Вы находитесь на странице: 1из 59

53647.

1-2009
59



1

Business continuity management. Part 1. Code of practice

03.100.01
2010-12-01


27 2002 . N 184- "
",
- 1.0-2004 " .
"

1 " " (
" ") ,
4
2 10 "
, "
3
15 2009 . N 998-
4
BS 25999-1:2006 " . 1.
"* (BS 25999-1:2006 "Business continuity management. Part 1: Code
of practice")
________________
* ,
, , . -
.

"
", -
" ".

()


" ".
,
-


- ,
.

.

.
" "
" ",
" ", "
".
.

,
().
,


.

.
,
/ ,
;
, ,
; ,
, , .
, ,
.

,

.
-
,

.

2

:

2.1 (activity): ,
,
.
-
, ()
, , .

2 . 2 (business continuity):

,
.

2 . 3 ; (business continuity
management; ): ,

,

,
, , ,
.
-

,
,
,
.

2 . 4 (business
continuity management lifecycle):
,
.
-
1.

2.5 (business continuity


management
programme):

,

,
,

,
, ,
.
2.6 ; (business continuity
plan; ): ,
,
,

.
2.7 (business continuity strategy):
,
,
.
2 . 8 (business impact analysis):

.
2 . 9 () (civil emergency):
,
, /
.

2 . 1 0 (consequence): ,
.

1 .
2 ,

.

2 . 1 1 (cost-benefit analysis): ,
, .
- ,
, , ,
..

2.12 (critical activities):


,
,
.
2 . 1 3 () (disruption):
,
, ,
(, ) (,
) .
2.14 (emergency planning):

, ,
,
/ .
2 . 1 5 (exercise): ,
(),
() , ,
() ()
() .
-
,
,
,
.

2.16 (gain): .
2.17 (impact): .

2.18 (incident): ,
, , ,
.
2 . 1 9 (incident management plan):

,
,
,
,
.
2 . 2 0 (invocation):

/ .
2 . 2 1 (likelihood): ,
, /
(, , ),
.
-
.

2.22 (loss): .
2. 23 (maximum tolerable
period of disruption): ,
,
/ .
2.24 (organization):
, .
- , , , , ,
, ,
, .

1 .
2
[ 9000:2005].

2.25 (products and services):


, ,
, , ,
.

2.26 (recovery time objective; RTO): ,


:
-
;
- ;
- /
.
- ,
.

2 . 2 7 (resilience):
.
2 . 2 8 (risk):
, .

1 "" ,
.
2
.
3 . [2].
[/ 73:2009]
4 ,

.
5

.
. ,
.

2. 29 (risk appetite):
,
.
2 . 3 0 (risk assessment): ,
.
2.31 (risk management):
, ,
, , .

2 . 3 2 (stakeholder): ,
, ,
.

1 , , .
2 ,
,
[/ 73:2009].

2.33 (top management): ,




[ 9000:2005, 3.2.7]
- ,
,
,

.
.

3.1
- ,
,

,
:
- ,
;
-


;
-
, ,
.

, ,

, ,
, .
3.2
, , ,
, /
.
-, -
.


.
.
, ,
,
,
.

.
,

. ,

.

.

3.3

,
,
.

.

,
, .
,
,
,
.

,
, , , ,
.
,
.
,

.
,
,
.
3.4

.

.
,
,
,
.
,
.

.


, , ,
.
,
.

, , .

3.5

( ):
-
;
-
;
- ;
-
;
-
;
- ;
-
.
3.6
:
- ,
;
- ,
;
- ,
,
,
;
-
;
- ;
-

;
- ;
- ;
-
.

3.7
(. 1).

:
,
,
, , ..
.

,
.

1 -

1 -
a) (. 5)

,
.
b) (. 6)
, ,
,

.
, .

c) (. 7)
.

,
:
- ;
-
.

() ,
.
d)
(. 8)


,
, ,

.
3.7d) - ""
,
.

.
.

,
.
,

. ,

.

.
e) , (. 9)
, ,
:
- ,
;
- .

f) (. 10)

,

.

4.1
4.1.1 :
-
;
-
.
4.1.2
,
,
.
4.1.3 :
;
;
, ,
,
, ,
.
4.1 -
:
- ,
;
- ,

, ;
-
.

4.2
, ,
, ,
, .



,
.
,

.
4.3

, .
,
, ,
.

,

.
, ,
.
:
- ;
- ;
- ,
;
- ,
,
.
,
,

.

,
.
4.4

,

.

(. 6.2).

4.5 *
_______________
* (. - .).
,
, , ,
, . ,
,
()
.
,
,
.

5
- .

, .

,
.

5.1
,
(. 4.3).
:
- (. 5.2);
- (. 5.3);
- (. 5.4).
5.2
5.2.1 :
- ,
, ;
- ,
.
5.2.1 - ,
,
,
. , , ,
(, ,
),

.
5.2.2 ,


.
, ,
.

.


, .
5.2.2 -

.

.
5.3

5.3.1
, .
:
- ;
- / ;
- (.
9).
5.3.2
.
5.4
5.4.1

.

,
. ,

, ,
, ,
,
-
.

5.4.2

, .
:
- ,
;
-
;
-
;
-
( );
- ;
-
,
;
-
(. 5.5);
-
;
- ;
-
.
5.5
,
,
.
:
a) :
- ,
- ;
b) ();
c) ;
d) () ;
e) ;

f) ;
g) ();
h) ;
i) ;
j) , ;
k) .



,
.

, .
6.1

6.1.1 :
- ,
, ,
;
- ,
( ), ;
- ,
(.
6.2);
- ,
,
, (.
6.5).
6.1.2 :
a) ;
b) ,
.
6.2 ()
6.2.1
,
.
.
6.2.2 ,
,
, :
) ,
;

b)
:
- ,
;
-
,
- ,
;
6.2.2b) - ,
, -
.
,
.
c) , ,
,
/ .
6.2.3 ,
.
:
- ;
- ,
;
- ;
- ;
- ;
- ;
- .

,
.

6.3

. ,
,

, ,
" ".

.

,
,

.
6.3 -

. ,
,

, , .
.

(. 7).
6.4
,
. :
a) ,
();

b)

( );

c) ,
();

d) ( )
/ ,


();

) ,
().

.
6.4 -

. :
, ,
, ,
, ,
.
,

.

(.
7).
6.5
6.5.1

.
, ,
, , , .
,

,
.
6.5.2 -
, ,
.
6.5.3 / 27001 (. [4])
,
. :
- . ,
;
- .

;
- . ,
, 6.5.4-6.5.6.
6.5.4
, -
, , , , ,
, , ,
.

6.5.5 - (" ") ,


, ,
,
,

,
,
..
6.5.6 (. 6.2.3)
.
6.5 -
, /
.
6.6
6.6.1

, :
- ;
- ;
-
.

.

,
. ,
(6.6.2-6.6.5)
.
6.6.2

, "
"
( 7).

.
/
,
.

6.6.3

. ,
-

.
,

.
,
/
, .

,
.
6.6.4
.

, ,
. ,
, .

,
. ,
,
, .


.
(, , ,
, ,
).
,
.
, ,
.

6.6.5 ,
,
, ,
.
,
,
.
, , ,
.
- "4 "*
"" ( ), "" ( ),
"" " ".
_______________
* "4 " model: "Treat" (business continuity), "Tolerate" (accept the risk),
"Transfer" and "Terminate".

6.7

, ,

.


" ".

.
7.1
:

a) /
;
b)
,
;
c)
;
d) ,
.
7.1 - 7
,
.
(,
),
,

.
7.2
7.2.1
, ,
.
:
-
;
- ;
- .
7.2.2
:
- (. 7.3);
- (. 7.4);
- (. 7.5);
- (. 7.6);
- (. 7.7);
- (. 7.8).

-
, .

7.3

, .
, , *
,
,
.
:
_______________
* .

a)

b) ;
c) (

,
);
d) ;
e) ;
f) .
7.4

, ( ) /
() .
:
a) ,
;
b)

(
);
c)

d) ;
e)
;

f)
.

1 -
,
,
, ,
.
,
.
2 -
( )
,
.

,
/
.
3 -
( ), ,
.
7.4 -

.

. ,
, ,
,
. ,

.
7.5

7.5.1
,
, :
- ;
- ;
- , .
7.5.1 -
,
.
, , /

.
( )
,
.
7.5.2 :
- , ..
,
;
- ,

, ;
-
.

7.5.3 ()
.
, :
- ,

,
;
-
;
- ;
- ;
-

;
-
;
- " "* (
);
_______________
*
(. .).
- , , .

1 " "
,

,
.
2 ,
,
. ,

,
.
3
,

* (VPN)
.
_______________
* ,
- (. .).

4
[4], [5], [6] [7].

7.6


, .
- /
27001.
.
,
, :
- ;
- ;
- ;
- .

,
, .
:
- ( );
- ( ) ..
-
,
. ,
, , *,
, ..

"
".
_______________
* - (. .).

7.7

7.7.1
( ),
.
:
- ;
-
;
- " "*;
_______________
* ,
- (. .).
- -
;
-
, ;
- ().
7.7.2
,

()

:
- ;
- ( )
;
- /
;
- ,
.
7.7 -
..

" ", .
7.8
7.8.1
.
.
7.8.2
,
, .
.

,
, .

7.8.3 ,

.
7.9
7.9.1 ,


,


,
,
,
.
-
( ).

-
, .. .

7.9.2

, :

- (, );
- , ;
-
.
-
/
();

.
,
, ,
, , .


.

7.10

,

,

.



.
8.1
6 7 , :
- ;
-
;
-
;
-
.

.
8.2
8.2.1
,

.

8.2.2 , ,
,
:
- ;
- ;
- ;
- .

.
(I*)
(**).
_______________
* IMT - Incident management team.
** - Crisis management team.

8.2.3 ,
,

.
8.2.4
, ,
.
2 ,
.

2 -

2 -
-
,

, .

8.2.5
"" (
).
,
.


.
8.2 -

.
,
,
.
,
,
, (,
).
8.3

8.3.1
( ,
/ )
, .
, 8.3.2-8.3.6.
8.3.1 -
, .

, :
- ;
- ;
-

: , .
8.3.2

, ,
.

, .
,

:
- , ;
- ;
- ,
;
- , .
8.3.2 -
,
.
8.3.3
,
(
)
.
, ,
.
8.3.3 - ( )
(),
.

8.3.4
, ,
,
.
,
.

, ,
( ), ,
().

.
:
- ;
- ;
-
(
,
.).

() .
8.3.4 - ,
, .

.


,
,
.
8.3.5 ,

,
,
.

.
.

.

8.3.6

.
8.3.6 -

.
,
.
8.4

( )
.
:
a) , ;
b) ;
c) ,
,
.
:
1) ,
( );
2) ,
.
8.5
8.5.1
, 8.3,
, 8.5.2-8.5.8.

8.5.2


. :
- , ,
;
- ;
- ,
(. 7);
- ,

(. 7).
8.5.3
,

, ,
.
,
,
.



.
8.5.3 -

.
8.5.4
,

,
(. 7.8.2).
(),
()
(. 7.8.3), () :
a) ( );
b) ,
;
c) , /
;

d) ,
.
,
,
( ).
- -

.
,
,
- ,

.

.

.
8.5.4 -
, ,
,
, .


(, , -
..).
.
.


.
8.5.5

:
a) ;
b) ;
c) / ,
(
) ;
d) ,
;

e) ( )
.
:
-
;
-
;
- (
);
- (
).
8.5.5 -
.

,
.
, -, ,

.
8.5.6


.



.
8.5.6 -
, /
.
8.5.7

(), .

.
,
.

,
.

:
a) ;

b) ,
, .

8.5.7 - - ,
.

, , ,
, ,
.
.
,
.
,
, .
, ,
" ", , -
-, .


, , ,
- .
8.5.8


, ,

.

( .. ) ,
, ,
, , ,
, ,
,
.

:
a) , , , ,
;
b) ,
( , , ..);
c)
;
d) ;
e) ,

, .

8.6
()


.

,
.

.
8.6 -

,
.

,

.
8.7
8.7.1
, 8.3,
, 8.7.28.7.5.
8.7.2 /

, .
:
a) ;
b) (), ()
;
c) ;
d) (), ()
;
e) (), () () ()
;
f) , , ;

g) () (
,
);
h)
;
i) ,
..
8.7.2 - ,
, , ,
,
(. 7).
, .
,

.
8.7.3
,
,
. :
a) , :
- ,
- ,
- ,
- ;
b) ;
c) , ;
d) , :
- (, ),
- ,
- ,
- (, , ,
..),
- (,
);
) ;

f)
.
8.7.4 ()
(),

.
8.7.4 -
(),
() ()
.
8.7.5
( )

, ,

.

,
, .
8.7.5 -
,
, ,
, , ,
,
.

9 ,


,
.
9.1

,
.
,
, , ,
.

.

9.2

()
.
:
- ,
;
- .
,

.
:
- , , ,
;
-
( .. ,

..);
-
,

.
,
:
-
;
- ,
, ;
- , ;
- ;
-

;
-
;
-
.
9.2 -

.
,

.
,
,
,
.

9.3
9.3.1 ,
,
-.
,
,
.
9.3.2
.
.
,
, ,
.
9.3.3
.

9.3.4

, ,
.
9.3.4 - ,
,
.
1.
1 -


""
,

//

* ,
. ,
, .
, .

9.3.5 ,
,
.,
.
.

9.4

.
( ), .
,
,
.
:
- ,
;
- ,
, ,
, , , .
-
.
.
:
-

;
- ,
;
-
;
- ,
, , , ,

.
9.4 -
,
,
.


, -.
9.5
9.5.1
,
, .
.
9.5.2
, , ,
,
.

9.5.3
, ,
,
.
9.5.3 -

, .

.
9.5.4
.

, .
.

:
- ,
, ,
;
- , ,
, ;
- ,
,
, ;
-
, ,
;
-
;
- ,
,
;
-
;
-
, ,
;
-
.
9.5.5

,
. ,
.

( ).

9.5.6

,
.

.
.

.

10


,
.

.

10.1
,

.
:
- ;
- (
)
;
-
;
-
.
:
- ;
- (. 5.2);
- ;
- ;
- .
10.1 -
,
.


.
, -
,
.

10.2


.
, ,
.

-
,

.
,

.
:
-
;
- ,
, ;
- - / ;
- ;
- ;
-
(,
);
-

(,

).

.
10.2 -

. , ,
.
10.3

,
.
:

a) , , , :
- ;
- ;
- ;
- ;
- ;
- .
b) , ,

/ .

,
.

[1]

ISO 9000:2005 Quality management systems - Fundamentals and


vocabulary ( 9000:2005 .
)

[2]

ISO/IEC Guide 51:1999 Safety aspects - Guidelines for their inclusion in


standards (/ 51:1999 .
)

[3]

ISO Guide 73:2009 Risk management. Vocabulary. (


73:2009 . )

[4]

ISO/IEC 27001:2005 Information technology - Security techniques Information security management systems - Requirements (/
27001:2005 . .
. )

[5]

PAS 77:2006 IT Service Continuity Management. Code of Practice (PAS


77:2006 .
)

[6]

ISO/IEC 20000-1:2005 Information technology - Service management - Part


1: Specification (/ 20000-1:2005 .
. 1. )

[7]

ISO/IEC 20000-2:2005 Information technology - Service management - Part


2: Code of practice (/ 20000-2:2005
. . 2. )

_______________
9000-2008 " .
" 9000:2005.
51898-2002 " .
" / Guide 51:1999.
51897-2002 " . "
/ Guide 73:2002.
/ 27001-2006* " .

.
"

/
27001:2005.
* , . : " / 270012006". - .


"" :

.: , 2011