В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
15 мая 2012 г. официально вышел в свет международный стандарт ISO 22301 "Социальная безопасность. Системы управления непрерывностью бизнеса. Требования". Данный стандарт был разработан техническим комитетом ISO ТС 223 "Социальная безопасность" и вобрал в себя лучшее из британского стандарта BS 25999-2:2007 "Управление непрерывностью бизнеса. Часть 2: Спецификация".
Социальная безопасность в данном контексте понимается как обеспечение защиты общества и способность реагировать на инциденты, чрезвычайные ситуации и катастрофы, вызванные умышленными и/или непреднамеренными действиями людей, природными катаклизмами и техногенными сбоями.
Из всей серии стандартов "Социальная безопасность" для нас также представляют интерес:
Структура стандарта ISO 22301 претерпела значительные изменения по сравнению с BS 25999-2 и была гармонизирована с руководством ISO Guide 83 (определяет единые требования по структуре стандартов на системы менеджмента) для удобства интеграции с другими системами менеджмента. Однако это не привело к появлению глобальных отличий в требованиях к построению системы управления непрерывностью бизнеса (СУНБ) и позволило сохранить преемственность подходов к реализации основных процессов и процедур управления. Среди основных нововведений хочется отметить:
1. Изменения в терминах и определениях, например замена понятия Stakeholders на Interested Parties и т.п.
2. Появление раздела 4 под названием "Контекст организации", описывающего среду, в которой организация ведет свою деятельность. Данное понятие идентично используемому в международном стандарте по управлению рисками ISO/IEC 27005:2011.
3. Появление выделенного раздела 5 "Лидерство", в котором четко определена роль высшего руководства организации в установлении целей и политики СУНБ.
4. Замена ключевого показателя при проведении анализа воздействия на бизнес MTPoD (Maximum tolerable period of disruption) на МАО (Maximum acceptable outage) - максимально допустимое время простоя; а также RTO (Recovery time objective) на Prioritized time-frames - приоритетные временные рамки восстановления критичных видов деятельности.
5. Появление показателя МВСО (Minimum business continuity objective), характеризующего минимальный уровень сервиса (и/или продуктов), приемлемого для достижения бизнес-целей организации во время простоя/прерывания.
6. Расширены требования к структуре управления инцидентами, в частности определены требования по условиям активации планов управления инцидентами и обозначен приоритет обеспечения безопасности человеческой жизни при осуществлении коммуникаций в рамках выполнения планов.
7. Появление выделенного раздела 9 "Оценка эффективности", который объединяет в себе процессы поддержки и пересмотра СУНБ. В данном разделе делается акцент на разработку метрик измерения эффективности СУНБ.
На наш взгляд, стандарт ISO 22301 стал намного более понятным по сравнению с BS 25999-2 с точки зрения циклической модели Деминга (Plan-Do-Check-Act). Работая со стандартом BS 25999-2, зачастую возникали сложности, связанные с необходимостью постоянного перемещения по тексту стандарта в поисках продолжения процесса.
Получение стандартом ISO 22301 международного статуса должно повысить его популярность и востребованность во всех отраслях экономики и бизнеса. При этом цели, которые ставит перед собой решившаяся на внедрение данного стандарта организация, могут быть различными:
Перспективы добровольной сертификации будут во многом зависеть от существующей конъюнктуры рынка услуг по построению СУНБ - насколько быстро смогут системные интеграторы разработать соответствующую услугу и создать предложение.
В любом случае стандарт ISO 22301 будет полезен при построении системы управления информационной безопасностью для реализации целей и механизмов контроля, определенных в приложении А.14 международного стандарта ISO/IEC 27001:2005.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2012