Открыть сервис

BS 25999-1:2006

BS 25999-1:2006 — это британский национальный стандарт, устанавливающий требования и руководящие указания по управлению непрерывностью бизнеса (Business Continuity Management, BCM). Документ был разработан Британским институтом стандартов (BSI) и являлся первой частью двухчастного стандарта BS 25999, который стал основой для последующего международного стандарта ISO 22301. Стандарт был официально опубликован 30 ноября 2006 года и заменён международным стандартом ISO 22301:2012 в 2012 году, после чего утратил силу как национальный стандарт Великобритании.

История создания

Разработка BS 25999 была инициирована в ответ на растущую потребность организаций в системном подходе к обеспечению непрерывности деятельности в условиях возрастающих рисков — от природных катастроф и техногенных аварий до кибератак и террористических угроз. До появления этого стандарта в Великобритании и других странах существовали разрозненные руководства (например, PAS 56 — предшественник BS 25999, опубликованный в 2003 году), но отсутствовал единый, формализованный и сертифицируемый стандарт.

Работа над BS 25999 велась комитетом BSI BCM/1, в который вошли представители крупных корпораций, государственных органов, консалтинговых компаний и академических кругов. Первая часть стандарта (BS 25999-1) была задумана как свод правил и рекомендаций (Code of Practice), а вторая часть (BS 25999-2) — как спецификация для систем менеджмента, подлежащая сертификации. Первая часть вышла в 2006 году, вторая — в 2007 году.

Структура и содержание стандарта

BS 25999-1:2006 состоит из нескольких ключевых разделов, которые охватывают полный цикл управления непрерывностью бизнеса.

Область применения

Стандарт распространяется на любые организации независимо от их размера, формы собственности и сферы деятельности. Он применим как к коммерческим предприятиям, так и к государственным учреждениям, некоммерческим организациям и общественным объединениям.

Основные термины и определения

В документе введены и унифицированы ключевые понятия, такие как:

  • Непрерывность бизнеса (Business Continuity, BC) — способность организации продолжать предоставление продуктов или услуг на приемлемом заранее определённом уровне после инцидента.
  • Управление непрерывностью бизнеса (Business Continuity Management, BCM) — целостный процесс управления, который выявляет потенциальные угрозы для организации и их влияние на операции, а также обеспечивает основу для построения устойчивости организации.
  • План непрерывности бизнеса (Business Continuity Plan, BCP) — документированная процедура, описывающая действия по восстановлению или поддержанию критических функций организации после инцидента.
  • Максимально допустимый перерыв (Maximum Acceptable Outage, MAO) — максимальное время, в течение которого организация может функционировать без выполнения критических бизнес-процессов.
  • Целевое время восстановления (Recovery Time Objective, RTO) — целевое время, в течение которого должны быть восстановлены критические функции после инцидента.
  • Целевая точка восстановления (Recovery Point Objective, RPO) — максимально допустимый объём потери данных, выраженный во времени (например, данные за последние 4 часа).

Процесс управления непрерывностью бизнеса

Стандарт описывает циклический процесс BCM, состоящий из шести этапов:

  1. Понимание организации — проведение анализа бизнес-влияния (Business Impact Analysis, BIA) и оценки рисков (Risk Assessment). BIA позволяет определить критичность бизнес-процессов и их зависимость от ресурсов, а оценка рисков — выявить угрозы и уязвимости.
  2. Определение стратегии BCM — выбор подходов к обеспечению непрерывности (например, резервирование мощностей, аутсорсинг, страхование, использование альтернативных площадок).
  3. Разработка и внедрение планов BCM — создание документации, включающей планы реагирования на инциденты, планы восстановления, планы эвакуации, а также назначение ответственных лиц и команд.
  4. Тестирование и поддержание в актуальном состоянии — регулярное проведение учений, тренировок и аудитов для проверки работоспособности планов.
  5. Встраивание BCM в культуру организации — обучение персонала, повышение осведомлённости, включение требований BCM в должностные инструкции и контракты с подрядчиками.
  6. Аудит и постоянное улучшениемониторинг эффективности системы BCM, проведение внутренних и внешних аудитов, корректирующие и предупреждающие действия.

Требования к документации

Стандарт требует наличия следующих документов:

  • Политика BCM (утверждённый высшим руководством документ, определяющий цели и рамки управления непрерывностью).
  • Отчёты по анализу бизнес-влияния и оценке рисков.
  • Планы непрерывности бизнеса и планы аварийного восстановления (Disaster Recovery Plans).
  • Протоколы тестирований и учений.
  • Записи о проведённых аудитах и корректирующих действиях.

Отличие от BS 25999-2

BS 25999-1:2006 является руководством (Code of Practice), а не спецификацией для сертификации. Он содержит рекомендации по внедрению BCM, но не устанавливает обязательных требований, которые можно было бы проверить в ходе аудита. Вторая часть стандарта, BS 25999-2:2007, напротив, является спецификацией (Specification) и содержит формальные требования к системе менеджмента непрерывности бизнеса (BCMS). Организации могли пройти сертификацию на соответствие именно BS 25999-2, используя первую часть как методическое пособие.

Применение и значение

BS 25999-1:2006 стал первым в мире национальным стандартом, который систематизировал и формализовал подходы к управлению непрерывностью бизнеса. Он оказал значительное влияние на развитие этой дисциплины в Великобритании, странах Содружества и других регионах. Стандарт активно использовался:

  • Финансовыми организациями — банки, страховые компании, инвестиционные фонды, для которых непрерывность операций является критической.
  • Государственными органами — министерства, ведомства, службы экстренного реагирования.
  • Промышленными предприятиями — особенно в энергетике, нефтегазовом секторе, химической промышленности.
  • ИТ-компаниями — для обеспечения доступности информационных систем и данных.
  • Транспортными и логистическими компаниями — для поддержания цепочек поставок.

Внедрение стандарта позволяло организациям:

  • Снизить финансовые потери от простоев.
  • Укрепить доверие клиентов, партнёров и регуляторов.
  • Обеспечить соответствие законодательным и отраслевым требованиям (например, в сфере финансового регулирования Великобритании — FSA Handbook).
  • Повысить общую устойчивость к кризисным ситуациям.

Переход к ISO 22301

В 2012 году Международная организация по стандартизации (ISO) опубликовала стандарт ISO 22301:2012 «Безопасность и устойчивость. Системы менеджмента непрерывности бизнеса. Требования», который во многом базировался на BS 25999-2. После этого BSI отозвал BS 25999-1 и BS 25999-2, рекомендовав организациям переходить на международный стандарт. ISO 22301 сохранил основные концепции и терминологию BS 25999, но внёс ряд изменений, включая более строгие требования к анализу бизнес-влияния, оценке рисков и постоянному улучшению. На сегодняшний день ISO 22301 является основным сертифицируемым стандартом в области управления непрерывностью бизнеса во всём мире, включая Российскую Федерацию, где он принят как национальный стандарт ГОСТ Р ИСО 22301-2014.

Критика и ограничения

Несмотря на широкое признание, BS 25999-1:2006 подвергался критике за:

  • Чрезмерную сложность — малые и средние предприятия часто считали внедрение стандарта слишком затратным и трудоёмким.
  • Недостаточную гибкость — стандарт был ориентирован на крупные организации с формализованными процессами, что затрудняло его адаптацию для стартапов и некоммерческих структур.
  • Отсутствие интеграции с другими системами менеджмента — в отличие от последующего ISO 22301, который был спроектирован с учётом совместимости с ISO 9001 (менеджмент качества) и ISO 27001 (информационная безопасность), BS 25999 не предусматривал такой интеграции на уровне структуры.
  • Устаревание — с развитием цифровых технологий, облачных вычислений и удалённой работы требования стандарта перестали полностью отражать современные реалии.

Источники

  • BS 25999-1:2006 «Business Continuity Management. Part 1: Code of Practice». British Standards Institution, 2006.
  • BS 25999-2:2007 «Business Continuity Management. Part 2: Specification». British Standards Institution, 2007.
  • ISO 22301:2012 «Societal security — Business continuity management systems — Requirements». International Organization for Standardization, 2012.
  • ГОСТ Р ИСО 22301-2014 «Менеджмент непрерывности бизнеса. Общие требования». Федеральное агентство по техническому регулированию и метрологии, 2014.
  • «Business Continuity Management: A Practical Guide to Organizational Resilience» by Andrew Hiles, 2010.
  • «The Definitive Handbook of Business Continuity Management» by John R. Harrald, 2011.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →