Ничто не вечно, или немного о непрерывности бизнеса » Стандарты

Стандарты по непрерывности бизнеса – итоги 2012 года

Alexey Chekanov — Mon, 26 Dec 2011 12:49:31 +0000

Рискну предположить, что за оставшиеся до нового года 5 дней ничего нового в области стандартизации уже не произойдет, так что можно подвести итоги года.

Наиболее ожидаемого события – выхода финальной версии преемника BS 25999, стандарта ISO 22301 «Societal security – Preparedness and continuity management systems - Requirements» не случилось, сроки плавно перенеслись [пока] на 2 квартал 2012 года, документ по состоянию на декабрь 2011 в статусе FDIS. Соответственно, вторая часть, ISO 22313 «Societal security – Business continuity management systems — Guidance», дойдет до финала в лучшем случае в конце 2012 года, пока статус документа – DIS.

При этом, было бы неправдой сказать, что ISO плохо поработал, т.к. три новых документа мы все-таки получили – два стандарта:

ISO/IEC 27031:2011 «Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity».

ISO 22320:2011, «Societal security – Emergency management – Requirements for incident response».

И один небольшой документ ISO/TR 22312:2011 «Societal security – Technological capabilities».

BSI был еще более «плодовит», и разработал четыре документа.

В дополнение к выпущенным в 2010 году PD25111:2010 и PD 25666:2010 вышли два новых «PD»:

PD 25888:2011 «Business continuity management. Guidance on organization recovery following disruptive incidents»

PD 25222:2011 «Business continuity management. Guidance on supply chain continuity»

В статусе PAS вышел PAS 200 «Crisis Management – Guidance & Good Practice», нацеленный на то, чтобы дополнить BS 25999 в части, связанной с управлением ситуацией в момент кризиса.

И, наконец, стандарт по управлению рисками ISO 31100:2009 был дополнен стандартом BSI BS 31100:2011 «Risk management. Code of practice and guidance for the implementation of BS ISO 31000″.

Так что, желающим изучить матчасть вполне есть, чем занять новогодние каникулы

Взятки и стандарты BSI

Alexey Chekanov — Sun, 03 Jul 2011 13:49:01 +0000

Со всей ответственностью подошел BSI к недавно вступившему в Великобритании в силу закону о противодействии коррупции. Оценивая риски попадания под действие данного закона, как достаточно серьезные, BSI разработал целый стандарт BS 10500, Specification for an anti-bribery management system (ABMS). Как понятно из названия, стандарт определяет требования к системе управления взятками… в смысле, борьбой с ними.

Стандарт доступен в статусе Draft for Public Comments, что позволяет всем желающим до конца лета бесплатно ознакомиться с документом и внести свою посильную лепту в его развитие.

Тоже риск-менеджмент, в какой-то степени…

Стандарты и регулирование в управлении непрерывностью бизнеса

Alexey Chekanov — Fri, 04 Feb 2011 10:26:52 +0000

BCI выпустил очередную обновленную (уже шестую) версию документа Business Continuity Management Legislations, Regulations and Standard, обобщающего стандарты и документы регуляторов, касающиеся непрерывности бизнеса, по всему миру.

Документ потихоньку растет. Россия отмечена уже целыми двумя документами из финансовой сферы, СТО БР ИББС 1.0-2010 и 242-П.

Стандарт АРБ по непрерывности деятельности кредитных организаций

Alexey Chekanov — Sun, 23 Jan 2011 19:57:24 +0000

16 декабря 2010 года Совет Ассоциации Российских Банков утвердил стандарт Программа управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации. Спецификация.

Идея существования такого стандарта, наверное, правильная.

На сегодня это уже третий документ после 242-П и СТО БР ИББС-1.0-2010, претендующий на регулирование управления непрерывностью деятельности (или непрерывностью бизнеса, смотря какой из документов смотреть) в банковском мире. На мой взгляд, было бы логично, если бы этот стандарт учел существующие требования 242-П, СТО БР ИББС, плюс документы Базельского комитета и ЕЦБ, создав единый руководящий документ. Но не тут то было. Кроме 242-П, ничего из вышеперечисленного не попало в перечень «Связанные стандарты». Более того, область применения стандарта была ограничена только для «операционных рисков, связанных физической угрозой активам» (орфография сохранена), остальное осталось за кадром.

В результате получилось нечто немного странное. Стандарт построен в той же логике, что 25999, при этом местами расширен с учетом других стандартов (25777) и лучших практик. В этой части документ неплох (примерно настолько же, насколько неплох BS 25999), хотя идея делать нестандартные велосипеды на базе стандартных без особой на то нужды мне не очень нравится.

Несмотря на сохранявшуюся до последнего момента надежду, специфики предметной области я в стандарте не заметил, за исключением разве что раздела «Резерв денежных средств», и то весьма ограниченно.

Соответственно, на выходе получили универсальный документ, в котором к слову «организация» добавлено «кредитная». Ни специфику отрасли, ни масштаб кредитной организации (а как следствие – ее влияние на платежную систему в целом) документ не учитывает. Стоило ли это года работы – не уверен.

По мелочам – несмотря на статус окончательного документа, в тексте присутствует изрядное количество орфографических ошибок. Кроме того, приложения местами получились забавные. Со скромностью у авторов стандарта все отлично – уровни зрелости предлагается оценивать следующим образом:

Начальный (хаотический, спонтанный) уровень – соответствие рекомендациям, изложенным в положении 242-П Банка России.
Формализованный уровень – соответствие требованиям международного стандарта BS25999.
Оптимизированный – соответствие данному стандарту.

И да сопутствует удача в момент ЧС тем, кто не забыл положить в «тревожный чемоданчик» флипчарт

Минкомсвязи – новые требования по бесперебойному питанию

Alexey Chekanov — Mon, 10 Jan 2011 11:54:19 +0000

30 декабря 2010 года, после прошедшего в Московской области ледяного дождя, приведшего к массовым отключениям электропитания, глава Минкомсвязи объявил о планируемом в ближайшем будущем ужесточении требования Министерства к электроснабжению сетей связи. По словам Щеголева, изменения должны появиться вскоре после праздников.

На сегодняшний день основополагающим документом регулятора является приказ №32, с учетом Приказа №115. Ждем изменений.

Непрерывность бизнеса – выражаемся правильно

Alexey Chekanov — Sat, 08 Jan 2011 19:20:58 +0000

Пока российские граждане продолжают приходить в себя после нового года, мир потихоньку входит в рабочий режим. The Business Continuity Institute опубликовал переработанный глоссарий, содержащий все основные определения, относящиеся к непрерывности бизнеса. Автор документа – технический директор BCI Lyndon Bird FBCI. Документ доступен для бесплатного скачивания.

PD 25666:2010 – проводим учения правильно

Alexey Chekanov — Wed, 04 Aug 2010 13:28:39 +0000

В дополнение к уже существующим стандартам и спецификациям BS 25999, BS 25777, ISO/PAS 22399 и BS ISO/IEC 27001, BSI выпустил документ PD 25666 ‘Guidance on exercising and testing for continuity and contingency programmes’, содержащий рекомендации по проведению учений, тестированию отдельных элементов системы обеспечения непрерывности бизнеса и т.п. Доступен на сайте BSI за 95 фунтов.

Регулирование в области непрерывности бизнеса в России и в мире

Alexey Chekanov — Tue, 29 Jun 2010 16:18:49 +0000

BCI опубликовал новую, 4 версию документа Business Continuity Management Legislations, Regulations and Standards. Документ содержит обзор принятых в различных странах мира законодательных актов, документов отраслевого регулирования, стандартов и рекомендаций, посвященных непрерывности бизнеса, или частично затрагивающих данный вопрос. Довольно познавательно.

Из Российского регулирования в документ попала инструкция Банка России 242-П, но не попал стандарт СТО БС ИББР-1.0-2010, о чем я уже написал автору документа Кстати, 22 июня Банк России официально опубликовал информацию о вводе в действие новых версий документов комплекта БР ИББС.

NFPA 1600:2010

Alexey Chekanov — Fri, 26 Mar 2010 20:09:12 +0000

NFPA честно с интервалом в три года выпускает очередную версию своего стандарта
NFPA 1600: Standard on Disaster/Emergency Management and Business Continuity Programs.
Как всегда, доступно для бесплатной загрузки с сайта NFPA.

Business Impact Analysis федерального масштаба

Alexey Chekanov — Thu, 21 Jan 2010 14:46:31 +0000

В последний день прошлого года Минюст зарегистрировал приказ Министерства экономического развития №470 от 16 ноября 2009 года «О требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти».

Приказ, среди прочего, устанавливает целевые показатели восстановления для сайтов федеральных органов:

RTO – 4 часа

Суммарная длительность перерывов в работе официального сайта в информационно-телекоммуникационной сети Интернет (далее – сеть Интернет) не должна превышать 4 часов в месяц (за исключением перерывов, связанных с обстоятельствами непреодолимой силы). При необходимости проведения плановых технических работ, в ходе которых доступ пользователей информацией к информации, размещенной на официальном сайте, будет невозможен, уведомление об этом должно быть размещено на главной странице официального сайта не менее чем за сутки до начала работ.

RPO – 24 часа

В целях защиты информации, размещенной на официальном сайте, должно быть обеспечено:

[...]

в) ежедневное копирование всей размещенной на официальном сайте информации и электронных журналов учета операций на резервный материальный носитель, обеспечивающее возможность их восстановления.

Кроме того, определены некоторые требования к хранению резервных копий:

д) хранение резервных материальных носителей с ежедневными копиями всей размещенной на официальном сайте информации и электронных журналов учета операций – не менее одного года, с еженедельными копиями всей размещенной на официальном сайте информации – не менее двух лет, с ежемесячными копиями всей размещенной на официальном сайте информации – не менее трех лет.

К сожалению, ничего не было сказано про хранение резервных копий за пределами серверных помещений – это могло бы в перспективе помочь избежать пары неприятных историй (вспомним, например, историю с Комсомольской правдой)

Не знаю, предшествовал ли выбору этих целевых показателей BIA, но зато теперь федеральные власти смогут сэкономить на проведение анализа в каждом конкретном ведомстве, если, конечно, они не сочтут необходимым установить более жесткие показатели восстановления.