“У каждой крупной транснациональной корпорации есть собственная система управления непрерывностью бизнеса (СУНБ). Однако, несмотря на применение одной и той же терминологии, в содержательном плане эти системы могут существенно различаться. Только наличие единого стандарта позволяет избежать каких-либо двусмысленностей при оценке используемых ими стратегий и методологий”, — заявил на московской презентации нового стандарта BS 25999 менеджер Британского института стандартов (British Standards Institution, BSI) Арнт Сандлер. Этот документ состоит из двух частей и обобщает передовой опыт в области управления непрерывностью бизнеса. Первая часть, содержащая основные рекомендации, была утверждена в 2006 г., а вторая, включающая спецификации, — в 2007-м.
История BSI насчитывает более 100 лет. За это время институтом подготовлено множество национальных стандартов, и некоторые из них впоследствии легли в основу международных документов ISO. Так, на базе BS 7799-2 возник ISO/IEC 27001 (управление информационной безопасностью), а из BS 15000 вырос ISO/IEC 20000 (управление ИТ-сервисами). Да и сама Международная организация по стандартизации (ISO) была учреждена с участием BSI. В странах СНГ ее представительство действует под именем BSI Management Systems CIS (BSI MS CIS). Генеральный директор представительства Наталья Горобец отказалась назвать его штатную численность, но отметила, что под ее руководством трудятся 10 аудиторов и еще 90 могут быть привлечены на контрактной основе.
Сертификацию на соответствие СУНБ того или иного предприятия требованиям BS 25999 в нашей стране может проводить только BSI MS CIS, а готовить его к этой процедуре, помогая выработать стратегию и спроектировать систему организационных и технических мероприятий, будут партнеры BSI. Сегодня их четыре: “Алмитек”, “АМТ Групп”, EMC и “Инфосистемы Джет”. Первые три имеют самый низкий уровень (BSI Registered member) в партнерской иерархии BSI, на втором уровне (BSI Certified partner) находится компания “Инфосистемы Джет”, а партнеров третьего уровня (BSI GOLD Certified partner) в странах СНГ пока нет. Строго говоря, вышеупомянутую сертификацию предприятий может проводить любая организация, имеющая международную аккредитацию в United Kingdom Accreditation Services (UKAS), однако, как пояснила Наталья Горобец, сегодня подобную аккредитацию имеет только BSI. Вполне возможно, что ситуация изменится, если на основе BS 25999 будет принят аналогичный стандарт ISO. А пока, по-видимому, для подстраховки, BSI требует от своих партнеров подписания соглашения об эксклюзивном сотрудничестве с BSI как с органом по сертификации.
Говоря о реальной практике применения СУНБ в отечественных организациях, начальник центра информационной безопасности “Инфосистем Джет” Борис Симис отметил, что, несмотря на близость и понятность руководству самой проблематики, в большинстве случаев люди начинают думать об обеспечении непрерывности бизнеса уже после того, как инцидент произойдет. Он убежден, что ситуация изменится, если консультанты начнут разговаривать с менеджерами на языке сценариев, описывая альтернативные варианты развития событий и давая финансовую оценку возможных затрат на СУНБ и потенциальных потерь предприятия.
Другой важный момент отметил генеральный директор компании “Алмитек” Алексей Чеканов. Поддержание непрерывности бизнеса организации зависит не только от его собственных процессов, но и от устойчивой работы его поставщиков, партнеров и контрагентов. Из этого, конечно, не следует, что оно должно выстраивать СУНБ в этих компаниях, но оценка риска инцидента, происходящего, к примеру, у поставщика, и его последствий для собственного бизнеса крайне необходима. И сделать такую оценку гораздо проще, если контрагент прошел сертификацию по тому же стандарту, что и ваша организация.
Не знаю, как в других странах, но в России при упоминании об угрозе непрерывности бизнеса любой руководитель или собственник сразу же представляет себе вовсе не наводнение, взрыв, пожар или эпидемию. Гораздо более вероятны сегодня рейдерские захваты и другие “факторы непреодолимой силы”, связанные с переделом собственности. Отражены ли подобные риски в стандарте BS 25999? Есть ли в нем рекомендации для парирования подобных угроз? И самое главное, к каким консультантам следует обращаться в подобных случаях? Думается, отвечать на эти вопросы должен вовсе не Британский институт стандартов.