Управление непрерывностью бизнеса. Часть 1: свод правил ICS 03.100.01

Данный британский стандарт подготовлен специалистами-практиками в области обеспечения непрерывности бизнеса на основе их академического, технического и практического опыта управления непрерывностью бизнеса (УНБ). Стандарт создан с целью разработки системы, основанной на передовых методах управления непре­рывностью бизнеса. Стандарт предназначен для использования в качестве единого ориентира для большинства ситуаций, в которых управление непрерывностью бизнеса применяется на практике. Он может использоваться крупными, средними и малыми предприятиями в секторах производства, торговли, благотворительности, а также государственными организациями.

Данный документ составляет первую часть стандарта BS 25999. На момент опубликования этого документа осуществлялась подготовка второй части, в которой будут определены требования к управлению непрерывностью бизнеса.

Использование данного документа

Будучи практическим руководством, данный британский стандарт представлен в виде указаний и рекомендаций. Он не должен использоваться в качестве спецификации, и с особой тщательностью следует отнестись к тому, чтобы заявления о соответствии не вводили в заблуждение.

Пользователь, заявивший о соответствии данному британскому стандарту, должен быть способен обосновать любой образ действий, отклоняющийся от рекомендаций стандарта.

Соглашения о представлении

Положения данного стандарта представляют собой рекомендации, выраженные в виде предложений с основными вспомогательными глаголами «должен», «следует».

Раздел 3 не содержит рекомендаций; скорее, он дает полезную информацию общего характера по управлению непрерывностью бизнеса (хотя данный стандарт не предназначен для использования в качестве руководства по управлениюнепрерывностью бизнеса для начинающих).

Слово «может» применяется в тексте для обозначения допустимости, например,некоторой альтернативы основной рекомендации данного пункта. Слово «способен» обозначает возможность, например, какого-либо последствия некоторого действия или события.

Дополнительные комментарии, а также материалы пояснительного и общего информативного характера приводятся более мелким курсивным шрифтом и не относятся к нормативным элементам.

Контрактные и юридические замечания

Данная публикация не имеет цели охватить все необходимые условия контрактов. Ответственность за ее правильное применение несут пользователи.

Соответствие британскому стандарту не освобождает от правовых обязательств.

1. Область применения и применимость

Настоящий британский стандарт определяет процесс, принципы и терминологию управления непрерывностью бизнеса (УНБ). Цель данного документа – предоставить основу для понимания, разработки и внедрения системы обеспечения непрерывности бизнеса организации и обеспечить высокую степень доверия в деловых отношениях организации с заказчиками и другими организациями. Кроме того, он позволяет организации согласованным и общепризнанным образом оценивать свою способность управлять непрерывностью бизнеса.

Настоящий стандарт позволяет создать систему, основанную на правильных методах управления непрерывностью бизнеса.

Настоящий стандарт предназначен для использования всеми ответственными за бизнес-операции или за предоставление услуг: от высшего руководства до всех уровней организации; от организаций с единственным производственнымпомещением до транснациональных корпораций; от индивидуальных предпринимателей, малых и средних предприятий до организаций, в которых работают тысячи человек. Таким образом, стандарт может использоваться всеми, кто отвечает за функционирование чего-либо и, следовательно, за непрерывность этого функционирования.

В настоящем стандарте не рассматриваются вопросы планирования на случай кризисных чрезвычайных ситуаций, поскольку эти вопросы связаны с мероприятиями гражданской обороны.

ПРИМЕЧАНИЕ: в конечном счете, вне зависимости от того, сколько усилий или ресурсов вкладывается в управление непрерывностью бизнеса, организация все равно может столкнуться с инцидентом или комбинацией инцидентов, которые она не смогла предусмотреть.

2. Термины и определения

Для целей данной части стандарта BS 25999 применяются следующие определения.

2.1 производственный процесс –

процесс или совокупность процессов, выполняемых организацией (или от ее имени), в результате которых производится или поддерживается один или несколько продуктов или услуг.

ПРИМЕЧАНИЕ: примерами таких процессов являются бухгалтерский учет, деятельность центра обработки вызовов, ИТ, производство, реализация.

2.2 непрерывность бизнеса –

стратегические и тактические способности организации планировать и реагировать на инциденты и нештатные ситуации с целью обеспечить продолжение бизнес-операций на некотором приемлемом и заранее определенном уровне.

2.3 управление непрерывностью бизнеса (УНБ) –

целостный процесс управления, в ходе которого идентифицируются потенциальные угрозы, которым подвергается организация, оценивается возможное влияние на бизнес-операции в случае осуществления этих угроз, а также создается базис для обеспечения способности организации восстанавливать свою деятельность и эффективно реагировать на инциденты, что позволяет гарантировать соблюдение интересов основных сторон, участвующих в совместной деятельности, обеспечить защиту репутации, бренда и создающих стоимость производственных процессов.

ПРИМЕЧАНИЕ: управление непрерывностью бизнеса включает в себя управление возобновлением или продолжением бизнес-процессов в случае возникновения в организации какой-либо нештатной ситуации, а также управление комплексной программой посредством обучения, тестирования и анализа с целью обеспечить поддержание плана (планов) обеспечения непрерывности бизнеса в актуальном и отвечающем современным требованиям состоянии.

2.4 жизненный цикл управления непрерывностью бизнеса –

последовательность действий по обеспечению непрерывности бизнеса, которые в совокупности охватывают все аспекты и стадии программы управления непрерывностью бизнеса.

ПРИМЕЧАНИЕ: жизненный цикл управления непрерывностью бизнеса показан на Рис.1.

2.5 программа управления непрерывностью бизнеса –

непрерывный процесс управления и руководства, поддерживаемый высшим руководством организации и надлежащим образом обеспечиваемый ресурсами, который осуществляется с целью гарантировать выполнение необходимых шагов для определения влияния возможных потерь, поддержки жизнеспособных стратегий и планов восстановления и для обеспечения непрерывности предоставления продуктов и услуг с помощью обучения, тестирования, поддержки и анализа.

2.6 план обеспечения непрерывности бизнеса –

документированный набор процедур и информации, который разработан, собран и поддерживается в состоянии готовности для использования в случае инцидента, чтобы обеспечить организации возможность продолжить выполнение ее критических производственных процессов на некотором приемлемом, заранее определенном уровне.

2.7 стратегия обеспечения непрерывности бизнеса –

используемый организацией подход, который позволит обеспечить восстановление и непрерывность ее бизнеса в случае аварии или другого крупного инцидента, или в случае возникновения в организации нештатной ситуации.

2.8 анализ влияния на бизнес –

процесс анализа бизнес-функций и эффекта, который может оказать на эти функции возникшая в организации нештатная ситуация.

2.9 кризисная чрезвычайная ситуация –

событие или ситуация, которые угрожают нанести серьезный ущерб благополучию людей, окружающей среде или безопасности Великобритании или какой-либо части ее территории [UK Civil Contingencies Act 2004 (1),].

2.10 последствие –

результат инцидента, который оказывает влияние на выполнение организацией ее функций.

ПРИМЕЧАНИЕ 1: один инцидент способен повлечь за собой несколько последствий.

ПРИМЕЧАНИЕ 2: последствие способно оказывать положительное или отрицательное влияние на выполнение целевых задач и носить определенный или неопределенный характер.

2.11 технико-экономическое обоснование (ТЭО) –

финансовая методика, позволяющая измерять затраты на внедрение отдельного решения и сравнивать их с полезными результатами внедрения.

ПРИМЕЧАНИЕ: полезные результаты могут быть определены в показателях качества предоставляемых услуг, в финансовом, репутационном, нормативно-правовом или другом выражении, уместном для данной организации.

2.12 критичные для бизнеса производственные процессы –

производственные процессы, которые необходимы для предоставления основных продуктов и услуг, позволяющих организации выполнять свои важнейшие и чувствительные к скорости выполнения задачи.

2.13 нарушение (нормального хода деятельности) –

событие, ожидаемое (например, забастовка или ураган) или непредвиденное (например, отключение электропитания или землетрясение), которое приводит к незапланированному отрицательному отклонению от предполагаемого уровня предоставления продуктов или услуг, соответствующего целевым задачам организации.

2.14 планирование на случай кризисных чрезвычайных ситуаций –

разработка и поддержка согласованных процедур, позволяющих осуществлять предупреждение, управление, смягчение последствий, а также принимать другие меры в случае кризисной чрезвычайной ситуации.

2.15 тестирование –

действия, частично или полностью имитирующие реализацию плана (планов) обеспечения непрерывности бизнеса и позволяющие проверить, содержит ли этот план всю необходимую информацию и приводит ли его выполнение к желаемому результату.

ПРИМЕЧАНИЕ: одним из способов проведения тестирования является ввод в действие процедур обеспечения непрерывности бизнеса, но с большей вероятностью оно предусматривает моделирование нарушения (объявленного или необъявленного) обеспечения непрерывности бизнеса, в ходе которого участники выполняют свои роли, что позволяет определить возможные проблемы до активизации плана в реальной ситуации.

2.16 выгода –

положительное последствие.

2.17 влияние –

оцениваемое последствие отдельного результата.

2.18 инцидент –

ситуация, когда могут возникать нарушения нормального функционирования, убытки, а также чрезвычайная или кризисная ситуация.

2.19 план управления инцидентами –

четко определенный и документированный план действий в момент инцидента, обычно описывающий основной персонал, ресурсы, услуги и действия, необходимые для реализации процесса управления инцидентами.

2.20 активация –

заявление о том, что для продолжения предоставления основных продуктов или услуг организация должна ввести в действие план обеспечения непрерывности бизнеса.

2.21 вероятность –

правдоподобность наступления какого-либо происшествия, определяемая, измеряемая либо оцениваемая объективно или субъективно, или с помощью описательных слов (таких как «редко», «маловероятно», «вероятно», «почти наверняка»), частотности или математической вероятности.

ПРИМЕЧАНИЕ 1: вероятность может выражаться количественно или качественно.

ПРИМЕЧАНИЕ 2: в некоторых языках слово «вероятность» может использоваться вместо слова «правдоподобие», которое не имеет непосредственного эквивалента. Поскольку в английском языке слово «вероятность» часто интерпретируется более формально как математический термин, слово «правдоподобие» используется в данном стандарте в том смысле, что дается такое же расширительное толкование, как у слова «вероятность».

2.22 убыток –

отрицательное последствие.

2.23 максимально допустимая продолжительность нештатной ситуации –

период времени, по прошествии которого жизнеспособность организации неизбежно пострадает, если не будет восстановлено предоставление продуктов или услуг.

2.24 организация –

группа людей и средства производства, объединенные структурой функциональных обязанностей, полномочий и взаимосвязей.

ПРИМЕРЫ:  компания, корпорация, фирма, предприятие, учреждение, благотворительное общест­во, индивидуальный предприниматель или ассоциация либо их части или комбинации.

ПРИМЕЧАНИЕ 1: как правило, данная структура является упорядоченной.

ПРИМЕЧАНИЕ 2: организация может быть государственной или частной. [BS EN ISO 9000:2005]

2.25 продукты и услуги –

полезные результаты, предоставляемые организацией своим заказчикам, получателям и заинтересованным сторонам, например промышленные изделия, автомобильная страховка, соответствие нормативным требованиям, услуги медицинской сестры.

2.26 целевое время восстановления –

нормативное время, устанавливаемое для:

• возобновления предоставления продукта или услуги после инцидента;
• возобновления какого-либо производственного процесса после инцидента;
• восстановления ИТ-системы или приложения после инцидента.

ПРИМЕЧАНИЕ: директивное время восстановления должно быть меньше, чем максимально допустимая продолжительность нештатной ситуации.

2.27 устойчивость –

способность организации восстанавливать свою деятельность после инцидента.

2.28 риск –

нечто, что может произойти, и результат(ы) вызываемых этим последствий для выполнения задач организации.

ПРИМЕЧАНИЕ 1: слова с корнем «риск» используются в разговорной речи различным образом: как существительное («риск» или, во множественном числе, «риски»), глагол («рисковать [чем либо]» или «подвергать риску») или прилагательное («рискованный»). Существительное «риск» может относиться либо к некоторому потенциальному событию, его причинам, возможности (степени правдоподобности) какого-либо события, или к последствиям подобных событий. В управлении рисками (см. п. 6.5) важно четко различать смысл слова «риск» в каждом конкретном случае.

ПРИМЕЧАНИЕ 2: риск определяется по отношению к отдельной задаче организации, поэтому рассмотрение нескольких задач влечет за собой использование нескольких критериев риска применительно к любому источнику риска.

ПРИМЕЧАНИЕ 3: для выражения риска в количественной форме часто используется средний результат, который рассчитывается как сумма результатов всех возможных последствий, вес каждого из которых соответствует степени правдоподобия каждого последствия, и таким образом получается «математическое ожидание». Однако для количественной оценки представлений о диапазоне возможных последствий требуются распределения вероятностей. Как вариант, в дополнение к математическому ожиданию, можно использовать сводную статистику, такую как стандартное отклонение.

2.29 уровень приемлемого риска –

общая величина риска, который организация готова принять, допустить или которому готова подвергнуться в любой момент времени.

2.30 оценка риска –

полный процесс, включающий в себя идентификацию и анализ рисков, а также определение уровня рисков.

2.31 управление рисками –

структурированный процесс разработки и применения управленческой культуры, политики, процедур и правил к задачам идентификации, анализа, оценки и контроля реагирования на риски.

2.32 заинтересованные стороны –

те, кто имеет финансовую или иную заинтересованность в деятельности организации.

ПРИМЕЧАНИЕ: этот широкий термин включает, но не ограничивается, штатных и привлеченных сотрудников, заказчиков, поставщиков, партнеров, дистрибьюторов, инвесторов, страховщиков, акционеров, владельцев, государственные и регулирующие органы.

2.33 высшее руководство –

лицо или группа лиц, руководящих и управляющих организацией на самом высоком уровне [BS EN ISO 9000:2005].

ПРИМЕЧАНИЕ: высшее руководство, особенно в крупной международной организации, может не быть непосредственно вовлеченным; однако ответственность высшего руководства через цепочку управления очевидна. В небольшой организации высшим руководством может быть владелец или единственный собственник.

3. Обзор процесса управления непрерывностью бизнеса

3.1 Что такое процесс управления непрерывностью бизнеса?

Управление непрерывностью бизнеса (УНБ) – это входящий в зону ответственности организации и управляемый ею процесс, позволяющий создать отвечающие целевому назначению стратегическую и оперативную концепции, которые будут обеспечивать:

• проактивное повышение устойчивости организации к нарушению способности выполнять основные задачи;
• протестированный способ восстановления способности организации предоставлять свои основные продукты и услуги на некотором установленном уровне в течение некоторого установленного периода времени после возникновения нештатной ситуации;
• подтвержденную способность справляться с нештатными ситуациями и защищать репутацию и бренд организации.

Хотя отдельные процессы обеспечения непрерывности бизнеса способны меняться в зависимости от размера, структуры и обязательств организации, основные принципы остаются совершенно одинаковыми для общественных организаций, частных или государственных, независимо от их масштаба, сферы деятельности или уровня сложности.

3.2 Управление непрерывностью бизнеса и стратегия организации

Все организации, независимо от их размера, имеют цели и задачи, такие как расширение, предоставление услуг и приобретение других предприятий. Выполнение этих задач и достижение целей обычно реализуется с помощью стратегических планов – краткосрочных, среднесрочных и долгосрочных. Понимание важности программы УНБ на уровне руководства гарантирует, что эти цели и задачи не будут подвергаться риску в результате неожиданных нарушений нормальной деятельности организации.

Последствия инцидента варьируются и бывают очень серьезными. Эти последствия могут включать гибель людей, потерю активов или доходов, или невозможность предоставления продуктов и услуг, от которых зависит стратегия организации, ее репутация или даже дальнейшее ее существование.

Для управления непрерывностью бизнеса необходимо учитывать стратегическое значение известных заинтересованных сторон. Кроме того, по мере развития последствий нештатной ситуации будут появляться новые заинтересованные стороны, которые окажут непосредственное влияние на окончательный размер ущерба. Например, во время нештатной ситуации на организацию могут попытаться оказать влияние различные группы давления.
Все эти проблемы имеют стратегическое значение для организации.

3.3 УНБ – связь с управлением рисками

Управление непрерывностью бизнеса – это процесс, дополняющий концепцию управления рисками, направленную на выявление рисков, которым подвергаются производственные процессы и деятельность организации, а также на определение возможных последствий этих рисков.

Процесс управления рисками ориентирован на те риски, которым подвергаются основные продукты и услуги, предоставляемые организацией. Разнообразные инциденты способны прервать предоставление продуктов и услуг, эти инциденты трудно предсказать и их причины трудно анализировать.

С учетом влияния, которое оказывает нештатная ситуация, процесс управления непрерывностью бизнеса позволяет идентифицировать те продукты и услуги, от которых зависит продолжение существования организации, и помогает определить, что требуется организации для того, чтобы продолжить выполнение своих обязательств. С помощью процесса УНБ организация способна узнать, что нужно сделать до того, как произойдет инцидент, чтобы защитить своих сотрудников, помещения, технологии, информацию, цепочку поставки, заинтересованные стороны и свою репутацию.

Эти знания позволят организации реально оценить ответные действия, которые могут потребоваться в случае нештатной ситуации, поэтому она приобретает уверенность в том, что справится со всеми последствиями без недопустимой задержки в предоставлении продуктов или услуг.

Реализация необходимых мер по управлению непрерывностью бизнеса позволяет организации воспользоваться более рискованными бизнес-возможностями.

3.4 Почему организации следует реализовать процесс УНБ

Процесс УНБ представляет собой важный элемент надлежащего управления деятельностью организации, предоставления услуг и предпринимательской расчетливости.

Менеджеры и владельцы несут ответственность за поддержание способности организации к бесперебойному функционированию. Организации постоянно принимают на себя определенные обязательства, т.е. они заключают контракты и иным способом повышают ожидания заказчиков. Все организации имеют моральные и социальные обязательства, особенно если они обеспечивают помощь в чрезвычайных ситуациях или занимаются предоставлением общественных или добровольных услуг. В некоторых случаях обязанность организации реализовать процесс УНБ устанавливается в законодательном или нормативном порядке.

Все производственные процессы в организации подвержены угрозе возникновения нештатных ситуаций, например в случае технологической аварии, наводнения, терроризма или отключения электропитания. Наряду с обеспечением благополучия и безопасности процесс УНБ позволяет адекватно реагировать на подобные нештатные ситуации.

В настоящее время управление непрерывностью бизнеса необходимо рассматривать не как дорогостоящий процесс планирования, а как процесс, который повышает стоимость организации.

Рис. 1. Жизненный цикл процесса управления непрерывностью деятельности

3.5 Преимущества эффективной программы УНБ

Преимущества эффективной программы УНБ состоят в том, что организация:

• имеет возможность проактивно идентифицировать возможное влияние нештатной ситуации;
• имеет разработанную процедуру эффективного реагирования на нештатные ситуации, позволяющую минимизировать влияние таких ситуаций на деятельность организации;
• имеет возможность управлять рисками, не подлежащими страхованию;
• способствует совместной работе различных групп;
• способна продемонстрировать эффективность процедур реагирования посредством их тестирования;
• может улучшить свою репутацию;
• может получить конкурентное преимущество, которое дает продемонстрированная способность обеспечивать непрерывность поставок.

3.6 Результаты реализации эффективной программы УНБ

Реализация эффективной программы управления непрерывностью бизнеса позволяет добиться следующих результатов:

• идентифицированы и защищены основные продукты и услуги, что гарантирует непрерывность их поставки;
• используются средства управления инцидентами, что позволяет обеспечить эффективное реагирование;
• надлежащим образом собраны, документированы и проанализированы основные сведения о самой организации и ее отношениях с другими организациями, необходимыми регулирующими органами или правительственными учреждениями, местными органами власти и аварийными службами;
• персонал обучен эффективно реагировать на инциденты или нештатные ситуации с помощью надлежащего тестирования;
• требования заинтересованных сторон проанализированы и могут быть выполнены;
• в случае нештатной ситуации персонал получает надлежащую поддержку и необходимые контакты;
• обеспечивается надежность цепочки поставок организации;
• обеспечивается защита репутации организации;
• обеспечивается выполнение организацией правовых и нормативных обязательств.

3.7 Элементы жизненного цикла программы управления непрерывностью бизнеса

Как показано на Рис. 1, жизненный цикл программы УНБ состоит из шести элементов. Организации любого масштаба, во всех секторах экономики: государственном, частном, некоммерческом, образовательном, производственном и т.д. – способны реализовать эти элементы. Хотя область применения и структура программы УНБ бывает различной, и хотя затраченные усилия будут зависеть от потребностей конкретной организации, указанные шесть элементов должны быть выполнены в любом случае.

a) Управление программой обеспечения непрерывности бизнеса (см. п. 5)

Управление программой позволяет как разрабатывать (при необходимости), так и поддерживать средства обеспечения непрерывности бизнеса в соответствии с размерами и сложностью организации.

b) Анализ организации (см. п. 6)

Действия, связанные с элементом «Анализ организации», обеспечивают получение информации, которая позволяет произвести приоритезацию продуктов и услуг, поставляемых организацией, а также определить первоочередные действия, необходимые для предоставления этих продуктов и услуг. От этой информации зависят требования, которые будут определять выбор необходимой стратегии УНБ.

c) Определение стратегии обеспечения непрерывности (см. п. 7)

Формулирование стратегии обеспечения непрерывности бизнеса позволяет оценить несколько ее вариантов. Это дает возможность выбрать адекватные меры реагирования для каждого продукта или услуги, необходимые для того, чтобы организация была способна продолжать предоставление этих продуктов и услуг:

• на некотором приемлемом уровне функционирования;
• в течение некоторого приемлемого промежутка времени в период нештатной ситуации и после нее.

При выборе нужной стратегии будут учитываться средства обеспечения устойчивости и меры противодействия, уже реализованные в данной организации.

d) Разработка и внедрение процедур реагирования (см. п. 8)

Результатом разработки и внедрения процедур реагирования программы управления непрерывностью бизнеса является создание концепции управления и структуры управления инцидентами, планов обеспечения непрерывности бизнеса и планов восстановления бизнеса, подробно определяющих действия, которые необходимо предпринять во время или после инцидента для под­держки или восстановления функционирования.

КОММЕНТАРИИ К ПУНКТУ 3.7d).   Термин «инцидент» используется в настоящем стандарте, чтобы отразить различный масштаб событий – от незначительных до крупных, – которые способны оказать влияние на деятельность организации. Один инцидент или серия инцидентов способны привести к серьезным нарушениям способности организации выполнять свои обязательства. Если инцидент надлежащим образом контролировать, то кризисную ситуацию можно предотвратить. Однако некоторые события будут приводить к настолько серьезному нарушению способности организации выполнять свои задачи, что их сразу же  следует рассматривать как кризисные. Инцидент может быть настолько серьезным, что для его устранения степень подготовленности организации окажется недостаточной, даже если были предусмотрены тщательно проверенные меры реагирования для ожидаемого уровня ущерба. Поэтому крайне важно, чтобы руководство организации и ее поддерживающие структуры не следовали бездумно существующему плану, а принимали решения в зависимости от обстоятельств. План обеспечения непрерывности бизнеса никогда не заменит решений квалифицированных и компетентных специалистов.

e) Тестирование, поддержка и пересмотр (см. п. 9)

Тестирование, поддержка, пересмотр и аудит программы УНБ позволяют организации:

• продемонстрировать, насколько полными, актуальными и точными являются ее стратегии и планы;
• выявить возможности для дальнейшего усовершенствования.

f) Встраивание процесса управления непрерывностью бизнеса в корпоративную культуру (см. п. 10)

Встраивание процесса управления непрерывностью бизнеса в корпоративную культуру позволяет ей стать одной из основных ценностей организации и внушает всем заинтересованным сторонам уверенность в способности организации справиться с нештатными ситуациями.

4. Политика управления непрерывностью бизнеса

4.1 Обзор

КОММЕНТАРИЙ К П. 4.1. Цели разработки политики управления непрерывностью бизнеса заключаются в следующем:

• обеспечить согласованное и управляемое выполнение и внедрение всех действий по управлению непрерывностью бизнеса;
• создать средства обеспечения непрерывности бизнеса, удовлетворяющие меняющимся деловым потребностям организации и соответствующие размерам, уровню сложности и типу организации;
• ввести в действие четко определенную концепцию для постоянно действующих средств управления непрерывностью бизнеса.

4.1.1 В политике УНБ определяются следующие процессы:

• подготовительные действия по созданию средств обеспечения непрерывности бизнеса;
• текущее управление и поддержка системы обеспечения непрерывности бизнеса.

4.1.2 Подготовительные действия включают спецификацию, комплексный проект, создание, внедрение и первоначальное тестирование средств обеспечения непрерывности бизнеса.

4.1.3 Действия по текущему управлению иподдержке включают реазизацию процессов обеспечения непрерывности бизнеса в организации, регулярное тестирование планов, их обновление и доведение до сотрудников, особенно в случае значительный изменений в структуре помещений, персонала, процессов рынка, технологической или организационной структуре.

4.2 Контекст

Организация должна обеспечить соответствие политики УНБ типу организации, размеру, уровню сложности, территориальному расположению и уровню критичности ее бизнес-процессов. Кроме того, политика УНБ должна отражать корпоративную культуру, взаимосвязи и среду функционирования организации. Политика УНБ определяет требования к процессам, позволяющие следить за тем, чтобы мероприятия по обеспечению непрерывности бизнеса продолжали соответствовать потребностям организации в случае инцидента. Эта политика должна способствовать внедрению средств обеспечения непрерывности бизнеса в корпоративную культуру. Средства управления непрерывностью бизнеса должны быть интегрированы в процессы управления изменениями, так как непрерывность бизнеса, можно сказать, «интегрирована» в развитие организации и разработку продуктов и услуг, предоставляемых организацией.

4.3 Разработка политики обеспечения непрерывности бизнеса

Организация должна разработать свою политику обеспечения непрерывности бизнеса, в которой должны быть сформулированы цели реализации программы УНБ в организации. На начальном этапе это может быть заявление о намерениях, которое будет уточняться и расширяться по мере разработки системы.
Политика обеспечения непрерывности бизнеса должна документировать принципы, к которым будет стремиться организация и относительно которых должны оцениваться средства обеспечения непрерывности бизнеса. Политика УНБ должна быть утверждена на высоком уровне, например членом совета директоров или выбранным представителем.

При разработке политики УНБ рассматриваются следующие вопросы:

• определение области применения программы УНБ в организации;
• выделение ресурсов для программы УНБ;
• определение принципов, рекомендаций и минимальных стандартов УНБ для данной организации;
• определение всех необходимых стандартов, нормативных документов или политик, которые должны быть включены в политику УНБ или допускают использование в качестве ориентира.

Организация должна осуществлять ведение и анализировать свою политику, стратегию, планы и решения УНБ на регулярной основе в соответствии с потребностями организации.

Область применения политики УНБ должна четко определять все ограничения или исключения, например территориальные ограничения или исключения для некоторых продуктов.

4.4 Область применения программы УНБ

Высшее руководство может определить область применения программы УНБ, идентифицировав основные продукты и услуги, которые поддерживают выполнение целевых задач организации, ее обязательств и установленных законом обязанностей. Определение продуктов и услуг, относящихся к основным, должно соответствовать результатам анализа влияния на бизнес, который описывается в п. 6.2, хотя и на более высоком уровне.

4.5 Производственные процессы, передаваемые на аутсорсинг

Если какой-либо продукт, услуга или производственный процесс передаются на аутсорсинг, ответственность по рискам за этот продукт, услугу или производственный процесс по-прежнему несет организация. Следовательно, организация должна убедиться, что ее основные поставщики или партнеры по аутсорсингу имеют эффективные планы управления непрерывностью бизнеса. Один из способов сделать это заключается в получении удостоверенного доказательства действенности планов обеспечения непрерывности, используемых основными поставщиками, и их программ тестирования и поддержки.

5. Управление программой обеспечения непрерывности бизнеса

Управление программой является основой процесса управления непрерывностью бизнеса. Эффективное управление программой определяет подход организации к обеспечению непрерывности бизнеса.

Участие высшего руководства – это ключевой аспект, обеспечивающий корректное внедрение процесса УНБ, его адекватную поддержку и утверждение в качестве необходимого элемента корпоративной культуры.

5.1 Обзор

Ввод в действие программы УНБ направлен на достижение целей, определенных в политике обеспечения непрерывности бизнеса (см. п. 4.3). Управление программой УНБ включает три этапа:

• распределение обязанностей (см. п. 5.2);
• внедрение программы обеспечения непрерывности бизнеса в организации (см. п. 5.3);
• текущее управление непрерывностью бизнеса (см. п. 5.4).

5.2 Распределение обязанностей (руководство)

5.2.1 Руководство организации должно:

• назначить или утвердить лицо с надлежащим должностным положением и полномочиями, которое будет отвечать за политику и внедрение УНБ;
• назначить или утвердить одного или нескольких сотрудников, которые будут заниматься внедрением и поддержкой программы УНБ.

КОММЕНТАРИЙ К П. 5.2.1 Сотрудники, в задачу которых входит внедрение и поддержка программы обеспечения непрерывности бизнеса, могут работать в различных подразделениях организации, в зависимости от ее масштаба и уровня сложности. Важно, однако, чтобы лицо, наделенное надлежащими полномочиями (например, владелец, член совета директоров или выбранный представитель) несло полную ответственность за средства управления непрерывностью бизнеса и непосредственно отвечало за успешную реализацию этих средств.

5.2.2 Если этого требует структура организации, высшее руководство может назначить уполномоченных по всей организации, различающихся по функциональным обязанностям или местонахождению, которые будут помогать осуществлять внедрение программы УНБ.
Роли, ответственность, обязанности и полномочия должны быть включены в должностные инструкции и квалификационные группы.

Эти обязанности должны пересматриваться при выполнении организацией процесса аудита.

Эти обязанности могут быть подкреплены включением их в политику организации в области аттестации, материального и морального по­ощрения.

КОММЕНТАРИЙ К П. 5.2.2 В крупных организациях может возникнуть необходимость назначить группу уполномоченных по обеспечению непрерывности бизнеса с различными ролями и обязанностями. В небольших организациях ответственность за обеспечение непрерывности бизнеса может нести один или несколько человек.

5.3 Внедрение программы обеспечения непрерывности бизнеса в организации

5.3.1 Действия по внедрению программы обеспечения непрерывности бизнеса должны включать проектирование и реализацию программы.

Организация должна:

• представить программу заинтересованным сторонам;
• организовать или обеспечить необходимое обучение персонала;
• провести тестирование средств обеспечения непрерывности бизнеса (см. п. 9).

5.3.2 Организация может выбрать один из признанных методов управления проектами, позволяющих обеспечить эффективное управление внедрением.

5.4    Текущее управление

5.4.1 Обзор

Действия по текущему управлению должны быть направлены на реализацию процессов обеспечения непрерывности бизнеса в организации. Каждый компонент средств обеспечения непрерывности бизнеса должен регулярно анализироваться, тестироваться и корректироваться. Кроме того, планы обеспечения непрерывности бизнеса также должны регулярно анализироваться и корректироваться при любом существенном изменении в среде функционирования организации, кадровом составе, процессах или технологии, а также в случае выявления недостатков в ходе тестирования или инцидента.

5.4.2 Текущая поддержка

Какие бы ресурсы ни выделялись для программы УНБ, существуют действия, которые должны выполняться как первоначально, так и на постоянной основе. К таким действиям могут относиться:

• определение области применения, ролей и обязанностей для программы УНБ;
• назначение компетентного лица или группы для текущего управления средствами управления непрерывностью бизнеса;
• поддержание программы обеспечения непрерывности бизнеса в актуальном состоянии с помощью надлежащей практики;
• продвижение системы обеспечения непрерывности бизнеса по всей организации и более широко, когда это целесообразно;
• администрирование программы тестирования;
• координирование регулярного анализа и корректировки средств обеспечения непрерывности бизнеса, включая анализ и повторное проведение оценок рисков и анализа влияния на бизнес;
• ведение документации в соответствии с масштабом и уровнем сложности организации (см. п. 5.5);
• мониторинг эффективности средств обеспечения непрерывности бизнеса;
• управление затратами, связанными со средствами обеспечения непрерывности бизнеса;
• создание и мониторинг систем управления изменениями и управления преемственностью.

5.5  Документация программы УНБ

Сотрудники, которым поручена поддержка системы обеспечения непрерывности бизнеса, должны создать и вести документацию по обеспечению непрерывности бизнеса. Эта документация может включать:

• политику УНБ:
  • положение об области применения УНБ,
  • условия применения УНБ;
• анализ влияния на бизнес;
• оценку рисков и угроз;
• стратегию/стратегии УНБ;
• ознакомительные программы;
• программы обучения;
• планы управления инцидентами;
• планы обеспечения непрерывности бизнеса;
• планы восстановления бизнеса;
• графики тестирования и отчеты о тестировании;
• соглашения и договоры об уровне обслуживания.

6. Анализ деятельности организации

Цель данного элемента жизненного цикла УНБ – помочь проанализировать деятельность организации посредством идентификации ее основных продуктов и услуг, а также критичных для бизнеса производственных процессов и ресурсов, поддерживающих эти продукты и услуги. Этот элемент позволяет обеспечить соответствие программы УНБ целевым задачам организации, ее обязательствам и установленным законом обязанностям.

6.1 Введение

6.1.1 В контексте обеспечения непрерывности бизнеса анализ деятельности организации состоит в следующем:

• идентификация целей организации, обязательств заинтересованных сторон, установленных законом обязанностей и среды, в которой функционирует организация;
• идентификация производственных процессов, активов и ресурсов (включая и те, что находятся вне организации), обеспечивающих предоставление основных продуктов и услуг;
• оценка влияния и последствий с течением времени, к которым может привести недоступность этих производственных процессов, активов и ресурсов (см. п. 6.2);
• идентификация и оценка предполагаемых угроз, которые могут вызвать прерывание предоставления основных продуктов и услуг, а также привести к невозможности обеспечить критичные для бизнеса производственные процессы, активы и ресурсы, поддерживающие эти продукты и услуги (см. п. 6.5).

6.1.2 Важно, чтобы организация проанализировала:

• взаимозависимости между своими производственными процессами,
• все свои зависимости от внешних организаций, а также все зависимости других организаций от самой организации.

6.2 Анализ влияния на бизнес

6.2.1 Организация должна определить и задокументировать влияние нештатной ситуации на производственные процессы, поддерживающие ее основные продукты и услуги. Этот процесс часто называется анализом влияния на бизнес.

КОММЕНТАРИЙ К П. 6.2.2b). В случае нештатной ситуации ее влияние обычно усиливается со временем и по-разному затрагивает разные производственные процессы. Кроме того, влияние может изменяться в зависимости от того, в какой день, месяц или в какой точке бизнес-цикла оно произошло.

6.2.2 Для каждого производственного процесса, поддерживающего предоставление основных продуктов и услуг в рамках области применения программы УНБ, организация должна:

• оценить динамику изменения во времени влияния, которое может оказать прерывание этого производственного процесса;
• определить максимально допустимую продолжительность нештатной ситуации для каждого производственного процесса, идентифицировав:
  • максимально допустимый период времени после возникновения нештатной ситуации, за который этот производственный процесс должен быть возобновлен,
  • минимальный уровень, на котором необходимо выполнять этот производственный процесс при его возобновлении,
  • промежуток времени, за который необходимо возобновить данную операцию на нормальном уровне;
• идентифицировать все взаимные зависимости между производственными процессами, активами, поддерживающей инфраструктурой или ресурсами, которые также должны поддерживаться непрерывно или восстанавливаться спустя какое-то время.

6.2.3 Выполняя оценку влияния, организация должна рассмотреть те последствия, которые связаны с целями и задачами ее деятельности, а также с заинтересованными сторонами.

К таким последствиям можно отнести:

• влияние на благополучие персонала или общественное благополучие;
• влияние в случае повреждения или потери помещений, технологий или информации;
• влияние в случае нарушения законодательных норм или нормативных требований;
• ущерб репутации;
• ущерб финансовой жизнеспособности;
• ухудшение качества продуктов или услуг;
• ущерб окружающей среде.

Организация должна документировать свой подход к оценке влияния в случае нештатной ситуации, а также свои выводы и заключения.

6.3   Идентификация критичных для бизнеса производственных процессов

КОММЕНТАРИЙ К П. 6.3. Максимальный период времени для возобновления производственных процессов способен занимать от нескольких секунд до нескольких месяцев, в зависимости от характера производственного процесса. Для производственных процессов, важных с точки зрения фактора времени, этот период, возможно, потребуется указать с очень большой точностью, например с точностью до минуты или до часа. Для менее чувствительных к скорости восстановления производственных процессов этот период может указываться с меньшей точностью. При определении стратегий УНБ (см. п.7) максимально допустимая продолжительность внештатной ситуации будет влиять на целевое время восстановления каждого производственного процесса.

Организация может классифицировать свои производственные процессы в соответствии с их приоритетом восстановления. Те производственные процессы, прерывание которых, как установлено при выполнении анализа влияния на бизнес, будет иметь наибольшее влияние в самые кратчайшие сроки и которые необходимо восстановить максимально быстро, могут быть названы «критичными для бизнеса производственными процессами». Каждый критичный для бизнеса производственный процесс поддерживает один или несколько основных продуктов или услуг.

Может возникнуть желание сосредоточить действия по планированию на критичных для бизнеса производственных процессах, но следует осознавать, что другие производственные процессы также должны восстанавливаться в течение их максимально допустимой продолжительности нештатной ситуации и также могут потребовать принятия предварительных мер.

6.4  Определение требований к непрерывности

КОММЕНТАРИЙ К П. 6.4. Технология подразумевает самое широкое использование оборудования и наиболее удобным для организации образом. Технологии могут включать, но не ограничиваются этим, следующее: программное обеспечение и оборудование информационных технологий, телекоммуникационное оборудование, токарные станки, аппараты для приготовления пищи, машины для вакуумной герметизации и любое другое оборудование, являющееся элементом производственных и технологических средств.

Если записи или инофрмация о выполняемых работах недоступны, неточны или недостаточно актульаны, это может помешать возобновлению производственных процессов или критическим образом его задержать. При определении стратегий УНБ (см. п.7) требования по предоставлению такой информации используются для формирования необходимых стратегий резервного копирования и управления записями.

Организация должна оценить ресурсы, которые потребуются для возобновления каждого производственного процесса. Сюда может входить следующее:

• кадровые ресурсы, включая количество, квалификацию и знания (человеческие ресурсы);
• необходимые рабочие места и инфраструктура (помещения);
• поддерживающие технологии, техника и оборудование (технологии);
• предоставление информации (в электронном или бумажном виде) о предыдущей работе или текущей незавершенной работе, причем вся информация должна быть достаточно актуальной и точной, чтобы обеспечить эффективное продолжение производственного процесса на согласованном уровне (информация);
• внешние услуги и поставщики (запасы).

При определении уровней ресурсов организация должна учесть потребности заинтересованных сторон.

6.5 Оценка угроз, которым подвергаются критичные для бизнеса производственные процессы (выполнение оценки рисков)

КОММЕНТАРИЙ К П. 6.5. Может быть полезно принять во внимание реестры рисков, которые уже были созданы каким-либо другим подразделением внутри организации или внешними организациями.

6.5.1 В контексте УНБ уровень риска следует понимать конкретно по отношению к критичным для бизнеса производственным процессам организации и риску возникновения нештатной ситуации при их выполнении. Критичные для бизнеса производственные процессы подкрепляются ресурсами, такими как человеческие ресурсы, помещения, технология, информация, запасы, а также наличием заинтересованных сторон. Организация должна проанализировать угрозы, которым подвергаются эти ресурсы, уязвимости каждого ресурса и влияние, которое будет оказано на эти ресурсы в случае, если угроза превратится в инцидент и приведет к нештатной ситуации.

6.5.2 Выбор метода оценки рисков полностью зависит только от организации, однако важно, чтобы при использовании этого метода учитывались все требования организации.

6.5.3 Стандарт BS ISO/IEC 27001 задает базис для выбираемого метода оценки рисков, описывая обязательные элементы, которые должны входить в процесс оценки рисков. Обычно этот процесс содержит следующие элементы:

• Определение критериев для принятия рисков. Эти критерии описывают условия, при которых организация согласна принять риски.
• Идентификация приемлемых уровней рисков. Независимо от того, какой метод оценки рисков выбран, организации необходимо идентифицировать уровни риска, которые она считает приемлемыми.
• Анализ рисков. Необходимо, чтобы используемый метод оценки рисков учитывал все вопросы, которые обсуждаются в пунктах 6.5.4, 6.5.5 и 6.5.6.

6.5.4 Конкретные угрозы можно описать как события или действия, которые способны в некоторый момент оказать влияние на ресурсы. Например, такие угрозы, как пожар, наводнение, отключение электропитания, увольнение персонала, невыход сотрудников на работу, компьютерные вирусы и отказ аппаратных средств.

6.5.5 Уязвимости могут представлять собой слабые места в ресурсах и в некоторый момент времени способны служить местом реализации угроз. Например: единые точки отказа, несоблюдение требований к противопожарной безопасности, недостаточность электропитания, недоукомп­лектованность штата, нарушения в ИТ-безопасности и в обеспечении устойчивости ИТ-систем.

6.5.6 Влияние (см. п. 6.2.3) может быть оказано в том случае, когда уязвимости были использованы угрозами.

6.6   Определение вариантов обработки рисков

6.6.1  Обзор

В результате выполнения анализа влияния на бизнес и оценки рисков организация должна идентифицировать меры, которые:

• уменьшают вероятность возникновения нештат­ной ситуации;
• уменьшают продолжительность нештатной ситуации;
• ограничивают влияние нештатной ситуации на основные продукты и услуги, предоставляемые организацией.

Эти меры называются минимизацией ущерба и обработкой рисков.

Стратегии минимизации рисков используются вместе с другими возможными действиями, поскольку нельзя предотвратить или уменьшить до приемлемого уровня все риски. Для каждого критичного для бизнеса производственного процесса организация может использовать одну или несколько, или все стратегии, описанные в пунктах 6.6.2 - 6.6.5.

6.6.2 Непрерывность бизнеса

Если для некоторого основного продукта или услуги в качестве стратегии выбрано обеспечение непрерывности бизнеса, то следует установить директивное время восстановления (RTO) и оценить стратегии обеспечения непрерывности бизнеса, описанные в п. 7, относительно этого целевого параметра.

Стратегии обеспечения непрерывности направлены на повышение устойчивости организации к нештатным ситуациям, что позволяет обеспечить продолжение критичных для бизнеса производственных процессов или их возобновление на некотором приемлемом минимальном уровне в течение периода времени, предусмотренного в ходе анализа влияния на бизнес.

6.6.3 Принятие риска

Риск может быть принят без выполнения каких-либо дальнейших действий. Даже если риск не является приемлемым, возможность сделать что-либо с некоторыми рисками может быть ограничена, или же затраты на принятие каких-либо мер могут быть несоразмерны возможной полученной выгоде. В таких случаях реагирование может заключаться в принятии существующего уровня риска, если высшее руководство готово признать этот риск допустимым и не превышающим уровень приемлемого для организации риска. В некоторых случаях влияние риска может превышать обычный уровень приемлемого риска организации, однако из-за низкой степени правдоподобности осуществления риска и/или неэкономичности затрат на управление риском, высшее руководство может допустить этот риск.

Принятие риска может быть дополнено планом минимизации ущерба, возникшего в случае реализации риска.

6.6.4  Передача риска

Для некоторых рисков наилучшим вариантом реагирования может быть их передача. Это может быть сделано с помощью договорного страхования или договорных соглашений, или с помощью оплаты принятия риска третьей стороной каким-либо иным способом. Этот вариант особенно подходит для уменьшения финансовых рисков или рисков, которым подвергаются активы. Риски могут быть переданы, чтобы уменьшить подверженность организации риску или потому, что другая организация имеет бo' льшие возможности по управлению этим риском. Важно отметить, что некоторые риски не могут быть (полностью) переданы; в частности, обычно невозможно передать репутационный риск, даже если предоставление услуги передано на субподряд.

Приобретение страховки может составлять часть стратегии обработки рисков и будет обеспечивать некоторое финансовое возмещение за некоторые убытки. Однако не все убытки могут быть полностью застрахованы (например, нестрахуемые инциденты, ущерб бренду или репутации, ущерб заинтересованной стороны, уменьшение доли рынка и социальные последствия). Одни лишь финансовые расчеты вряд ли полностью защитят организацию таким образом, чтобы удовлетворить ожидания заинтересованных сторон. Страховую ответственность предпочтительнее использовать вместе с одной или несколькими другими стратегиями.

6.6.5 Изменение, приостановка или прекращение

При некоторых обстоятельствах может быть целесообразно изменить, приостановить или прекратить предоставление услуги, выпуск продукта, выполнение производственного процесса, операции или функции. Этот вариант следует рассматривать только в том случае, если он не приводит к конфликту с целевыми задачами организации, соблюдением требований закона и ожиданиями заинтересованных сторон. С наибольшей вероятностью этот метод может быть использован в случае, если услуга, продукт, производственный процесс, операция или функция имеют ограниченный срок действия.

ПРИМЕЧАНИЕ: перечисленные выше четыре пункта иногда называются моделью  «4 П»: «Принять меры», «Принять риск», «Передать риск» и «Прекратить»1.

6.7 Утверждение

Высшее руководство должно подписать документированный список основных продуктов и услуг, результаты анализа влияния на бизнес и оценки рисков, чтобы подтвердить адекватность этой информации и точное отражение деятельности организации.

7. Определение стратегии обеспечения непрерывности бизнеса

Данный элемент жизненного цикла УНБ логически вытекает из анализа деятельности организации. На основе проведенного ранее анализа организация получает возможность выбрать необходимые стратегии обеспечения непрерывности, которые позволят ей выполнять свои задачи.

7.1 Введение

КОММЕНТАРИЙ К П. 7.1. Пункт 7 и все последующие пункты связаны с теми основными продуктами и услугами, для которых был выбран вариант обеспечения непрерывности бизнеса. Во всех других случаях (например, приостановка, прекращение, принятие риска), продукт или услуга не охватываются подходом УНБ и их нельзя считать соответствующими данному стандарту.

Подход организации к определению стратегий УНБ должен:

• реализовывать необходимые меры по уменьшению степени правдоподобности возникновения инцидентов и/или уменьшению возможных последствий этих инцидентов;
• надлежащим образом учитывать меры по повышению устойчивости и смягчению последствий;
• обеспечивать непрерывность критичных для бизнеса производственных процессов во время и после инцидента;
• учитывать те производственные процессы, которые не были идентифицированы как критичные.

7.2 Варианты стратегий

7.2.1 Организация должна рассмотреть варианты стратегий для своих критичных для бизнеса производственных процессов, а также для ресурсов, которые потребуются при возобновлении каждого производственного процесса. Выбор наиболее подходящей стратегии или стратегий будет зависеть от нескольких факторов, таких как:

• максимально допустимая продолжительность нештатной ситуации для данного критичного для бизнеса производственного процесса;
• стоимость реализации стратегии или стратегий;
• последствия бездействия.

7.2.2 Стратегии могут потребоваться для следующих ресурсов организации:

• человеческие ресурсы (см. п. 7.3);
• помещения (см. п. 7.4);
• технологии (см. п. 7.5);
• информация (см. п. 7.6);
• запасы (см. п. 7.7);
• заинтересованные стороны (см. п. 7.8).

В каждом случае организация должна минимизировать возможность внедрения такого решения по обеспечению непрерывности бизнеса, на которое может воздействовать тот же самый инцидент, который и приводит к возникновению нештатной ситуации.

7.3    Человеческие ресурсы

Организация должна идентифицировать необходимые стратегии для поддержания профессиональных навыков и знаний. Подобный анализ не следует ограничивать только сотрудниками, но он должен охватывать подрядчиков и другие заинтересованные стороны, которые обладают обширными профессиональными навыками и знаниями. Стратегии, позволяющие защитить или обеспечить такие навыки, могут включать:

• документирование способа выполнения критичных для бизнеса производственных процессов;
• обучение персонала и подрядчиков профессиональным навыкам в нескольких областях;
• разделение ключевых навыков с целью уменьшить концентрацию риска (это может выражаться в территориальном распределении персонала, обладающего ключевыми навыками, или в наличии нескольких лиц, владеющих необходимыми ключевыми навыками);
• использование сторонних организаций;
• планирование преемственности;
• сохранение знаний и управление знаниями.

7.4    Помещения

КОММЕНТАРИЙ К П. 7.4. Стратегии обеспечения рабочих мест способны сильно варьироваться, и в распоряжении организации имеется ряд возможных вариантов. Различные типы инцидентов или угроз могут потребовать реализации различных или нескольких вариантов обеспечения рабочих мест. Выбор правильных стратегий будет частично определяться размером организации, видом и объемом производственных процессов, заинтересованными сторонами или территориальной базой. Например, органам местной власти потребуется поддерживать предоставление основных услуг на территории их муниципального образования.

Организация должна продумать стратегию по уменьшению влияния, которое может оказать недоступность их обычного рабочего места (рабочих мест). Среди таких стратегий может быть один или несколько из следующих вариантов:

• альтернативные помещения (местонахождения) в пределах организации, включая перемещение других производственных процессов;
• альтернативные помещения, предоставляемые другими организациями (на основе двусторонних соглашений или без них);
• альтернативные помещения, предоставляемые специалистами третьей стороны;
• работа на дому или удаленно;
• прочие согласованные подходящие помещения;
• использование альтернативной рабочей силы на специально обустроенном месте.

ПРИМЕЧАНИЕ 1: если требуется перевести персонал в альтернативные помещения, необходимо, чтобы эти помещения находились достаточно близко, чтобы персонал знал о них и имел возможность туда переехать, с учетом всех возможных затруднений, вызванных инцидентом. Однако альтернативные помещения не должны находиться слишком близко, чтобы исключить возможность отрицательного влияния на них того же самого инцидента.

ПРИМЕЧАНИЕ 2: при использовании альтернативных помещений в целях обеспечения непрерывности бизнеса должно быть четко сформулировано, предназначены ли эти помещения для использования только данной организацией. Если альтернативные помещения используются совместно с другими организациями, должен быть разработан и документирован план действий в случае недоступности этих помещений.

ПРИМЕЧАНИЕ 3: может быть целесообразно перевести не персонал, а рабочие процессы, например, производственную линию или рабочие процессы центра обработки вызовов.

7.5    Технологии

КОММЕНТАРИЙ К П. 7.5.1. Стратегии обеспечения непрерывности технологий в разных организациях существенно различаются в зависимости от их масштаба, типа и уровня сложности. Особые стратегии должны быть разработаны для защиты, замены или восстановления специализированных или заказных технологий с длительным сроком использования.

Организации может потребоваться принятие мер по обеспению ручных операций, пока не будут полностью восстановлены технологические сервисы.

7.5.1 Стратегии обеспечения непрерывности технологий будут зависеть от характера используемой технологии и ее связи с критичными для бизнеса производственными процессами, но обычно они сводятся к одной из следующих стратегий или их комбинации:

• меры, принятые в организации;
• услуги, предоставляемые в организацию;
• внешние услуги, предоставляемые третьей стороной.

7.5.2 Стратегии обеспечения непрерывности технологий могут включать:

• территориальное распространение технологий, т.е. использование одной и той же технологии в разных местах, которые не будут затронуты одной и той же угрозой, приведшей к нештатной ситуации;
• сохранение старого оборудования на случай аварийной замены или для использования в качестве запасных частей;
• дополнительное уменьшение риска для уникального оборудования или оборудования с длительным сроком использования.

7.5.3 Сервисы информационных технологий часто нуждаются в комплексных стратегиях обеспечения непрерывности. В случае применения таких стратегий следует учесть следующее:

• целевое время восстановления (RTO) для систем и приложений, которые поддерживают ключевые производственные процессы, идентифицированные при выполнении BIA;
• местонахождение вычислительных центров и расстояние между ними;
• количество вычислительных центров;
• удаленный доступ;
• использование помещений без персонала (пустых) в противоположность помещениям с персоналом;
• возможность подключения телекоммуникаций и резервную маршрутизацию;
• тип «переключения при отказе» («failover») (требуется ли для активизации альтернативного предоставления информационных технологий ручное вмешательство или это должно осуществляться автоматически);
• возможность подключения сторонних организаций и внешние линии связи.

ПРИМЕЧАНИЕ 1:  если выбрана стратегия «переключения при отказе» с одного объекта на другой, то следует тщательно учесть протяженность сетевых каналов между этими двумя объектами, поскольку расстояние между объектами может оказать отрицательное влияние на функционирование ИТ-систем.

ПРИМЕЧАНИЕ 2:  если ИТ-инфраструктура организации располагается более чем на одном объекте, может быть использована стратегия взаимного восстановления ИТ-инфраструктуры, для чего емкость вычислительных комплексов, сетей и систем хранения данных на каждом объекте определяется, исходя из возможности обрабатывать объединенный трафик и выполнять не только свои функции, но и функции, выполнявшиеся на других объектах.

ПРИМЕЧАНИЕ 3: еще одно решение по перемещению сотрудников в альтернативные помещения заключается в предоставлении им удаленного доступа к ИТ-инфраструктуре по коммутируемым линиям или через Интернет с помощью виртуальных частных сетей (VPN) или подобных технологий.

ПРИМЕЧАНИЕ 4: дополнительные инструкции по обеспечению непрерывности для оборудования информационных технологий и телекоммуникационного оборудования можно найти в таких документах, как PAS 77, BS ISO/IEC 27001 и BS ISO/IEC 20000 (обе части).

7.6    Информация

Стратегии по обеспечению непрерывности информации должны обеспечивать защиту и восстановление информации, жизненно важной для функционирования организации, в соответствии с временны' ми рамками, заданными в процессе выполнения анализа влияния на бизнес.

ПРИМЕЧАНИЕ 1:   дополнительные инструкции приводятся в документе BS ISO/IEC 27001. Хранение и восстановление такой информации должно удовлетворять соответствующим законодательным актам.

Вся информация, необходимая для обеспечения выполнения критичных для бизнеса производственных процессов организации должна иметь необходимый уровень:

• конфиденциальности;
• целостности;
• доступности;
• актуальности.

Стратегии по обеспечению непрерывности информации должны быть документированы с целью восстановления информации, для которой еще не было выполнено копирование или резервное дублирование в безопасном месте.

Стратегии по обеспечению непрерывности информации должны распространяться на:

• физические (печатные) форматы;
• виртуальные (электронные) форматы и т.д.

ПРИМЕЧАНИЕ 2:   во всех случаях информация должна быть восстановлена к моменту времени, который известен высшему руководству и согласован с ним. Могут использоваться различные методы копирования, такие как резервное копирование на электронных носителях или магнитных лентах, микрофиши2, фотокопии, создание копии в момент создания и т.п. Этот известный момент восстановления часто называется «директивным моментом восстановления».

7.7    Запасы

КОММЕНТАРИЙ К П. 7.7. В обстановке офиса к запасам могут относиться бланки банковских чеков и т. п. В других отраслях могут потребоваться запасы для розничной торговли, запасы ресурсов для снабжения производства «точно в срок» или запасы топлива.

7.7.1 Организация должна идентифицировать и поддерживать уровень основных запасов, поддерживающих ее критичные для бизнеса производственные процессы. Стратегии, позволяющие это обеспечить, могут включать:

• хранение дополнительных запасов в другом месте;
• соглашения с третьими сторонами по немедленной доставке товаров;
• перевод поставок «точно в срок» на другие местонахождения;
• хранение материалов на складах или на погрузочных площадках;
• перевод сборочных работ на альтернативное местонахождение, где имеются запасы;
• идентификацию альтернативных/заменяющих запасов.

7.7.2 В случае, если критичные для бизнеса производственные процессы зависят от специальных запасов, организация должна определить основных поставщиков и безальтернативные источники поставок. Стратегии по управлению непрерывностью запасов могут включать:

• увеличение количества поставщиков;
• стимулирование поставщиков или требование к ним относительно реализации проверенных средств обеспечения непрерывности бизнеса;
• договорные соглашения и/или соглашения об уровне обслуживания с основными поставщиками;
• идентификация альтернативных надежных поставщиков.

7.8 Заинтересованные стороны

7.8.1 При определении необходимых стратегий УНБ организация должна учитывать и защищать интересы ключевых заинтересованных сторон.

В этих стратегиях следует учесть соответствующие социальные и культурные соображения.

7.8.2 Организация должна определить стратегии, необходимые для управления взаимоотношениями с основными заинтересованными сторонами, бизнес-партнерами и подрядными организациями. Для каждой группы могут потребоваться отдельные соображения. Стратегии, обеспечивающие защиту интересов главных заинтересованных сторон, могут включать специальные меры по обеспечению благополучия заинтересованных лиц с особыми потребностями, например в случае инвалидности, болезни или беременности.

7.8.3 Организация должна идентифицировать лицо или лиц, которые будут отвечать за вопросы, связанные с проблемами обеспечения благополучия после инцидента.

7.9 Кризисные чрезвычайные ситуации

7.9.1 Организации, стремящиеся к определению, реализации или проверке стратегий по управлению инцидентами и управлению непрерывностью бизнеса, должны на первой стадии начать взаимодействие с официальными местными аварийными службами. В задачу этих муниципальных служб входит прогнозирование, оценка, предупреждение кризисных чрезвычайных ситуаций на территории их административно-территориальной единицы, подготовка к ликвидации чрезвычайных ситуаций, реагирование и восстановительные мероприятия в случае чрезвычайной ситуации.

ПРИМЕЧАНИЕ:    в Великобритании такие аварийные службы могут называться местными форумами устойчивости.

7.9.2 Ведущие аварийные службы будут полезны в случае официального объявления о возникновении кризисной чрезвычайной ситуации и обеспечению:

• рекомендаций по мероприятиям, предпринимаемым до или после инцидента (например, по оценке рисков);
• процедур предупреждения и информирования населения;
• восстановительных мероприятий после кризисной чрезвычайной ситуации.

ПРИМЕЧАНИЕ 1:   кризисные чрезвычайные ситуации способны привести к гибели и нанесению вреда здоровью людей; они способны оказывать глубокое и долговременное влияние на психологическое, социальное и экономическое благополучие отдельных людей и групп. Чрезвычайные ситуации способны быстро привести к нарушению функционирования служб общественного транспорта, сетей связи, критической инфраструктуры и вызвать перебои в поставках товаров, услуг и запасов. Поскольку существует возможность нарушения нормального хода деятельности, в организации может возникнуть необходимость ознакомиться с планируемыми мерами соответствующих муниципальных аварийных служб.

ПРИМЕЧАНИЕ 2:   согласно документу UK Civil Contingencies Act (200-b) [1], местные органы власти в соответствии с законом обязаны предоставить рекомендации и инструкции по обеспечению непрерывности бизнеса как коммерческим, так и добровольным организациям, функционирующим на подведомственной им территории.

7.10  Утверждение

Высшее руководство должно подписать документированные стратегии, чтобы подтвердить, что определение стратегий обеспечения непрерывности бизнеса было выполнено надлежащим образом и отвечает возможным причинам и последствиям нештатной ситуации, и что выбранные стратегии позволяют решать целевые задачи организации при условии, что существующий уровень риска не превышает уровень приемлемого риска организации.

8. Разработка и внедрение процедур реагирования

Данный элемент жизненного цикла процесса управления непрерывностью бизнеса относится к разработке и внедрению необходимых планов и мер по обеспечению непрерывности критичных для бизнеса производственных процессов и управлению инцидентами.

8.1    Введение

В разделах 6 и 7 излагается, каким образом организация должна:

• идентифицировать свои критичные для бизнеса производственные процессы;
• оценить угрозы, которым подвергаются эти критичные для бизнеса производственные процессы;
• выбрать необходимые стратегии для уменьшения вероятности возникновения и влияния инцидентов;
• выбрать необходимые стратегии, обеспечивающие непрерывность или восстановление своих критичных для бизнеса производственных процессов.

Диапазон угроз, для которых будут составлять планы, должен определяться уровнем приемлемого риска организации.

8.2    Структура системы реагирования на инциденты

КОММЕНТАРИЙ К П. 8.2. В небольших организациях ответственность за управление инцидентами и непрерывностью бизнеса может быть возложена на одного сотрудника. Более крупные организации могут использовать многоуровневый подход и могут создавать различные группы для решения вопросов по управлению инцидентами, обеспечению непрерывности и восстановлению функционирования. В некоторых случаях таким группам могут оказывать поддержку другие группы, отвечающие за такие вопросы, как взаимодействие со средствами массовой информации и кадровые проблемы.

8.2.1 Организация должна определить струк­туру системы реагирования на инциденты, которая обеспечит эффективное реагирование и восстановление в случае нештатных ситуаций.

8.2.2 В каждой ситуации инцидента должна существовать простая и быстро создаваемая структура системы реагирования, которая позволит организации:

• подтвердить тип и масштаб инцидента,
• взять ситуацию под контроль,
• обеспечить сдерживание инцидента,
• информировать заинтересованные стороны.

Та же самая структура должна инициировать необходимую процедуру реагирования по обеспечению непрерывности бизнеса. Эта структура может называться группой по управлению инцидентами (IMT) или группой по управлению кризисными ситуациями (CMT).

8.2.3 Эта группа должна иметь планы, процессы и процедуры по управлению инцидентами, и эти планы, процессы и процедуры должны поддерживаться механизмами обеспечения непрерывности бизнеса, позволяющими обеспечить непрерывность и восстановление критичных для бизнеса производственных процессов.

8.2.4 Эта группа должна иметь планы по активизации, управлению, координации и информированию о процессе реагирования на инцидент. На Рис. 2 показаны три основные времен­ны'е стадии процесса обработки инцидента, а также связь между процессами управления инцидентами и обеспечения непрерывности бизнеса.

ПРИМЕЧАНИЕ:   в некоторых случаях организация может активировать свои планы реагирования на инциденты, обеспечения непрерывности и восстановления бизнеса с меньшей задержкой или одновременно.

8.2.5 Организации могут разработать специальные планы для возобновления или восстановления операций обратно в «нормальное» состояние (планы восстановления). Однако иногда бывает невозможно определить, как выглядит это «нормальное» состояние, пока не пройдет какое-то время после инцидента, в таком случае нельзя немедленно приступить к реализации планов восстановления. Поэтому организациям могут потребоваться планы обеспечения непрерывности бизнеса, согласно которым гарантируется продолжительность работы, достаточная для разработки планов восстановления («обратно в нормальное состояние»).

8.3 Содержание планов

8.3.1 Введение

КОММЕНТАРИЙ К П. 8.3.1. Небольшие организации могут иметь один план, включающий все требования к организации и охватывающий всю ее деятельность. Очень крупная организация может иметь несколько планов, каждый из которых будет детально определять процесс восстановления для:

• отдельного компонента деятельности организации;
• конкретных помещений;
• конкретного сценария нештатной ситуации,

и может состоять из отдельных документов для этапов управления инцидентами, обеспечения непрерывности и восстановления.

Все планы – планы управления инцидентами, планы обеспечения непрерывности бизнеса или планы восстановления бизнеса – должны быть конкретными и доступны лицам, обязанности которых определяются в этих планах. Планы должны содержать элементы, указанные в пунктах 8.3.2 - 8.3.6.

Рис. 2. Временные рамки инцидента

8.3.2 Цель и область действия

КОММЕНТАРИЙ К П. 8.3.2. Каждый план может точно определять, чего не предполагается достичь и почему.

Цель и область действия каждого отдельного плана должны быть определены, согласованы с высшим руководством и поняты теми, кто будет вводить в действие этот план. Все связи с другими релевантными планами или документами должны быть четко указаны, а также необходимо описать способ получения этих планов и организацию доступа к ним.

Каждый план управления инцидентами, обеспечения непрерывности и восстановления бизнеса должен определять приоритетные задачи в контексте:

• критичных для бизнеса производственных процессов, подлежащих восстановлению;
• временных рамок, в которых эти производственные процессы должны быть восстановлены;
• уровней восстановления, необходимых для каждого критичного для бизнеса производственного процесса;
• ситуации, в которой будет использоваться каждый план.

8.3.3 Роли и обязанности

КОММЕНТАРИЙ К П. 8.3.3. Планы могут также содержать, когда это уместно, процедуры и рекомендации, поддерживающие процесс анализа планов по результатам инцидента.

Роли и обязанности уполномоченных (как с точки зрения принятия решений, так и полномочий на расходование средств) сотрудников и групп в ходе инцидента и после него должны быть четко документированы. Должны быть четко определены лица и группы, действия которых охватываются этим планом.

8.3.4 Активизация планов

КОММЕНТАРИЙ К П. 8.3.4. Время, потерянное в процессе реагирования, невозможно вернуть. Почти во всех ситуациях лучше мобилизовать группу реагирования и потом отменить мобилизацию, чем упустить возможность сдержать инцидент на ранней стадии и не допустить его эскалации.

Организации могут учесть заданные и согласованные на международном уровне стадии эскалации в соответствии с четкими рекомендациями других авторитетных источников, например, рекомендациями Всемирной организации здравоохранения по пандемии.

Метод активизации плана управления инцидентами, обеспечения непрерывности или восстановления бизнеса должен быть четко документирован. Этот процесс должен обеспечивать активизацию необходимых планов или их частей в кратчайшие сроки после возникновения нештатной ситуации.

Организация должна разработать и документировать четкие рекомендации и систему критериев, которые будут определять, какой сотрудник(и) имеет полномочия на активизацию плана (планов) и при каких обстоятельствах.
Процесс активизации может потребовать немедленной мобилизации ресурсов организации. План должен четко и точно описывать:

• как осуществляется мобилизация группы (групп);
• место проведения незамедлительной встречи;
• места проведения последующих собраний групп и подробную информацию об альтернативных местах проведения собраний (в крупных организациях эти места проведения собраний могут называться центрами управления инцидентами или центрами управления).

Организация должна документировать четкий процесс отмены мобилизации группы (групп) по завершении инцидента, а также процесс возвращения к обычному режиму функционирования.

8.3.5 Владелец и ответственный за ведение документов

Организация должна назначить основного владельца плана, а также определить и документировать, кто будет ответственным за регулярный анализ, усовершенствование и корректировку плана. Должен использоваться контроль версий, должно быть обеспечено формальное информирование всех заинтересованных сторон об изменениях в планах, должны вестись и своевременно обновляться формальные записи рассылки плана.

8.3.6 Контактная информация

КОММЕНТАРИЙ К П. 8.3.6. Записи контактов могут содержать информацию для связи в «нерабочее время». Однако, если планы содержат подобную информацию частного характера, необходимо уделить первостепенное внимание обеспечению защиты информации.
Каждый план должен содержать необходимую контактную информацию для всех основных заинтересованных сторон или предоставлять ссылку на такую информацию.

8.4 План управления инцидентами

Цель плана управления инцидентами заключается в предоставлении организации возможности управлять начальной (экстренной) стадией инцидента.

План управления инцидентами должен:

• быть гибким, практически осуществимым и релевантным;
• быть легко читаемым и понятным;
• обеспечивать базис для управления всеми возможными проблемными ситуациями (включая взаимоотношения с заинтересованными сторонами и внешние проблемы), с которыми сталкивается организация во время инцидента.

Кроме того, план управления инцидентами должен:

1. поддерживаться высшим руководством, включая представителя совета директоров, когда это применимо;
2. поддерживаться выделением необходимых финансовых средств на разработку, ведение и тестирование.

8.5 Содержание планов управления инцидентами

8.5.1 Общие положения

Кроме содержания, рекомендованного в п. 8.3, план управления инцидентами должен включать информацию, указанную в пп. 8.5.2 - 8.5.8.

8.5.2 Списки задач и действий

План управления инцидентами должен включать списки задач и контрольные списки действий по управлению немедленными последствиями возникновения нештатной ситуации. Эти задачи должны:

• в первую очередь, обеспечить безопасность людей;
• основываться на результатах проведенного анализа влияния на бизнес;
• быть структурированными так, чтобы обеспечить варианты стратегии и тактики, выбранные организацией (как описано в п. 7);
• помогать предотвращать дальнейшую потерю или недоступность критических операций и поддерживающих их ресурсов, как описано в п. 7.

8.5.3 Контактные лица при чрезвычайных ситуациях

КОММЕНТАРИЙ К П. 8.5.3. В зависимости от масштаба организации и уровня инцидента, может потребоваться несколько компетентных, подготовленных людей для ответов на телефонные запросы об инциденте.
В план должно быть включено описание того, как и при каких обстоятельствах организация будет устанавливать связь с сотрудниками и их родственниками, друзьями и контактными лицами, с которыми следует связаться в случае чрезвычайной ситуации. В некоторых случаях может быть целесообразно включить подробную информацию в отдельный документ.

Информация о ближайших родственниках и контактных лицах, с которыми следует связаться в случае чрезвычайной ситуации, для всех сотрудников должна своевременно обновляться и быть доступной для немедленного использования.

8.5.4 Действия людей

КОММЕНТАРИЙ К П. 8.5.4. Организации несут прямую ответственность за защиту благополучия сотрудников, подрядчиков, посетителей и заказчиков в случае, если инцидент ставит под непосредственную угрозу их жизнь, средства к существованию и благополучие. Особое внимание необходимо уделить всем группам лиц с особыми нуждами (например, инвалидам, беременным женщинам, временно нетрудоспособным вследствие травмы и т.д.). Заблаговременное планирование мер по выполнению этих требований способно уменьшить риск и придать уверенность тем, кого затрагивают эти проблемы.

Долговременное влияние инцидентов нельзя недооценивать. Разработка соответствующих стратегий, обеспечивающих поддержку благополучия людей, прямо способствует восстановлению физического и эмоционального состояния людей в организации

План управления инцидентами должен отвечать интересам тех, чье благополучие может  быть поставлено под угрозу в результате возникновения инцидента, с учетом релевантных социальных и культурных соображений (см. п. 7.8.2).

В плане управления инцидентами должно быть идентифицировано лицо (лица), ответственное за защиту благополучия людей после возникновения инцидента (см. п. 7.8.3), включая:

• эвакуацию объекта (в том числе в подготовленное внутреннее укрытие);
• мобилизацию групп по обеспечению безопасности, оказанию первой медицинской помощи или обеспечению эвакуации;
• определение местонахождения и учет лиц, находившихся на объекте или в непосредственной близости от него;
• постоянное информирование сотрудников/заказчиков и инструктаж по технике безопасности.

Организация должна использовать персонал с соответствующими уровнями полномочий для поддержания контактов, а при необходимости – взаимодействия, с аварийными службами.

ПРИМЕЧАНИЕ:   аварийные службы играют главную роль в спасении жизни и оказании помощи пострадавшим в ходе чрезвычайных ситуаций. Поэтому организация взаимодействия на ранней стадии, осуществление координации на этапе предварительного планирования и оперативной координации действий в ходе инцидента между  руководством организации и группами экстренного реагирования и аварийными службами способно значительно повысить эффективность реагирования на инцидент.

Организация может найти возможность предоставить консультационные услуги и оказание помощи пострадавшим в результате инцидента сотрудникам. Услуги могут быть получены из внешних источников или могут быть предоставлены в качестве дополнения к существующим программам по гигиене труда и оказанию помощи сотрудникам.

8.5.5 Освещение в средствах массовой информации

КОММЕНТАРИЙ К П. 8.5.5. На ранних стадиях инцидента особенно полезна заранее подготовленная информация. Она позволяет, пока выясняются подробности инцидента, дать информацию об организации и ее деятельности. Организация может использовать все возможные средства для обмена информацией во время инцидента и после. Такие источники могут включать веб- сайты, публичные выступления представителей организации, информационные программы и заявления на брифингах компании.

Порядок реагирования организации в средствах массовой информации должен быть документирован в плане управления инцидентами, включая:

• стратегию информирования об инциденте;
• преимущественный порядок взаимодействия организации со СМИ;
• директивы или образец для составления заявления, которое должно быть передано в СМИ при первой практической возможности после инцидента;
• надлежащее количество квалифицированных, компетентных представителей организации, назначенных и уполномоченных предоставлять информацию в СМИ;
• организация, если возможно, специального места для общения со СМИ и другими заинтересованными сторонами.

В некоторых случаях может быть целесообразно:

• предоставить вспомогательную информацию в отдельном документе;
• выделить необходимое количество компетент­ных, квалифицированных людей для ответа на телефонные запросы от представителей СМИ;
• подготовить справочный материал об организации и ее деятельности (эта информация должна быть предварительно согласована для публикации);
• следить за тем, чтобы вся информация в СМИ предоставлялась оперативно, без излишней задержки.

8.5.6 Управление взаимодействием с заинтересованными сторонами

КОММЕНТАРИЙ К П. 8.5.6. Возможно, потребуется также учесть группы давления и инициативные группы активистов, которые благодаря совместным организованным действиям способны оказывать влияние на организацию.

Процесс идентификации и приоритезации контактов с другими основными заинтересованными сторонами должен быть включен в план управления инцидентами. Может потребоваться разработка отдельного плана управления взаимодействием с заинтересованными сторонами, в котором будут определяться критерии для установления приоритетов и назначения лиц для взаимодействия с каждой заинтересованной стороной или группой заинтересованных сторон.

8.5.7 Помещение для управления инцидентами

КОММЕНТАРИЙ К П. 8.5.7. Помещение для управления инцидентами позволяет организовать заранее оборудованный координационный центр, из которого будет осуществляться управление инцидентами. При управлении инцидентами важно получать и обмениваться информацией, определять цели, распределять задачи, управлять ресурсами, идентифицировать и отслеживать проблемы и принимать решения с учетом всей имеющейся информации. Важнейшее значение имеют надежные средства связи. Использование заданного места встречи позволяет обеспечить управление в ситуациях, когда перегружены телефонные сети. Помещение для управления может быть очень простым, например номер в гостинице или дом сотрудника организации. Оно может быть очень сложным, таким как специальный «центр управления», оснащенный компьютерами, системой конференц-связи и несколькими телефонами. Вначале, возможно, потребуется провести виртуальное или дистанционное собрание, например, по телефону, телеконференц-связи или видеоконференц-связи для незамедлительного принятия ключевых решений.

Организация должна выделить надежное и заранее определенное помещение, из которого будет осуществляться управление инцидентами. После оборудования этого помещения оно должно стать координационным центром реагирования организации. Кроме того, должно быть указано альтернативное место встречи на случай недоступности основного места. На каждом из этих мест следует обеспечить доступ к необходимым ресурсам, с помощью которых группа реагирования на инциденты может без задержки приступить к эффективным действиям по управлению инцидентами.

Выбранное помещение должно соответствовать своему назначению и включать:

• эффективные основные и дополнительные средства связи;
• оборудование для получения и обмена информацией, в том числе для мониторинга новостных средств массовой информации.

8.5.8 Приложения

План управления инцидентами должен включать актуальную контактную и мобилизационную информацию для всех учреждений, организаций и ресурсов, которые могут потребоваться для поддержки стратегий реагирования организации.

План управления инцидентами должен содержать журналы или формуляры для регистрации важной информации об инциденте, такой как временны' е рамки инцидента, подробности аварии, принятые решения, израсходованные денежные средства, оценки ущерба, опубликованные сообщения и любую другую информацию, которую организация посчитает существенной для поддержки анализа инцидента.

Кроме того, план управления инцидентами может содержать следующую информацию (или ссылаться на нее):

• карты, схемы, планы, фотографии и другую информацию, которая может иметь отношение к инциденту;
• документированные стратегии реагирования, соответствующим образом согласованные с третьими сторонами (партнерами по совместному предприятию, подрядчиками, поставщиками и т.д.);
• детальную информацию о площадках хранения и подготовки оборудования;
• план доступа к объекту;
• процедуру управления претензиями, которая позволяет следить за тем, чтобы все страховые требования и правовые притязания к организации соответствовали требованиям закона и условиям контрактов.

8.6   План(ы) обеспечения непрерывности бизнеса

КОММЕНТАРИЙ К П. 8.6 Компоненты и содержание планов обеспечения непрерывности бизнеса варьируются от организации к организации и могут иметь различный уровень детализации в зависимости от размера, среды функционирования, корпоративной культуры и технической сложности организации.
Крупным организациям могут потребоваться отдельные документы для каждой из их критичных для бизнеса производственных процессов, тогда как небольшие организации, возможно, смогут охватить все, что для них критично, в одном документе.

Цель плана обеспечения непрерывности бизнеса состоит в том, чтобы предоставить организации возможность восстанавливать или поддерживать свои производственные процессы в случае нарушения нормального функционирования организации.

Планы обеспечения непрерывности бизнеса активизируются (инициируются) для поддержки критичных для бизнеса производственных процессов, необходимых для выполнения целевых задач организации. Они могут активизироваться в полном объеме или частично и на любой стадии реагирования на инцидент.

8.7 Содержание планов обеспечения непрерывности бизнеса

8.7.1 Общие положения

Кроме содержания, рекомендованного в п. 8.3, план обеспечения непрерывности бизнеса должен включать информацию, указанную в пп. 8.7.2-8.7.5.

8.7.2 Планы действий/списки задач

КОММЕНТАРИЙ К П. 8.7.2. Данные пункты соответствуют требованиям документа Civil Contingencies Act [1], раздел 6.20. В планах будут рассматриваться человеческие ресурсы, помещения, технология, информация, запасы и заинтересованные стороны, идентифицированные на стадии определения стратегий (см. п. 7). В планах должны содержаться сделанные допущения и детальная информация обо всех ресурсах, необходимых для реализации планов. Если в результате недоступности услуги или ресурса цели плана становятся недостижимыми, должна быть определена процедура эскалации проблемы.

План действий должен включать структурированный контрольный список действий и задач в порядке их приоритета, особо выделяя следующие моменты:

• как инициируется план обеспечения непрерывности бизнеса;
• лицо (лица), ответственное за инициирование плана обеспечения непрерывности бизнеса;
• процедура, которой должно придерживаться это лицо, принимая решение об инициировании плана обеспечения непрерывности бизнеса;
• лицо (лица), с которыми следует провести консультации перед принятием этого решения;
• лицо (лица), которых следует проинформировать после того, как решение будет принято;
• кто, когда и куда идет;
• какие сервисы являются доступными, где и когда, в том числе как организация мобилизует внешние ресурсы и ресурсы третьих сторон;
• как и когда распространяется эта информация;
• если уместно, подробные руководства по альтернативным методам ручного выполнения работ, восстановлению системы и т.д.

8.7.3 Потребности в ресурсах

Ресурсы, необходимые для обеспечения непрерывности и восстановления бизнеса, должны быть идентифицированы в различные моменты времени. Они могут включать:

• человеческие ресурсы, к которым могут относиться:
  • обеспечение безопасности,
  • транспортное обеспечение,
  • требования обеспечения благополучия,
  • чрезвычайные расходы;
• помещения;
• технологии, включая средства связи;
• сведения, которые могут содержать:
  • финансовую информацию (например, о зарплате),
  • записи о лицевых счетах заказчиков,
  • информацию о поставщиках и заинтересованных сторонах,
  • юридически значимые документы (например, контракты, страховые полисы, документы о праве собственности и т.д.),
  • другие процессуальные документы (например, соглашения об уровне обслуживания);
• запасы;
• управление взаимодействием с заинтересованными сторонами.

8.7.4 Ответственное лицо (ответственные лица)

КОММЕНТАРИЙ К П. 8.7.4. Во многих случаях организация может захотеть назначить тех же лиц, которые определены в плане управления инцидентами, и поручить им управление более долгосрочными проблемами.

Организация должна указать назначенное лицо (лиц), которое будет отвечать за управление на стадиях обеспечения непрерывности и восстановления бизнеса в случае нештатной ситуации.

8.7.5 Формуляры и приложения

КОММЕНТАРИЙ К П. 8.7.5. План может также включать формуляры для записи административной информации, например, используемых ресурсов, документов регистрации расходов; карты, чертежи, планы объекта и служебных помещений, особенно тех, которые имеют отношение к каким-либо альтернативным помещениям, таким как резервным рабочим и складским помещениям.

Когда это целесообразно, план обеспечения непрерывности бизнеса должен содержать актуальную контактную информацию для необходимых внутренних и внешних учреждений, организаций и провайдеров, которые могут потребоваться для поддержки организации.

План обеспечения непрерывности бизнеса должен включать журнал инцидентов или формуляры для записи важной информации, в особенности той, которая относится к принятым решениям.

9. Тестирование, поддержка и пересмотр планов управления непрерывностью бизнеса

Данный элемент жизненного цикла процесса управления непрерывностью бизнеса позволяет проверить действенность планов по управлению непрерывностью бизнеса с помощью их тестирования и анализа, а также обеспечить актуальность этих планов.

9.1 Введение

Планы организации по обеспечению непрерывности бизнеса и управлению инцидентами нельзя считать надежными, если не проведено их тестирование и не поддерживается их актуальность. Тестирование имеет существенное значение для повышения уровня взаимодействия, компетентности, уверенности и знаний, что крайне необходимо во время инцидента.

Планы должны проверяться с помощью процессов тестирования, аудита и самооценки, позволяющих обеспечить соответствие планов своему назначению.

9.2 Программа тестирования

КОММЕНТАРИЙ К П. 9.2. Процедуры тестирования позволяют получить и наглядно подтвердить наличие навыков и средств обеспечения непрерывности бизнеса и управления инцидентами. Время и ресурсы, потраченные на проверку стратегий УНБ с помощью тестирования планов обеспечения непрерывности бизнеса, позволяют получить средства, отвечающие своему целевому назначению. Независимо от того, насколько хорошо разработанными и продуманными представляются стратегия УНБ или план обеспечения непрерывности бизнеса, ряд надежных и реалистичных испытаний позволит идентифицировать области, в которых требуется корректировка.

Программа тестирования должна соответствовать области применения плана (планов) обеспечения непрерывности бизнеса и должна надлежащим образом учитывать все необходимые законодательные и нормативные акты. Тестирование может:

• предполагать некий заранее определенный результат, например, иметь предварительно заданный план и объем;
• предоставлять организации возможность разрабатывать инновационные решения.

Программа тестирования должна быть разработана так, чтобы со временем дать объективную уверенность в том, что, когда это потребуется, план обеспечения непрерывности бизнеса будет работать, как ожидалось. Программа должна:

• тестировать техническую, логистическую, административную, процедурную и другие системы плана обеспечения непрерывности бизнеса;
• тестировать схему и инфраструктуру управления непрерывностью бизнеса (включая роли, обязанности, любые помещения, связанные с управлением инцидентами, а также рабочие места и т.д.);
• проверять восстановление технологий и телекоммуникаций, включая наличие и перебазирование персонала.

Кроме того, эта программа позволит усовершенствовать средства управления непрерывностью бизнеса с помощью:

• практической тренировки способности организации восстанавливать свою деятельность в случае возникновения инцидента;
• проверки того, включены ли в план обеспечения непрерывности бизнеса все критичные для бизнеса производственные процессы организации, их зависимости и приоритеты;
• привлечения внимания к допущениям, которые необходимо дополнительно изучить;
• внушения уверенности участникам тестирования;
• повышения информированности всей организации об обеспечении непрерывности бизнеса путем распространения информации о тестировании;
• проверки эффективности и своевременности восстановления критичных для бизнеса производственных процессов;
• наглядной демонстрации квалификации основных групп по реагированию и их дублеров.

9.3 Тестирование

9.3.1 Тестирования должны быть реалистичными, тщательно спланированными и согласованными с заинтересованными сторонами, чтобы минимизировать риск нарушения нормального функционирования бизнес-процессов. Тестирование должно быть спланировано таким образом, чтобы минимизировать риск возникновения инцидента в результате непосредственного влияния этого тестирования.

9.3.2 Каждое тестирование должно иметь четко поставленные цели и задачи. После тестирования следует провести анализ его выполнения, в ходе которых необходимо рассмотреть выполнение целей и задач этого тестирования. По результатам тестирования должен быть создан отчет, содержащий рекомендации и график реализации этих рекомендаций.

9.3.3 Масштаб и уровень сложности тестирования должен соответствовать требованиям организации к процессу восстановления.

КОММЕНТАРИЙ К П. 9.3A. Тестирование, которое продемонстрирует серьезные недостатки или ошибки в плане обеспечения непрерывности бизнеса, должно быть выполнено повторно после того, как будут завершены корректирующие действия. Несколько возможных методов тестирования стратегий УНБ приводится в Таблице 1.

9.3.4 Планы обеспечения непрерывности бизнеса и управления инцидентами следует тестировать, чтобы удостовериться в возможности их правильного выполнения и что они содержат надлежащую информацию и инструкции.

9.3.5 Программа тестирования должна учитывать роли всех сторон, включая основных сторонних провайдеров, партнеров по аутсорсингу и других, кто, как предполагается, будет принимать участие в действиях по восстановлению. Организация может включить такие стороны в свое тестирование.

Таблица 1. Некоторые методы тестирования стратегий УНБ.

(A) Периодичность тестирования должна определяться как потребностями организации, средой ее функционирования, так итребованиями заинтересованных сторон. Однако программа тестирования должна быть гибкой, учитывающей темпизменений в организации и результаты предыдущих тестирований. Допустимо использовать описанные выше методы длятестирования отдельных компонентов плана, а также для одного или нескольких планов.)

9.4 Поддержка

КОММЕНТАРИЙ К П. 9.4. Цель процесса поддержки программы УНБ – обеспечить, чтобы навыки и средства управления непрерывностью бизнеса организации оставались эффективными, соответствующими целевому назначению и актуальными.

Если в ходе выполнения действий по поддержке установлено, что произошли существенные изменения в стратегии, решении или бизнес-процессе, следует изменить существующие графики тестирования.

Должна быть разработана четко определенная и документированная программа поддержки программы управления непрерывностью бизнеса. Эта программа должна гарантировать, что любые затрагивающие организацию изменения (внутренние или внешние) будут проанализированы в связи с их влиянием на программу УНБ. Кроме того, эта программа должна идентифицировать любые новые продукты и услуги, а также связанные с ними производственные процессы, которые необходимо включить в программу поддержки УНБ.

На основании программы поддержки УНБ организация должна:

• анализировать и критически оценивать все допущения, сделанные в любых компонентах УНБ по всей организации;
• распределять среди ключевых сотрудников обновленные, уточненные или измененные политику, стратегии, решения, процессы и планы УНБ в рамках формального процесса управления изменениями.

ПРИМЕЧАНИЕ:   в случае, если в деятельности организации произошли существенные изменения, необходимо выполнить пересмотр результатов анализа влияния на бизнес. Для учета этих изменений могут быть внесены изменения в другие компоненты программы УНБ.

Результаты процесса поддержки программы УНБ должны включать:

• документированные свидетельства проактивного управления и руководства программой организации по обеспечению непрерывности бизнеса;
• подтверждение того, что основной персонал, который должен обеспечивать реализацию стратегии и планов УНБ, является квалифицированным и компетентным;
• подтверждение мониторинга и контроля рисков УНБ, с которыми сталкивается организация;
• документированные свидетельства того, что существенные изменения в структуре организации, продуктах и услугах, производственных процессах, цели, персонале и задачах были включены в планы организации по обеспечению непрерывности бизнеса и управлению инцидентами.

9.5 Пересмотр

9.5.1 Высшее руководство организации должно (через промежутки времени, которые оно посчитает необходимыми) анализировать средства управления непрерывностью бизнеса, чтобы обеспечить их постоянную пригодность, адекватность и эффективность. Этот анализ должен быть задокументирован.

9.5.2 Этот анализ должен подтвердить, что соответствие политике УНБ организации гарантирует соответствие всем необходимым законам, стандартам, стратегиям, концепциям и рекомендуемым нормам.

КОММЕНТАРИЙ К П. 9.5.3. В процессе непрерывного совершенствования организация может узнать о новых технологиях и практических методиках (в том числе о новых средствах и методах), связанных с процессом УНБ, которые необходимо оценить, чтобы определить их потенциальную выгоду для организации.

9.5.3 При анализе следует учитывать возможную необходимость внесения изменений в политику, стратегию, целевые задачи и другие элементы системы управления непрерывностью бизнеса в свете таких факторов, как результаты тестирования, изменившиеся обстоятельства и понимание необходимости постоянного усовершенствования.

9.5.4 Анализ проводится в форме внутренних или внешних аудитов или самооценок. Периодичность и время проведения анализов определяется законами и нормативными актами, в зависимости от размера, типа и правового статуса организации. Кроме того, на периодичность и время проведения анализов могут повлиять требования заинтересованных сторон.

Аудит или оценка организацией программы по управлению непрерывностью бизнеса должны подтвердить, что:

• все основные продукты и услуги, а также поддерживающие их критичные для бизнеса производственные процессы и ресурсы были идентифицированы и включены в стратегию УНБ организации;
• политика, стратегии, концепция и планы УНБ организации точно отражают ее приоритеты и требования (целевые задачи организации);
• компетенции организации по управлению непрерывностью бизнеса и ее средства управления непрерывностью бизнеса являются эффективными, соответствуют целям организации и позволяют ей управлять, руководить, осуществлять контроль и координацию действий во время инцидента;
• решения организации по управлению непрерывностью бизнеса являются эффективными, отвечают современным требованиям и целевому назначению, а также соответствуют уровню рисков, с которыми сталкивается организация;
• программы организации по поддержке и тестированию были эффективно реализованы;
• стратегии и планы УНБ включают усовершенствования, идентифицированные в ходе инцидентов и тестирования, а также в программе поддержки;
• организация имеет постоянно действующую программу обучения и ознакомления с системой УНБ;
• процедуры УНБ были эффективно доведены до соответствующих сотрудников, и эти сотрудники понимают свои роли и обязанности;
• введены в действие и эффективно используются процессы управления изменениями.

9.5.5 Аудит

Организация должна предусмотреть независимый аудит своих навыков и средств управления непрерывностью бизнеса, чтобы выявить существующие и потенциальные недостатки. Она должна разработать, реализовать и поддерживать процедуры реагирования на подобные недостатки. Независимые аудиты (как внутренние, так и внешние) должны проводиться компетентными лицами.

9.5.6 Оценка организацией программы УНБ

Процесс самооценки организацией программы УНБ играет определенную роль в подтверждении того, что организация имеет надежные, эффективные и отвечающие целевому назначению навыки и средства управления непрерывностью бизнеса. Он обеспечивает качественное подтверж­дение способности организации восстанавливать свою деятельность после инцидента. Оценка должна проводиться относительно целевых задач организации. Кроме того, следует учесть необходимые отраслевые стандарты и общепринятые нормы.

10. Встраивание процесса управления непрерывностью бизнеса в корпоративную культуру

Для успешной реализации программы УНБ она должна стать частью общего подхода, который используется для управления организацией, независимо от ее размера и сферы деятельности. На каждой стадии процесса управления непрерывностью бизнеса существуют возможности привнести и улучшить корпоративную культуру управления непрерывностью бизнеса.

10.1  Общие положения

КОММЕНТАРИЙ К П. 10.1. Создание и встраивание культуры управления непрерывностью в корпоративную культуру, вероятно, окажется длительным и сложным процессом, который может столкнуться с трудно предсказуемым противодействием. Понимание существующей корпоративной культуры поможет разработать соответствующую культуру управления непрерывностью бизнеса. Все сотрудники должны понимать, что управление непрерывностью бизнеса является серьезной задачей для организации, и что они играют важную роль в обеспечении поставки продуктов своим клиентам и заказчикам.

Создание, продвижение и внедрение культуры управления непрерывностью бизнеса в организации позволяет ей стать частью основных ценностей и системы эффективного управления организацией.

Организация с позитивной культурой управления непрерывностью бизнеса будет:

• более эффективно разрабатывать программу управления непрерывностью бизнеса;
• внушать уверенность заинтересованным сторонам (особенно персоналу и заказчикам) в своей способности справиться с нештатной ситуацией;
• повышать свою устойчивость с течением времени, обеспечивая учет результатов управления непрерывностью бизнеса при принятии решений на всех уровнях;
• минимизировать вероятность нештатных ситуаций и их влияние на деятельность организации.

Разработка культуры управления непрерывностью бизнеса поддерживается с помощью:

• руководящей роли высших должностных лиц организации;
• распределения обязанностей (см. п. 5.2);
• повышения осведомленности;
• практического обучения;
• планов тестирования.

10.2  Осведомленность

КОММЕНТАРИЙ К П. 10.2. Повышение и поддержание на должном уровне осведомленности о программе УНБ среди всего персонала организации имеет большое значение в вопросе обеспечения понимания персоналом важности программы УНБ для организации. Сотрудникам необходимо показать, что это долговременная инициатива, которая пользуется постоянной поддержкой высшего руководства организации.

Организации необходим процесс для идентификации и выполнения требований по ознакомлению с программой УНБ и для оценки эффективности их выполнения. Персонал, участвующий в реализации программы УНБ, должен ознакомиться с внешней информацией об управлении непрерывностью бизнеса. В дополнение к этому можно обратиться за инструкциями в аварийные службы, органы местной власти и регулирующие органы. Организация должна повышать, улучшать и поддерживать осведомленность путем реализации программы обучения и информирования о программе УНБ для всего персонала.

Такая программа может включать:

• процесс консультаций с персоналом во всей организации по вопросам внедрения программы управления непрерывностью бизнеса;
• обсуждение программы управления непрерывностью бизнеса в информационных бюллетенях организации, на брифингах, в программах введения в должность или в журналах;
• размещение информации о программе управления непрерывностью бизнеса на соответствующих веб-страницах или во внутрикорпоративной сети;
• обучение на опыте внутренних и внешних инцидентов;
• использование программы управления непрерывностью бизнеса в качестве одного из пунктов повестки на групповых встречах;
• тестирование планов обеспечения непрерывности в альтернативном помещении (например, в помещении для восстановления бизнеса);
• посещения какого-нибудь назначенного альтернативного помещения (например, помещения для восстановления бизнеса).

Организация может распространить свою программу ознакомления с УНБ на своих поставщиков и другие заинтересованные стороны.

10.3  Практическое обучение

Организации необходим процесс для идентификации и выполнения требований организации по обучению сотрудников программе УНБ и для оценки эффективности выполнения требований.

Организация должна выполнять обучение:

• сотрудников, участвующих в реализации процесса управления непрерывностью бизнеса, выполнению таких задач, как:
  • управление программой управления непрерывностью бизнеса,
  • проведение анализа влияния на бизнес,
  • разработка и внедрение планов обеспечения непрерывности бизнеса,
  • выполнение программы тестирования планов обеспечения непрерывности бизнеса,
  • оценка рисков и угроз,
  • взаимодействие со средствами массовой информации;
• не участвующих во внедрении программы УНБ сотрудников, которые должны иметь необходимую квалификацию для выполнения назначенных им ролей в ходе реагирования на инциденты или восстановления бизнеса.

Навыки поведения в аварийной ситуации и компетентность всех сотрудников организации следует совершенствовать и повышать путем практических тренингов, включая активное участие в мероприятиях по тестированию.

Библиография

Публикации стандартов

BS EN ISO 9000, Quality management systems – Fundamentals and vocabulary (Система менеджмента качества – Основные положения и словарь).

BS ISO/IEC 20000 (обе части), Information technology – Service management (Информационные технологии – Управление сервисом).

BS ISO/IEC 27001, Information technology – Security techniques – Information security management systems – Requirements (Информационная технология – Методы и средства обеспечения безопасности – Системы управления информационной безопасностью – Требования).

PAS77, IT Service Continuity Management – Управление непрерывностью ИТ-сервисов.

Другие публикации

[1 ] The Civil Contingencies Act 2004, London: TSO.

ВSI – Британский институт стандартов (British Standards Institution)

Британский институт стандартов (BSI) – независимый национальный орган, отвечающий за подготовку британских стандартов. Он отражает точку зрения Великобритании на европейские и международные стандарты. Институт был учреж­ден королевским пожалованием.

 

Исправления и дополнения

Британские стандарты обновляются посредством внесения исправлений или переработки. Пользователи британских стандартов должны удостовериться, что в их распоряжении имеются самые последние поправки или издания.

Повышение качества продуктов и услуг Британского института стандартов является нашей неизменной целью. Мы будем признательны всем, кто сообщит о каких-либо неточностях или неясностях, обнаруженных при пользовании данным британским стандартом, секретарю ответственного технического комитета:
Тел: +44 (0)20 8996 9000
Факс: +44 (0)20 8996 7400
BSI предлагает своим партнерам индивидуальную услугу обновления информации под названием PLUS, которая гарантирует подписчикам автоматическое получение самых последних изданий стандартов.

Покупка стандартов

Заказы на все публикации стандартов Британского института стандартов, международных и зарубежных стандартов следует направлять в службу поддержки заказчиков (Customer Services).
Тел: +44 (0)20 8996 9001
Факс: +44 (0)20 8996 7001
Email: orders@bsi-global.com
Стандарты также доступны на web-сайте Британского института стандартов по адресу http://www.bsi-global.com.
При выполнении заказов на международные стандарты Британский институт стандартов, в соответствии с проводимой им политикой, высылает свою версию  тех стандартов, которые были опубликованы в качестве британских стандартов, если иное не указано в заказе.

Информация о стандартах

Британский институт стандартов предоставляет широкий диапазон информации по национальным, европейским и международным стандартам через свою библиотеку и свою службу технических консультаций. Также доступны различные электронные службы информации BSI, позволяющие получить подробную информацию обо всех продуктах и услугах института. Обращайтесь в информационный центр.
Тел: +44 (0)20 8996 7111
Факс: +44 (0)20 8996 7048
Email: info@bsi-global.com
Своим подписчикам Британский институт стандартов рассылает информацию о самых последних разработках стандартов и предоставляет значительные скидки при покупке стандартов. Для получения информации об этих и других преимуществах следует обратиться в отдел регистрации членства.
Тел: +44 (0)20 8996 7002.
Факс: +44 (0)20 8996 7001
Email: membership@bsi-global.com

Информация об электронном доступе к британским стандартам через сервис British Standards Online доступна по адресу http://www.bsi-global.com/bsonUne.
Более подробная информация о Британском институте стандартов доступна на веб-сайте института по адресу http://www.bsi-global.com.

Авторские права

Авторское право распространяется на все публикации Британского института стандартов. Кроме того, в Великобритании Британский институт стандартов является обладателем авторских прав на публикации международных органов по стандартизации. Кроме исключений, предусмотренных законом об авторском праве, дизайне и патентах (Copyright, Designs and Patents Act 1988), не допускается копирование, хранение в системах поиска информации или распространение в любой форме или любыми средствами – электронными, механическими, средствами фотокопирования или иными – любой части данного стандарта без предварительного письменного разрешения Британского института стандартов.

Это не препятствует свободному использованию, в процессе внедрения стандарта, необходимой для этого информации, такой как символы, а также обозначения размера, типа или качества. Если эта информация используется в отличных от реализации целях, должно быть получено предварительное письменное разрешение Британского института стандартов.

Информацию и консультации можно получить, обратившись к менеджеру по авторским правам и лицензированию (Copyright & Licensing Manager).
Телефон: +44 (0)20 8996 7070
Факс: +44 (0)20 8996 7553
Email: copyright@bsi-global.com