Методологии, стандарты и нормативные требования в области управления
В настоящее время существует достаточно большой ряд нормативных актов (международных и национальных), которые так или иначе связаны с вопросами обеспечения непрерывности бизнеса и восстановления после сбоев и регулируют отношения в данной области. Так, например, некоторые из таких актов определяют степень ответственности компаний и индивидуумов за невозможность организаций продолжать деятельность, правила хранения документации, предоставления отчетности, регулируют договорные отношения, вопросы производственной безопасности персонала, охраны личных сведений и частной жизни и многие другие. При этом спектр, действие и применимость конкретных законодательных и других регулирующих актов напрямую зависят от специфики бизнеса конкретного предприятия. Например, существует ряд специфичных требований к организациям финансового сектора, медицинским учреждениям, организациям, чьи акции «котируются» на биржах, и т.д.
|
|
Соответственно также развита и методологическая база в области «управления непрерывностью бизнеса». Для примера рассмотрим некоторые фрагменты требований действующих стандартов и нормативных актов Банка России.
В стандарте C0BIT [35] вопросы обеспечения непрерывности бизнеса
рассматриваются в области процессов «Эксплуатация и Сопровождение», а именно: процессе DS.4 «Обеспечение непрерывности обслуживания».
«Обеспечение непрерывности» по C0BIT определяется как контроль процессов, связанных с обеспечением непрерывности предоставления ИТ-услуг с целью удовлетворения бизнес-требованиям в части соответствия требованиям по обеспечению доступности требуемых ИТ-услуг и гарантированию минимального ущерба в случае
крупного сбоя. Это обеспечивается наличием действующего и протестированного плана непрерывности и восстановления ИТ, который соответствует общему плану непрерывности бизнеса, а также бизнестребованиям.
В стандартах ISO/IEC 17799/IS0/IEC 27001 обеспечение непрерывности бизнеса определяется как одна из важнейших задач в области информационной безопасности, что непосредственно отражено в разделе 11 стандарта IS0/IEC 17799 следующими требованиями:
11.1. Аспекты управления непрерывностью бизнеса.
11.1.1. Процесс управления непрерывностью бизнеса.
11.1.2. Непрерывность бизнеса и анализ влияния.
11.1.3. Разработка и внедрение планов непрерывности.
11.1.4. Компоненты планирования непрерывности бизнеса.
11.1.5. Тестирование, поддержка и переоценка планов непрерывности бизнеса.
11.1.5.1. Тестирование планов.
11.1.5.2. Поддержка и переоценка планов.
|
|
Стандарты института непрерывности бизнеса (BCI — (the Business Continuity Institute) представляют целевое рассмотрение всех связанных с обеспечением непрерывности бизнеса вопросов. BCI — это международная некоммерческая организация профессионалов в сфере обеспечения непрерывности бизнеса. Цель и роль BCI —
продвижение высших профессиональных стандартов и коммерческой этики в области поддержки планирования непрерывности бизнеса и предоставления услуг в данном направлении. BCI определяет 10 стандартов/направлений в области управления непрерывностью бизнеса:
1. Организация и управление проектом.
2. Оценка и контроль рисков.
3. Анализ влияния на бизнес.
4. Разработка стратегий обеспечения непрерывности.
5. Реакция на чрезвычайные ситуации.
6. Разработка и внедрение планов непрерывности бизнеса.
7. Программы обучения и повышения осведомленности персонала.
8. Поддержка и тестирование планов непрерывности бизнеса.
9. Связи с общественностью и управление кризисом.
10. Взаимодействие с регулирующими органами.
BCI также издал методологию Good Practice Guide (или GPG) и совместно с BSI специализированный стандарт PAS-56.
Таким образом, в области обеспечения непрерывности бизнеса существует достаточно развитая и проработанная методологическая база. Необходимо лишь ясно осознавать сферу действия того или иного стандарта (например, стандарт C0BIT ориентирован на непрерывность непосредственно только ИТ-услуг) и уже после этого применять в
соответствующих областях проверок. То есть необходимо убедиться, что выбираемая методология удовлетворяет целям организации и, следовательно, последующего аудита обеспечения непрерывности бизнеса и покрывает все критичные направления и аспекты деятельности аудируемого предприятия.