BS 25999, операторы связи и консультанты

В конце ноября первый оператор связи получил сертификат соответствия BS 25999-2:2007. Им стала британская Telefónica O2 UK Ltd, а сертификацию провел BSI — откровенный лидер на этом рынке. Что радует, областью сертификации было выбрано «оказание услуг мобильной связи», т.е. действительно ключевая услуга для оператора.

В тот же день аналогичный сертификат получила и PricewaterhouseCoopers LLP. Здесь примечательно то, что сертифицирован был 41 офис компании в Великобритании, и их перечень занял 6 из 7 страниц сертификата 🙂 Органом по сертификации опять же выступил BSI, что, к моему удивлению, не было отражено в пресс-релизе компании.

Даже особенно нечего и добавить — молодцы коллеги, так держать.

ЦБ по прежнему лидирует

Банк России, который в этом году заметно вырвался вперед по отношению к остальным регуляторам, продолжает поддерживать статус лидера. На этот раз — в части информационной поддержки сообщества.

В 15 выпуске издания «Платежные и расчетные системы» ЦБ опубликовал переводы сразу двух документов в области непрерывности бизнеса в финансовой сфере: «Руководящие принципы обеспечения непрерывности бизнеса» Базельского банковского комитета (Банк по международным расчетам), и «Рекомендации по наблюдению за непрерывностью деятельности для системно значимых платежных систем» Европейского Центробанка.

Первый документ, как известно, послужил основой при выпуске изменений к Инструкции 242-П, поэтому на нем я остановлюсь поподробнее. Второй тоже достаточно любопытно прочитать, среди прочих моментов он дает чуть более широкий взгляд на целевые показатели обеспечения непрерывности деятельности, ставя для ряда участников рынка по главу угла влияние от прерывания деятельности не на их собственный бизнес, а на платежную систему на уровне страны (точнее говоря, Еврозоны). Несмотря на то, что документ ориентирован на финансовые организации стран Еврозоны, прочитать стоит, тем более, что документ небольшой. Единственное, рекомендую читать в оригинале, т.к. перевод этого документа, в отличие от «Руководящих принципов…», сильно оставляет желать лучшего.

Теперь вернемся к «Руководящим принципам…»

Поскольку этот документ во многом лег в основу измений к 242-П, достаточно интересно посмотреть, что из семи принципов вошло в 242-П, и в каком виде. Итак, по порядку.

Принцип 1. Ответственность совета директоров и высшего руководства.
«Советы директоров и высшее руководство организаций несут коллективную ответственность за непрерывность бизнеса организации.»

Принцип безусловно разумный, и, среди прочего, пересекается с рекомендациями BS 25999. Однако, в 242-П по каким-то причинам эти рекомендации не вошли. Тем не менее, основываясь на своем опыте, я бы рекомендовал максимально стараться воплотить его в жизнь — система будет работать горадо эффективнее.

Принцип 2. Крупные операционные нарушения.
«Участники финансового сектора и финансовые органы при формировании подхода к управлению непрерывностью бизнеса должны учитывать риск крупного операционного нарушения. Финансовым органам также следует оценить их собственную реакцию на потенциальные крупные операционные нарушения, которые могут затруднить проведение операций участниками финансового сектора или финансовой системой, за работу которой они несут ответственность.»

Тезис о том, что планы ОНиВД должны предусматривать возможность масштабных ЧС в 242-П вошел, и даже был дополнен ссылками на Российские нормативные документы. А вот рекомендации по поводу альтернативных площадок остались за кадром.

Принцип 3. Цели восстановления
«Участники финансового сектора должны сформулировать для себя цели восстановления, учитывающие потенциальный риск, который они представляют для операций финансовой сферы. Предпочтительно, чтобы формулировки таких целей восстановления были согласованы с соответствующими финансовыми органами или разрабатывались ими.»

Если в «Принципах…» делается упор на возможной влияние на финансовую систему в целом, то 242-П больше сфокусировано на стандартных для анализа воздействия на бизнес аспектах, т.е. влияние на бизнес кредитной органиации, как таковой.

Принцип 4. Обмен информацией.
«Участники финансового сектора и финансовые органы должны включать в свои планы обеспечения непрерывности бизнеса процедуры для обмена информацией во время крупного операционного нарушения внутри организации и с соответствующими внешними сторонами.»

Принцип нашел свое отражение в 242-П (Пункт 7 Приложения 5), хотя и в более общей форме.

Принцип 5. Трансграничный обмен информацией.
«Процедуры обмена информацией для участников финансового сектора и финансовых органов на случай крупных операционных нарушений, затрагивающих несколько стран, должны предусматривать обмен информацией с финансовыми органами, действующими в пределах других юрисдикций.»

Пункт разумный, но учитывая не очень высокий уровень зрелости нашей банковской системы в области непрерывности бизнеса, а также не такой высокий уровень интеграции в мировую банковскую систему — пока не нашел своего отражения в 242-П.

Принцип 6. Проверки (тестирование).
«Участники финансового сектора и финансовые органы должны производить проверку своих планов
обеспечения непрерывности бизнеса, оценивать их эффективность и соответствующим образом совершенствовать управление непрерывностью бизнеса.»

 Здесь 242-П раскрывает вопрос даже более подробно. Единственное, пожалуй, что было исключено — это крупномасштабное тестирование с вовлечением множества кредитных организаций. Наверное, не самое сейчас подходящее время — не все могут выдержать…

Принцип 7. Контроль за управлением непрерывностью бизнеса со стороны финансовых органов
«Финансовые органы должны включать в практику своей работы осуществление контроля за управлением непрерывностью бизнеса для проведения оценки участников финансового сектора, находящихся в сфере их ответственности.»

Этот пункт относится скорее к деятельности самого ЦБ, и появление изменений к 242-П можно считать первым шагом на пути выполнения этого принципа.

Обобщая все вышесказанное, можно рискнуть сделать следующие выводы:

  1. В некоторых аспектах «Руководящие принципы…» оказываются более подробными, чем 242-П, соответственно, и в этих вопросах ими можно и нужно пользоваться. Равно как и другими стандартами, такими как BS 25999, BS 25777.
  2.  «Руководящие принципы…» дают некоторое представление, в какую сторону, скорее всего, будет развиваться регулирование со стороны ЦБ.

NFPA 1600 и iPhone

NFPA (National Fire Protection Association) выпустила свой стандарт NFPA 1600 Standard on Disaster/Emergency Management and Business Continuity Programs в формате интерактивного приложения для iPhone. Можно просто почитать, можно походить по ссылкам, которых там много, позвонить по телефонам для экстренного реагирования и проч.

Приложение получилось простое, но удобное. На мой взгляд, кроме популяризации самого стандарта NFPA 1600, достаточно интересная идея, как в удобной форме донести до людей планы реагирования в чрезвычайных ситуациях.

Приложение можно бесплатно загрузить из iTunes App Store. Единственное ограничение — требует наличия версии 3.0.

Официальный пресс-релиз NFPA — здесь.

Teleworking и восстановление рабочих мест

Буквально вчера встречались с крупным банком, обсуждали вопросы непрерывности бизнеса. Среди прочего речь зашла про восстановление рабочих мест в случае ЧС. Ну, естественно, как вариант предложили органзацию удаленной работы из дома — например с использованием виртуальных рабочих мест. Первой реакцией, которую мы получили (впрочем, вполне предсказуемо) — давайте вы сначала с ИБ договоритесь…

И вот сегодня в новостях прочитал, что NIST выпустил руководство по обеспечению безопасности при удаленной работе — Guide to Enterprise Telework and Remote Access Security (Special Publication 800-46 Revision 1).

Неплохой документ, имеет смысл прочитать, если проектируете решение для удаленного доступа. По крайней мере, можно ссылаться, что сделано в соответствии с авторитетными рекомендациями.

Банки и непрерывность бизнеса

Требования по наличию у кредитных организация системы обеспечения непрерывности бизнеса со стороны Банка России присутствуют аж в двух местах.

С одной стороны, это стандарт по информационной безопасности СТО БР ИББС-1.0-2008. Невзирая на рекомендательный характер документа, банковское сообщество относится к нему с достаточным уважением, ибо понятно — просто так Банк России чего-то рекомендовать не будет.

Второй документ, выдвигающий гораздо более серьезные требования — положение 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Требования по наличию планов обеспечения непрерывности бизнеса были в нем и раньше, но только с 2009 года в нем появилось подробное описание того, что, собственно, Банк России рассчитывает увидеть. В документе достаточно подробно расписаны требования практически ко всем этапам жизненного цикла СУНБ. Само постановление носит обязательный характер, а вот «Рекомендации по структуре и содержанию плана…», как это следует из их названия — рекомендательный. Появление новой редакции 242-П заставило банки гораздо серьезнее присмотреться к вопросам обеспечения непрерывности бизнеса.

Стандарты в непрерывности бизнеса

Здесь я попробую собрать всю ранее публиковавшуюся информацию о национальных и международных стандартах в области непрерывности бизнеса.

На первом месте заслуженно идет BS 25999 (в двух частях).

Часть первая — Business Continuity Management — Part 1: Code of Practice (2006)

Часть вторая — Business Continuity Management — Part 2: Specification (2007) 

Стандарт претендует на роль международного, используется в большинстве стран мира, в том числе и при сертификации компаний. Оригинальную версию можно приобрести на сайте BSI, русский перевод можно купить в ГлобалТрасте. На сегодняшний день в России сертификаций нет, хотя несколько компаний двигаются в этом направлении.

Через год, в 2008 г., BSI выпустил еще один стандарт, BS25777, посвященный непрерывности ИТ-сервисов. Русской версии пока нет, английская доступна для приобретения опять же на сайте BSI.

Тем временем американский NFPA в 2007 выпустил новую версию своего стандарта, NFPA 1600
Standard on Disaster/EmergencyManagement and Business Continuity Programs.
Приятным отличием является присутствие в бесплатном доступе на сайте NFPA.

Вскоре, в 2008 году, вышел Сингапурский стандарт SS 540:2008, пользующийся вниманием в основном в азиатских странах. Небесплатен, но стоит заметно меньше своего английского собрата. Купить можно здесь.

И, наконец, американский ответ BSI. В 2009 году выходит стандарт ASIC SPC.1-2009. Также бесплатен.