Управление непрерывностью бизнеса (УНБ) – целостный процесс управления, в ходе которого выявляются потенциальные угрозы для организации и определяются возможные последствия для хозяйственных операций в случае осуществления этих угроз, а также создается основа обеспечения способности организации восстанавливаться и эффективно реагировать на инциденты, что гарантирует соблюдение интересов основных заинтересованных сторон, сохранение репутации, брэнда и деятельности по созданию добавленной стоимости. УНБ включает управление восстановлением и продолжением хозяйственной деятельности в случае нарушения нормального хода бизнеса, а также управление общей программой обеспечения непрерывности бизнеса посредством проведения обучения, учений и анализа с целью поддержания плана(ов) обеспечения непрерывности бизнеса в актуальном состоянии.
BS 25999-1:2006, «Управление непрерывностью бизнеса - Часть 1: Практические правила»
BS 25999-1:2006 определяет процесс, принципы и терминологию в области управления непрерывностью бизнеса, закладывая основы для понимания, разработки и внедрения системы непрерывности бизнеса в организации и обеспечения уверенности в ее надежности со стороны клиентов и партнеров. Этот стандарт описывает всеобъемлющий набор механизмов контроля и охватывает весь жизненный цикл процесса управления непрерывностью бизнеса. Он был разработан специалистами-практиками, представителями всего мирового сообщества, на основе передового опыта в данной области, и пригоден для организаций всех типов и размеров.
BS 25999-2:2007, «Управление непрерывностью бизнеса - Часть 2: Спецификация»
В то время, как первая часть стандарта (BS 25999-1:2006) содержит общие рекомендации по управлению непрерывностью бизнеса, вторая часть устанавливает требования к системе управления непрерывностью бизнеса, причем только те, соблюдение которых может быть объективно проверено. Используя эти требования, компании могут проводить оценку существующей системы управления непрерывностью бизнеса, как самостоятельно, так и привлекая внешних консультантов. На основании именно второй части стандарта сертификационные органы будут выдавать заключение о соответствии системы управления непрерывностью бизнеса требованиям стандарта BS 25999.
BS 25777:2008, "Управление непрерывностью информационных и коммуникационных технологий – Практические правила"
Британский стандарт BS 25777 был разработан на базе существующих стандартов обеспечения непрерывности бизнеса BS 25999 и дополняющей их публичной спецификации PAS 77, обобщающей лучшую мировую практику в области обеспечения непрерывности ИТ сервисов.
Управление непрерывностью ИКТ обеспечивает необходимую жизнеспособность информационно-коммуникационных технологий и сервисов и возможность их восстановления до заранее определенного уровня в необходимые сроки, согласованные с руководством организации. Эффективное управление непрерывностью бизнеса зависит от управления непрерывностью ИКТ, чтобы гарантировать, что организация всегда способна достичь своих целей, особенно в моменты сбоя.
BS 25777 раскрывает такие вопросы, как:
- Управление программной обеспечения непрерывности ИКТ
- Внедрение принципов управления непрерывностью ИКТ в культуру организации
- Документирование системы управления непрерывностью ИКТ
- Определение требований к непрерывности ИКТ
- Разработка и реализация стратегии обеспечения непрерывности ИКТ
- Разработка и тестирование планов обеспечения непрерывности ИКТ
- Проведение учений по восстановлению ИКТ сервисов
- Сопровождение, анализ и совершенствование системы управления непрерывностью ИКТ
- и др.
PAS 77:2006, "Управление непрерывностью ИТ сервисов"
Руководство по управлению непрерывностью ИТ сервисов объясняет принципы и некоторые рекомендуемые методы управления ИТ сервисами. Оно предназначено для использования людьми, ответственными за внедрение, предоставление и управление непрерывностью ИТ сервисами в организации.
Это руководство предназначено для того, чтобы дополнить (но не заменить) другие публикации на эту тему, такие как PAS 56, BS ISO/IEC 20000, BS ISO/IEC 17799:2005 и ISO 9001. Оно не должно рассматриваться как пошаговые инструкции по внедрению процессов управления непрерывностью ИТ сервисов, а скорее как руководство по некоторым аспектам ITSCM, которые организации должны учитывать при инвестировании в эту область.
Один из первых международных стандартов управления информационной безопасностью - британский стандарт ВS 7799 - уже давно вышел за национальные рамки. Первая его часть, ВS 7799-1 «Практические правила управления информационной безопасностью» - была разработана в 1995 г. по заказу правительства Великобритании Британским институтом стандартов (British Standards Institution (BSI ) при участии коммерческих организаций, таких как Shell , National Westminster Bank , Midland Bank , Unilever , British Telecommunications , Marks & Spencer , Logica и др.
Как следует из названий, этот документ является практическим руководством по управлению информационной безопасностью в организации независимо от профиля её практической деятельности. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения системы управления ИБ, определенных на основе лучших примеров из мировой практики.
В соответствии с этим стандартом любая служба безопасности, IT –отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных.
В 1998 году появилась вторая часть этого британского стандарта - ВS7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению», определившая общую модель построения системы управления ИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части ВS 7799, определившей, что должна из себя представлять система управления ИБ, началось активное развитие системы сертификации в области управления безопасностью. В 1999 году обе части ВS7799 были пересмотрены и гармонизированы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя. технический комитет ISO без изменений принял ВS 7799-1 в качестве международного стандарта ISO/IЕС 17799:2000.
Вторая часть ВS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISО в качестве международного стандарта ISO/IЕС 27001:2005 «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». В это же время была обновлена и первая часть стандарта. С выходом ISO 27001 спецификации системы управления ИБ приобрели международный статус, и теперь следует ожидать значительного повышения роли и престижности системы управления ИБ, сертифицированных по стандарту ISO 27001.
Семейство международных стандартов управления безопасностью 2700х продолжает активно развиваться. В соответствии с планами ISO оно будет включать:
Стандарты, определяющие требования к системе управления ИБ;
Систему управления рисками;
Метрики и измерения эффективности механизмов контроля;
Руководство по внедрению. Для этого семейства стандартов будет использоваться последовательная схема нумерации, начиная с 27000 и далее. ISO/IЕС 17799:2005 в последующем будет переименован в ISO/IЕС 27002.
В начале 2006 г. был принят новый британский национальный стандарт в области управления рисками информационной безопасности ВS 7799-3, который в дальнейшем получил индекс 27005.
В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также Швеция, Нидерланды, Россия.
Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран.
Он состоит из двух частей.
Определяются и рассматриваются следующие аспекты ИБ:
Политика безопасности.
Организация защиты.
Классификация и управление информационными ресурсами.
Управление персоналом.
Физическая безопасность.
Администрирование компьютерных систем и сетей.
Управление доступом к системам.
Разработка и сопровождение систем.
Планирование бесперебойной работы организации.
Проверка системы на соответствие требованиям ИБ.
"Часть 2: Спецификации системы" (1998г )
Аспекты, перечисленные в “Части 1 ” рассматриваются в этой части с точки зрения сертификации информационной системы на соответствие требованиям стандарта.
Здесь определятся возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.
Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов –British Standards Institution (BSI ) http :// www . bsi - global . com /, изданные в период 1995-2003 г.г. в виде следующей серии:
Введение в проблему управления информационной безопасности – Information security managment : an introduction .
Возможности сертификации на требования стандарта BS 7799 - Preparing for BS 7799 sertification .
Руководство BS 7799 по оценке и управлению рисками -Guide to BS 7799 risk assessment and risk management.
Готовы ли вы к аудиту на требования стандарта BS 7799- Are you ready for a BS 7799 audit ?
Руководство для проведения аудита на требования стандарта -BS 7799 Guide to BS 7799 auditing .
Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO / IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution (BSI ) – (www . bsi - global . com ), и в частности служба UKAS (United Kingdom Accredited Service ). Названная служба производит аккредитацию организаций на право аудита информационной безопасности в соответствии со стандартом BS ISO / IEC 7799:2000 (BS 7799-1:2000) . Сертификаты, выданные этими органами, признаются во многих странах. Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO / IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или ISO /9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO / IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.