До свидания, BS 25999

Наконец, опубликован и доступен для приобретения долгожданный BS ISO 22301:2012 «Societal security. Business continuity management systems. Requirements». Стандарт приходит на замену BS 25999-2:2007, который, тем не менее, остается действительным.

Стандарты — нужны ли они нам?

Очень интересная аналитика от Forrester и Disaster Recovery Journal попалась на глаза. Организации весьма уважаемые, поэтому статистике (в целом) я склонен верить. Респондентам задавали вопрос, в какой степени перечисленные стандарты повлияли на управление непрерывностью бизнеса в их организациях, и просили проставить оценку от 1 («никак», темно-синий), до 4 («в значительной степени», салатовый).

И получается, что добрая  половина организаций при разработке своих программ управления непрерывностью бизнеса вообще не использовала рекомендации ведущих стандартов — BS 25999,  NFPA 1600, ISO 27001. Правда, что странно, это то, что 6% успели «в значительной мере» воспользоваться стандартом ISO 22301, который еще даже не утвержден.

Пребываю в некоторой растерянности. Ибо стандарты реально хорошие… Но статистика вещь упрямая. Задумался. Попытался вспомнить хотя бы одну организацию, которая бы не пользовалась рекомендациями стандартов ни сама, ни опосредованно, через привлекаемых консультантов. Не вспомнил.

Может быть, кто-то из читателей сможет привести контрпример, и объяснит, почему?

Стандарты по непрерывности бизнеса — итоги 2012 года

Рискну предположить, что за оставшиеся до нового года 5 дней ничего нового в области стандартизации уже не произойдет, так что можно подвести итоги года.

Наиболее ожидаемого события — выхода финальной версии преемника BS 25999, стандарта ISO 22301 «Societal security — Preparedness and continuity management systems — Requirements» не случилось, сроки плавно перенеслись [пока] на 2 квартал 2012 года, документ по состоянию на декабрь 2011 в статусе FDIS. Соответственно, вторая часть,  ISO 22313 «Societal security — Business continuity management systems — Guidance», дойдет до финала в лучшем случае в конце 2012 года, пока статус документа — DIS.

При этом, было бы неправдой сказать, что ISO плохо поработал, т.к. три новых документа мы все-таки получили — два стандарта:

ISO/IEC 27031:2011 «Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity».

ISO 22320:2011, «Societal security – Emergency management – Requirements for incident response».

И один небольшой документ ISO/TR 22312:2011 «Societal security — Technological capabilities».

BSI был еще более «плодовит», и разработал четыре документа.

В дополнение к выпущенным в 2010 году PD25111:2010 и PD 25666:2010 вышли два новых «PD»:

PD 25888:2011 «Business continuity management. Guidance on organization recovery following disruptive incidents»

PD 25222:2011 «Business continuity management. Guidance on supply chain continuity»

В статусе PAS вышел PAS 200 «Crisis Management — Guidance & Good Practice», нацеленный на то, чтобы дополнить BS 25999 в части, связанной с управлением ситуацией в момент кризиса.

И, наконец, стандарт по управлению рисками ISO 31100:2009 был дополнен стандартом BSI BS 31100:2011 «Risk management. Code of practice and guidance for the implementation of BS ISO 31000».

Так что, желающим изучить матчасть вполне есть, чем занять новогодние каникулы 🙂

Инфобез 2011 — итоги секции

В плодотворной атмосфере прошла сегодня секция «Оптимизация инвестиций в непрерывность бизнеса – от правильных рамок системы до эффективных решений» на выставке Инфобезопасность. Спасибо всем участникам за живой диалог.

Презентации участников:

Chris Gould, PWC

Алексей Чеканов, Алмитек

Олег Михальский, Acronis

Презентация Acronis

Секция на Business Continuity Russia/Инфобезопасность

С 4 по 6 октября в Экспоцентре на Красной Пресне традиционно будет проходить выставка Инфобезопасность. Поскольку в этом году  Business Continuity Russia не имеет ярко очерченных границ, будем считать все секции по непрерывности бизнеса частью одной большой выставки Инфобезопасность.

Итак, на что стоит обратить внимание. Продолжить чтение «Секция на Business Continuity Russia/Инфобезопасность»

Регулирование в области непрерывности бизнеса в России и в мире

BCI опубликовал новую, 4 версию документа Business Continuity Management Legislations, Regulations and Standards. Документ содержит обзор принятых в различных странах мира законодательных актов, документов отраслевого регулирования, стандартов и рекомендаций, посвященных непрерывности бизнеса, или частично затрагивающих данный вопрос. Довольно познавательно.

Из Российского регулирования  в документ попала инструкция Банка России 242-П, но не попал стандарт СТО БС ИББР-1.0-2010, о чем я уже написал автору документа 🙂 Кстати, 22 июня Банк России официально опубликовал информацию о вводе в действие новых версий документов комплекта БР ИББС.

BS 25999, операторы связи и консультанты

В конце ноября первый оператор связи получил сертификат соответствия BS 25999-2:2007. Им стала британская Telefónica O2 UK Ltd, а сертификацию провел BSI — откровенный лидер на этом рынке. Что радует, областью сертификации было выбрано «оказание услуг мобильной связи», т.е. действительно ключевая услуга для оператора.

В тот же день аналогичный сертификат получила и PricewaterhouseCoopers LLP. Здесь примечательно то, что сертифицирован был 41 офис компании в Великобритании, и их перечень занял 6 из 7 страниц сертификата 🙂 Органом по сертификации опять же выступил BSI, что, к моему удивлению, не было отражено в пресс-релизе компании.

Даже особенно нечего и добавить — молодцы коллеги, так держать.

Business Impact Analysis — обзор нового продукта

С начала октября мы принимаем участие в бета-тестировании новой версии продукта для проведения анализа воздействия на бизнес — Business Impact Analysis Professional компании SunGard Availability Services. По нашей оценке, продукт уже достиг достаточного уровня стабильности работы, чтобы о нем было не стыдно рассказывать, и, предваряя примерно на месяц выход коммерческой версии, сегодня я расскажу об основных возможностях продукта.

Для тех читателей, которые не знакомы с функциональностью предыдущих версий, несколько слов о том, для чего предназначен BIA Professional. Продукт позволяет автоматизировать рутинную часть работы по проведению анализа воздействия на бизнес, а именно — подготовку анкет/опросных листов, рассылку их анкетируемым сотрудникам, сбор, консолидацию и последующий анализ информации. Что немаловажно, продукт позволяет обеспечить повторное использование информации — при регулярном обновлении результатов BIA, пользователям не надо заново отвечать на те же самые вопросы,  а достаточно только проглядеть сохраненные старые ответы, и, при необходимости, внести корректировки.

Перед тем, как начать описывать возможности продукта, я бы хотел сделать акцент на том, в каких случаях организации действительно нужен BIA Professional, чтобы получить адекватную отдачу от сделанных инвестиций. Давайте рассмотрим три критерия, каждый из которых может послужить достаточным аргументом для приобретения продукта.

  1. Масштаб организации. Если в процессе проведения анализа воздействия на бизнес вам приходится проводить анкетирование значительного числа сотрудников, то BIA Professional может оказаться существенным подспорьем. По моему опыту, собрать и консолидировать информацию даже из 50 анкет — это уже серьезный труд.
  2. Динамика организации. Если бизнес-процессы, внутренняя или внешняя среда организации подвержены частым изменениям, то скорее всего вам приходится обновлять результаты BIA 1-2 раза в год. Как следствие, этот процесс будет регулярно требовать отвлечения от основной деятельности большого числа руководителей среднего и высшего звена, и крайне важно минимизировать затраты их времени.
  3. Методология. Если вы хотите быть уверенным, что весь процесс BIA, начиная со сбора информации, и заканчивая подготовкой финальных отчетов, происходит в строгом соответстии с разработанной вами формальной методикой, средства автоматизации позволят вам добиться этого результата. Более того, вы можете предъявить этот факт при аудите вашей системы обеспечения непрерывности деятельности (будь то аудит Банка России по 242-П, или аудит на соответствие BS 25999).
Теперь давайте посмотрим, какие возможности предоставляет BIA Professional версии 10. Что появилось нового по сравнению с предыдущей версией? Во-первых,  продукт полностью интегрирован с LDRPS 10, а если быть точнее, то все продукты SunGard теперь становятся частью единой системы — Continuity Management Solution (CMS). Это больше, чем маркетинговый шаг — все компоненты CMS используют одну и ту же платформу, хранят свои данные в единой СУБД и используют общий механизм управления пользователями.

Основной экран системы теперь выглядит таким образом:

На сегодняшний день в CMS интегрировано 3 продукта — BIA, Risk Assessment и LDRPS. Оставшиеся Incident Manager и Notifind обладают механизмами интеграции, но пока функционируют на другой платформе.

Выбрав BIA Professional, мы «проваливаемся» в основное меню системы. То, что мы видим на экране системы, предназначено для администратора, интерфейс для конечного пользователя, анкетируемого сотрудника, значительно проще, до него мы дойдем чуть позже. Продолжить чтение «Business Impact Analysis — обзор нового продукта»

Стандарты в непрерывности бизнеса

Здесь я попробую собрать всю ранее публиковавшуюся информацию о национальных и международных стандартах в области непрерывности бизнеса.

На первом месте заслуженно идет BS 25999 (в двух частях).

Часть первая — Business Continuity Management — Part 1: Code of Practice (2006)

Часть вторая — Business Continuity Management — Part 2: Specification (2007) 

Стандарт претендует на роль международного, используется в большинстве стран мира, в том числе и при сертификации компаний. Оригинальную версию можно приобрести на сайте BSI, русский перевод можно купить в ГлобалТрасте. На сегодняшний день в России сертификаций нет, хотя несколько компаний двигаются в этом направлении.

Через год, в 2008 г., BSI выпустил еще один стандарт, BS25777, посвященный непрерывности ИТ-сервисов. Русской версии пока нет, английская доступна для приобретения опять же на сайте BSI.

Тем временем американский NFPA в 2007 выпустил новую версию своего стандарта, NFPA 1600
Standard on Disaster/EmergencyManagement and Business Continuity Programs.
Приятным отличием является присутствие в бесплатном доступе на сайте NFPA.

Вскоре, в 2008 году, вышел Сингапурский стандарт SS 540:2008, пользующийся вниманием в основном в азиатских странах. Небесплатен, но стоит заметно меньше своего английского собрата. Купить можно здесь.

И, наконец, американский ответ BSI. В 2009 году выходит стандарт ASIC SPC.1-2009. Также бесплатен.