BS 25999-1:2006
BS 25999-1:2006 — это британский национальный стандарт, устанавливающий требования и руководящие указания по управлению непрерывностью бизнеса (Business Continuity Management, BCM). Документ был разработан Британским институтом стандартов (BSI) и являлся первой частью двухчастного стандарта BS 25999, который стал основой для последующего международного стандарта ISO 22301. Стандарт был официально опубликован 30 ноября 2006 года и заменён международным стандартом ISO 22301:2012 в 2012 году, после чего утратил силу как национальный стандарт Великобритании.
История создания
Разработка BS 25999 была инициирована в ответ на растущую потребность организаций в системном подходе к обеспечению непрерывности деятельности в условиях возрастающих рисков — от природных катастроф и техногенных аварий до кибератак и террористических угроз. До появления этого стандарта в Великобритании и других странах существовали разрозненные руководства (например, PAS 56 — предшественник BS 25999, опубликованный в 2003 году), но отсутствовал единый, формализованный и сертифицируемый стандарт.
Работа над BS 25999 велась комитетом BSI BCM/1, в который вошли представители крупных корпораций, государственных органов, консалтинговых компаний и академических кругов. Первая часть стандарта (BS 25999-1) была задумана как свод правил и рекомендаций (Code of Practice), а вторая часть (BS 25999-2) — как спецификация для систем менеджмента, подлежащая сертификации. Первая часть вышла в 2006 году, вторая — в 2007 году.
Структура и содержание стандарта
BS 25999-1:2006 состоит из нескольких ключевых разделов, которые охватывают полный цикл управления непрерывностью бизнеса.
Область применения
Стандарт распространяется на любые организации независимо от их размера, формы собственности и сферы деятельности. Он применим как к коммерческим предприятиям, так и к государственным учреждениям, некоммерческим организациям и общественным объединениям.
Основные термины и определения
В документе введены и унифицированы ключевые понятия, такие как:
- Непрерывность бизнеса (Business Continuity, BC) — способность организации продолжать предоставление продуктов или услуг на приемлемом заранее определённом уровне после инцидента.
- Управление непрерывностью бизнеса (Business Continuity Management, BCM) — целостный процесс управления, который выявляет потенциальные угрозы для организации и их влияние на операции, а также обеспечивает основу для построения устойчивости организации.
- План непрерывности бизнеса (Business Continuity Plan, BCP) — документированная процедура, описывающая действия по восстановлению или поддержанию критических функций организации после инцидента.
- Максимально допустимый перерыв (Maximum Acceptable Outage, MAO) — максимальное время, в течение которого организация может функционировать без выполнения критических бизнес-процессов.
- Целевое время восстановления (Recovery Time Objective, RTO) — целевое время, в течение которого должны быть восстановлены критические функции после инцидента.
- Целевая точка восстановления (Recovery Point Objective, RPO) — максимально допустимый объём потери данных, выраженный во времени (например, данные за последние 4 часа).
Процесс управления непрерывностью бизнеса
Стандарт описывает циклический процесс BCM, состоящий из шести этапов:
- Понимание организации — проведение анализа бизнес-влияния (Business Impact Analysis, BIA) и оценки рисков (Risk Assessment). BIA позволяет определить критичность бизнес-процессов и их зависимость от ресурсов, а оценка рисков — выявить угрозы и уязвимости.
- Определение стратегии BCM — выбор подходов к обеспечению непрерывности (например, резервирование мощностей, аутсорсинг, страхование, использование альтернативных площадок).
- Разработка и внедрение планов BCM — создание документации, включающей планы реагирования на инциденты, планы восстановления, планы эвакуации, а также назначение ответственных лиц и команд.
- Тестирование и поддержание в актуальном состоянии — регулярное проведение учений, тренировок и аудитов для проверки работоспособности планов.
- Встраивание BCM в культуру организации — обучение персонала, повышение осведомлённости, включение требований BCM в должностные инструкции и контракты с подрядчиками.
- Аудит и постоянное улучшение — мониторинг эффективности системы BCM, проведение внутренних и внешних аудитов, корректирующие и предупреждающие действия.
Требования к документации
Стандарт требует наличия следующих документов:
- Политика BCM (утверждённый высшим руководством документ, определяющий цели и рамки управления непрерывностью).
- Отчёты по анализу бизнес-влияния и оценке рисков.
- Планы непрерывности бизнеса и планы аварийного восстановления (Disaster Recovery Plans).
- Протоколы тестирований и учений.
- Записи о проведённых аудитах и корректирующих действиях.
Отличие от BS 25999-2
BS 25999-1:2006 является руководством (Code of Practice), а не спецификацией для сертификации. Он содержит рекомендации по внедрению BCM, но не устанавливает обязательных требований, которые можно было бы проверить в ходе аудита. Вторая часть стандарта, BS 25999-2:2007, напротив, является спецификацией (Specification) и содержит формальные требования к системе менеджмента непрерывности бизнеса (BCMS). Организации могли пройти сертификацию на соответствие именно BS 25999-2, используя первую часть как методическое пособие.
Применение и значение
BS 25999-1:2006 стал первым в мире национальным стандартом, который систематизировал и формализовал подходы к управлению непрерывностью бизнеса. Он оказал значительное влияние на развитие этой дисциплины в Великобритании, странах Содружества и других регионах. Стандарт активно использовался:
- Финансовыми организациями — банки, страховые компании, инвестиционные фонды, для которых непрерывность операций является критической.
- Государственными органами — министерства, ведомства, службы экстренного реагирования.
- Промышленными предприятиями — особенно в энергетике, нефтегазовом секторе, химической промышленности.
- ИТ-компаниями — для обеспечения доступности информационных систем и данных.
- Транспортными и логистическими компаниями — для поддержания цепочек поставок.
Внедрение стандарта позволяло организациям:
- Снизить финансовые потери от простоев.
- Укрепить доверие клиентов, партнёров и регуляторов.
- Обеспечить соответствие законодательным и отраслевым требованиям (например, в сфере финансового регулирования Великобритании — FSA Handbook).
- Повысить общую устойчивость к кризисным ситуациям.
Переход к ISO 22301
В 2012 году Международная организация по стандартизации (ISO) опубликовала стандарт ISO 22301:2012 «Безопасность и устойчивость. Системы менеджмента непрерывности бизнеса. Требования», который во многом базировался на BS 25999-2. После этого BSI отозвал BS 25999-1 и BS 25999-2, рекомендовав организациям переходить на международный стандарт. ISO 22301 сохранил основные концепции и терминологию BS 25999, но внёс ряд изменений, включая более строгие требования к анализу бизнес-влияния, оценке рисков и постоянному улучшению. На сегодняшний день ISO 22301 является основным сертифицируемым стандартом в области управления непрерывностью бизнеса во всём мире, включая Российскую Федерацию, где он принят как национальный стандарт ГОСТ Р ИСО 22301-2014.
Критика и ограничения
Несмотря на широкое признание, BS 25999-1:2006 подвергался критике за:
- Чрезмерную сложность — малые и средние предприятия часто считали внедрение стандарта слишком затратным и трудоёмким.
- Недостаточную гибкость — стандарт был ориентирован на крупные организации с формализованными процессами, что затрудняло его адаптацию для стартапов и некоммерческих структур.
- Отсутствие интеграции с другими системами менеджмента — в отличие от последующего ISO 22301, который был спроектирован с учётом совместимости с ISO 9001 (менеджмент качества) и ISO 27001 (информационная безопасность), BS 25999 не предусматривал такой интеграции на уровне структуры.
- Устаревание — с развитием цифровых технологий, облачных вычислений и удалённой работы требования стандарта перестали полностью отражать современные реалии.
Источники
- BS 25999-1:2006 «Business Continuity Management. Part 1: Code of Practice». British Standards Institution, 2006.
- BS 25999-2:2007 «Business Continuity Management. Part 2: Specification». British Standards Institution, 2007.
- ISO 22301:2012 «Societal security — Business continuity management systems — Requirements». International Organization for Standardization, 2012.
- ГОСТ Р ИСО 22301-2014 «Менеджмент непрерывности бизнеса. Общие требования». Федеральное агентство по техническому регулированию и метрологии, 2014.
- «Business Continuity Management: A Practical Guide to Organizational Resilience» by Andrew Hiles, 2010.
- «The Definitive Handbook of Business Continuity Management» by John R. Harrald, 2011.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →