Непрерывностью бизнеса

Методологии, стандарты и нормативные требования в области управления

В настоящее время существует достаточно большой ряд нормативных актов (международных и национальных), которые так или иначе связаны с вопросами обеспечения непрерывности бизнеса и восстановления после сбоев и регулируют отношения в данной области. Так, например, некоторые из таких актов определяют степень ответственности компаний и индивидуумов за невозможность организаций продолжать деятельность, правила хранения документации, предоставления отчетности, регулируют договорные отношения, вопросы производственной безопасности персонала, охраны личных сведений и частной жизни и многие другие. При этом спектр, действие и применимость конкретных законодательных и других регулирующих актов напрямую зависят от специфики бизнеса конкретного предприятия. Например, существует ряд специфичных требований к организациям финансового сектора, медицинским учреждениям, организациям, чьи акции «котируются» на биржах, и т.д.

Соответственно также развита и методологическая база в области «управления непрерывностью бизнеса». Для примера рассмотрим некоторые фрагменты требований действующих стандартов и нормативных актов Банка России.

В стандарте C0BIT [35] вопросы обеспечения непрерывности бизнеса

рассматриваются в области процессов «Эксплуатация и Сопровождение», а именно: процессе DS.4 «Обеспечение непрерывности обслуживания».

«Обеспечение непрерывности» по C0BIT определяется как контроль процессов, связанных с обеспечением непрерывности предоставления ИТ-услуг с целью удовлетворения бизнес-требованиям в части соответствия требованиям по обеспечению доступности требуемых ИТ-услуг и гарантированию минимального ущерба в случае

крупного сбоя. Это обеспечивается наличием действующего и протестированного плана непрерывности и восстановления ИТ, который соответствует общему плану непрерывности бизнеса, а также бизнестребованиям.

В стандартах ISO/IEC 17799/IS0/IEC 27001 обеспечение непрерывности бизнеса определяется как одна из важнейших задач в области информационной безопасности, что непосредственно отражено в разделе 11 стандарта IS0/IEC 17799 следующими требованиями:

11.1. Аспекты управления непрерывностью бизнеса.

11.1.1. Процесс управления непрерывностью бизнеса.

11.1.2. Непрерывность бизнеса и анализ влияния.

11.1.3. Разработка и внедрение планов непрерывности.

11.1.4. Компоненты планирования непрерывности бизнеса.

11.1.5. Тестирование, поддержка и переоценка планов непрерывности бизнеса.

11.1.5.1. Тестирование планов.

11.1.5.2. Поддержка и переоценка планов.

Стандарты института непрерывности бизнеса (BCI — (the Business Continuity Institute) представляют целевое рассмотрение всех связанных с обеспечением непрерывности бизнеса вопросов. BCI — это международная некоммерческая организация профессионалов в сфере обеспечения непрерывности бизнеса. Цель и роль BCI —

продвижение высших профессиональных стандартов и коммерческой этики в области поддержки планирования непрерывности бизнеса и предоставления услуг в данном направлении. BCI определяет 10 стандартов/направлений в области управления непрерывностью бизнеса:

1. Организация и управление проектом.

2. Оценка и контроль рисков.

3. Анализ влияния на бизнес.

4. Разработка стратегий обеспечения непрерывности.

5. Реакция на чрезвычайные ситуации.

6. Разработка и внедрение планов непрерывности бизнеса.

7. Программы обучения и повышения осведомленности персонала.

8. Поддержка и тестирование планов непрерывности бизнеса.

9. Связи с общественностью и управление кризисом.

10. Взаимодействие с регулирующими органами.

BCI также издал методологию Good Practice Guide (или GPG) и совместно с BSI специализированный стандарт PAS-56.

Таким образом, в области обеспечения непрерывности бизнеса существует достаточно развитая и проработанная методологическая база. Необходимо лишь ясно осознавать сферу действия того или иного стандарта (например, стандарт C0BIT ориентирован на непрерывность непосредственно только ИТ-услуг) и уже после этого применять в

соответствующих областях проверок. То есть необходимо убедиться, что выбираемая методология удовлетворяет целям организации и, следовательно, последующего аудита обеспечения непрерывности бизнеса и покрывает все критичные направления и аспекты деятельности аудируемого предприятия.