ГОСТ Р 53647.1-2009
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА
Часть 1
Практическое руководство
Business continuity management. Part 1. Code of practice
ОКС 03.100.01
Дата введения 2010-12-01
1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. N 998-ст
4 Настоящий стандарт идентичен международному стандарту BS 25999-1:2006 "Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство"* ("Business continuity management - Part 1: Code of practice", IDT)
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Май 2020 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Требования настоящего стандарта следует применять наряду с нормативно-правовыми актами в области обеспечения безопасности, которые имеют обязательную силу на территории Российской Федерации. Нормативно-правовые нормы РФ и обязательные процедуры в области обеспечения безопасности должны быть интегрированы в систему менеджмента непрерывности бизнеса организации. По возможности следует избегать дублирования в документации по обеспечению непрерывности бизнеса действующих документов организации.
В качестве синонимов термина "менеджмент непрерывности бизнеса" часто используют термины "управление непрерывностью бизнеса", "управление непрерывностью деятельности", "управление бесперебойностью работы". Выбор термина зависит от потребностей организации и требований ее причастных сторон.
Настоящий стандарт устанавливает процессы, принципы и терминологию менеджмента непрерывности бизнеса (МНБ). Целью настоящего стандарта является установление основных положений для понимания, разработки и внедрения менеджмента непрерывности бизнеса в организации и обеспечения доверия к продукции или услугам организации со стороны потребителей и партнеров. Стандарт может помочь организации последовательно измерять и оценивать свою способность к обеспечению непрерывности бизнеса.
Настоящий стандарт предназначен для использования специалистами, ответственными за коммерческие операции и/или предоставление услуг, начиная от высшего руководства организации до сотрудников всех уровней; от организаций, работающих на национальных рынках, до транснациональных корпораций; от индивидуальных предпринимателей, организаций малого и среднего бизнеса, до организаций, в которых трудятся тысячи человек. Таким образом, стандарт может быть применен любым лицом, ответственным в организации за любую операцию и обеспечение ее непрерывности.
Настоящий стандарт не может быть использован для планирования действий в чрезвычайной ситуации, поскольку этот вопрос регламентируется соответствующими нормами и правилам МЧС и законодательством РФ в целом.
Примечание - Независимо от затраченных усилий и вложенных инвестиционных ресурсов в менеджмент непрерывности бизнеса, организация все же может столкнуться с непредвиденным инцидентом или комбинацией непредвиденных инцидентов.
В настоящем стандарте применены следующие термины с соответствующими определениями:
2.1 деятельность (activity): Процесс или система процессов, осуществляемых организацией с целью производства одного или более видов продукции, оказания услуг или их поддержки.
Примечание - Примером подобных процессов являются бухгалтерский учет, обеспечение информационных (ИТ) и телекоммуникационных технологий, производство, сбыт.
2.2 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.
2.3 менеджмент непрерывности бизнеса; МНБ (business continuity management; ВСМ): Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействие на деятельность организации, который создает основу для повышения устойчивости организации к инцидентам и направлен на реализацию эффективных ответных мер против них, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность.
Примечание - Менеджмент непрерывности бизнеса включает в себя управление восстановлением или продолжением деятельности организации в случае нарушений в ее работе, а также общей программой обеспечения непрерывности бизнеса организации путем обучения, практического применения и анализа непрерывности бизнеса, разработкой и актуализацией планов непрерывности бизнеса.
2.4 жизненный цикл менеджмента непрерывности бизнеса (business continuity management lifecycle): Совокупность действий по обеспечению непрерывности бизнеса, которые охватывают все аспекты и элементы программы менеджмента непрерывности бизнеса.
Примечание - Этапы жизненного цикла менеджмента непрерывности бизнеса приведены на рисунке 1.
2.5 программа менеджмента непрерывности бизнеса (business continuity management programme): Процесс постоянного менеджмента, поддерживаемый со стороны высшего руководства и обеспечиваемый необходимыми ресурсами, направленный на осуществление необходимых мер по идентификации воздействия потенциальных потерь, поддержку жизнеспособной стратегии непрерывности бизнеса и планов восстановления бизнеса, а также на обеспечение непрерывности производства продукции и оказания услуг путем обучения и проведения учений, внедрения, анализа и поддержания в рабочем состоянии непрерывности бизнеса организации.
2.6 план обеспечения непрерывности бизнеса; ПНБ (business continuity plan; ВСР): Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения организацией выполнения критически важных для нее видов деятельности на установленном приемлемом уровне.
2.7 стратегия непрерывности бизнеса (business continuity strategy): Способы обеспечения непрерывности бизнеса в организации, направленные на восстановление и продолжение ее деятельности в случае инцидентов, вызывающих нарушение в ее работе.
2.8 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на него разрушающих факторов.
2.9 гражданская чрезвычайная (аварийная) ситуация (civil emergency): Событие или ситуация, представляющие серьезную угрозу для благосостояния людей, окружающей среды в конкретной местности и/или безопасности страны в целом.
2.10 последствие (consequence): Результат инцидента, который может повлиять на достижение целей организации.
Примечания
1 Для каждого инцидента должно быть проведено ранжирование последствий.
2 Последствия могут быть определенными и неопределенными, а также могут иметь позитивное или негативное воздействие на достижение целей организации.
2.11 анализ эффективности затрат (cost-benefit analysis): Финансово-экономический метод, применение которого позволяет оценить затраты на МНБ, сопоставить их с полученной от его внедрения выгодой.
Примечание - Выгода может быть определена с позиции финансов, репутации, производства продукции, предоставления услуг, выполнения обязательных требований и т.п.
2.12 критические виды деятельности (critical activities): Виды деятельности организации, которые должны осуществляться для обеспечения поставки ключевой продукции и услуг, позволяющие достигать наиболее важных и первоочередных целей организации.
2.13 нарушение деятельности (организации) (disruption): Невозможность поставки продукции или оказания услуг, установленных в соответствии с целями организации, или перебои в этой деятельности, вызванные ожидаемым (например, забастовка рабочих) или непредвиденным (например, отключение электрической энергии) событием или явлением.
2.14 планирование действий в аварийных ситуациях (emergency planning): Разработка и поддержание в рабочем состоянии согласованных процедур организации, направленных на предупреждение, уменьшение масштабов воздействия, смягчение последствий и принятие других мер в случае возникновения аварийных и/или чрезвычайных ситуаций.
2.15 учения (exercise): Мероприятия, в процессе которых частично или полностью проходит отработка действий (репетиция), предусмотренных планом(ами) обеспечения непрерывности бизнеса, направленные на то, чтобы план(ы) содержал(и) необходимую информацию и при выполнении приводил(и) к запланированным результатам.
Примечание - Учения обычно включают в себя инициирование процедуры непрерывности бизнеса, но чаще объявленную или необъявленную имитацию инцидента нарушения непрерывности бизнеса, в процессе которого участники инсценируют возможную ситуацию с целью оценки потенциальных проблем, связанных с их преодолением до наступления реального инцидента.
2.16 выгоды (gain): Положительные последствия.
2.17 воздействие (impact): Оцененные последствия для конкретного случая.
2.18 инцидент (incident): Ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.
2.19 план управления инцидентом (incident management plan): Точно установленный и документально оформленный план действий, предназначенный для использования при возникновении инцидента, который обычно охватывает вовлеченный персонал, необходимые ресурсы и действия, которые должны быть выполнены в процессе управления инцидентом.
2.20 инициирование работы (invocation): Объявление о приведении в действие плана обеспечения непрерывности бизнеса организации с целью обеспечения бесперебойности поставки ключевой продукции и/или услуг.
2.21 возможность реализации (likelihood): Шансы реализации события, которые определены, измерены и/или оценены объективно или субъективно в терминах общих описаний (маловероятно, вероятно, почти наверняка), частоты или вероятности.
Примечание - Возможность может быть выражена качественно или количественно.
2.22 потери (loss): Негативные последствия.
2.23 максимально приемлемый период нарушения (maximum tolerable period of disruption): Период времени, по истечении которого существует угроза окончательной потери жизнеспособности организации в том случае, если поставка продукции и/или предоставление услуг не будут возобновлены.
2.24 организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.
Пример - Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.
Примечание
1 Распределение обычно является упорядоченным.
2 Организация может быть государственной или частной
[ИСО 9000:2005].
2.25 продукция и услуги (products and services): Результат деятельности организации, который она предоставляет своим потребителям, получателям и причастным сторонам, например промышленные товары, страхование, медицинское обслуживание и др.
2.26 целевой срок восстановления (recovery time objective RTO): Время, запланированное для:
- возобновления производства продукции или оказания услуг после инцидента;
- возобновления деятельности после инцидента;
- восстановления информационной системы и/или прикладных программ после инцидента.
Примечание - Целевой срок восстановления должен быть меньше, чем максимально приемлемый период нарушения.
2.27 устойчивость (resilience): Способность организации противостоять воздействию инцидента.
2.28 риск (risk): Сочетание вероятности события и масштабов его последствий, а также его воздействие на достижение целей организации.
Примечание
1 Термин "риск" обычно используют только тогда, когда существует возможность негативных последствий.
2 В некоторых ситуациях риск обусловлен возможностью отклонения от ожидаемого результата.
3 Применительно к безопасности см. [2].
[ИСО/МЭК Руководство 73:2009].
4 Риск обычно определяют по отношению к конкретной цели, поэтому для нескольких целей существует возможность оценить риск для каждого источника опасности.
5 В качестве количественной оценки риска часто используют сумму произведений последствий на вероятность соответствующего опасного события. Однако для количественной оценки диапазона возможных последствий необходимо знание распределения вероятностей. Кроме того, может быть использовано стандартное отклонение.
2.29 допустимый совокупный риск (risk appetite): Величина совокупного риска, который организация готова допустить или которому готова подвергнуться в любой момент времени.
2.30 оценка риска (risk assessment): Полный процесс идентификации, анализа и сравнительной оценки риска.