Р 50.1.095-2014

Группа Т59

     

РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ

Менеджмент непрерывности бизнеса

РУКОВОДСТВО ПО ОРГАНИЗАЦИИ ВОССТАНОВЛЕНИЯ ПОСЛЕ ИНЦИДЕНТА

Business continuity management. Guidance on organization of recovery following incident

ОКС 03.120.30

Дата введения 2015-12-01

     

Предисловие

1 ПОДГОТОВЛЕНЫ Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ОАО "НИЦ КД") на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 октября 2014 г. N 1297-ст

4 Настоящие рекомендации разработаны с учетом основных нормативных положений национального документа Великобритании PD 25888:2011* "Менеджмент непрерывности бизнеса. Руководство по организации восстановления после инцидента" (PD 25888:2011 "Business continuity management - Guidance on organization recovery following disruptive incidents", NEQ)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕНЫ ВПЕРВЫЕ

Правила применения настоящих рекомендаций установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

В настоящих рекомендациях приведены рекомендации по организации восстановления после инцидента. Рекомендации разработаны в дополнение к ГОСТ Р 53647.1-2009 и ГОСТ Р 53647.2-2009 (см. [1], [2]). Применение рекомендаций позволит организации вернуться к нормальной деятельности или провести реконфигурацию до согласованного стратегического и рабочего состояния после инцидента (или инцидентов).

Управление восстановлением следует проводить с учетом финансовых, правовых, экологических, репутационных и эмоциональных последствий инцидента и последствий деятельности, связанной с восстановлением организации.

Особенности, сложность и масштаб восстановления не могут быть определены до инцидента, следовательно, управление восстановлением должно быть гибким и применимым к широкому диапазону видов риска, характерных для организации и ее рабочей среды.

Некоторые инциденты могут изменить характеристики "нормальной деятельности" организации и ее причастных сторон, поэтому необходимо извлекать уроки из каждого инцидента и пересматривать мероприятия по управлению восстановлением. По этой причине после восстановления система управления восстановлением может работать в условиях новых норм работы. Управление восстановлением должно балансировать между установленными требованиями по восстановлению и возникающими или изменяющимися результатами.

Необходимо, чтобы мероприятия организации по восстановлению были связаны с мероприятиями управления в условиях инцидента и менеджмента непрерывности бизнеса (МНБ). В настоящих рекомендациях предполагается, что в организации уже действует эффективная система МНБ.

     1 Область применения

В настоящих рекомендациях приведено руководство по разработке и выполнению стратегии восстановления организации после инцидента.

Примечание - Успешность восстановления зависит от эффективного выполнения планов управления организацией в условиях инцидента и планов непрерывности бизнеса.

Настоящие рекомендации применимы до, во время и после инцидента, который нарушает способность организации осуществлять поставки продукции и/или выполнять услуги.

Настоящие рекомендации применимы ко всем организациям (или их частям), независимо от типа, размера и вида деятельности. Степень применимости зависит от производственных условий и сложности организации.

     2 Термины и определения

В настоящих рекомендациях применены следующие термины с соответствующими определениями.

2.1 деятельность (activity): Процесс или система процессов, осуществляемых организацией с целью производства одного или нескольких видов продукции, оказания услуг или их поддержки.

Примечание - Примером процессов являются бухгалтерский учет, обеспечение информационных (ИТ) и телекоммуникационных технологий, производство, сбыт.

2.2 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидента и нарушения деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

2.3 менеджмент непрерывности бизнеса; МНБ (business continuity management, ВСМ): Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействия на деятельность организации, который создает основу для повышения устойчивости организации к воздействию инцидентов и направлен на реализацию эффективных ответных мер, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность.

Примечание - Менеджмент непрерывности бизнеса включает в себя управление восстановлением или продолжением деятельности организации в случае нарушений в ее работе, а также общей программой обеспечения непрерывности бизнеса организации путем обучения, практического применения и анализа непрерывности бизнеса, разработкой и актуализацией планов непрерывности бизнеса.

2.4 программа менеджмента непрерывности бизнеса (business continuity management programme): Процесс постоянного менеджмента, поддерживаемый со стороны высшего руководства и обеспечиваемый необходимыми ресурсами, направленный на осуществление необходимых мер по идентификации воздействия возможных потерь, поддержку жизнеспособной стратегии непрерывности бизнеса и планов восстановления бизнеса, а также на обеспечение непрерывности производства продукции и оказания услуг путем обучения и проведения учений, осуществления, анализа и поддержания в рабочем состоянии непрерывности бизнеса организации.

2.5 план обеспечения непрерывности бизнеса (business continuity plan, ВСР) ПНБ: Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения выполнения организацией критически важных для нее видов деятельности на установленном приемлемом уровне.

2.6 стратегия непрерывности бизнеса (business continuity strategy): Способ обеспечения непрерывности бизнеса в организации, направленные на восстановление и продолжение ее деятельности в случае инцидентов, вызывающих нарушение ее работы.

2.7 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на него разрушающих факторов.

2.8 последствие (consequence): Результат воздействия инцидента, который может повлиять на достижение целей организации.

Примечания

1 У каждого инцидента может существовать диапазон возможных последствий.

2 Последствия могут быть определенными и неопределенными, а также могут иметь позитивное или негативное воздействие на достижение целей организации.

2.9 критические виды деятельности (critical activities): Виды деятельности организации, которые должны осуществляться для обеспечения поставки ключевой продукции и услуг и достижения наиболее важных и первоочередных целей организации.

2.10 нарушение деятельности (организации) (disruption): Невозможность поставки продукции или оказания услуг, установленных в соответствии с целями организации, или перебои в этой деятельности, вызванные ожидаемым (например, забастовка рабочих) или непредвиденным (например, отключение электрической энергии) событием или явлением.

2.11 воздействие (impact): Оцененные последствия конкретного результата.

2.12 инцидент (incident): Ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.

2.13 план управления в условиях инцидента (incident management plan): Точно установленный и документально оформленный план действий, предназначенный для использования при возникновении инцидента, который обычно задействует вовлеченный персонал, необходимые ресурсы и действия, которые должны быть выполнены.

2.14 группа управления в условиях инцидента (incident management team, IMT) ГУИ: Группа, ответственная за определение масштаба инцидента и характеристик, контроль ситуации, смягчение воздействий инцидента и обмен информацией с причастными сторонами.

Примечания

1 Эта группа также отвечает за инициирование ответных мер в области непрерывности бизнеса. Ее также иногда называют "группой управления в условиях кризиса".

2 В маленьких организациях ответственность за управление в условиях инцидента и менеджмент непрерывности бизнеса может быть возложена на одного человека. Большие организации могут создавать разные группы, занимающиеся управлением в условиях инцидента, вопросами непрерывности бизнеса и восстановления бизнеса. В некоторых случаях этим группам могут оказывать поддержку другие группы, ответственные за такую деятельность, как взаимодействие с прессой и работа с кадрами.

2.15 инициирование работы (invocation): Объявление о приведении в действие плана обеспечения непрерывности бизнеса организации с целью обеспечения бесперебойности поставки ключевой продукции и/или услуг.

2.16 потери (loss): Негативные последствия.

2.17 организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.

Пример - Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.

Примечания

1 Распределение обычно является упорядоченным.

2 Организация может быть государственной или частной.

2.18 управление восстановлением организации (organization recovery management): Процесс реконструкции, возвращения в исходное состояние и реабилитации организации после инцидента.

Примечание - Восстановление не является одной из ответных мер, но часто совмещено с ними.

2.19 ответные меры (response): Действия, принимаемые в ответ на непосредственное воздействие чрезвычайной ситуации.

2.20 способность к восстановлению (resilience): Способность организации противостоять воздействию инцидента.

2.21 ресурсы (resources): Все активы, персонал, навыки, технологии (включая технологические процессы и оборудование), производственные площади, запасы и информация (на электронном или бумажном носителе), которые должны быть, при необходимости, доступны для использования организацией в текущей деятельности и для достижения поставленных целей.

2.22 риск (risk): Следствие влияния неопределенности на достижение поставленных целей.

_______________

В соответствии с Федеральным законом от 27.12.2002 N 184 "О техническом регулировании" "риск - это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда".

Примечания

1 Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

2 Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т.п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).

2.23 аппетит риска, предпочтительный риск (risk appetite): Общая величина риска, который организация готова принять, перенести или действию которого готова подвергнуться в любой момент времени, и тип риска, предпочтительный для организации.

2.24 оценка риска (risk assessment): Процесс, охватывающий идентификацию риска, анализ риска и сравнительную оценку риска.

2.25 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.

2.26 причастные стороны (stakeholders): Лица, заинтересованные в достижении организацией ее целей.

Примечание - Этот термин охватывает штатных сотрудников и сотрудников сторонних организаций-соисполнителей, потребителей, поставщиков, партнеров, дистрибьюторов, инвесторов, страховщиков, акционеров, собственников, правительство и регулирующие органы.

2.27 высшее руководство (top management): Лицо или группа работников, осуществляющих направление деятельности и управление организацией на высшем уровне.

Примечание - Высшее руководство, особенно в крупной корпорации, не всегда может быть непосредственно вовлечено в менеджмент непрерывности бизнеса, однако в этом случае высшее руководство несет ответственность за установленный в организации порядок соподчиненности. В малой организации высшее руководство может быть владельцем этого процесса.

     3 Связь между управлением восстановлением, управлением в условиях инцидента и менеджментом непрерывности бизнеса

3.1 Обзор

Управление восстановлением - это один из трех элементов [см. перечисления 1)-3)] процесса, с помощью которого организация справляется с воздействиями разрушающего (нарушающего) инцидента, который снижает ее способность осуществлять поставки продукции и/или услуг своим клиентам, заказчикам и/или потребителям; эффективно защищать свой бренд, репутацию и финансовую устойчивость; обеспечивать соблюдение регулирующих и юридических требований.

1) Управление в условиях инцидента используют на начальном этапе инцидента для того, чтобы обезопасить работников и посетителей, принять меры в отношении потерь, сдерживать/ограничивать ущерб для организации, провести оценку ущерба и, при необходимости, привести в действие планы непрерывности бизнеса (ПНБ).

2) Элемент МНБ объединяет мероприятия, которые в установленные сроки обеспечивают возобновление критических видов деятельности и процессов, необходимых для восстановления поставок ключевой продукции и/или услуг и обмена информацией с причастными сторонами.