ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Менеджмент непрерывности бизнеса

РУКОВОДСТВО ПО ПРОВЕДЕНИЮ УЧЕНИЙ И ПРОВЕРКЕ ПЛАНОВ НЕПРЕРЫВНОСТИ БИЗНЕСА

Издание официальное

Москва

Стандартинформ

2015

Предисловие

1    РАЗРАБОТАНЫ Открытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (ОАО «НИЦ КД») на основе собственного аутентичного перевода международного стандарта, указанного в разделе 4

2    ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»

3    УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 октября 2014 г. № 1297-ст

4    Настоящие рекомендации разработаны с учетом основных нормативных положений национального документа Великобритании PD 25666:2010 «Менеджмент непрерывности бизнеса. Руководство по проведению учений и проверке планов непрерывности бизнеса» (PD 25666:2010 «Business continuity management — Guidance on exercising and testing for continuity and contingency programmes»)

5    ВВЕДЕНЫ ВПЕРВЫЕ

Информация об изменениях к настоящим рекомендациям публикуется в ежегодном указателе «Руководящие документы, рекомендации и правила», а текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

© Стандартинформ. 2015

Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

P 50.1.096—2014

Содержание

1    Область применения............................................1

2    Термины и определения..........................................1

3    Программа менеджмента ....

4    Планирование учения как проекта

5    Учения...............

6    Подготовка к учению.......

7    Проведение учения........

8    Деятельность после завершения учения, реального инцидента и нарушающих событий......10

Приложение А (справочное) Функции участников.............................12

III

Введение

В настоящих рекомендациях приведено руководство по проведению умений с целью проверки программ в области непрерывности бизнеса и действий организации в нештатных ситуациях. Мероприятия для ИТ¹'-систем также входят в область применения настоящих рекомендаций.

В настоящих рекомендациях приведена структура надлежащей практики для любой организации, которая заинтересована в проведении умений.

Несмотря на то. что у программы в области непрерывности бизнеса и действий в нештатных ситуациях существуют различия, для их проверки можно проводить совместные умения.

Примечание — Использованный в настоящих рекомендациях термин «нештатная ситуация» охватывает понятия аварийной ситуации, кризиса, защиты, безопасности, способности к восстановлению и управления в условиях инцидента. Он также может включать в себя деятельность по восстановлению после аварий в области ИТ.

Учения предоставляют очевидные свидетельства соответствия установленным требованиям в области непрерывности бизнеса и управления в условиях инцидента. Время и ресурсы, затраченные на проверку стратегий МНБ (менеджмента непрерывности бизнеса), с помощью проверки ПНБ (планов непрерывности бизнеса) позволяют установить их пригодность для организации. Не важно, насколько хорошо спроектированными и сильными кажутся стратегии МНБ и ПНБ. только ряд реалистичных учений может выявить области, требующие корректировки.

В настоящих рекомендациях приведено руководство, позволяющее разработать экономичные и эффективные учения.

ИТ — информационные технологии.

РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ

Менеджмент непрерывности бизнеса

РУКОВОДСТВО ПО ПРОВЕДЕНИЮ УЧЕНИЙ И ПРОВЕРКЕ ПЛАНОВ НЕПРЕРЫВНОСТИ БИЗНЕСА

Business continuity management. Guidance on exercising and testing for continuity and contingency programmes

Дата введения — 2015—12—01

1    Область применения

В настоящих рекомендациях установлены принципы и терминология для проведения учений и приведено руководство по процессам и методам разработки и улучшения способности организации к обеспечению непрерывности бизнеса и действиям в нештатных ситуациях.

Примечание — В настоящих рекомендациях в качестве проверки определен особый тип учений, который направлен на выявление лригодносги/нелригодности элемента в пределах целей или задач планируемого учения. Соответственно, термин «учение» в настоящих рекомендациях также может относиться к деятельности по проверке.

Целями настоящих рекомендаций являются:

а)    предоставление основы для понимания, разработки и выполнения эффективной программы учений в организации:

б)    обеспечение уверенности в способности организации проводить учения и проверки с участием внутренних и внешних причастных сторон;

в)    помощь организации в совершенствовании и оценке ее способности проводить учения и проверки последовательным, экономичным и продуманным с точки зрения риска способом, отражающим надлежащую практику:

г)    поддержка постоянного улучшения программ в области непрерывности бизнеса и управления в нештатных ситуациях.

Настоящие рекомендации предназначены для использования сотрудниками на всех уровнях организации, ответственными за проведение работ или предоставление услуг. Организация может быть общественной, частной, коммерческой или некоммерческой, расположенной в одном месте или представленной по всему миру, иметь небольшой размер или быть очень крупной.

2    Термины и определения

В настоящих рекомендациях применены следующие термины с соответствующими определениями.

2.1    инструктаж (brief): Ознакомление с документами (или устные разъяснения), которые объясняют правила проведения учения его участникам, и/или предоставляют им информацию о сценарии учения.

2.2    итоговый опрос (debrief)- Возможность участников учения или реагирования на инцидент рассмотреть и предоставить отзывы о функциональной результативности, эффективности и способности к восстановлению (обычно сразу после окончания учений или инцидента) с целью идентификации полученного опыта и мнения участников, которые обеспечивают возможности для совершенствования.

Издание официальное

Примечание — При проведении итогового опроса возможно также проведение дискуссии. Записи о полученном опыте сохраняют. Итоговый опрос сразу после завершения учений также называют «горячим итоговым опросом». Итоговый опрос является важной частью усвоения и передачи опыта, полученного в ходе учения или устранения инцидента.

2.3 руководящий персонал (directing staff):

Примечание — См. раздел 7 и приложение А для получения информации о функциях руководящего персонала.

2.3.1    управляющий (controller): Участник учения, осуществляющий управление частью или всем учением и ответственный за:

-    управление участниками ролевых игр и наблюдателями;

-    координирование импровизированных ответов сторон на вопросы, не предусмотренные сценарием;

-    общее управление учением, включая области здоровья и безопасности.

2.3.2    руководитель учений (director): Участник учений, осуществляющий управление всем учением или его частью и ответственный за:

-    достижение целей учения;

-    начало и остановку учения.

Примечание — В разделе 7 приведена дополнительная информация о роли руководителя учений.

2.3.3    наблюдатель (observer): Участник учения, который наблюдает за определенными сегментами учений по мере их появления, не вмешиваясь в деятельность других участников.

Примечание — Наблюдатели играют ключевую роль в процессе итогового опроса и подготовки отчета по результатам учений. Также используют термин «ВИП-наблюдатели» для наблюдателей, которые обычно посещают учения только на короткое оремя. в основном для целей обеспечения внешней или внутренней связи с общественностью и пиара, и не принимают участия в итоговом опросе. Наблюдатели отличаются от арбитров тем. что они пассивны, в то время как арбитры являются активными учасшиками учений.

2.3.4    ролевой игрок (role-player): Участник учения, по сценарию играющий роль стороны, вовлеченной в реальный инцидент, но не участвующей в учении.

2.3.5    специалист по технике безопасности (safety officer): Участник учения (обычно в режиме реального поведения), который обеспечивает максимально безопасное выполнение всех действий во время учения.

2.3.6    арбитр (umpire): Участник учения, имеющий полномочия вмешиваться в процесс учения и выносить решения по возможным спорам с целью содействия продвижению учений к намеченной цели или задачам.

Примечани е — Арбитров часто используют для оценки задач, которые были заранее определены в проекте учения. Арбитр также может выступать в роли специалиста по технике безопасности.

2.4 типы учений

2.4.1    тренировка (drill): Координируемая, контролируемая деятельность с целью проверки одной установленной операции, процедуры или функции в единственном подразделении организации.

Примечание — См. 5.1 а).

2.4.2    учение (exercise): Запланированная репетиция возможного инцидента, разработанная для оценки способности организации справиться с этим инцидентом и возможности совершенствования ответных мер организации в будущем, а также повышения компетентности вовлеченных сторон.

Примечание — Проверка (см. 2.5 и 5.1) — это особый тип учения, который направлен на выявление пригодности/непригодности элемента по отношению к заданной цели или задаче планируемого учения.

2.4.3    реалистичная игра (live play): Учение, которое, насколько это возможно с точки зрения безопасности. приближено к ожидаемым событиям во время реального инцидента.

2.4.4    групповое учение (seminar (or syndicate) exercise): Учения, в которых участников делят на группы для обсуждения установленных вопросов.

Примечание — См. 5.1 б)

2

P 50.1.096—2014

2.4.5 моделирование (simulation): Учение, в котором группа участников, обычно представляющая центр или команду управления, реагирует на смоделированный инцидент, происходящий в другом месте страны.

Примечание — См. 5.1 г). Иногда этот тип учений называют «учения командного пункта».

2.4    6 настольное учение (table-top exercise): Облегченное учение, в котором участникам дают определенные роли, которые они должны выполнять в группе или индивидуально.

Примечание — См. 5.1 в).

2.5    испытание (test): Проверка, направленная на получение ожидаемого, измеримого результата пригодности/непригодности элемента.

2.6    программа учений (exercise programme): Планируемая серия учений для развития или оценки устойчивости организации.

Примечание — Обычно при проектировании каждого учения учитывают опыт, полученный во время предыдущих учений. Хотя отдельные учения могут иметь различные цели и задачи, общая программа учений предназначена для валидации общей устойчивости организации или программы ответных мер.

2.7    методист (facilitator): Человек, который представляет сценарий семинара или настольного учения участникам и помогает успешно провести учение посредством ненавязчивого направления, помощи в решении проблем и получении обратной связи, при этом сам не участвует в дискуссиях.

2.8    вводная (inject): Определенная информация о сценарии, требующая от участников реакции или принятия решения и содействия ходу учений.

2.9    перечень основных событий (master events list): Перечень вводных учений, которые обычно осуществляют ролевые игроки, иногда содержащий другие материалы, например, письменные вводные или рекомендации по моделированию инцидента.

2.10    участник (player): Человек, участвующий в учении, реагирующий на набор стимулов, создаваемых скриптом учения.

2.11    отчет по результатам учения (post-exercise report): Документ, в котором описано и проанализировано учение и его ход. собраны итоговые опросы и отчеты наблюдателей, и выявлен полученный опыт.

Примечание — См. 8.7.

2.12    сценарий (scenario): Заранее спланированная сюжетная линия, по которой идет развитие учения с целью обеспечения возможности достижения его задач.

2.13    скрипт (script): Описание учения в развитии, позволяющее руководящему персоналу понять, как будут развиваться события по мере введения различных элементов из перечня основных событий.

Примечание — Скрипт обычно пишут в стиле «эссе».

3 Программа менеджмента

В настоящем разделе приведено руководство по установлению программы, способствующей развитию компетентности и уверенности сотрудников посредством обучения и учений.

3.1    Для обеспечения уверенности в пригодности планов и процедур и высокой компетентности, выполняющих их людей, крайне важное значение имеет регулярное проведение учений с привлечением всего персонала, который может участвовать в выполнении ответных мер на инцидент. Такие учения должны подтверждать способность организации к обеспечению непрерывности бизнеса и действиям в нештатных ситуациях. Разовое учение или реальный инцидент вряд ли обеспечат необходимый уровень уверенности. Кроме того, при выборе направления каждого учения важно понимать, что менее требовательный сценарий учения может не обеспечить соответствующий уровень валидации планов. Этот риск должен соответствовать цели и задачам учений.

3.2    Если при выполнении ответных мер задействована вся организация или множество ее филиалов. скорее всего будет обеспечено выполнение ответных действий на разрушительный инцидент. Для обеспечения обоснованного уровня уверенности у всех причастных сторон в том, что организация может успешно справиться с инцидентом, должны быть отработаны ответные меры на него. Однако, поскольку вовлечение всех сотрудников в каждое учение не рационально, желательно разработать программу учений, состоящую из серии небольших учений, направленных на проверку планов или повышающих компетентность сотрудников до проведения комплексных учений (см. 5.1. перечисление д)(.

3.3    Программа учений должна быть разработана для:

а)    прогрессивного повышения компетентности персонала и их уверенности в своих действиях:

б)    испытания конкретных элементов ответных мер на инцидент для проверки их надлежащей работы;

в)    помощи в интеграции отдельных элементов ответных мер в объединенные ответные меры;

г)    идентификации необходимых корректировок в стратегии непрерывности бизнеса или действий в нештатных ситуациях и ответных мерах:

д)    демонстрации выгод организации от инвестиций в проведение учений.

Программа может также быть использована для демонстрации готовности организации к инциденту или событию, нарушающему ее деятельность.

3.4    Программа учений должна быть документирована для обеспечения основы аудита. Программа обучения должна включать:

а)    частоту проведения учений;

б)    область применения программы, включая местоположения, сферы бизнеса, и т. д.;

в)    совокупные риски, которыми управляет программа:

г)    ресурсы, требуемые для эффективного выполнения программы;

д)    компетентность, ответственных за проведение учений и отчетность;

е)    одобрение высшего руководства.

3.5    Каждое отдельное учение должно быть спланировано и проведено в соответствии с комплексной программой. Поэтому, у каждого учения должны быть своя цель, задачи, область применения и ограничения. Результат каждого учения должен информационно подкреплять постоянное улучшение способности организации справляться с инцидентами и событиями, нарушающими ее деятельность (см. также раздел 4).

3.6    Может возникнуть ситуация, когда реальный инцидент или нарушающее событие уже происходили. что может уменьшить или устранить потребность в проведении учения. Такую возможность следует рассматривать с осторожностью, поскольку реальный инцидент или нарушающее событие могут не достигнуть задач планируемого учения и не обеспечить его преимуществ.

3.7    Организация должна использовать руководство, приведенное в разделе 8, для оценки опыта, полученного во время реализации инцидента или нарушающего события, и затем рассмотреть воздействия. если они имеются, на цель и задачи программы учений организации.

4 Планирование учения как проекта

В данном разделе описаны процессы определения целей и задач учений, представления модели бизнеса и создания команды для разработки и проведения учения.

4.1    Определение и установление цели

Следует понять, зачем требуется проведение конкретного учения. Это понимание находится за пределами простого выполнения программы и зависит от определения истинной модели бизнеса для конкретного учения. Такая модель должна идентифицировать выгоды, получаемые в результате проведения учения. Модель должна обеспечить идентификацию цели учения. Именно эта цель будет определять все мероприятия по планированию и процедуры валидации.

Достижение стратегической цели учения может быть главным показателем его успешности. При установлении стратегической цели, которая влияет на действия участвующих персонала или организаций, должен быть использован четкий и лаконичный язык.

4.2    Определение желаемых результатов/установление задач

Задачи учения могут быть выражены в виде определенного количества желаемых результатов. Выбор желаемых результатов учения помогает планированию и определению формы учения. Форма учения должна соответствовать общим целям участвующих организаций.

При установлении задач необходимо помнить, что они должны быть валидированы и использованы для разработки критериев оценки. Поэтому они должны быть конкретными, измеримыми, согласованными, реалистичными и учитывать время.

4.3    Более широкая модель бизнеса

После установления цели и задачи, прежде чем запрашивать разрешение на проведение учения, необходимо сформулировать более широкую модель бизнеса. Такая модель, которую можно представить в виде документа для инициации проекта должна включать:

4

P 50.1.096—2014

а)    оценку бизнес-рисков, связанных с разработкой и проведением учения;

б)    цели и ожидаемые результаты учения;

в)    ожидаемые преимущества от проведения учения;

г)    финансовые ресурсы/ограничения;

д)    организационные ресурсные активы/ограничения, включая человеческие ресурсы;

е)    ресурсы/ограничения времени;

ж)    необходимые обязательства высшего руководства.

4.4    Формирование команды

В случае небольшой организации разработать и провести учение может один человек Для более крупных организаций, или ситуаций с участием множества филиалов, скорее всего, потребуется команда планирования и проведения учения. В этом случае важно, чтобы команда обладала необходимой компетентностью и в нее входили опытные разработчики учений и методисты, что позволяет избежать неблагоприятных результатов. Команда должна иметь поддержку высшего руководства. Команда также должна включать представителей каждого структурного элемента или вида деятельности организации, которые лучше всего подходят для выполнения действий по планированию, относящихся к цели и задачам учения. У команды должен быть доступ к информации или экспертам для обеспечения соответствия, например, требованиям 8 области здоровья и безопасности, законодательным, регулирующим и договорным обязательствам, которые могут возникнуть в результате проведения проверки или учения.

При формировании команды должны быть рассмотрены проблемы и требования членов организации. не входящих в команду планирования. Важно с самого начала работы над проектом взаимодействовать с теми, кто. как ожидают, будет испытывать воздействие, следить или участвовать в учении. Раннее предоставление информации помогает предотвратить слухи и противодействия. Оно также позволяет учесть обоснованные вопросы и опасения людей на стадии планирования.

4.5    Взаимодействие с более широким кругом причастных сторон

Широкое взаимодействие с причастными сторонами, например клиентами, поставщиками и представителями власти и вышестоящих организаций, аварийными службами, группами лоббирования, утвержденными законом органами и агентствами и волонтерскими организациями не менее важно, чем широкое взаимодействие внутри организации. Взаимодействие является основой для;

а)    улучшения взаимодействия: предоставления другим сторонам, с которыми организации, возможно, придется сотрудничать в случае реального инцидента, возможности работать для достижения общей цели;

б)    предоставления возможности «совмещения»: предоставление возможности другим организациям отработать достижение собственных целей и задач при участии в учении;

в)    повышения доверия причастной стороны: уверенность в правильной валидации мероприятий непрерывности бизнеса и действий в нештатных ситуациях возрастает, когда причастная сторона участвует в разработке, поставках и валидации учения или выступает в качестве наблюдателя;

г)    уведомления о проведении учения: уведомление партнеров. СМИ и/или общественности о проведении учений.

4.6    Управление после учения

Необходимо запланировать процедуры и процессы, необходимые для возврата организации и среды, в которой осуществлялось учение, к нормальным условиям работы после окончания учения. Для этого могут потребоваться ресурсы, отличающиеся от тех. что были использованы при проведении учения. однако они должны быть запланированы.

5 Учения

В данном разделе описаны различные методы проведения учений, которые могут быть использованы по одному или в сочетании друг с другом для выполнения программы учений и детализированы параметры. которые необходимо учитывать при выборе лучшего способа достижения целей и задач конкретного учения.

5.1 Типы учений

Существует пять типов учений, которые различаются по сложности планирования, проведения и стоимости.

5

а)    Тренировки

Тренировка (см. 2.4.1) представляет собой проверку конкретных способностей или навыков, связанных с одной установленной операцией, например:

1)    проверка эвакуации при пожаре;

2)    восстановление одного сервера:

3)    проверка системы аварийной связи;

4)    проверка дополнительного режима работы;

5)    демонстрация технических аспектов открытия сайта восстановления.

б)    Групповое учение

В групповом учении (см. 2.4.4) участников делят на управляемые группы. Группы могут быть составлены из людей, представляющих как одну, так и разные области знаний. Участникам представляют ряд вопросов в соответствии со сценарием и дают время на подготовку ответов в пределах каждой группы. После окончания времени получают ответы от каждой группы и устраивают обсуждение между группами для выявления и объединения опыта. Затем происходит дапьнейшее развитие сценария (например, меняется время ипи место), и процесс повторяют.

в)    Настольное учение

Настольное учение (см. 2.4.6) является менее реалистичным учением, которое отличается от группового учения тем. что участникам дают определенные роли, которые они должны играть в группе или индивидуально. Они решают, какие действия и решения необходимы для их ролей в сценарии. Зачастую используют модель или карты/планы определенной местности. В учении могут быть рассмотрены различные периоды времени, и задача методиста состоит в том. чтобы учение развивалось во времени, для этого он может использовать дополнительную вводную информацию и т. д. Эта форма учения позволяет определенной команде отработать свои функции и обязанности при управлении и в условиях инцидента или нарушающего события.

г)    Моделирование

К моделированию (см. 2.4.5) привлекают менеджеров и сотрудников, принимающих ключевые решения в организации или ее частях, и их команды поддержки, которые работают в соответствии со сценарием в установленном месте, которое они должны использовать при работе в условиях инцидента или чрезвычайной ситуации. Информация поступает в пункт управления различными способами, например, от ролевых игроков, действующих в соответствии со скриптом и делающих вводы, или в виде сообщений участвующих команд и отдельных участников. От участников ожидают, что они будут действовать и реагировать на поступающую информацию реалистичным образом. Если фактическое место не может быть использовано для учения, то командный пункт может быть смоделирован. Учение может вовлекать команды разных уровней и в разных местах организации, например, команду управления в условиях инцидента в месте моделируемого события, команды поддержки бизнеса или восстановления в местах расположения затронутых бизнес-единиц и команду кризисного управления бизнесом всей организацией. Этот формат учений предлагает широкий диапазон выбора вариантов учения по стоимости, сложности и завершенности планирования.

е) Реалистичное моделирование

Реалистичное моделирование (см. 2.4.3) развивает опыт, полученный с помощью моделирования и тренировок, вовлекая участников в управление событиями, которые насколько возможно близко моделируют реальный инцидент или чрезвычайную ситуацию. Такое учение является репетицией высшего уровня для проверки готовности организации осуществлять управление в условиях инцидента. Как и в случае с моделированием, она может вовлекать команды разных уровней и в разных местах организации и предоставить возможности для активного участия внешних сторон, таких как аварийные службы. Такое учение является наиболее дорогостоящим и требует много времени.

5.2 Выбор типа учений

При планировании учений необходимо проанализировать все типы учений как набор возможных вариантов. Возможно объединение различных типов учений. Это особенно актуально, если в учении задействованы различные уровни организации. Например, учение может начаться с пожарной эвакуации (тренировка), за которой следует сбор команды кризисного управления для рассмотрения дальнейших действий в качестве начала настольных учений. Учение по восстановлению после нарушений в области IT является сочетанием тренировок (процессов по восстановлению отдельных компонентов) и реалистичного моделирования с целью восстановления интегрированной IT-системы за установленное время для обеспечения восстановления бизнеса.