Предисловие

1    ПОДГОТОВЛЕНЫ Открытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (ОАО «НИЦ КД») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2    ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»

3    УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 октября 2014 г. № 1297-ст

4    Настоящие рекомендации разработаны с учетом основных нормативных положений национального документа Великобритании PD 25888:2011 «Менеджмент непрерывности бизнеса. Руководство по организации восстановления после инцидента» (PD 25888:2011 «Business continuity management — Guidance on organization recovery following disruptive incidents». NEQ)

5    ВВЕДЕНЫ ВПЕРВЫЕ

Правила применения настоящих рекомендаций установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты». а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответспюующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ. 2015

Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Содержание

1    Область применения............................................1

2    Термины и определения..........................................1

3    Связь между управлением восстановлением, управлением в условиях инцидента и менеджментом

непрерывности бизнеса...................

4    Установление управления восстановлением организации

5    Планирование восстановления...............

6    Осуществление стратегии восстановления........

7    Возвращение к нормальной работе...................................15

Библиография................................................16

III

Введение

В настоящих рекомендациях приведены рекомендации по организации восстановления после инцидента. Рекомендации разработаны в дополнение к ГОСТ Р 53647.1-2009 и ГОСТ Р 53647.2-2009 (см. (1]. (2J). Применение рекомендаций позволит организации вернуться к нормальной деятельности или провести реконфигурацию до согласованного стратегического и рабочего состояния после инцидента (или инцидентов).

Управление восстановлением следует проводить с учетом финансовых, правовых, экологических, репутационных и эмоциональных последствий инцидента и последствий деятельности, связанной с восстановлением организации.

Особенности, сложность и масштаб восстановления не могут быть определены до инцидента, следовательно, управление восстановлением должно быть гибким и применимым к широкому диапазону видов риска, характерных для организации и ее рабочей среды.

Некоторые инциденты могут изменить характеристики «нормальной деятельности» организации и ее причастных сторон, поэтому необходимо извлекать уроки из каждого инцидента и пересматривать мероприятия по управлению восстановлением. По этой причине после восстановления система управления восстановлением может работать в условиях новых норм работы. Управление восстановлением должно балансировать между установленными требованиями по восстановлению и возникающими или изменяющимися результатами.

Необходимо, чтобы мероприятия организации по восстановлению были связаны с мероприятиями управления в условиях инцидента и менеджмента непрерывности бизнеса (МНБ). В настоящих рекомендациях предполагается, что в организации уже действует эффективная система МНБ.

IV

РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ

Менеджмент непрерывности бизнеса РУКОВОДСТВО ПО ОРГАНИЗАЦИИ ВОССТАНОВЛЕНИЯ ПОСЛЕ ИНЦИДЕНТА

Business continuity management. Guidance on organization of recovery following incident

Дата введения — 2015—12—01

1    Область применения

В настоящих рекомендациях приведено руководство по разработке и выполнению стратегии восстановления организации после инцидента.

Примечани е — Успешность восстановлении зависит от эффективного выполнения планов управлении организацией в условиях инцидента и планов непрерывности бизнеса.

Настоящие рекомендации применимы до. во время и после инцидента, который нарушает способность организации осуществлять поставки продукции и/или выполнять услуги.

Настоящие рекомендации применимы ко всем организациям (или их частям), независимо от типа, размера и вида деятельности. Степень применимости зависит от производственных условий и сложности организации.

2    Термины и определения

В настоящих рекомендациях применены следующие термины с соответствующими определениями.

2.1    деятельность (activity): Процесс или система процессов, осуществляемых организацией с целью производства одного или нескольких видов продукции, оказания услуг или их поддержки.

Примечание — Примером процессов являются бухт ал герский учет, обеспечение информационных (ИТ) и телекоммуникационных технологий, производство, сбыт.

2.2    непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидента и нарушения деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

2.3    менеджмент непрерывности бизнеса; МНБ (business continuity management. ВСМ): Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействия на деятельность организации, который создает основу для повышения устойчивости организации к воздействию инцидентов и направлен на реализацию эффективных ответных мер. что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность.

Примечание — Менеджмент непрерывности бизнеса включает в себя управление восстановлением или продолжением деятельности организации в случае нарушений в ее работе, а также общей программой обеспечения непрерывности бизнеса организации путем обучения, практического применения и анализа непрерывности бизнеса, разработкой и актуализацией планов непрерывности бизнеса.

Издание официальное

2.4    программа менеджмента непрерывности бизнеса (business continuity management programme): Процесс постоянного менеджмента, поддерживаемый со стороны высшего руководства и обеспечиваемый необходимыми ресурсами, направленный на осуществление необходимых мер по идентификации воздействия возможных потерь, поддержку жизнеспособной стратегии непрерывности бизнеса и планов восстановления бизнеса, а также на обеспечение непрерывности производства продукции и оказания услуг путем обучения и проведения учений, осуществления, анализа и поддержания в рабочем состоянии непрерывности бизнеса организации.

2.5    план обеспечения непрерывности бизнеса (business continuity plan. ВСР) ПНБ: Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения выполнения организацией критически важных для нее видов деятельности на установленном приемлемом уровне.

2.6    стратегия непрерывности бизнеса (business continuity strategy): Способ обеспечения непрерывности бизнеса в организации, направленные на восстановление и продолжение ее деятельности в случае инцидентов, вызывающих нарушение ее работы.

2.7    анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на него разрушающих факторов.

2.8    последствие (consequence): Результат воздействия инцидента, который может повлиять на достижение целей организации.

Примечания

1    У каждого инцидента может существовать диапазон возможных последствий.

2    Последствия могут быть определенными и неопределенными, а также маут иметь позитивное или негативное воздействие на достижение целей организации.

2.9    критические виды деятельности (critical activities): Виды деятельности организации, которые должны осуществляться для обеспечения поставки ключевой продукции и услуг и достижения наиболее важных и первоочередных целей организации.

2.10    нарушение деятельности (организации) (disruption): Невозможность поставки продукции или оказания услуг, установленных в соответствии с целями организации, или перебои в этой деятельности, вызванные ожидаемым (например, забастовка рабочих) или непредвиденным (например, отключение электрической энергии) событием или явлением.

2.11    воздействие (impact): Оцененные последствия конкретного результата.

2.12    инцидент (incident): Ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.

2.13    план управления в условиях инцидента (incident management plan): Точно установленный и документально оформленный план действий, предназначенный для использования при возникновении инцидента, который обычно задействует вовлеченный персонал, необходимые ресурсы и действия, которые должны быть выполнены.

2.14    группа управления в условиях инцидента (incident management team, IMT) ГУИ: Группа, ответственная за определение масштаба инцидента и характеристик, контроль ситуации, смягчение воздействий инцидента и обмен информацией с причастными сторонами.

Примечания

1    Эта труппа также отвечает за инициирование ответных мер в области непрерывности бизнеса. Ее также иногда называют «группой управления в условиях кризиса».

2    В маленьких организациях ответственность за управление в условиях инцидента и менеджмент непрерывности бизнеса может быть возложена на одного человека. Большие организации могут создавать разные группы, занимающиеся управлением в условиях инцидента, вопросами непрерывности бизнеса и восстановления бизнеса. В некоторых случаях этим группам могут оказывать поддержку другие группы, ответственные за такую деятельность. как взаимодействие с прессой и работа с кадрами.

2.15    инициирование работы (invocation): Объявление о приведении в действие плана обеспечения непрерывности бизнеса организации с целью обеспечения бесперебойности поставки ключевой продукции и/или услуг.

2.16    потери (loss): Негативные последствия.

2.17    организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.

2

P 50.1.095—2014

Пример — Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.

Примечания

1    Распределение обычно является упорядоченным.

2    Организации может быть государственной или частной.

2.18    управление восстановлением организации (organization recovery management): Процесс реконструкции, возвращения в исходное состояние и реабилитации организации после инцидента.

Примечание — Восстановление не является одной из ответных мер, но часто совмещено с ними.

2.19    ответные меры (response): Действия, принимаемые в ответ на непосредственное воздействие чрезвычайной ситуации.

2.20    способность к восстановлению (resilience): Способность организации противостоять воздействию инцидента.

2.21    ресурсы (resources): Все активы, персонал, навыки, технологии (включая технологические процессы и оборудование), производственные площади, запасы и информация (на электронном или бумажном носителе), которые должны быть, при необходимости, доступны для использования организацией в текущей деятельности и для достижения поставленных целей.

2.22    риск (risk): Следствие влияния неопределенности на достижение поставленных целей¹».

Примечания

1    Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

2    Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т. п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, котжретной продукции и процессу).

2.23    аппетит риска, предпочтительный риск (nsk appetite): Общая величина риска, который организация готова принять, перенести или действию которого готова подвергнуться в любой момент времени, и тип риска, предпочтительный для организации.

2.24    оценка риска (nsk assessment): Процесс, охватывающий идентификацию риска, анализ риска и сравнительную оценку риска.

2.25    менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.

2.26    причастные стороны (stakeholders): Лица, заинтересованные в достижении организацией ее целей.

Примечание — Этот термин охватывает штатных сотрудников и сотрудников сторонних организации-соисполнителей. потреби гелей, поставщиков, партнеров, дистрибьюторов, инвесторов, страховщиков, акционеров. собственников, правительство и регулирующие органы.

2.27    высшее руководство (top management): Лицо или группа работников, осуществляющих направление деятельности и управление организацией на высшем уровне.

Примечание — Высшее руководство, особенно в крупной корпорации, не всегда может быть непосредственно вовлечено в менеджмент непрерывности бизнеса, однако в этом случае высшее руководство несет ответственность за установленный в организации порядок соподчиненности. В малой организации высшее руководство может быть владельцем этого процесса.

3    Связь между управлением восстановлением, управлением в условиях инцидента и менеджментом непрерывности бизнеса

3.1 Обзор

Управление восстановлением — это один из трех элементов (см. перечисления 1)—3)) процесса, с помощью которого организация справляется с воздействиями разрушающего (нарушающего) инцидента, который снижает ее способность осуществлять поставки продукции w/или услуг своим клиентам, заказчикам и/или потребителям: эффективно защищать свой бренд, репутацию и финансовую устойчивость: обеспечивать соблюдение регулирующих и юридических требований.

h В соответствии с Федеральным законом от 27.12.2002 № 184 «О техническом регулировании» «риск — это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц. государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда».

3

1)    Управление в условиях инцидента используют на начальном этапе инцидента для того, чтобы обезопасить работников и посетителей, принять меры в отношении потерь, сдерживать/ограничивать ущерб для организации, провести оценку ущерба и. при необходимости, привести в действие планы непрерывности бизнеса (ПНБ).

2)    Элемент МНБ объединяет мероприятия, которые в установленные сроки обеспечивают возобновление критических видов деятельности и процессов, необходимых для восстановления поставок ключевой продукции и/или услуг и обмена информацией с причастными сторонами.

3)    Управление восстановлением охватывает продолжительный период после осуществления мероприятий МНБ до момента полного восстановления организации до нормального состояния, или. в некоторых случаях, до «нового нормального состояния», и охватывает всю продукцию и услуги, поставляемые организацией.

На рисунке 1 показана последовательность и отношения между тремя элементами процесса.

3.2 Политика управления восстановлением

Мероприятия организации по восстановлению должны быть связаны с мероприятиями по управлению в условиях инцидента и менеджмента непрерывности бизнеса (МНБ). поэтому установления отдельной политики в области управления восстановлением не требуется. В настоящих рекомендациях предполагается, что в организации уже существует эффективная система МНБ.

Политика МНБ должна быть утверждена на высшем уровне и охватывать основные требования менеджмента восстановления, включая:

а) подготовительную деятельность для установления способности организации к восстановлению (3.3);

P 50.1.095—2014

б)    деятельность по непрерывному управлению и поддержке способности организации к восстановлению в период восстановления (3.4);

в)    мероприятия по сворачиванию деятельности по восстановлению после возвращения организации к нормальному состоянию.

3.3    Подготовительная деятельность

Подготовительная деятельность должна включать в себя требования, определение группы восстановления. установление и обеспечение способности к восстановлению бизнеса.

3.4    Непрерывное управление и поддержка

Деятельность по непрерывному управлению и поддержке способности организации к восстановлению бизнеса должна включать в себя мероприятия по обновлению данных и обмену информацией, особенно если происходят существенные изменения в активах, персонале, процессах, рынке, технологиях или структуре организации.

Организация должна поддерживать и регулярно пересматривать мероприятия по управлению восстановлением при пересмотре мероприятий СМНБ.

4    Установление управления восстановлением организации

4.1    Начальная оценка

Так как воздействие инцидента на организацию можно полностью оценить только после инцидента. то способность организации к восстановлению не может быть определена до проведения полной оценки воздействия инцидента. Эта оценка должна быть представлена высшему руководству, которое определит области и период восстановления, требуемые для возвращения организации в нормальное состояние. Ответственность за установление управления и восстановлением организации может быть возложена на группу управления в условиях инцидента или группу непрерывности бизнеса. В этом случае ответственность должна быть распределена в соответствии с функциями и должностными обязанностями в группе.

Примечание — Высшее руководство может принять решение полностью или частично прекратить деятельность организации и не устанавливать в организации управления восстановлением.

4.2    Области восстановления

Высшее руководство должно определить области восстановления организации посредством идентификации продукции и услуг, помещений, сооружений и оборудования, которые должны быть восстановлены. Ситуация, представляющая риск, может измениться в свете исключительных обстоятельств. вызванных инцидентом, и организация может столкнуться с новыми рисками. В результате перед определением областей восстановления может потребоваться пересмотр оценки риска.

При определении областей восстановления высшее руководство должно также учитывать цели организации, ее финансовое положение, обязательства, связанные с брендом и репутацией, и юридические требования.

Для областей восстановления организации необходимо четко установить все существующие ограничения или исключения, например географические ограничения или исключение из восстановления отдельных видов продукции/услуг.

5    Планирование восстановления

5.1    Ответственность за мероприятия по восстановлению

Организация должна ццентифицировать подходящих сотрудников, обладающих необходимыми знаниями, навыками и авторитетом для разработки мероприятий по восстановлению организации. Эти сотрудники могут состоять в группе обеспечения непрерывности бизнеса и выполнять обе функции. Однако деятельность по восстановлению может быть выполнена отдельной группой. Предпочтительный подход должна определить организация самостоятельно, однако если принимают подход «двух групп», то первостепенное значение играет эффективный обмен информацией и координация их действий.

5.2    Инициирование работы

Процесс должен быть приведен в действие как можно скорее после инцидента. Важной частью управления восстановлением является разработка стратегии восстановления и поддержание связи с группой управления в условиях инцидента, группой МНБ или аналогичной группой для обеспечения со-

гласованности решений среднесрочного и долгосрочного восстановления. Связь восстановления с ответными мерами в области непрерывности бизнеса очень важна. Их нельзя рассматривать отдельно. Восстановление и непрерывность бизнеса являются двумя элементами ответных мер. которые действуют совместно.

Должен быть определен ответственный за инициирование этих работ. Наиболее подходящей группой для этого является группа управления в условиях инцидента. Следовательно, ответственные за разработку мероприятий по управлению восстановлением должны работать в кооперации с ответственными за обеспечение непрерывности бизнеса и управления в условиях инцидента для обеспечения согласованности мероприятий по инициированию ответных мер на инцидент.

5.3    Стратегия восстановления

Как часть стратегии плана непрерывности бизнеса, организация должна рассмотреть возможности обеспечения непрерывности критических видов деятельности в краткосрочной перспективе Например, в области активов у нее может существовать стратегия по найму запасного сайта стороннего провайдера, а в отношении технологии работы организация может внедрить систему дистанционной работы.

Эти стратегии важны для управления восстановлением, но их следует пересматривать в свете изменяющейся ситуации и продолжительности периода управления восстановлением. Например, при использовании запасного сайта стороннего провайдера контрактом может быть установлен ограниченный срок использования сайта, поэтому стратегия должна охватывать период после завершения срока контракта.

Высшее руководство может принять решение полностью или частично прекратить деятельность организации, у него есть также возможность изменить способы выполнения работ организацией посредством изменения ее структуры, методов выполнения работ, поставщиков и т. д.. создания «новых норм работы». Такое решение может быть вызвано несколькими факторами, как внутренними, так и внешними. например, организация может пересмотреть свои приоритеты, аппетит риска, могут измениться рыночные условия или требования законодательства. Изменения у причастных сторон (включая конкурентов) также могут повлиять на принимаемые решения.

Стратегия восстановления должна быть одобрена и утверждена высшим руководством до начала долгосрочного восстановления.

5.4    Группа управления восстановлением

Организация должна определить группу, ответственную за управление восстановлением, которая занимается вопросами реконструкции, возвращения в исходное состояние и реабилитации организации после инцидента. В настоящих рекомендациях эта группа названа группой управления восстановлением (на рисунке 2 приведен пример структуры группы).

После сдерживания воздействий инцидента группа управления восстановлением становится ответственной за долгосрочное восстановление, позволяя группе управления в условиях инцидента завершить свою деятельность. Как часть процесса планирования, должны быть определены представители группы управления восстановлением, которым должны быть выделены все необходимые средства, позволяющие выполнять их функции и обязанности.

Подготовка и информирование о функциях группы должны быть встроены или дополнять программу управления непрерывностью бизнеса организации (ГОСТ Р 53647.1-2009, раздел 10).

Так как группа управления восстановлением обладает полномочиями по принятию стратегических решений в процессе восстановления, ее ключевые обязанности включают в себя:

а)    выполнение регулярной оценки ситуации (см. 5.6);

б)    идентификацию областей, в которых решения необходимо принимать за пределами существующих политик и процедур;

в)    разработку (и пересмотр) общей стратегии восстановления, включая такие вопросы, как обмен информацией, финансы, законодательные требования, восстановление инфраструктуры, обеспечение кадрами, бренд/репутация и изменение стратегий и целей организации;

г)    обеспечение вовлеченности причастных сторон в разработку и осуществление стратегии;

д)    координирование последовательного и своевременного осуществления стратегии и мониторинг прогресса;

е)    разработка общей стратегии обмена информацией, которая позволяет производить координацию и последовательную доставку сообщений причастным сторонам и средствам массовой информации;

ж)    создание подходящих подгрупп, если это требуется;

и)    отслеживание финансовых вопросов и идентификацию источников финансирования;

к)    обеспечение соответствия с законодательными и нормативными требованиями.

6