеченный персонал, необходимые ресурсы и действия, которые должны быть выполнены в процессе управления инцидентом. 2.22 внутренний аудит (internal audit): Внутренний аудит («аудит первой стороны») проводит для внутренних целей сама организация (или от своего имени). Результаты внутреннего аудита могут служить основанием для декларации о соответствии. Примечание - Во многих случаях, особенно на малых предприятиях, независимость при аудите демонстрируют отсутствием ответственности за деятельность, которая подвергается аудиту. 2.23 инициирование работы (invocation): Объявление о приведении в действие плана обеспечения непрерывности бизнеса организации с целью обеспечения бесперебойности поставки ключевой продукции и/или оказания услуг. 2.24 возможность реализации (likelihood): Шансы реализации событий, которые определены, измерены и/или оценены объективно или субъективно в терминах общих описаний (маловероятно, вероятно, почти наверняка), частоты или вероятности. Примечание - Возможность может быть выражена качественно или количественно. 2.25 потери (loss): Негативные последствия. 2.26 система менеджмента (management system): Система разработки политики, целей и достижения этих целей. 2.27 максимально приемлемый период нарушения (maximum tolerable period of disruption): Период времени, по истечении которого существует угроза окончательной потери жизнеспособности организации, в том случае, если поставка продукции и/или предоставление услуг не будут возобновлены. 2.28 несоответствие (nonconformity): Невыполнение требований. Примечание - Несоответствие может быть любым отклонением от соответствующих стандартов работы, методов, процедур, юридических требований и т.д. 2.29 организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений. Пример - Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них. Примечания 1 Распределение обычно является упорядоченным. 2 Организация может быть государственной или частной. 2.30 процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в выходы 2.31 продукция и услуги (products and services): Результат деятельности организации, который она предоставляет своим потребителям, получателям и причастным сторонам, например, промышленные товары, страхование, медицинское обслуживание и др. 2.32 целевой срок восстановления (recovery time objective); RTO: Время, запланированное для: - возобновления производства продукции или оказания услуг после инцидента; - возобновления деятельности после инцидента; - восстановления информационной системы и/или прикладных программ после инцидента. Примечание - Целевой срок восстановления должен быть меньше, чем максимально приемлемый период нарушения. 2.33 устойчивость (resilience): Способность организации противостоять воздействию инцидента. 2.34 ресурсы (resources): Все активы, персонал, навыки, технологии (включая технологические процессы и оборудование), производственные площади, запасы и информация (на электронном или бумажном носителе), которые должны быть при необходимости доступны для использования организацией в текущей деятельности и для достижения поставленных целей. 2.35 риск (risk): Сочетание вероятности события и масштабов его последствий, а также его воздействие на достижение целей организации. Примечания 1 Термин «риск» обычно используют только тогда, когда существует возможность негативных последствий. 2 В некоторых ситуациях риск обусловлен возможностью отклонения от ожидаемого результата. 3 Применительно к безопасности см. [2]. 4 Риск обычно определяют по отношению к конкретной цели, поэтому для нескольких целей существует возможность оценить риск для каждого источника опасности. 5 В качестве количественной оценки риска часто используют сумму произведений последствий на вероятность соответствующего опасного события. Однако для количественной оценки диапазона возможных последствий необходимо знание распределения вероятностей. Кроме того, может быть использовано стандартное отклонение. 2.36 оценка риска (risk assessment): Полный процесс идентификации, анализа и сравнительной оценки риска. 2.37 менеджмент риска (risk management): Структурированная разработка и применение культуры, политики, процедур и методов менеджмента к задачам идентификации, анализа, оценки и обработки риска. 2.38 причастная сторона (stakeholder): Любой индивидуум, группа или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженными воздействию риска. Примечания 1 Лицо, принимающее решение, также является причастной стороной. 2 Причастная сторона включает в себя заинтересованную сторону, но имеет более широкое значение, чем заинтересованная сторона. 2.39 система (system): Совокупность взаимосвязанных и взаимодействующих элементов. 2.40 высшее руководство (top management): Лицо или группа работников, осуществляющих направление деятельности и управление организацией на высшем уровне. Примечание - Высшее руководство, особенно в большой транснациональной корпорации, не всегда может быть непосредственно вовлечено в МНБ, однако в этом случае высшее руководство несет ответственность через утвержденный в организации порядок соподчиненности. В малой организации высшее руководство может быть владельцем этого процесса. 3 Планирование системы менеджмента непрерывности бизнесаОрганизация должна разработать, внедрить, поддерживать и постоянно улучшать документированную СМНБ в соответствии с 3.2 - 3.4. 3.2 Разработка и управление системой менеджмента непрерывности бизнеса Цель - определение области применения СМНБ, обеспечение четкого установления целей, их понимания и проведения по ним обмена информацией, демонстрация обязательств высшего руководства по МНБ, выделение необходимых ресурсов и обеспечение выполнения работ по МНБ компетентным персоналом. 3.2.1 Область применения и цели СМНБ 3.2.1.1 Организация должна определить область применения СМНБ и установить цели в области непрерывности бизнеса, с учетом: a) требований к обеспечению непрерывности бизнеса; b) целей и обязательств организации; c) приемлемого уровня риска; d) установленных законодательных, обязательных и договорных требований; e) интересов ее ключевых причастных сторон. 3.2.1.2 Организация должна идентифицировать ключевую продукцию и услуги в рамках СМНБ. 3.2.2 Политика в области непрерывности бизнеса 3.2.2.1 Высшее руководство должно установить политику в области непрерывности бизнеса и демонстрировать выполнение принятых обязательств по отношению к ней. 3.2.2.2 Политика должна включать в себя или делать ссылку на: a) цели в области непрерывности бизнеса организации; b) область применения непрерывности бизнеса, включая все ограничения и исключения. 3.2.2.3 Политика должна быть: a) одобрена высшим руководством; b) доведена до сведения всего персонала организации и лиц, работающих от ее имени; c) проанализирована и при необходимости пересмотрена через запланированные интервалы времени и при возникновении существенных изменений организации. 3.2.3 Обеспечение ресурсами 3.2.3.1 Организация должна определить и обеспечить наличие ресурсов, необходимых для установления, внедрения, функционирования и поддержки СМНБ. 3.2.3.2 Должны быть определены и зарегистрированы распределение обязанностей, ответственности и полномочий, а также необходимый уровень компетентности в области МНБ. 3.2.3.3 Высшее руководство должно: a) назначить лицо (или предоставить кандидата) из числа высшего руководства, наделенное необходимыми полномочиями и ответственное за политику и внедрение МНБ; b) назначить одно или несколько лиц, которые, независимо от прочих обязанностей, должны внедрить и поддерживать функционирование СМНБ. 3.2.4 Компетентность персонала в области менеджмента непрерывности бизнеса Организация должна обеспечивать уровень компетентности всего ответственного за менеджмент непрерывности бизнеса персонала, необходимый для выполнения поставленных задач путем: a) определения уровня компетентности персонала; b) анализа потребностей в обучении персонала, наделенного ответственностью и полномочиями в области МНБ; c) проведения обучения; d) обеспечения достижения персоналом необходимого уровня компетентности; e) регистрации записей об образовании, обучении, навыках, опыте и квалификации персонала. 3.3 Внедрение МНБ в культуру организации Цель - обеспечение внедрения непрерывности бизнеса в обычную операционную деятельность и процессы менеджмента организации, независимо от ее размера или сегмента рынка. Для обеспечения того, чтобы МНБ стало частью основных активов и эффективного менеджмента, организация должна: a) развивать, повышать и поддерживать осведомленность всего персонала путем непрерывного обучения и создания информационных программ в области МНБ, а также осуществлять оценку эффективности обеспечения осведомленности об МНБ; b) проводить обмен информацией со всем персоналом о важности: - достижения целей в области непрерывности бизнеса, - соответствия политике в области непрерывности бизнеса, - постоянного улучшения; с) обеспечивать понимание всем персоналом его вклада в достижение целей непрерывности бизнеса организации. 3.4 Документация и записи СМНБ Цель - обеспечение точных свидетельств эффективности функционирования СМНБ и внедрения МНБ в организации. 3.4.1 Общие положения 3.4.1.1 Документация СМНБ организации должна охватывать следующие аспекты: a) область применения, цели СМНБ и необходимые процедуры (см. 3.2.1); b) политику в области непрерывности бизнеса (см. 3.2.2); c) обеспечение ресурсами (см. 3.2.3); d) компетентность персонала в области МНБ и соответствующие записи об обучении (см. 3.2.4); e) анализ воздействия на бизнес (см. 4.1.1); f) оценку риска (см. 4.1.2); g) стратегию обеспечения непрерывности бизнеса (см. 4.2); h) структуру ответных мер на инцидент (см. 4.3.2); i) планы обеспечения непрерывности бизнеса и планы управления инцидентом (см. 4.3.3); j) проведение учений в области непрерывности бизнеса (см. 4.4.2); k) меры по поддержке и анализу МНБ (см. 4.4.3); l) внутренний аудит (см. 5.1); m) анализ СМНБ со стороны руководства (см. 5.2); n) предупреждающие и корректирующие действия (см. 6.1); o) постоянное улучшение (см. 6.2). 3.4.1.2 Все виды записей должны быть установлены, поддерживаться в рабочем состоянии, управляться и использоваться для обеспечения свидетельств эффективности функционирования СМНБ. 3.4.1.3 Должны быть установлены документированные процедуры для управления документацией и управления записями СМНБ. 3.4.2 Управление записями СМНБ Управление записями СМНБ должно быть установлено для обеспечения: a) четкости, однозначной идентификации и восстановления записей; b) системы идентификации, хранения, защиты и поиска записей. 3.4.3 Управление документацией СМНБ Управление документацией СМНБ должно быть установлено для обеспечения: a) одобрения документов с целью установления их пригодности и соответствия требованиям при решении проблем; b) анализа и актуализации (по мере необходимости) документов и их повторного одобрения; c) идентификации изменений и статуса версий документов; d) доступности соответствующих версий применяемых документов в местах использования; е) идентификации документов внешнего происхождения и управления их распределением; f) предупреждение непреднамеренного использования устаревших документов и их соответствующей идентификации, если эти документы сохранены для каких-либо целей. 4 Внедрение и функционирование СМНБ4.1 Анализ непрерывности бизнеса организации Цель - позволить организации идентифицировать критические виды деятельности и ресурсы, необходимые для поддержки ее ключевой продукции и услуг понять угрозы для них и выбрать соответствующую обработку риска. 4.1.1 Анализ воздействия на бизнес 4.1.1.1 Должен быть установлен точно определенный, документированный и применимый способ определения воздействия любого нарушения функционирования видов деятельности, которые поддерживают ключевую продукцию и услуги организации (см. 3.2.1). 4.1.1.2 Организация должна: а) идентифицировать виды деятельности, поддерживающие ее ключевую продукцию и услуги; b) идентифицировать воздействие на бизнес нарушения этих видов деятельности и определить их изменение в долгосрочном периоде; c) установить максимально приемлемый период нарушения для каждого вида деятельности путем идентификации: 1) максимального периода времени с начала нарушения, в пределах которого должен быть возобновлен каждый вид деятельности, 2) минимального уровня выполнения каждого вида деятельности после восстановления, 3) интервала времени, в пределах которого должен быть восстановлен нормальный уровень функционирования; d) классифицировать и распределить по приоритетам виды деятельности и идентифицировать критические виды деятельности организации; e) идентифицировать все значимые взаимосвязи, относящиеся к критическим видам деятельности, включая поставщиков и подрядчиков; f) для поставщиков и подрядчиков, от которых зависят критические виды деятельности работы, определить необходимые мероприятия МНБ для соответствующей продукции и услуг, которые они оказывают; g) определить целевые сроки восстановления для возобновления критических видов деятельности в пределах их максимального приемлемого периода нарушения; h) оценить ресурсы, необходимые для возобновления каждого критического вида деятельности. 4.1.2 Оценка риска 4.1.2.1 Должен быть установлен точно определенный, документированный и применимый метод оценки риска, который позволит организации понять угрозы и уязвимости для ее критических видов деятельности и поддерживающих ресурсов, включая предоставленные поставщиками и подрядчиками. 4.1.2.2 Следует оценить потенциальные последствия и их воздействие на бизнес организации в случае реализации инцидента и последующего нарушения ее деятельности. 4.1.3 Выбор обработки риска 4.1.3.1 Для каждого из критических видов деятельности организации должны быть идентифицированы доступные методы обработки риска, направленные на: a) снижение вероятности нарушения деятельности организации; b) сокращение периода нарушения деятельности организации; c) ограничение воздействия нарушения деятельности организации на ключевую продукцию и услуги организации. 4.1.3.2 Организация должна выбрать и внедрить соответствующие меры по обработке риска для каждого критического вида деятельности в соответствии с установленным уровнем приемлемого риска. 4.2 Определение стратегии непрерывности бизнеса Цель - идентификация мер по МНБ, которые позволят организации восстановить свои критические виды деятельности в пределах их целевого срока восстановления. Организация должна: a) определить пригодную для этих целей, установленную и документированную структуру ответных мер на инцидент, которая позволит эффективно реагировать на любые нарушения деятельности организации и вести ее восстановление; b) определить способы восстановления каждого критического вида деятельности в пределах его целевого срока восстановления и мероприятия МНБ, включая ресурсы, необходимые для возобновления поставки продукции и услуг, оказываемых поставщиками и подрядчиками; c) определить способы управления взаимоотношениями с ключевыми причастными сторонами и другими внешними сторонами, вовлеченными в восстановление бизнеса. 4.3 Разработка и внедрение ответных мер, предусмотренных МНБ Цель - обеспечить организации разработку и выполнение планов и мероприятий МНБ, необходимых для управления инцидентом и непрерывности выполнения ее критических видов деятельности. 4.3.1 Общие положения Организация должна использовать выходные данные для разработки и выполнения планов и мероприятий по обеспечению непрерывности критических видов деятельности и управления инцидентом в соответствии с п.4.2. 4.3.2 Структура ответных мер 4.3.2.1 Организация должна идентифицировать персонал для выполнения ответных мер, предусмотренных СМНБ, обеспечить его компетентность и наделить необходимой ответственностью и полномочиями для управления инцидентом и обмена информацией с причастными сторонами. 4.3.2.2 Структура ответных мер должна предусматривать для персонала: a) подтверждение типа и размера инцидента; b) инициирование ответных мер по обеспечению непрерывности бизнеса; c) наличие планов, процессов и процедур для инициирования, выполнения, координации и обмена информацией об ответных мерах на инцидент; d) наличие ресурсов для поддержки планов, процессов и процедур для управления инцидентом; e) обмен информацией с причастными сторонами. 4.3.3 Планы обеспечения непрерывности бизнеса и планы управления инцидентом 4.3.3.1 Организация должна документировать планы, которые подробно описывают способы управления инцидентом и способы восстановления и поддержки видов деятельности в организации до установленного уровня в случае нарушений в их работе. 4.3.3.2 Каждый план должен: a) иметь определенные цель и область применения; b) быть доступным и понятным для пользователей; c) иметь владельца - назначенное лицо, ответственное за анализ, актуализацию и одобрение плана; d) быть совместимым с действиями внешних организаций в случае возникновения чрезвычайных ситуаций. 4.3.3.3 Планы должны в совокупности содержать: a) идентифицированные направления обмена информацией; b) ключевые задачи и справочную информацию; c) определенные обязанности и ответственность для уполномоченных лиц и/или групп реагирования во время и после инцидента; d) руководящие принципы и критерии, в соответствии с которыми персонал должен инициировать определенный план, а также обстоятельства, при которых это должно быть выполнено; e) метод инициирования каждого плана; f) расположение мест для совещаний с указанием возможных альтернатив и актуализированное подробное описание контактной и мобилизационной информации для любых соответствующих агентств, организаций и других лиц, на которые возложена обязанность по обеспечению выполнения ответных мер; g) процесс прекращения действий в момент окончания инцидента; h) ссылку на существенную подробную контактную информацию для всех ключевых причастных сторон; i) подробное описание способов управления непосредственными последствиями нарушений деятельности организации, при этом необходимо учитывать: - благосостояние людей, - стратегические и рабочие решения для принятия ответных мер на нарушение деятельности организации; - предупреждение дальнейших потерь или неработоспособности критических видов деятельности; j) подробное описание процесса управления инцидентом, включая: - процессы, обеспечивающие условия для управления проблемами во время инцидента, - процессы, обеспечивающие непрерывность и восстановление критических видов деятельности; k) подробное описание того, как и при каких обстоятельствах организация планирует обмениваться информацией с работниками и их родственниками, ключевыми причастными сторонами и чрезвычайными службами; l) подробное описание ответных мер организации после инцидента для средств массовой информации (СМИ), включая: - стратегию обмена информацией об инциденте; - привилегированный интерфейс со СМИ; - указания или шаблоны для составления заявления для СМИ; - перечень представителей для работы со СМИ; m) метод регистрации записей ключевой информации об инциденте, предпринятых действиях и принятых решений; n) подробное описание действий и задач, которые должны быть выполнены; o) подробное описание ресурсов, необходимых для обеспечения непрерывности бизнеса и его восстановления в различные периоды времени; p) расположенные по приоритетам цели с точки зрения критических видов деятельности, которые необходимо восстановить, график и степень их восстановления, необходимые для каждого критического вида деятельности. 4.4 Проведение учений, поддержка и анализ МНБ Цель - верификация эффективности мероприятий МНБ и обеспечение необходимого восстановления критических видов деятельности после инцидента. 4.4.1 Общие положения Организация должна обеспечивать валидацию мероприятий МНБ путем проведения учений, анализа и актуализации. 4.4.2 Проведение учений по МНБ 4.4.2.1 Организация должна проводить учения по выполнению мероприятий МНБ для обеспечения их соответствия требованиям бизнеса. 4.4.2.2 Организация должна: a) разработать учения, совместимые с областью применения СМНБ; b) получить одобрение программы высшим руководством для обеспечения проведения учений через запланированные интервалы времени и/или при существенных изменениях бизнеса; c) поддерживать набор разнонаправленных учений, которые в комплексе позволяют валидировать достаточность мероприятий по обеспечению непрерывности бизнеса; d) планировать учения таким образом, чтобы минимизировать риск инцидентов, являющихся следствием проведенных учений; e) определять цели и задачи каждого учения; f) выполнять анализ полученных результатов после проведения каждого учения, необходимый для оценки достижения целей и задач проведения учений; g) составлять письменный отчет о проведенных учениях, полученных результатах и обратной связи, включая необходимые действия. 4.4.3 Меры по поддержке и анализу МНБ 4.4.3.1 Организация через запланированные интервалы времени должна анализировать мероприятия МНБ для обеспечения их непрерывной пригодности, адекватности и эффективности. 4.4.3.2 Организация должна обеспечивать проведение анализа своей способности к обеспечению непрерывности бизнеса и целесообразности мероприятий МНБ через запланированные интервалы времени и/или при возникновении существенных изменений для обеспечения их непрерывной пригодности, адекватности и эффективности. 4.4.3.3 Анализ мероприятий МНБ должен быть регулярным и проводиться путем самооценки или аудита. 4.4.3.4 В случае возникновения инцидента, который приводит к инициированию планов обеспечения непрерывности бизнеса или планов управления инцидентом, должен быть предпринят анализ, проводимый после инцидента, включающий: a) идентификацию характера и причин инцидента; b) оценку адекватности ответных мер со стороны руководства; c) оценку эффективности организации при выполнении целевых сроков восстановления; d) оценку адекватности мероприятий МНБ по подготовке персонала к инциденту; е) идентификацию улучшений мероприятий МНБ. 5 Мониторинг и анализ СМНБЦель - обеспечение со стороны руководства мониторинга и анализа результативности и эффективности СМНБ, анализа пригодности и целесообразности политики, целей и области применения непрерывности бизнеса, а также определение и утверждение действий по исправлению и улучшению СМНБ. Примечание - Внутренний аудит СМНБ отличается от самооценки или аудита мероприятий МНБ, определенных в 4.4.3.3 (см. также примечание к 2.22). 5.1.1 Организация должна обеспечить проведение внутреннего аудита СМНБ через запланированные интервалы времени для того, чтобы: a) определить, действительно ли СМНБ: - соответствует запланированному МНБ, включая соответствие требованиям настоящего стандарта, - должным образом внедрена и поддерживается в рабочем состоянии, - эффективно отвечает политике и целям в области непрерывности бизнеса организации; b) предоставить информацию о результатах аудита руководству организации. 5.1.2 Организация должна запланировать, установить, внедрить и поддерживать в рабочем состоянии программу(ы) проведения аудита с учетом анализа воздействий на бизнес, мер по оценке, управлению и снижению риска, а также результатов предыдущих аудитов. 5.1.3 Организация должна установить, внедрить и поддерживать в рабочем состоянии процедуру аудита СМНБ, ориентированную на: a) определение обязанностей и компетентности вовлеченного персонала, требований к планированию и проведению аудитов, выполнение отчетов о результатах аудита и регистрацию связанных записей; b) определение критериев, области применения, регулярности и методов аудита. 5.1.4 Выбор аудиторов и проведение аудита должны обеспечивать объективность и беспристрастность процесса аудита. 5.2 Анализ СМНБ со стороны руководства 5.2.1 Общие положения 5.2.1.1 Руководство должно проводить анализ СМНБ организации через запланированные интервалы времени и/или при существенных изменениях в организации, обеспечивать постоянную пригодность, адекватность и эффективность СМНБ. 5.2.1.2 Этот анализ должен включать оценку возможностей для улучшений и потребности в изменениях СМНБ, включая политику и цели в области непрерывности бизнеса. 5.2.1.3 Результаты проведенного анализа должны быть зарегистрированы, записи должны поддерживаться в рабочем состоянии. 5.2.2 Входные данные для анализа Входные данные для анализа со стороны руководства должны включать: a) результаты аудита и анализа СМНБ и, если применимо, результаты аудита СМНБ ключевых поставщиков и подрядчиков; b) данные обратной связи с заинтересованными сторонами, включая независимых наблюдателей; c) методы, продукцию или процедуры, которые могут быть использованы организацией для улучшения функционирования и повышения эффективности СМНБ; d) предупреждающие и корректирующие действия; e) уровень остаточного и приемлемого риска; f) уязвимости или угрозы, которым не было уделено достаточного внимания при предыдущей оценке или обработке риска; g) действия, предпринятые после предыдущих анализов со стороны руководства; h) все внутренние или внешние изменения, которые могут повлиять на СМНБ; i) рекомендации для улучшения; j) результаты проведения учений; k) появившиеся передовой опыт и рекомендации; l) опыт прошлых инцидентов; m) результаты проведения программ обучения и повышения компетентности персонала. 5.2.3 Выходные данные анализа Выходные данные анализа со стороны руководства должны включать все решения и действия, связанные: a) с изменением области применения СМНБ; b) с повышением эффективности СМНБ; c) с модификацией стратегии и процедур МНБ, при необходимости, для адекватной реакции на внутренние или внешние события, которые могут воздействовать на СМНБ, включая изменение: 1) требований к бизнесу, 2) требований к устойчивости, 3) бизнес-процессов, затрагивающих существующие требования к бизнесу, 4) установленных законодательных, обязательных и договорных требований, 5) уровней риска и/или уровней приемлемого риска; d) с потребностями в ресурсах; e) с требованиями к финансированию и бюджету. 6 Поддержка и улучшение СМНБЦель - поддержка и улучшение результативности и эффективности СМНБ путем применения предупреждающих и корректирующих действий, определенных при анализе со стороны руководства. 6.1 Предупреждающие и корректирующие действия 6.1.1 Общие положения Организация должна улучшать СМНБ путем применения предупреждающих и корректирующих действий. Любое предупреждающее и корректирующее действие должно соответствовать размеру потенциальных проблем организации и быть согласованным с политикой и целями в области непрерывности бизнеса. Изменения, произошедшие в результате предупреждающих и корректирующих действий, должны быть отражены в документации СМНБ. 6.1.2 Предупреждающие действия Организация должна принять меры для предупреждения потенциальных несоответствий и предотвращения их повторного возникновения. Предпринятые предупреждающие действия должны соответствовать воздействию потенциальных проблем. В документированной процедуре по управлению предупреждающими действиями должны быть определены следующие требования по: a) идентификации потенциальных несоответствий и их причин; b) определению и выполнению необходимых предупреждающих действий; c) регистрации результатов предпринятых действий; d) анализу предпринятых предупреждающих действий; e) идентификации измененного риска и обеспечения особого внимания значительно изменившемуся риску; f) обеспечению информированности всех необходимых ответственных лиц о несоответствиях и предпринятых предупреждающих действиях; g) расстановке приоритетов в предупреждающих действиях на основе оценки риска и анализа воздействий на бизнес. 6.1.3 Корректирующие действия Организация должна предпринять соответствующие меры для устранения причин несоответствий, связанных с внедрением и функционированием СМНБ для предотвращения их повторного появления. В документированной процедуре по управлению корректирующими действиями должны быть установлены соответствующие требования к: a) идентификации любых несоответствий; b) определению причин несоответствий; c) оценке потребностей в действиях по предупреждению повторного возникновения несоответствий; d) определению и выполнению необходимых корректирующих действий; е) ведению записей результатов предпринятых корректирующих действий; f) анализу предпринятых корректирующих действий. 6.2 Постоянное улучшение Организация должна постоянно улучшать эффективность СМНБ путем проведения анализа политики и целей в области непрерывности бизнеса, результатов аудита, результатов мониторинга событий, проведения предупреждающих и корректирующих действий и анализа со стороны руководства. Приложение А
|
ИСО/МЭК 27001 |
ИСО 9001 |
ИСО 14001 |
|
Введение |
0 Введение 0.1 Общие положения 0.2 Процессный подход 0.3 Совместимость с другими системами менеджмента |
0 Введение 0.1 Общие положения 0.2 Процессный подход 0.3 Связь с ИСО 9004 0.4 Совместимость с другими системами менеджмента |
Введение |
1 Область применения |
1 Область применения 1.1 Общие положения 1.2 Применение |
1 Область применения 1.1 Общие положения 1.2 Применение |
1 Область применения |
2 Нормативные ссылки |
2 Нормативные ссылки |
2 Нормативные ссылки |
|
2 Термины и определения |
3 Термины и определения |
3 Термины и определения |
3 Термины и определения |
3 Планирование системы менеджмента непрерывности бизнеса 3.1 Общие положения 3.2 Разработка и управление системой менеджмента непрерывности бизнеса |
4 Система менеджмента информационной безопасности 4.1 Общие требования 4.2 Разработка и управление системы менеджмента информационной безопасности 4.2.1 Разработка системы менеджмента информационной безопасности |
4 Система менеджмента качества 4.1 Общие требования |
4 Требования к системе экологического менеджмента 4.1 Общие требования |
4 Внедрение и функционирование СМНБ |
4.2.2 Внедрение и функционирование системы менеджмента информационной безопасности |
4.4 Внедрение и функционирование |
|
4.1 Анализ непрерывности бизнеса организации 4.2 Определение стратегии непрерывности бизнеса 4.3 Разработка и внедрение ответных мер, предусмотренных МНБ |
|||
4.4 Проведение учений, поддержка и анализ МНБ |
4.2.3 Поддержка и улучшение системы менеджмента информационной безопасности |
4.5.1 Мониторинг и измерение 4.5.2 Несоответствия, корректирующие и предупреждающие действия |
|
3.4 Документация и записи СМНБ |
4.3 Требования к документации |
4.2 Требования к документации |
|
3.4.1 Общие положения |
4.3.1 Общие положения |
4.2.1 Общие положения 4.2.2 Руководство по качеству |
|
3.4.2 Управление записями СМНБ |
4.3.2 Управление документами |
4.2.3 Управление документацией |
4.4.5 Управление документацией |
3.4.3 Управление документацией СМНБ |
4.3.3 Управление записями |
4.2.4 Управление записями |
4.5.3 Управление записями |
5 Ответственность руководства 5.1 Обязательства руководства |
5 Ответственность руководства 5.1 Обязательства руководства 5.2 Ориентация на потребителя 5.3 Политика в области качества |
||
5.4 Планирование 5.5 Ответственность, полномочия и обмен информацией |
4.2 Экологическая политика 4.3 Планирование |
||
5.2 Менеджмент ресурсов |
6 Менеджмент ресурсов |
||
5.2.1 Обеспечение ресурсами |
6.1 Обеспечение ресурсами 6.2 Человеческие ресурсы |
||
5.2.2 Подготовка, осведомленность и квалификация персонала |
6.2.2 Подготовка, осведомленность и квалификация персонала 6.3 Инфраструктура 6.4 Производственная среда |
4.4.2 Подготовка, осведомленность и квалификация персонала |
|
5 Мониторинг и анализ СМНБ |
6 Анализ системы менеджмента информационной безопасности со стороны руководства 6.1 Общие положения |
5.6 Анализ со стороны руководства 5.6.1 Общие положения |
4.6 Анализ со стороны руководства |
5.2 Анализ СМНБ со стороны руководства 5.2.1 Общие положения |
|||
5.2.2 Входные данные для анализа |
6.2 Входные данные для анализа |
5.6.2 Входные данные для анализа |
|
5.2.3 Выходные данные анализа |
6.3 Выходные данные анализа |
5.6.3 Выходные данные анализа |
|
5.1 Внутренний аудит |
6.4 Внутренний аудит |
8.2.2 Внутренний аудит |
4.5.4 Внутренний аудит |
6 Поддержка и улучшение СМНБ |
7 Улучшение системы менеджмента информационной безопасности |
8 Измерение, анализ и улучшение |
|
6.1 Предупреждающие и корректирующие действия |
|||
6.2 Постоянное улучшение |
7.1 Постоянное улучшение |
8.5.1 Постоянное улучшение |
|
6.1.3 Корректирующие действия |
7.2 Корректирующие действия |
||
6.1.2 Предупреждающие действия |
7.3 Предупреждающие действия |
8.5.2 Корректирующие действия 5.5.3 Предупреждающие действия |
4.5.2 Несоответствия, корректирующие и предупреждающие действия |
Приложение А Связь настоящего стандарта с ИСО 9001, ИСО 14001, ИСО/МЭК 27001 |
Приложение А Цели и меры управления Приложение В Руководство по использованию стандарта Приложение С Связь с другими стандартами систем менеджмента |
Приложение А Соответствие ИСО 9001 и ИСО 14001 |
Приложение А Руководство по применению стандарта Приложение В Связь ИСО 14001и ИСО 9001 |
BS 25999-1:2006, Business Continuity Management. Part 1: Code of Practice1)
ISO 9000:2005, Quality management systems. Fundamentals and vocabulary2)
ISO 9001:2008, Quality management systems. Requirements3)
ISO 14001:2004, Environmental management systems. Specification with guidance for use4)
ISO/IEC 17799:2005, Information technology. Security techniques. Code of practice for information security management5)
ISO/IEC 20000-1:2005, Information technology. Service management. Part 1: Specification
ISO/IEC 20000-2:2005, Information technology. Service management. Part 2: Code of practice
ISO/IEC 27001:2005, Information technology. Security techniques. Information security management systems. Requirements6)
ISO/IEC TR 13335-3:1998, Guidelines for the Management of IT Security. Part 3: Techniques for the management of IT security7)
ISO/IEC TR 13335-4:2000, Guidelines for the Management of IT Security. Part 4: Selection of safeguards8)
ISO/IEC Guide 62:1996, General requirements for bodies operating assessment and certification/registration of quality systems9)
ISO Guide 73:2009, Risk management. Vocabulary. Guidelines for use in standards10)
[1] OECD. OECD Guidelines for the Security of Information Systems and Networks Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org
_____________
1) ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство» идентичен BS 25999-1:2006.
2) ГОСТ Р ИСО 9000-2008 «Системы менеджмента качества. Основные положения и словарь» идентичен ИСО 9000:2005.
3) ГОСТ Р ИСО 9001-2008 «Системы менеджмента качества. Требования» идентичен ИСО 9001:2008.
4) ГОСТ Р ИСО 14001-2007 «Системы экологического менеджмента. Требования и руководство по применению» идентичен ИСО 14001:2004.
5) ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» идентичен ИСО/МЭК 17799:2005.
6) ГОСТ ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» идентичен ИСО/МЭК 27001:2005.
7) ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» идентичен ИСО/МЭК TR 13335-3:1998.
8) ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер» идентичен ИСО/МЭК TR 13335-4:2000.
9) Заменен на ISO/IEC 17021:2006 «Оценка соответствия. Требования к органам, обеспечивающим аудит и сертификацию систем менеджмента». ГОСТ Р ИСО/МЭК 17021-2008 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента идентичен ИСО/МЭК 17021:2006.
10) ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» идентичен ИСО/МЭК Guide 73:2002.
Ключевые слова: непрерывность бизнеса, менеджмент непрерывности бизнеса, система менеджмента непрерывности бизнеса, обеспечение непрерывности бизнеса, стратегия непрерывности бизнеса, воздействие, инцидент, план управления инцидентом, чрезвычайная ситуация, последствие, нарушение нормального функционирования бизнеса, критические виды деятельности, риск, допустимый совокупный риск, оценка риска, устойчивость организации