Открыть сервис

BS 25999-2

BS 25999-2 — это британский стандарт, определяющий требования к системе менеджмента непрерывности бизнеса (Business Continuity Management System, BCMS). Он был разработан Британским институтом стандартов (BSI) и опубликован в 2007 году. Стандарт устанавливал спецификацию для создания, внедрения, поддержания и улучшения системы, направленной на обеспечение способности организации продолжать деятельность в условиях сбоев и чрезвычайных ситуаций. BS 25999-2 являлся второй частью серии BS 25999 и служил основой для сертификации организаций, в то время как первая часть (BS 25999-1) содержала руководство по внедрению.

История

Предпосылки создания

В начале 2000-х годов возросла потребность в формализованных подходах к управлению непрерывностью бизнеса. Организации сталкивались с ростом числа угроз — от природных катастроф и техногенных аварий до кибератак и террористических актов. Существовавшие отраслевые и национальные руководства (например, британский стандарт BS 7799 по информационной безопасности или американский NFPA 1600) не охватывали все аспекты управления непрерывностью в единой, сертифицируемой системе. BSI инициировал разработку серии BS 25999, чтобы создать универсальный и проверяемый стандарт.

Разработка и публикация

Первая часть стандарта, BS 25999-1:2006 «Кодекс практики для управления непрерывностью бизнеса», была опубликована в 2006 году. Она содержала рекомендации, принципы и терминологию, но не предусматривала сертификацию. Вторая часть, BS 25999-2:2007 «Спецификация для системы менеджмента непрерывности бизнеса», вышла в 2007 году. Она представляла собой формальные требования, выполнение которых позволяло организациям проходить независимый аудит и получать сертификат соответствия.

Замена международным стандартом

В 2012 году Международная организация по стандартизации (ISO) опубликовала стандарт ISO 22301:2012 «Социальная безопасность — Системы менеджмента непрерывности бизнеса — Требования», который был основан на BS 25999-2. После выхода ISO 22301 BSI объявил о поэтапном отзыве BS 25999-2. Сертификация по британскому стандарту прекратилась в 2017 году, а все организации, имевшие сертификаты, были обязаны перейти на ISO 22301. Несмотря на это, BS 25999-2 остаётся важной вехой в развитии дисциплины управления непрерывностью бизнеса.

Структура и основные требования

BS 25999-2 построен по модели цикла PDCA (Plan-Do-Check-Act — планируй-делай-проверяй-действуй), аналогичной другим стандартам систем менеджмента (например, ISO 9001 или ISO 14001). Стандарт состоял из следующих ключевых разделов:

Область применения

Определяла, что стандарт устанавливает требования к системе менеджмента непрерывности бизнеса, которые могут быть использованы для внутренней оценки и сертификации третьей стороной. Требования были общими и применимыми к организациям любого размера, типа и сектора.

Нормативные ссылки

Включал ссылки на другие документы, необходимые для применения стандарта, в первую очередь на BS 25999-1.

Термины и определения

Вводил ключевые понятия, такие как:

  • Непрерывность бизнеса — способность организации продолжать предоставление продуктов или услуг на приемлемом заранее определённом уровне после сбоя.
  • Система менеджмента непрерывности бизнеса (BCMS) — часть общей системы менеджмента, которая устанавливает, внедряет, эксплуатирует, контролирует, анализирует, поддерживает и улучшает непрерывность бизнеса.
  • Максимально приемлемое время простоя (MTPD) — период времени, в течение которого последствия сбоя становятся неприемлемыми.
  • Цель времени восстановления (RTO) — целевое время, к которому процессы или услуги должны быть восстановлены после сбоя.
  • Точка восстановления (RPO) — максимально допустимый объём потери данных, выраженный во времени.

Система менеджмента непрерывности бизнеса (BCMS)

Этот раздел содержал общие требования к BCMS, включая:

Планирование непрерывности бизнеса

Центральный раздел, описывающий процесс создания планов непрерывности. Включал:

  • Анализ воздействия на бизнес (BIA)идентификация критических процессов, определение их приоритетов и оценка последствий сбоев.
  • Оценка рисков — выявление угроз (например, пожар, наводнение, кибератака, отказ поставщика) и уязвимостей, а также определение вероятности и воздействия.
  • Стратегии непрерывности — выбор подходов к восстановлению: резервирование мощностей, аутсорсинг, использование альтернативных площадок, страхование.
  • Планы непрерывности и восстановления — документированные процедуры, включающие роли, ответственность, ресурсы, коммуникации и последовательность действий.

Внедрение и эксплуатация BCMS

Требовал:

  • Обучение и осведомлённость — персонал должен понимать свои роли в BCMS.
  • Управление документацией — контроль версий планов, политик и записей.
  • Управление инцидентами — процедуры реагирования на сбои, включая активацию планов и координацию действий.

Мониторинг и анализ

Включал:

  • Внутренние аудиты — регулярные проверки соответствия BCMS требованиям стандарта.
  • Анализ со стороны руководства — периодические встречи для оценки результативности BCMS и принятия решений по улучшению.
  • Измерение и мониторинг — отслеживание ключевых показателей эффективности (KPI), таких как время восстановления, количество успешных учений.

Улучшение

Предусматривал:

  • Корректирующие действия — устранение причин выявленных несоответствий.
  • Предупреждающие действия — действия по предотвращению потенциальных несоответствий.
  • Постоянное улучшение — циклический процесс повышения результативности BCMS.

Процесс сертификации

Сертификация по BS 25999-2 проводилась аккредитованными органами по сертификации (например, BSI, DNV, SGS). Процесс включал два этапа:

  1. Предварительный аудит (Stage 1) — оценка готовности организации, проверка документации (политики, BIA, планов).
  2. Основной аудит (Stage 2) — проверка внедрения и функционирования BCMS на практике, включая интервью с персоналом, наблюдение за учениями, анализ записей.

При успешном прохождении выдавался сертификат сроком на три года с ежегодными надзорными аудитами. Через три года проводился ресертификационный аудит.

Применение и значение

BS 25999-2 применялся в различных отраслях:

  • Финансовый сектор — банки, страховые компании, инвестиционные фонды, для которых непрерывность операций критична.
  • Государственные учреждения — органы власти, службы спасения, оборонные предприятия.
  • Промышленность и энергетика — заводы, электростанции, нефтегазовые компании.
  • ИТ и телекоммуникации — провайдеры услуг, дата-центры.
  • Здравоохранение — больницы, лаборатории.

Стандарт помогал организациям:

  • Систематизировать подход к управлению непрерывностью.
  • Снизить финансовые и репутационные потери от сбоев.
  • Удовлетворить требования регуляторов (например, Центрального банка РФ, Банка России — в ряде отраслей).
  • Повысить доверие клиентов и партнёров.
  • Обеспечить соответствие законодательству в области защиты информации и критической инфраструктуры.

Критика и ограничения

Несмотря на успех, BS 25999-2 подвергался критике:

  • Сложность и бюрократизация — внедрение требовало значительных ресурсов на документирование и обучение, что было непосильно для малых предприятий.
  • Фокус на формальное соответствие — некоторые организации воспринимали сертификацию как самоцель, а не как инструмент реального повышения устойчивости.
  • Отсутствие гибкости — стандарт был ориентирован на крупные, стабильные структуры, что затрудняло его адаптацию для быстро меняющихся стартапов или проектных организаций.
  • Ограниченная международная признанность — как национальный стандарт, он не имел глобального статуса, что стимулировало разработку ISO 22301.

Влияние на последующие стандарты

BS 25999-2 стал основой для ISO 22301, который унаследовал его структуру (PDCA) и ключевые концепции (BIA, RTO, RPO). В ISO 22301 были внесены изменения:

  • Упрощение требований к документации.
  • Усиление акцента на лидерство и приверженность руководства.
  • Введение более гибких подходов к оценке рисков.
  • Интеграция с другими системами менеджмента (например, ISO 9001, ISO 27001).

В России стандарт BS 25999-2 не был принят в качестве национального, однако его положения использовались при разработке ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство» и последующих ГОСТ Р серии 53647, которые в значительной степени основаны на BS 25999-1 и ISO 22301.

Источники

  • BS 25999-2:2007 «Business Continuity Management. Specification».
  • BS 25999-1:2006 «Business Continuity Management. Code of practice».
  • ISO 22301:2012 «Societal security — Business continuity management systems — Requirements».
  • ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство».
  • Материалы Британского института стандартов (BSI) по истории стандартов.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →