В продолжение предыдущей заметки публикую список ключевой, на мой взгляд, литературы по теме управления непрерывностью, которая обстоятельно не раскрыта в наших любимых сводах знаний.
ISO 22301:2012 Societal security – Business continuity management systems – Requirments
Основной, с 2012 года ставший международным, а ранее известный как BS25999, стандарт по управлению непрерывностью бизнеса. Вводит важную терминологию, предъявляет требования к планированию, проектированию, внедрению, сопровождению, оценке и постоянному совершенствованию системы управления непрерывностью бизнеса.
ISO 22313 Societal Security – Business continuity management systems – Guidance
Если в ISO 22301 содержатся требования, с которыми более удобно работать аудиторам, то ISO 22313 дает руководство по тому, как эти требования могут быть реализованы, описывает хорошие практики.
Business Continuity Institute Good Practice Guidelines 2010
Руководство по управлению непрерывностью бизнеса от Business Continuity Institute, впервые выпущенное в 2002 году. В настоящий момент вышла уже пятая версия документа – GPG 2013. Документ полностью согласован со стандартом ISO 22301, содержит ссылки на него и использует ту же терминологию. Согласно GPG, жизненный цикл системы управления непрерывностью бизнеса состоит из шести этапов: анализ организации, определение стратегии обеспечения непрерывности, разработка и внедрение планов обеспечения непрерывности, испытание и оценка планов, менеджмент программы управления непрерывностью бизнеса, внедрение управления непрерывностью бизнеса в организационную структуру. По каждому из них содержатся детальные указания.
Disaster Recovery Institute International Professional Practices
Еще один свод знаний – на этот раз от Disaster Recovery Institute International. DRII предлагает несколько отличный от BCI взгляд на управление непрерывностью, которое разбивает на следующие 10 компонентов: запуск программы и управление; управление рисками и контроль, анализ влияния на бизнес-процессы, стратегии непрерывности бизнеса, реагирование в случае нештатной ситуации, внедрение плана и документирование, обучение и поддержание осведомленности, испытания, аудит и оценка плана, кризисные коммуникации, взаимодействие с внешними сторонами.
Оба института – и BCI, и DRII – даже предлагают схемы сертификации по своим сводам знаний.
ISO27031 Guidelines for ICT Readiness for Business Continuity
Стандарт, ранее известный как BS 25777, переселился в семейство стандартов по информационной безопасности, но почти не изменился. Описывает вопросы управления ИТ-системами для гарантии обеспечения непрерывности бизнеса в соответствии с подходом, установленным ISO 22301.
Несмотря на ИБ-направленность мне также кажутся любопытными, особенно в части организации реагирования, следующие стандарты:
- ГОСТ Р ИСО/МЭК 18044-2007 Информационная технология – Методы и средства обеспечения безопасности – Менеджмент инцидентов информационной безопасности
- E.409: Организация по реагированию на инциденты и обработка инцидентов безопасности: Руководство для организаций электросвязи
