BS 25999-2
BS 25999-2 — это британский стандарт, определяющий требования к системе менеджмента непрерывности бизнеса (Business Continuity Management System, BCMS). Он был разработан Британским институтом стандартов (BSI) и опубликован в 2007 году. Стандарт устанавливал спецификацию для создания, внедрения, поддержания и улучшения системы, направленной на обеспечение способности организации продолжать деятельность в условиях сбоев и чрезвычайных ситуаций. BS 25999-2 являлся второй частью серии BS 25999 и служил основой для сертификации организаций, в то время как первая часть (BS 25999-1) содержала руководство по внедрению.
История
Предпосылки создания
В начале 2000-х годов возросла потребность в формализованных подходах к управлению непрерывностью бизнеса. Организации сталкивались с ростом числа угроз — от природных катастроф и техногенных аварий до кибератак и террористических актов. Существовавшие отраслевые и национальные руководства (например, британский стандарт BS 7799 по информационной безопасности или американский NFPA 1600) не охватывали все аспекты управления непрерывностью в единой, сертифицируемой системе. BSI инициировал разработку серии BS 25999, чтобы создать универсальный и проверяемый стандарт.
Разработка и публикация
Первая часть стандарта, BS 25999-1:2006 «Кодекс практики для управления непрерывностью бизнеса», была опубликована в 2006 году. Она содержала рекомендации, принципы и терминологию, но не предусматривала сертификацию. Вторая часть, BS 25999-2:2007 «Спецификация для системы менеджмента непрерывности бизнеса», вышла в 2007 году. Она представляла собой формальные требования, выполнение которых позволяло организациям проходить независимый аудит и получать сертификат соответствия.
Замена международным стандартом
В 2012 году Международная организация по стандартизации (ISO) опубликовала стандарт ISO 22301:2012 «Социальная безопасность — Системы менеджмента непрерывности бизнеса — Требования», который был основан на BS 25999-2. После выхода ISO 22301 BSI объявил о поэтапном отзыве BS 25999-2. Сертификация по британскому стандарту прекратилась в 2017 году, а все организации, имевшие сертификаты, были обязаны перейти на ISO 22301. Несмотря на это, BS 25999-2 остаётся важной вехой в развитии дисциплины управления непрерывностью бизнеса.
Структура и основные требования
BS 25999-2 построен по модели цикла PDCA (Plan-Do-Check-Act — планируй-делай-проверяй-действуй), аналогичной другим стандартам систем менеджмента (например, ISO 9001 или ISO 14001). Стандарт состоял из следующих ключевых разделов:
Область применения
Определяла, что стандарт устанавливает требования к системе менеджмента непрерывности бизнеса, которые могут быть использованы для внутренней оценки и сертификации третьей стороной. Требования были общими и применимыми к организациям любого размера, типа и сектора.
Нормативные ссылки
Включал ссылки на другие документы, необходимые для применения стандарта, в первую очередь на BS 25999-1.
Термины и определения
Вводил ключевые понятия, такие как:
- Непрерывность бизнеса — способность организации продолжать предоставление продуктов или услуг на приемлемом заранее определённом уровне после сбоя.
- Система менеджмента непрерывности бизнеса (BCMS) — часть общей системы менеджмента, которая устанавливает, внедряет, эксплуатирует, контролирует, анализирует, поддерживает и улучшает непрерывность бизнеса.
- Максимально приемлемое время простоя (MTPD) — период времени, в течение которого последствия сбоя становятся неприемлемыми.
- Цель времени восстановления (RTO) — целевое время, к которому процессы или услуги должны быть восстановлены после сбоя.
- Точка восстановления (RPO) — максимально допустимый объём потери данных, выраженный во времени.
Система менеджмента непрерывности бизнеса (BCMS)
Этот раздел содержал общие требования к BCMS, включая:
- Политика непрерывности бизнеса — документ, определяющий цели и обязательства руководства.
- Планирование — установление целей, рисков и возможностей для BCMS.
- Внедрение и эксплуатация — реализация процессов, включая анализ воздействия на бизнес (BIA) и оценку рисков.
- Мониторинг и измерение — проверка эффективности BCMS через внутренние аудиты и анализ со стороны руководства.
- Улучшение — корректирующие и предупреждающие действия для постоянного повышения результативности.
Планирование непрерывности бизнеса
Центральный раздел, описывающий процесс создания планов непрерывности. Включал:
- Анализ воздействия на бизнес (BIA) — идентификация критических процессов, определение их приоритетов и оценка последствий сбоев.
- Оценка рисков — выявление угроз (например, пожар, наводнение, кибератака, отказ поставщика) и уязвимостей, а также определение вероятности и воздействия.
- Стратегии непрерывности — выбор подходов к восстановлению: резервирование мощностей, аутсорсинг, использование альтернативных площадок, страхование.
- Планы непрерывности и восстановления — документированные процедуры, включающие роли, ответственность, ресурсы, коммуникации и последовательность действий.
Внедрение и эксплуатация BCMS
Требовал:
- Обучение и осведомлённость — персонал должен понимать свои роли в BCMS.
- Управление документацией — контроль версий планов, политик и записей.
- Управление инцидентами — процедуры реагирования на сбои, включая активацию планов и координацию действий.
Мониторинг и анализ
Включал:
- Внутренние аудиты — регулярные проверки соответствия BCMS требованиям стандарта.
- Анализ со стороны руководства — периодические встречи для оценки результативности BCMS и принятия решений по улучшению.
- Измерение и мониторинг — отслеживание ключевых показателей эффективности (KPI), таких как время восстановления, количество успешных учений.
Улучшение
Предусматривал:
- Корректирующие действия — устранение причин выявленных несоответствий.
- Предупреждающие действия — действия по предотвращению потенциальных несоответствий.
- Постоянное улучшение — циклический процесс повышения результативности BCMS.
Процесс сертификации
Сертификация по BS 25999-2 проводилась аккредитованными органами по сертификации (например, BSI, DNV, SGS). Процесс включал два этапа:
- Предварительный аудит (Stage 1) — оценка готовности организации, проверка документации (политики, BIA, планов).
- Основной аудит (Stage 2) — проверка внедрения и функционирования BCMS на практике, включая интервью с персоналом, наблюдение за учениями, анализ записей.
При успешном прохождении выдавался сертификат сроком на три года с ежегодными надзорными аудитами. Через три года проводился ресертификационный аудит.
Применение и значение
BS 25999-2 применялся в различных отраслях:
- Финансовый сектор — банки, страховые компании, инвестиционные фонды, для которых непрерывность операций критична.
- Государственные учреждения — органы власти, службы спасения, оборонные предприятия.
- Промышленность и энергетика — заводы, электростанции, нефтегазовые компании.
- ИТ и телекоммуникации — провайдеры услуг, дата-центры.
- Здравоохранение — больницы, лаборатории.
Стандарт помогал организациям:
- Систематизировать подход к управлению непрерывностью.
- Снизить финансовые и репутационные потери от сбоев.
- Удовлетворить требования регуляторов (например, Центрального банка РФ, Банка России — в ряде отраслей).
- Повысить доверие клиентов и партнёров.
- Обеспечить соответствие законодательству в области защиты информации и критической инфраструктуры.
Критика и ограничения
Несмотря на успех, BS 25999-2 подвергался критике:
- Сложность и бюрократизация — внедрение требовало значительных ресурсов на документирование и обучение, что было непосильно для малых предприятий.
- Фокус на формальное соответствие — некоторые организации воспринимали сертификацию как самоцель, а не как инструмент реального повышения устойчивости.
- Отсутствие гибкости — стандарт был ориентирован на крупные, стабильные структуры, что затрудняло его адаптацию для быстро меняющихся стартапов или проектных организаций.
- Ограниченная международная признанность — как национальный стандарт, он не имел глобального статуса, что стимулировало разработку ISO 22301.
Влияние на последующие стандарты
BS 25999-2 стал основой для ISO 22301, который унаследовал его структуру (PDCA) и ключевые концепции (BIA, RTO, RPO). В ISO 22301 были внесены изменения:
- Упрощение требований к документации.
- Усиление акцента на лидерство и приверженность руководства.
- Введение более гибких подходов к оценке рисков.
- Интеграция с другими системами менеджмента (например, ISO 9001, ISO 27001).
В России стандарт BS 25999-2 не был принят в качестве национального, однако его положения использовались при разработке ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство» и последующих ГОСТ Р серии 53647, которые в значительной степени основаны на BS 25999-1 и ISO 22301.
Источники
- BS 25999-2:2007 «Business Continuity Management. Specification».
- BS 25999-1:2006 «Business Continuity Management. Code of practice».
- ISO 22301:2012 «Societal security — Business continuity management systems — Requirements».
- ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство».
- Материалы Британского института стандартов (BSI) по истории стандартов.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →