Товары в корзине: 0 шт Оформить заказ
Стр. 1 

86 страниц

608.00 ₽

Купить ГОСТ Р 53647.3-2015 — бумажный документ с голограммой и синими печатями. подробнее

Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

Содержит руководящие указания по внедрению системы менеджмента непрерывности бизнеса в организации. Целью стандарта является обеспечение организации дополнительной информацией для понимания, разработки и внедрения, анализа и постоянного улучшения деятельности организации на основе стандартов серии ГОСТ Р 53647. В основу стандарта положен опыт внедрения системы менеджмента непрерывности бизнеса (МНБ) организациями различных направлений деятельности. Стандарт предназначен для организаций всех размеров и форм собственности и специалистов, ответственных за обеспечение непрерывности бизнеса организации.

 Скачать PDF

Стандарт разработан с учетом основных нормативных положений национального документа Великобритании ВIР 2142:2012 (NEQ)

Оглавление

1 Область применения

2 Нормативные ссылки

3 Условия организации

4 Лидерство

5 Планирование

6 Обеспечение выполнения работ

7 Деятельность

8 Стратегия непрерывности бизнеса

9 Разработка и внедрение процедур непрерывности бизнеса

10 Ответные меры на инцидент и планы непрерывности бизнеса

11 Учения и проверки

12 Оценка результатов деятельности

13 Улучшение

14 Заключение

Приложение А (справочное) Основные заинтересованные стороны применения МНБ по видам деятельности

Приложение Б (справочное) Взаимосвязь ГОСТ Р 53647.2 и ГОСТ Р ИСО 22301

Приложение В (справочное) Пример формы протокола заинтересованных сторон

Приложение Г (справочное) Пример документа "Область применения системы менеджмента непрерывности бизнеса"

Приложение Д (справочное) Типовая политика в области непрерывности бизнеса

Приложение Е (справочное) Требования к компетентности персонала МНБ

Приложение Ж (справочное) Рекомендации по составлению программы обучения

Приложение И (справочное) Матрица оценки воздействия на бизнес

Приложение К (справочное) Пример формы записей анализа воздействий на бизнес

Приложение Л (справочное) Пример формы журнала записей о ресурсах

Приложение М (справочное) Пример формы записей о мерах по снижению риска

Приложение Н (справочное) Пример формы требований к ресурсам

Приложение П (справочное) Стратегии, связанные с ключевыми ресурсами

Приложение Р (справочное) Пример анализа плана непрерывности

Приложение С (справочное) Пример формы журнала регистрации данных об инциденте

Приложение Т (справочное) Типовой план непрерывности бизнеса

Приложение У (справочное) Типы учений по планам МНБ и методы их проведения

Приложение Ф (справочное) Вопросы для самооценки организации

Библиография

 
Дата введения01.07.2016
Добавлен в базу01.02.2017
Актуализация01.01.2021

Этот ГОСТ находится в:

Организации:

18.11.2015УтвержденФедеральное агентство по техническому регулированию и метрологии1857-ст
РазработанАО НИЦ КД
ИзданСтандартинформ2016 г.

Business continuity management. Part 3. Guidance on meeting the requirements of GOST R ISO 22301

Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ГОСТР

53647.3-

2015

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

Часть 3

Руководство по обеспечению соответствия требованиям ГОСТ Р ИСО 22301

Издание официальное

Москва

Стандартинформ

2016

Предисловие

1    ПОДГОТОВЛЕН Открытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (АО «НИЦ КД») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК10 «Менеджмент риска»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 ноября 2015 г. № 1857-ст

4    Настоящий стандарт разработан с учетом основных нормативных положений национального документа Великобритании BIP 2142:2012 «Маршрутная карта менеджмента непрерывности бизнеса. Соответствие требованиям ИСО 22301» (BIP 2142:2012 «The route map to business continuity management. Meeting the requirements of ISO 22301», NEQ).

5    ВЗАМЕН ГОСТ P 53647.3-2010

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ, 2016

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

У каждой организации существуют уникальные традиции, создаваемые в течение продолжительного времени, которые влияют на поведение и действия всех вовлеченных лиц. Поэтому важно понимать существующие традиции и отношения. Необходимо определить наличие «обособленности», «закрытости» организации и традиций поиска виновных или «открытости» организации для новых идей и способов работы. Требуется определить наличие объединений, в которых организация участвует, принцип формирования объединений (директивный или добровольный). Они введены сверху или организованы по взаимному согласию? Для достижения успеха в области МНБ необходимо работать с традициями организации.

3.3    Микросреда

Следующим этапом является определение микросреды организации. К микросреде относят: потребителей, поставщиков, партнеров, подрядчиков, дистрибьюторов и посредников. Следует определить количество потребителей, порядок заключения договора (напрямую с потребителями или через дистрибьюторов и посредников, например страховых маклеров). Необходимо определить количество поставщиков, существующие контракты и соглашения по сервисному обслуживанию с субподрядчиками, наличие взаимных мер помощи, а также наличие конкурентов и особенности их работы на рынке.

3.4    Макросреда

Важно понимать, как внешняя среда воздействует на организацию. Для этого существуют различные аналитические методы, одним из которых является Шпиль-анализ (см. рисунок 5).

Некоторые из вопросов, на которые необходимо ответить для каждого элемента анализа:

-    Какие социальные обязательства организация имеет перед обществом, например, обеспечение занятости населения,безопасности персонала?

-    Как общество рассматривает деятельность организации, например как угрозу личной безопасности или потенциальную причину ущерба?

-    Какова зависимость организации от внешних условий, например от коммуникаций?

-    Как быстро меняются технологии, используемые организацией?

-    Каков экономический климат, в котором действует организация? Каково отношение к своим обязательствам финансовых учреждений, с которыми взаимодействует организация? Насколько развита экономическая система стран, в которых работает организация и с которыми сотрудничает в сфере торговли?

ГОСТ Р 53647.3-2015

-    Какова этика торговых отношений? Каково отношение общественности и СМИ к организации и ее деятельности?

-    Является ли стабильной политическая ситуация в стране, в которой работает организация? Влияет ли смена правительства на отношение государства к организации и ее деятельности? Существует ли угроза терроризма и общественных беспорядков для организации?

-    Какие законы и нормативные акты применимы к организации? Они являются национальными или международными?

-    Возможно ли воздействие терроризма и общественных беспорядков на организацию?

-    Какие законы и нормативные акты применимы к организации? Являются ли они региональными, национальными или международными? В соответствии с требованиями ГОСТ Р ИСО 22301 организация должна идентифицировать законы и нормативные акты, относящиеся к обеспечению непрерывности «операций, продукции и услуг, также как интересов соответствующих заинтересованных сторон». СМНБ должна быть установлена, внедрена и должна соответствовать требованиям применяемых законов и нормативных актов.

-    Следует ли учитывать экологические аспекты? Какое воздействие (например, загрязнение) оказывает организация на окружающую среду? Какие внешние события могут воздействовать на организацию, например со стороны окружающей среды или конкурентов?

Работая над пониманием особенностей организации и условиями, в которых она работает, организация может разработать определенные цели МНБ. Высокие риски, с которыми сталкивается организация, и факторы, влияющие на решение о введении методов обеспечения непрерывности бизнеса, как правило, влияют на достижение этих целей.

3.5 Понимание потребностей и ожиданий заинтересованных сторон

Устанавливая СМНБ, организация должна определить соответствующие заинтересованные стороны и понять их требования, высказанные, подразумеваемые или обязательные.

Заинтересованные стороны (иногда называемые «стейкхолдерами») представляют собой людей, группы людей или организации, которые могут непосредственно участвовать в действиях организации или могут не участвовать в них, но быть затронуты принимаемыми в организации решениями. Причем эти решения могут быть приняты как в условиях обычной работы организации, так и в чрезвычайных условиях.

Заинтересованные стороны могут быть отнесены к двум группам:

1)    первичными заинтересованными сторонами обычно являются внутренние заинтересованные стороны, связанные с организацией экономическими операциями. Они охватывают инвесторов, потребителей, подрядчиков, поставщиков, кредиторов и служащих. Кроме того, это могут быть инспекторы, инвесторы, банки, страховые компании и аудиторы;

2)    вторичными заинтересованными сторонами обычно являются внешние заинтересованные стороны, которые хотя и не взаимодействуют непосредственно с организацией, но затронуты или могут быть затронутыми ее действиями. К вторичным заинтересованным сторонам могут быть отнесены широкая общественность, местные сообщества (как постоянного, так и временного характера), некоммерческие общественные и благотворительные организации, торговые ассоциации, государственная власть, группы активистов и СМИ. Группы активистов и СМИ могут оказывать значительное влияние на общественное восприятие организации.

Понимая интересы заинтересованных сторон, восприятие организации в условиях обычной работы и в чрезвычайных ситуациях, можно разработать соответствующие решения для обеспечения непрерывности менеджмента, которые удовлетворяют их потребностям и ожиданиям. Особенно важно разработать правильные стратегии и планы для облегчения взаимосвязи с заинтересованными сторонами при возникновении чрезвычайной ситуации.

Для идентификации заинтересованных сторон и их ожиданий можно использовать достаточно простые приемы. Для этого необходимо, чтобы менеджеры перечислили заинтересованные стороны и их ожидания в порядке значимости для организации. При этом немалую выгоду получит и высшее руководство организации, так как оно может увидеть ситуацию глазами заинтересованных сторон. Особый акцент должен быть сделан на ожиданиях потребителей организации при возникновении чрезвычайной ситуации.

Пример записей о результатах анализа потребностей и ожиданий заинтересованных сторон приведен в приложении В.

7

3.6 Определение области применения системы менеджмента непрерывности бизнеса

СМНБ представляет собой всеобъемлющую систему управления, которая гарантирует, что менеджмент непрерывности бизнеса в организации правильно разработан, внедрен и поддерживается в рабочем состоянии.

При проектировании СМНБ важно определить, что будет включено в область применения системы, поскольку и внутренние, и внешние заинтересованные стороны должны понимать, на какую продукцию, услуги и действия будет оказывать воздействие чрезвычайная ситуация.

Основное влияние на область применения СМНБ оказывают потребности, ожидания заинтересованных сторон, законодательные и нормативные требования, применимые к организации.

В соответствии с требованиями ГОСТ Р ИСО 22301 организация должна:

1)    определить, какие части организации включены в СМНБ;

2)    установить требования к СМНБ с учетом предназначения организации, ее целей, внутренних и внешних условий (включая связанные с заинтересованными сторонами), а также юридических и нормативных обязательств;

3)    идентифицировать продукцию и услуги и все связанные с ними действия в рамках СМНБ;

4)    учесть потребности, ожидания и интересы заинтересованных сторон, таких как потребители, инвесторы, акционеры, поставщики, а также общественность и/или сообщества (при необходимости);

5)    определить область применения СМНБ с учетом размера, структуры и особенностей организации.

Для крупной организации со сложной структурой вряд ли будет целесообразно сразу вводить СМНБ

для всей организации в целом или большей ее части. Разумнее начать с продукции и услуг, которые являются ключевыми для целей организации и требований внешних заинтересованных сторон. Можно ввести МНБ для некоторых подразделений или видов деятельности, таких, например, как информационно-коммуникационные технологии. Небольшая организация может быть охвачена СМНБ полностью.

Организация должна также идентифицировать и документировать те области, продукции, услуги и деятельность, которые не должны входить в область применения СМНБ. При этом важно гарантировать, что исключенные виды деятельности влияют на способность организации поставлять ключевые продукции и услуги.

Независимо от принятого решения важно, чтобы область применения СМНБ была определена и документирована в начале программы. Пример описания области применения приведен в приложении Г Можно включить область применения в документированную политику организации.

4 Лидерство

Успех МНБ может быть достигнут только в том случае, если МНБ введен и поддерживается высшим руководством организации. Участие высшего руководства необходимо с самого начала, его лидерство и поддержка важны при продолжении работы и являются критерием значимости для МНБ организации.

Высшее руководство должно гарантировать, что установленная СМНБ соответствует стратегии организации. СМНБ не является дополнением к работе организации, она должна быть интегрирована в бизнес-процессы, а персонал, который задействован в СМНБ, должен иметь поддержку по всей организации. Высшее руководство должно обеспечить обмен информации о том, почему МНБ важен, как он будет внедряться и кто будет отвечать за его разработку, внедрение и поддержку в организации. Это может быть достигнуто путем опубликования политики МНБ, утвержденной высшим руководством.

Высшее руководство должно понимать, что эффективность МНБ является результатом длительной работы. Высшее руководство должно обеспечить соответствующие ресурсы для разработки СМНБ и то, что назначенные сотрудники компетентны и способны к достижению необходимых результатов. В крупной организации может быть назначена специальная группа МНБ. В небольшой организации или организации среднего размера МНБ может составлять часть обязанностей одного сотрудника.

Высшее руководство должно согласовать область применения СМНБ с сотрудниками, выполняющими работу в системе. Высшее руководство должно установить критерии принятия рисков организации и определить, за какие риски, кто из руководства несет ответственность. Это решение не должно быть просто принято на основе личного мнения, а должно быть принято в зависимости от требований и ожиданий заинтересованных сторон. Понимание высшим руководством правильного подхода к рискам позволяет сотрудникам МНБ разработать и применить стратегии МНБ, приемлемые для высшего руководства. Без установления упомянутых критериев существует опасность, что высшее руководство отклонит предложенные стратегии МНБ, считая их слишком сложными или неадекватными.

8

ГОСТ Р 53647.3-2015

Обязательства высшего руководства не заканчиваются при установлении СМНБ. Высшее руководство должно продемонстрировать свою продолжающуюся поддержку, активно участвуя в учениях и проверке планов непрерывности бизнеса, обеспечивая проведение внутреннего аудита, анализа со стороны руководства и постоянного улучшения.

4.1    Установление политики в области непрерывности бизнеса

Создание и публикация политики МНБ, подписанной руководителем организации, является основным элементом СМНБ и демонстрацией обязательств организации.

Политика МНБ должна содержать:

-    цели создания и поддержания в рабочем состоянии МНБ в организации;

-    область применения СМНБ, включая все ограничения и исключения;

-    краткий обзор функций и обязанностей лиц, ответственных за разработку и внедрение МНБ;

-    ресурсы, выделенные на МНБ;

-    основные принципы, применяемые руководящие указания и стандарты в области МНБ;

-    ссылки на законодательные и нормативные акты и обязательные требования;

-    основы оценки анализа и непрерывного улучшения СМНБ.

В заключительном разделе политики должны быть установлены способы обеспечения уверенности в том, что СМНБ внедрена, результативна и поддерживается в рабочем состоянии. Подробнее см. раздел 12.

Документально оформленная политика в области непрерывности бизнеса должна быть краткой и соответствовать особенностям организации, учитывать характер, масштаб, сложность, географию и критичность ее деятельности. Политика должна также отражать традиции, взаимосвязи и окружающую среду организации. Если в организации существует стандартная форма оформления политики, то ее следует соблюдать.

В организации должна быть издана документально оформленная политика в области непрерывности бизнеса, одобренная высшим руководством и согласованная с заинтересованными сторонами.

Политика в области непрерывности бизнеса, как и политика организации в других сферах, должна быть актуализирована через запланированные интервалы времени на предмет ее соответствия целям организации, а также при внесении существенных изменений в работу организации или при наличии изменений в окружающей среде. Пример типовой политики в области непрерывности бизнеса приведен в приложении Д.

4.2    Распределение функций, ответственности и полномочий

Независимо от размера организации основой эффективного менеджмента непрерывности бизнеса является деятельность исполнительного руководства. Внедрение организацией новых процессов менеджмента требует привлечения квалифицированных специалистов высокого уровня. Это может быть управляющий небольшой компанией, директор головного филиала или руководитель местного представительства, которые способны эффективно взаимодействовать с органами власти, нести ответственность и обеспечивать непрерывную поддержку управления непрерывностью бизнеса, а также проявлять и демонстрировать свою инициативу. Организация с момента создания и в процессе функционирования СМНБ должна поддерживать демонстрацию обязательств высшего руководства в области МНБ.

Должна быть создана структура управления непрерывностью бизнеса, наиболее приспособленная к особенностям организации.

В небольшой организации может быть назначен руководитель, на которого возложена ответственность за внедрение и управление СМНБ. В международных организациях для создания и поддержки СМНБ часто создают большие группы, работающие во всем мире и во всех представительствах.

Уровень необходимых ресурсов для МНБ в головной организации должен быть сведен к минимуму и соответствовать размеру и географическому распространению организации. Деятельность в области МНБ на оперативном уровне должен выполнять персонал организации. Создание отдела по МНБ может подорвать основной принцип вовлеченности, состоящий в том, что МНБ является частью работы каждого сотрудника в организации. На рисунке 6 приведена структура МНБ для организации среднего размера. Структура МНБ, используемая в организации, должна быть одобрена и утверждена высшим руководством организации.

Рисунок 6 — Возможная структура МНБ

Рабочая группа по управлению непрерывностью бизнеса на высшем уровне (далее — Координационный Совет) должна быть создана из числа высшего руководства организации, руководителей направлений по продукции и/или услугам. Роль Координационного Совета заключается в следующем:

-    ответственность за управление распределением ресурсов;

-    установление приоритетов в области непрерывности бизнеса организации;

-    интерпретация отношения к риску высшего руководства;

-    установление стратегии обеспечения непрерывности бизнеса в соответствии с целями и обязательствами организации;

-    определение действий, которые необходимо осуществлять для обеспечения постоянной актуальности и соответствия СМНБ;

-    отчет высшего руководства о функционировании СМНБ.

Координационный Совет несет ответственность за обеспечение осведомленности персонала организации и причастных сторон о важных аспектах СМНБ. Подход, принятый Координационным Советом, оказывает сильное влияние на традиции организации в области непрерывности бизнеса. В небольшой организации эта функция, как правило, принадлежит владельцу или управляющему, которому может помогать один из его заместителей. В больших организациях руководители по направлениям несут ответственность за разработку и поддержку процесса МНБ в рамках их функциональной деятельности. Очень часто в обязанности руководителей по направлениям включают их обязанности в области МНБ в должностные инструкции.

Опыт организаций, которые уже внедрили СМНБ, показывает успешное применение «матричного» подхода в управлении, который состоит в формировании группы руководителей среднего и высшего звена, хорошо знающих деятельность организации, свои функции и ресурсы. В такие группы могут быть привлечены представители исполнительного и оперативного руководства различных отделов, таких как: юридический, финансовый, технологический, материально-технического снабжения, безопасности, представители поставщиков и т. д. Они должны выполнять роль советников для Координационного Совета на всех стадиях процесса управления непрерывностью бизнеса.

5 Планирование

5.1 Действия, связанные с рисками и возможностями

Вводя новую систему управления, организация сталкивается с множеством проблем. СМНБ не исключение. Важно, чтобы ответственные за разработку и внедрение СМНБ поняли, какие проблемы (риски) могут появиться, и разработали планы и мероприятия для противодействия им.

Очень важно понять традиции организации. Важно получить признание официальной и неофициальной работы организации и понять опыт, накопленный в результате внедрения других систем менеджмента или произошедших технологических изменений. Это дает возможность создать «новый дом на хорошем фундаменте старого» и разработать соответствующие планы и мероприятия по преодолению проблем. Необходимо обеспечить участие и поддержку сотрудников организации. Ориентация на управление является одной из предпосылок обеспечения того, что МНБ будет принят всерьез. Важно не делать СМНБ слишком объемной и всесторонней. Необходимо согласовать реалистические ожидания с высшим руководством и отвести достаточно времени для стадии проектирования СМНБ. Важно начать с малого и сначала ограни-10

ГОСТ Р 53647.3-2015

чить область применения СМНБ. Для того чтобы СМНБ жила долго, полезно сначала добиться легитимности. Поэтому в большинстве организаций важен постепенный и систематический поэтапный подход.

Противоречивая мотивация сотрудников может изменить ориентацию на СМНБ. При этом к СМНБ сотрудники могут относиться как «к процессу, который неплохо бы иметь», к краткосрочным целям, на основе «процесса, который должен быть», например, достижение целей по продажам. При сопоставлении выполнения СМНБ с целями менеджмента обеспечение регулярного пересмотра этих целей может помочь восстановить ориентацию. Полезно также деление процесса внедрения СМНБ на этапы, которые могут быть исследованы менеджерами.

Важно, чтобы высшее руководство определило время и усилия, необходимые для разработки и внедрения СМНБ. Определение реалистичных сроков и обеспечение необходимыми ресурсами важно для начала разработки СМНБ. Жизненно важно обеспечить необходимую компетентность разработчиков и участников внедрения СМНБ.

Не все проблемы являются внутренними. Изменения в нормативно-правовых требованиях, относящихся к организации, могут потребовать изменения СМНБ. Потребности и ожидания заинтересованных сторон вне организации также могут оказывать влияние на СМНБ.

Непрерывные изменения в организации затрагивают аспекты, включая стратегическое планирование, распределение ресурсов и менеджмент, системы оценки и стимулирования, мониторинг и отчетность. Поэтому необходимо исследовать СМНБ при этих изменениях для обеспечения уверенности в том, что СМНБ по-прежнему актуальна и пригодна для достижения целей организации.

5.2 Цели в области непрерывности бизнеса и планы их достижения

После того, как все проблемы и риски для СМНБ идентифицированы, высшее руководство организации должно установить цели в области непрерывности бизнеса и информировать о них все подразделения организации.

Цели в области непрерывности бизнеса должны:

-    быть согласованы с политикой в области непрерывности бизнеса;

-    учитывать обеспечение минимального уровня производства продукции и оказания услуг, приемлемые для достижения целей организации;

-    быть измеримыми;

-    учитывать требования заинтересованных сторон, законодательные и обязательные требования;

-    учитывать существующие проблемы и идентифицированные риски;

-    быть контролируемыми и пересматриваться при необходимости.

При установлении целей в области непрерывности бизнеса организация должна определить:

-    ответственных за достижение каждой цели;

-    что будет сделано;

-    необходимые ресурсы;

-    сроки достижения цели;

-    способ определения достижения цели.

Необходимо включать цели в области МНБ в личные цели руководителей. С этой целью в некоторых организациях введена плата за качество работы.

Цели в области непрерывности бизнеса могут быть включены в стратегические задачи организации, например, в виде «сохранять положение самого успешного поставщика...». Поскольку основные цели руководства вытекают из общих целей организации, то они также должны включать положения, связанные с менеджментом в области непрерывности бизнеса.

После установления высшим руководством необходимости внедрения МНБ должны быть установлены цели и планы внедрения СМНБ. Для этих целей полезно использование методов управления проектом, таких как методы оценки и пересмотра планов (PERT1)) и графиков Гантта2). Результаты применения этих методов могут быть впоследствии представлены в виде свидетельств аудита СМНБ.

Если организация зависит от ключевых поставщиков, посредников или партнеров при поставке ключевых продукции и услуг потребителям, то необходимо учитывать эту зависимость при внедрении

и постановке целей в области МНБ. Планы должны учитывать обеспечение эффективной деятельности ключевых поставщиков и партнеров применительно к СМНБ.

6 Обеспечение выполнения работ

6.1    Ресурсы

Для успешного выполнения программы МНБ по разработке и поддержанию в рабочем состоянии МНБ необходимо выделение достаточных ресурсов. Иногда высшее руководство рассматривает расходы на СМНБ как излишние и требует демонстрации прибыли на инвестированные средства. Это может быть трудно осуществимо, поскольку СМНБ обычно разрабатывают для обеспечения непрерывности деятельности в маловероятных случаях реализации инцидента.

Аргументы в пользу СМНБ могут быть основаны в большей мере на экономике, чем на данных бухгалтерского учета. Необходимые инвестиции должны быть согласованы с затратами в случае нарушения деятельности организации.

Примером затрат в случае нарушения деятельности являются:

-    стоимость потерянных продаж при остановке производства более чем на X часов;

-    возможные финансовые штрафы при проведении или задержке поставки продукции/услуг;

-    количество потерянных потребителей в стоимостном выражении, если остановка производства длится более чем X дней (с учетом того, что привлечение новых потребителей обычно требует больших затрат);

-    стоимость потерянных договоров или невозможность заключать новые в результате отсутствия в организации внедренной СМНБ.

Уровень ресурсов, необходимых для внедрения и поддержки в рабочем состоянии СМНБ, должен соответствовать особенностям организации и ее окружающей среде. Для малых организаций СМНБ должна быть простой по структуре и недорогой по стоимости. Очень важно обеспечить выделение достаточного времени для выполнения программы МНБ. После внедрения МНБ управление непрерывностью бизнеса должно стать частью хозяйственной деятельности организации.

6.2    Обучение и компетентность

Распределения функций, ответственности и полномочий (см. раздел 4) недостаточно. Организация должна обеспечивать необходимую компетентность всего персонала, задействованного в обеспечении непрерывности бизнеса, достаточную для выполнения поставленных перед ним задач. Эти задачи могут быть различными, например разработка и планирование управления непрерывностью бизнеса или восстановление бизнеса после нарушения или разрушения. Персонал должен знать, что его ожидает, и обладать необходимыми навыками для выполнения поставленных задач, часто в сложных ситуациях. Это необходимо учитывать при разработке СМНБ.

Обучение в области непрерывности бизнеса является ключевым элементом ГОСТ Р ИСО 22301.

Для обеспечения и проведения обучения должны быть выделены необходимые финансовые ресурсы.

Действия, которые необходимо предпринять для обеспечения соответствующего уровня обучения и компетентности персонала организации в области непрерывности бизнеса, могут включать в себя:

-    определение требований к компетентности персонала, вовлеченного в СМНБ (в приложении Е приведены требования к компетентности членов группы МНБ);

-    проведение анализа потребностей в обучении персонала, на который возложены ответственность и полномочия в области менеджмента непрерывности бизнеса при разработке СМНБ и персонала, вовлеченного в реализацию планов обеспечения непрерывности бизнеса при возникновении инцидентов;

-    обеспечение и проведение обучения;

-    анализ эффективности проведенного обучения;

-    регистрация актуализированных записей об обучении, полученных навыках, опыте и квалификации.

В приложении Ж приведены рекомендации по составлению программы обучения.

Если у организации нет подходящего компетентного персонала, она может нанять его со стороны. Важно, чтобы у приглашенных специалистов была необходимая компетентность и опыт для работы по программе МНБ.

6.3    Осведомленность и понимание

МНБ имеет отношение к традициям организации. Для успешного внедрения менеджмент непрерывности бизнеса должен стать частью управления организацией вне зависимости от ее размера и осо-

ГОСТ Р 53647.3-2015

бенностей деятельности. На каждой стадии процесса менеджмента непрерывности бизнеса существуют возможности для улучшения организации в области МНБ.

В соответствии с ГОСТ Р ИСО 22301 необходимо, чтобы персонал, работающий в организации:

-    был осведомлен о политике в области непрерывности бизнеса;

-    знал о своем участии и вкладе в достижение поставленных целей организации в области непрерывности бизнеса;

-    понимал выгоды от улучшения менеджмента непрерывности бизнеса;

-    знал о последствиях невыполнения требований СМНБ;

-    знал о своих функциях во время чрезвычайных ситуаций.

Для этого организация должна повышать и поддерживать понимание значимости МНБ в организации. Этого можно достигнуть путем постоянного обучения и информирования сотрудников. Важно ввести процесс анализа эффективности этих действий.

Создание и внедрение традиций МНБ в организации гарантирует, что он станет частью ценностей и эффективного менеджмента организации.

Традиции организации в области МНБ позволяют:

-    более эффективно развивать программу менеджмента непрерывности бизнеса;

-    обеспечивать уверенность причастных сторон, особенно персонала и потребителей, в способности действовать в условиях нарушения или разрушения деятельности организации;

-    повышать устойчивость организации в долгосрочной перспективе путем обеспечения непрерывности бизнеса при рассмотрении и принятии решений на всех уровнях для существующих и новых продукции и услуг;

-    минимизировать вероятность и воздействие нарушений и разрушений деятельности организации.

Внедрение менеджмента непрерывности бизнеса может стать длительным и сложным процессом,

который может столкнуться со значительным сопротивлением со стороны персонала, не предусмотренным на ранних стадиях внедрения СМНБ. Понимание традиций организации необходимо при разработке программы в области непрерывности деятельности и бизнеса.

Для обеспечения эффективности персонал не должен воспринимать менеджмент непрерывности бизнеса как «дополнительную нагрузку» или «временную инициативу» со стороны высшего руководства. Перед началом разработки СМНБ Правление или Координационный Совет должны понять и принять важность и ценность процесса менеджмента непрерывности бизнеса. Высшее руководство должно поощрять принцип анализа, основанный на вопросе «что если?», при рассмотрении препятствий при поставке организацией продукции/услуг.

Для успешной реализации в менеджмент непрерывности бизнеса должен быть вовлечен весь персонал организации.

Часто многие нарушения и разрушения вызваны внутренними причинами. Во многих организациях у персонала существует страх вины, который препятствует открытому заявлению о возникших проблемах. Если руководство в организации не хочет слышать «плохие новости», то у персонала не возникнет желания привлекать внимание к недостаткам и несоответствиям, которые могут впоследствии привести к нарушениям деятельности или разрушению бизнеса организации.

Весь персонал, включая руководителей среднего звена, должен быть убежден, что менеджмент непрерывности бизнеса является важной задачей организации и что им отведены соответствующие функции в поддержании непрерывности поставок продукции и услуг потребителям. Важно, чтобы программы повышения осведомленности персонала в области непрерывности бизнеса стали частью программы внедрения СМНБ.

Повышение осведомленности можно разделить на две стадии. На первой стадии весь персонал организации должен быть осведомлен о целях и назначении управления непрерывностью бизнеса. Персонал должен быть убежден, что МНБ является долгосрочной инициативой, которая имеет поддержку со стороны руководителя организации.

Пример — Международная фармацевтическая компания Novartis выпустила для своих сотрудников «Кодекс поведения». Раздел «Непрерывность бизнеса» гласит следующее:

«Мы считаем, что менеджмент непрерывности бизнеса имеет решающее значение для наших потребителей, клиентов, партнеров и других заинтересованных сторон и является частью ответственной практики менеджмента. В случае возникновения чрезвычайной ситуации или значительного нарушения бизнеса мы стремимся делать все возможное для обеспечения бесперебойного снабжения основными видами продукции и услуг».

13

«Наши нормы поведения отражают наши обязательства быть организацией с высокой гражданской ответственностью и содержат основные принципы и правила этического делового поведения».

Метод, который был успешно использован при внедрении всеобщего менеджмента качества в 1980-х годах, включал созыв совещаний основных руководителей и специалистов по каждому направлению деятельности организации с участием специалистов в области качества, на которых обсуждали и устанавливали основные понятия и положения системы менеджмента качества, а также возможности улучшения качества продукции путем всеобщего менеджмента качества.

Аналогичный подход может быть применен и к МНБ с использованием групп, включающих руководителей и специалистов по каждому направлению деятельности организации, которые должны идентифицировать причины, препятствующие обеспечению непрерывности бизнеса. Ключевым вопросом должен быть вопрос «что если?». Опыт показывает, что даже на самом низком уровне организационной структуры персонал в состоянии усвоить основные концепции менеджмента непрерывности бизнеса и может не только идентифицировать области возможных проблем, но и предложить решения, направленные на поддержание непрерывности бизнеса.

В каждой организации существует консервативная часть руководства, скептически настроенная по отношению к вводу новых инициатив, очень часто это руководители среднего звена. Необходимо сделать особый акцент на получение именно их поддержки, если принято решение о том, что менеджмент непрерывности бизнеса должен стать частью менеджмента организации.

На этот уровень руководителей обычно ложится большая часть работы на начальном этапе определения критических видов деятельности и процессов, поэтому важно получение поддержки всех руководителей с самого начала разработки СМНБ.

Вторая стадия повышения осведомленности происходит после завершения разработки планов обеспечения непрерывности бизнеса. Важно, чтобы все причастные стороны знали о разработке организацией таких планов. Это помогает повысить их уровень доверия и уверенности в способности организации работать в ситуации остановки, нарушения и разрушения бизнеса.

Персонал должен быть уверен, что не лишается своих рабочих мест после приостановки, нарушения и/или разрушения деятельности организации. Очень важно, чтобы люди знали, какие действия они обязаны предпринимать в рамках существующего плана обеспечения непрерывности бизнеса.

Пример — Один из ведущих в стране розничных продавцов имеет политику в сфере обмена информацией для обеспечения осведомленности персонала о его действиях в случае возникновения инцидента. В организации установлен телефон, по которому персонал может получить необходимую информацию об инциденте на работе или эта информация может быть получена из СМИ. Когда в одном из столичных магазинов произошел пожар, служащие знали, что делать на следующий день. Одни отправились в ранее определенные альтернативные места работы; другие находились дома и постоянно находились на связи для получения необходимых распоряжений.

Таким образом, необходимо обеспечить постоянную информированность персонала о требованиях к их действиям во время разрушения.

Служащие, плохо знакомые с работой организации, должны быть ознакомлены с политикой в области непрерывности бизнеса и планами обеспечения непрерывности бизнеса в рамках их обязанностей и компетентности. Это может быть достигнуто путем включения материалов о менеджменте непрерывности бизнеса в программу первоначального и ежегодного инструктажа персонала. Понимание общей программы менеджмента непрерывности бизнеса может быть повышено с помощью публикаций в газетах, электронных писем, размещения информации в интернете на сайте организации, совещаний и радиопередач с участием высшего руководства и т.п. В этой информации в первую очередь должны быть приведены примеры успешного выхода организации из инцидента при активном участии персонала. Также может быть представлен опыт работы других организаций в условиях инцидента.

Хорошая осведомленность дает возможность персоналу понять значение «обеспечения непрерывности деятельности» в их каждодневных действиях. При взаимодействии с поставщиками отдел закупок организации обеспечивает осведомленность ключевых поставщиков о важности менеджмента непрерывности бизнеса для организации, а также процессах и деятельности, которые они должны вести для обеспечения бесперебойности поставок. Это относится к существующим и новым договорам на поставки.

Организация должна поощрять ответственных за разработку новой продукции, внедрение решений в области непрерывности бизнеса при проектировании продукции и связанных с ней процессов. Этот путь более рентабелен. Включение требований к обеспечению непрерывности бизнеса на стадиях про-

14

ГОСТ Р 53647.3-2015

ектирования и разработки продукции и процессов позволяет исключить проведение большого количества корректирующих действий в дальнейшем (при производстве и поставке продукции).

Все сотрудники должны понимать, что менеджмент непрерывности бизнеса является важной задачей организации, и что каждый из них играет важную роль в обеспечении непрерывности поставок продукции и услуг потребителям.

6.4 Обмен информацией

Одной из самых больших проблем любой организации является необходимость поддерживать обмен информацией с заинтересованными сторонами во время инцидента.

Существуют случаи, когда организация считает, что она преодолела чрезвычайную ситуацию и свела к минимуму ее разрушительные последствия. Но реакция внешнего сообщества после восстановления поставок разочаровывает руководство организации. Это последствие недостаточного обмена информацией с внутренними и внешними сторонами.

Пример — У компании, производящей персональные компьютеры, возникли проблемы с загрузкой программного обеспечения на компьютер. Для предотвращения поставки потребителям дефектных компьютеров был остановлен конвейер. Но компания решила не сообщать о своих проблемах тем покупателям, которые не связывались с ней сами. Раздраженные потребители, не получившие товар и не понимающие, в чем проблема, позвонили в газету, которая раздула эту историю. Репутации компании был нанесен серьезный ущерб.

Таким образом, организация должна сообщать о своих проблемах тем, кто ожидает поставки продукции или услуг.

Особое внимание следует уделить обмену информацией с сотрудниками, поскольку в случае инцидента они могут быть обеспокоены своим благополучием и занятостью. Во время разрушающего воздействия на организацию необходим четкий обмен информацией с сотрудниками организации. Необходимо сообщить персоналу о том, какие действия он должен предпринять. Это может быть сделано с помощью инструкций на бумажном носителе, по электронной почте, по внутренней сети организации, в местных СМИ или записанных сообщениях на бесплатный телефон.

Следует признать, что обмен информацией должен носить двусторонний характер. Необходимо предусмотреть возможности персонала сообщать о своих трудных ситуациях, например о пробках из-за плохой погоды.

Необходимо также информировать высшее руководство о том, как идет исправление ситуации. Важно определить ответственных в организации за планирование и доставку сообщений высшему руководству.

Одним из основных моментов при разработке стратегии обмена информацией является то, как организация взаимодействует со СМИ во время серьезных разрушений. Независимо от размера организации, если событие является достаточно существенным, чтобы вызвать интерес СМИ, то от организации должен быть назначен человек, направляющий сообщения в прессу. Предварительная подготовка материала, который при необходимости может быть быстро приспособлен к ситуации, позволяет сэкономить время. В этот материал следует включить проект заявлений и информацию об организации. Управление этими действиями должно являться частью обмена информацией организации. Важно, чтобы ответственные за работу со СМИ контролировали сообщения в прессе, по радио и телевидению. Если информация положительная, то последующие сообщения должны основываться на этом; если информация отрицательная, организация должна рассмотреть способы противодействия этому.

Появление социальных СМИ дает новые возможности быстрого обмена информацией с персоналом, общественностью и другими ключевыми сторонами, например поставщиками. Если организация планирует использовать социальные СМИ, то она должна предусмотреть и ограничение доступа для широкой общественности. Важно контролировать социальные СМИ. Информация, размещенная в Твиттере, может распространиться очень быстро.

О смерти известного певца в 2012 году через два часа узнали 2,5 миллиона человек.

Речь идет не только о наличии таких процессов и процедур в организации, но также об информированности заинтересованных сторон об имеющихся в организации средствах управления в чрезвычайных ситуациях.

Потребители должны знать, как будут затронуты интересующая их поставка товаров и услуг, а также когда они могут ожидать возвращения организации к обычной работе. Поставщики должны знать, в какие альтернативные места они могут поставить свою продукцию и порядок расчетов. Банки и инвесто-

15

ГОСТ Р 53647.3-2015

Содержание

1    Область применения ......................................................................................................................................1

2    Нормативные ссылки.....................................................................................................................................4

3    Условия организации.....................................................................................................................................4

4    Лидерство........................................................................................................................................................8

5    Планирование...............................................................................................................................................10

6    Обеспечение выполнения работ ................................................................................................................12

7    Деятельность................................................................................................................................................18

8    Стратегия непрерывности бизнеса............................................................................................................26

9    Разработка и внедрение процедур непрерывности бизнеса.................................................................28

10    Ответные меры на инцидент и планы непрерывности бизнеса............................................................34

11    Учения и проверки .......................................................................................................................................39

12    Оценка результатов деятельности ............................................................................................................42

13    Улучшение.....................................................................................................................................................46

14    Заключение....................................................................................................................................................47

Приложение А (справочное) Основные заинтересованные стороны применения МНБ по видам

деятельности .........................................................................................................................48

Приложение Б (справочное) Взаимосвязь ГОСТ Р 53647.2 и ГОСТ Р ИСО 22301 ..................................49

Приложение В (справочное) Пример формы протокола заинтересованных сторон...............................51

Приложение Г (справочное) Пример документа «Область применения системы менеджмента

непрерывности бизнеса» ......................................................................................................52

Приложение Д (справочное) Типовая политика в области непрерывности бизнеса..............................53

Приложение Е (справочное) Требования к компетентности персонала МНБ..........................................55

Приложение Ж (справочное) Рекомендации по составлению программы обучения .................................57

Приложение И (справочное) Матрица оценки воздействия на бизнес.....................................................59

Приложение К (справочное)    Пример формы записей анализа воздействий на бизнес.........................61

Приложение Л (справочное)    Пример формы журнала записей о ресурсах ............................................62

Приложение М (справочное)    Пример формы записей о мерах по снижению риска ...............................63

Приложение Н (справочное)    Пример формы требований к ресурсам......................................................64

Приложение П (справочное) Стратегии, связанные с ключевыми ресурсами ........................................65

Приложение Р (справочное) Пример анализа плана непрерывности ......................................................68

Приложение С (справочное) Пример формы журнала регистрации данных об    инциденте..................70

Приложение Т (справочное) Типовой план непрерывности бизнеса.........................................................71

Приложение У (справочное) Типы учений по планам МНБ и методы их проведения .............................74

Приложение Ф (справочное) Вопросы для самооценки организации .......................................................75

Библиография.....................................................................................................................................................80

ры должны быть уверены, что менеджмент организации в состоянии справиться с ситуацией и что их инвестиции в безопасности.

Правительственные, государственные и другие лица, ответственные по закону, должны быть проинформированы, какие меры принимает организация для соблюдения нормативно-правовых требований. Более широкое сообщество должно получить информацию об инциденте и предпринятых действиях, если нарушение деятельности организации оказывает серьезное воздействие на благосостояние населения, например получить предупреждение в случае пожара в химическом цехе.

ГОСТ Р ИСО 22301 указывает на большое значение обмена информацией в менеджменте непрерывности бизнеса. Этот стандарт требует, чтобы организации, создающие свои СМНБ, определяли потребности во внутреннем и внешнем обмене информацией. Должно быть определено, как, когда и с кем можно общаться по вопросам нарушений.

В соответствии с ГОСТ Р ИСО 22301 организация должна установить, внедрить и поддержать процедуры:

-    внутреннего обмена информацией между заинтересованными сторонами и сотрудниками организации;

-    внешнего обмена информацией с потребителями, партнерскими организациями, местным сообществом и другими заинтересованными сторонами, включая СМИ;

-    приема, документирования и реагирования на сообщения заинтересованных сторон;

-    использования национальной и региональной систем предупреждения об угрозах (или аналогичных систем), при необходимости;

-    обеспечения доступности средств обмена информацией в условиях разрушительного инцидента;

-    связи с властями и обеспечения функциональной совместимости с другими организациями, участвующими в ответных мерах на инцидент и их персоналом, при необходимости;

-    тестирования и обеспечения работы резервных средств связи в случае отказа основных средств связи.

При планировании процесса обмена информацией в СМНБ организации следует использовать результаты анализа заинтересованных сторон, проводимого при установлении условий организации.

6.5    Документированная информация

Доказательство эффективности СМНБ является одной из ключевых проблем, стоящих перед любой организацией. Следует сохранять документы, связанные с менеджментом СМНБ, учебными программами, инцидентами, анализом ситуаций после завершения инцидента, полученным опытом и предпринятыми действиями. Для проведения сертификации на соответствие требованиям ГОСТ Р ИСО 22301 необходимо установить документированную систему менеджмента. Эта документация должна обеспечивать объективные свидетельства при проведении сертификационного аудита.

Доказательства, содержащиеся в документах, могут быть использованы для демонстрации выполнения политики и достижения целей. Результаты и опыт учений и инцидентов могут оправдать инвестиции, сделанные в МНБ.

Внешним заинтересованным сторонам также интересны эти документы. В случае запроса или юридического требования к организации, которая не смогла поддержать поставку критических продукции и/или услуг в период разрушительного инцидента, требуются доказательства того, как работает в организации СМНБ и как выполнялось управление в условиях инцидента. Если организация не может предоставить документированные доказательства, это может нанести ей серьезный вред.

Основным элементом любой системы менеджмента является управление документацией. В рамках СМНБ очень важно, чтобы во время нарушения или разрушения деятельности соответствующие лица, причастные к СМНБ, имели установленный и санкционированный доступ к информации об инциденте, планам обеспечения непрерывности бизнеса и сопроводительной документации. Большая часть информации, содержащейся в документации СМНБ, имеет конфиденциальный характер (и поэтому должна быть защищена) и соответствующую маркировку.

6.6    Создание и обновление документации

В ГОСТ Р ИСО 22301 установлено, что при создании и обновлении документации организация должна обеспечить:

1) идентификацию и описание документов (например, наименование, дата, разработчик, идентификационный номер);

16

Введение

Менеджмент непрерывности деятельности или менеджмент непрерывности бизнеса (МНБ) представляет собой методологию, которая сегодня становится достаточно популярной вследствие различий во внешних условиях, в которых работает организация и в которых организации необходимо найти свое место.

Существуют три основных типа риска, с которыми сталкивается организация:

-    риск, который можно идентифицировать, определить его количественные характеристики и спланировать действия по его снижению (например, риск отказа коммунальных сетей, риск возникновения пожара и т.п.);

-    риск, воздействие которого не может быть полностью определено (например, пандемия гриппа человека или заболеваний животных);

-    непредвиденный риск, который может оказать существенное воздействие на организацию.

В 2007 году Нассим Николас Тэлеб выдвинул понятие «черные лебеди», чтобы описать непредвиденные события, которые поражают организацию внезапно: например, японское землетрясение 2011 года, цунами и последующая авария на ядерном объекте.

При реализации такой риск может вызвать серьезные нарушения в обществе и организациях из-за невозможности доставки продукции и услуг, которые поддерживают экономику и благосостояние общества в целом. Нарушить деятельность организации могут не только крупные аварии. Каждая пятая британская организация раз в год страдает от событий более низкого уровня, таких как массовая заболеваемость персонала, повреждение или утрата техники, отсутствие доступа к официальному сайту организации или потеря ключевого для организации поставщика. Подобные события, как правило, не воздействуют на все общество, но могут привести к нарушению деятельности отдельной организации, влияя на ее денежные потоки, или привести к утрате доверия и ухудшению репутации организации у потребителей. Внедрение МНБ позволяет организации успешнее справляться с таким проблемами независимо от вызвавших их причин и таким образом защищает организацию и, следовательно, общество, которому она служит.

В 2003 году Британский институт стандартов (BSI) издал документ PAS 56 «Руководящие указания по менеджменту непрерывности бизнеса», которые объединили передовые практики в МНБ и были приняты многими организациями во всем мире.

В 2006 году PAS 56 был заменен Британским стандартом BS 25999-1, включающим требования

МНБ.

В 2012 году был введен стандарт ИСО 22301, устанавливающий новые требования к МНБ. Этот стандарт был дополнен новым ИСО 22313.

Настоящий стандарт обеспечивает помощь организациям по выполнению требований ГОСТ Р ИСО 22301 и основывается на предположении, что организацией уже предприняты некоторые действия по внедрению МНБ.

Понятие непрерывности деятельности (бизнеса) было разработано в середине 1980-х годов, как новый способ управления деловыми рисками. Основанием для МНБ явилось то обстоятельство, что ключевой обязанностью руководства организации является обеспечение продолжения деятельности организации всегда и при любых обстоятельствах.

Традиционно планирование деятельности концентрировалось на восстановлении деятельности после аварий (например, таких как потеря компьютерных данных), поэтому в начале 1970-х годов МНБ был создан для обеспечения быстрого восстановления информационных систем, телекоммуникаций или ликвидации пожара или наводнения. Ответственность за запланированные действия была распределена по различным подразделениям организации. Как правило, это были отделы информационных технологий и отделы безопасности. Планы аварийного восстановления, как правило, разрабатывали на основе уже произошедших инцидентов.

Неожиданные события довольно часто являются результатом деятельности самой организации. У каждой организации существуют слабые места: недостатки информационных систем, использование неофициальных каналов связи, недостаточное обучение операторов, нарушение связей в структуре организации и отклонения от установленных процедур. Экспертиза обычно выявляет, что причиной аварии послужила комбинация нескольких обстоятельств, которые и привели к катастрофе.

МНБ объединяет не только «лечение», но и «профилактику». Это наука не только о том, как справляться с последствиями инцидента, как и когда происходит инцидент и каким образом предотвращать кризис и его последствия, но также и об установлении традиций организации, которые приводят к бы-IV

ГОСТ Р 53647.3-2015

строму восстановлению и обеспечению непрерывности ее деятельности по поставке ключевой продукции и/или услуг потребителям.

МНБ устанавливает стратегическую структуру работы, обеспечивающую проактивные действия и гибкость организации по отношению ко всем возможным нарушениям. Это не просто ответные меры, выполняемые после реализации инцидента. МНБ требует планирования действий во многих аспектах организации. Устойчивость организации к разного рода воздействиям зависит в равной степени как от руководства и персонала, так и от технологий и технических средств. При разработке программ МНБ важно применять интегрированный подход.

МНБ способен предупреждать о том, что может пойти не так, и обеспечивать проведение заранее запланированных и отрепетированных действий для защиты деятельности, следовательно, удовлетворять потребности и ожидания заинтересованных сторон. Это поддерживает доверие к руководству и уверенность в том, что оно способно обеспечивать работу организации в условиях кризиса и предотвращать масштабные последствия, таким образом, защищая бренд, репутацию и имидж организации. МНБ уходит от простого восстановления после бедствия к установлению традиций предотвращения появления отказов и кризисов.

Выгода МНБ

Внедрение МНБ может принести реальную выгоду организации не только в части выполнения нормативных и законодательных требований.

Организация обладает конкурентоспособным преимуществом, если она демонстрирует потенциальным потребителям способность поставлять продукцию в условиях кризисов и разрушительных инцидентов. Внедрение требований ГОСТ Р ИСО 22301 может быть частью маркетингового плана по привлечению новых потребителей или в качестве мотивационного фактора для возобновления контрактов со «старыми» потребителями.

Разностороннее совершенствование организации и устранение слабых мест ведет ее к получению финансовой выгоды. Дублирование действий и бездействие ведут к потере времени и ресурсов. Любой отказ, в том числе не приведший к разрушительным последствиям, увеличивает расходы организации.

Кроме того, наличие эффективного МНБ может мотивировать страховые компании на увеличение страховой суммы и/или уменьшение взимаемых страховых взносов.

Одна из самых больших угроз для организации во время сбоя работы — прерывание потока наличных денег. При возобновлении поставки ключевых продуктов и услуг эффективный МНБ способствует поддержанию денежного потока.

V

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА Часть 3

Руководство по обеспечению соответствия требованиям ГОСТ Р ИСО 22301

Business continuity management. Part 3.

Guidance on meeting the requirements of GOST R ISO 22301

Дата введения —2016—07—01

1 Область применения

1.1    Общие положения

Настоящий стандарт содержит руководящие указания по внедрению системы менеджмента непрерывности бизнеса в организации. Целью настоящего стандарта является обеспечение организации дополнительной информацией для понимания, разработки и внедрения, анализа и постоянного улучшения деятельности организации на основе стандартов серии ГОСТ Р 53647.

В основу настоящего стандарта положен опыт внедрения системы менеджмента непрерывности бизнеса (МНБ) организациями различных направлений деятельности.

Настоящий стандарт предназначен для организаций всех размеров и форм собственности и специалистов, ответственных за обеспечение непрерывности бизнеса организации.

В область применения настоящего стандарта не входит планирование действий в чрезвычайных и других ситуациях, относящихся к области гражданской обороны и сфере действий МЧС.

Основные принципы МНБ для организации финансовой сферы деятельности приведены в приложении А.

Принимая стандартный подход к МНБ, установленный в ГОСТ Р ИСО 22301, организация может предоставить потребителям ее продукции серьезные гарантии по обеспечению непрерывности деятельности в случае непредвиденных обстоятельств.

1.2    Внедрение ГОСТ Р ИСО 22301

В ГОСТ Р ИСО 22301 установлены требования к разработке и применению эффективной системы менеджмента непрерывности бизнеса (СМНБ). Стандарт может быть использован внутренними и внешними сторонами, включая органы по сертификации, исследующие соответствие организации законодательным и обязательным требованиям, а также требованиям потребителей и собственным требованиям организации.

В ГОСТ Р ИСО 22301 приведены только те требования, соответствие которым может быть установлено в ходе аудита. Демонстрация выполнения требований может быть использована организацией для обеспечения уверенности заинтересованных сторон в успешном внедрении СМНБ в организации.

В ГОСТ Р ИСО 22313 приведены руководящие указания по методам обеспечения эффективности МНБ. Организация может использовать настоящий стандарт полностью или его часть для самооценки или для оценки другими организациями. ГОСТ Р ИСО 22313 не может быть использован для сертификации СМНБ. В ГОСТ Р ИСО 22301 рассматривается также методология PDCA.

1.3    Подход PDCA

Методология PDCA («планирование — осуществление — проверка — действие») основана на исследованиях Вальтера Шухарта, который в 1930-х годах в США занимался статистическим управлением процессами. Результаты работ Шухарта в 1950-х годах были развиты известным специалистом в области качества Эдвардсом Демингом и были применены для непрерывного улучшения систем менеджмента. На рисунке 1 представлен цикл Шухарта—Деминга.

Издание официальное

Рисунок 1 — Цикл Шухарта-Деминга

На рисунке 2 показано, как цикл PDCA может быть применен к системам менеджмента непрерывности бизнеса в соответствии с ГОСТ Р ИСО 22301. Применение цикла PDCA приводит к достижению запланированных результатов в области непрерывности бизнеса, которые отвечают требованиям и ожиданиям заинтересованных сторон.

Рисунок 2 — Применение цикла PDCA к процессам МНБ

Соотношение элементов цикла PDCA и МНБ:

Планирование

(установление)

Установление политики, целей, задач, средств контроля, процессов и процедур обеспечения непрерывности бизнеса, относящихся к менеджменту риска и улучшению непрерывности бизнеса для достижения результатов в соответствии с политикой и целями организации

Осуществление (внедрение и функционирование)

Внедрение и применение политики, средств контроля, процессов и процедур в области непрерывности бизнеса

Окончание

Проверка

(мониторинг и анализ)

Мониторинг и анализ СМНБ на соответствие политике и целям в области непрерывности бизнеса, отчет по результатам анализа для проведения анализа со стороны руководства, определение и утверждение корректирующих и предупреждающих действий, а также деятельности по улучшению

Действие

(поддержка и улучшение)

Действие: поддержка и улучшение СМНБ, выполнение предупреждающих и корректирующих действий, а также деятельность по улучшению, основанная на результатах анализа со стороны руководства, и актуализация области применения СМНБ, политики и целей в области непрерывности бизнеса

Поскольку МНБ является относительно новой методологией, как правило, ее вводят достаточно развитые организации. Подход PDCA, использованный в ГОСТ Р ИСО 22301, обеспечивает согласованность этого стандарта с другими стандартами системы менеджмента. Если у организации уже имеется система менеджмента, разумно основывать создание СМНБ на тех же структурах, формируя в некоторых случаях интегрированную систему менеджмента.

На рисунке 3 представлена схема жизненного цикла МНБ.

РисунокЗ — Жизненный цикл МНБ

Общепризнано, что подход PDCA может быть применен к каждому элементу жизненного цикла МНБ, но в настоящем документе был использован нижеследующий подход.

Рисунок 3 может быть представлен в виде колеса МНБ. Центр колеса (управление программой МНБ) и шина (внедрение МНБ в традиции организации) являются элементами, связанными с элементами «планирование, проверка и действие» в цикле PDCA. Спицы колеса (понимание особенностей организации, определение стратегии МНБ, разработка и выполнение ответных мер МНБ, контроль и испытания) относятся к элементу цикла PDCA «осуществление».

1.4 Планирование СМНБ

В основе жизненного цикла МНБ лежит управление программой МНБ. В отличие от управления проектом, в котором существуют начало и конец разработки, МНБ является непрерывным процессом, поэтому управление программой МНБ следует рассматривать как программу действий по обеспечению своевременности и релевантности СМНБ и гарантии ее существования в организации.

3

В ГОСТ Р ИСО 22301 определена программа непрерывности бизнеса как «непрерывный менеджмент и процесс управления, поддерживаемый высшим руководством и обеспеченный ресурсами для разработки и поддержания в рабочем состоянии менеджмента непрерывности бизнеса».

Программа МНБ охватывает разделы ГОСТ Р ИСО 22301:

4    «Условия организации»;

5    «Лидерство»;

6    «Планирование»;

7    «Поддержка»;

8    «Планирование и контроль»;

9    «Оценка выполнения»;

10    «Постоянное улучшение».

Пониманию особенностей организации посвящен подраздел 8.2 ГОСТ Р ИСО 22301 «Анализ воздействия на бизнес и оценка риска».

Определение стратегий МНБ описано в подразделе 8.3 ГОСТ Р ИСО 22301. Выбранные стратегии принимают во внимание существующую непрерывность бизнеса и действия, направленные на снижение риска (см. 8.3.3).

Разработка и выполнение ответных мер на инциденты МНБ описаны в подразделе 8.4 ГОСТ Р ИСО 22301. Данный подраздел включает в себя установление ответных мер на инцидент и создание планов обеспечения непрерывности бизнеса.

В ГОСТ Р ИСО 22301 добавлен подраздел 8.4.3 «Предупреждения и коммуникации», который охватывает средства обнаружения и реагирования на инциденты.

Контроль и проверки описаны в подразделе 8.5. «Жизненный цикл МНБ» включает также элементы, как поддержка и анализ. Они включены в программу МНБ (см. выше).

Внедрение МНБ в традиции организации касается компетентности и осведомленности персонала (см. 7.2, 7.3).

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 53647.1 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство

ГОСТ Р 53647.2-2009 Менеджмент непрерывности бизнеса. Часть 2. Требования

ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования

ГОСТ Р ИСО 22313 Менеджмент непрерывности бизнеса. Руководство по внедрению

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3    Условия организации

Существует множество внутренних и внешних условий и факторов, которые влияют на организацию, что необходимо учитывать при разработке, внедрении и поддержке в рабочем состоянии СМНБ.

3.1 Понимание особенностей организации и условий ее работы

Организация должна определить внешние и внутренние факторы, влияющие на достижение поставленных ею целей и на ее способность к достижению ожидаемых результатов функционирования системы менеджмента непрерывности бизнеса. Понимание особенностей организации, ее места в окру-

4

ГОСТ Р 53647.3-2015

жающей среде является существенным этапом создания СМНБ и принятия решений, способствующих выполнению целей организации и заинтересованных сторон.

Часть особенностей и условий работы организации может быть выявлена при анализе риска или маркетинге. Менеджеры, разрабатывающие систему менеджмента непрерывности бизнеса, могут привлечь к участию в ее разработке необходимых специалистов. Кроме того, они должны работать с высшим руководством и другими специалистами для обеспечения правильного понимания особенностей организации.

Среда, которая окружает и воздействует на организацию, может быть разделена на три области: «внутреннюю среду», «микросреду» и «макросреду» (см. рисунок 4).

3.2 Внутренняя среда

Сначала необходимо идентифицировать продукцию или услуги, разрушение которых в случае возникновения чрезвычайных ситуаций оказывает наибольшее влияние на организацию и заинтересованные стороны и на достижение целей организации. Именно эти продукция или услуги, часто называемые «ключевыми», в первую очередь должны быть включены в область применения СМНБ. Как только менеджмент ключевых продукции или услуг будет успешно установлен, область применения может быть расширена и на другие продукцию и услуги. Определение ключевых продукции и услуг следует начать с обсуждения с высшим руководством.

При выявлении ключевых продукции и услуг следует отойти от традиционного взгляда на организацию. Например, крупная транснациональная компания ИТ-услуг рассматривает все действия и функции компании — от определения цены до получения наличных денег. Эти действия включают: принятие участия в тендере, заключение контракта, поставку продукции и удовлетворение требований потребителя, предоставление счета на товары и поставленные услуги и получение оплаты. Для этого необходимо общее представление о работе организации, используемых ресурсах и распределении функций.

Важно понимать, как принимают решения в организации. Какова ее стратегия и насколько политика и цели организации соответствуют стратегии? Важно, чтобы политика в области МНБ соответствовала целям, существующей политике и процедурам организации, ее структуре и подходам к менеджменту, отношению к рискам и значимым существующим видам риска.

Рисунок 4 — Окружающая среда, воздействующая на организацию

5

1

11 PERT —Program Evaluation and Rewview Technique (Способ анализа задач, необходимых для выполнения проекта, в том числе анализа времени, которое требуется для выполнения каждой отдельной задачи, а также определения минимального необходимого времени для выполнения всего проекта).

2

Популярный вид диаграмм, используемый для иллюстрации плана выполнения работ по проекту. Является одним из методов планирования.

11