Р 50.1.096-2014
Группа Т59
РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ
Менеджмент непрерывности бизнеса
РУКОВОДСТВО ПО ПРОВЕДЕНИЮ УЧЕНИЙ И ПРОВЕРКЕ ПЛАНОВ НЕПРЕРЫВНОСТИ БИЗНЕСА
Business continuity management. Guidance on exercising and testing for continuity and contingency programmes
ОКС 03.120.30
Дата введения 2015-12-01
Предисловие
1 РАЗРАБОТАНЫ Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ОАО "НИЦ КД") на основе собственного аутентичного перевода международного стандарта, указанного в разделе 4
2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"
3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 октября 2014 г. N 1297-ст
4 Настоящие рекомендации разработаны с учетом основных нормативных положений национального документа Великобритании PD 25666:2010* "Менеджмент непрерывности бизнеса. Руководство по проведению учений и проверке планов непрерывности бизнеса" (PD 25666:2010 "Business continuity management - Guidance on exercising and testing for continuity and contingency programmes")
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
5 ВВЕДЕНЫ ВПЕРВЫЕ
Информация об изменениях к настоящим рекомендациям публикуется в ежегодном указателе "Руководящие документы, рекомендации и правила", а текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ежемесячном информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
В настоящих рекомендациях приведено руководство по проведению учений с целью проверки программ в области непрерывности бизнеса и действий организации в нештатных ситуациях. Мероприятия для ИТ-систем также входят в область применения настоящих рекомендаций.
________________
ИТ - информационные технологии.
В настоящих рекомендациях приведена структура надлежащей практики для любой организации, которая заинтересована в проведении учений.
Несмотря на то, что у программы в области непрерывности бизнеса и действий в нештатных ситуациях существуют различия, для их проверки можно проводить совместные учения.
Примечание - Использованный в настоящих рекомендациях термин "нештатная ситуация" охватывает понятия аварийной ситуации, кризиса, защиты, безопасности, способности к восстановлению и управления в условиях инцидента. Он также может включать в себя деятельность по восстановлению после аварий в области ИТ.
Учения предоставляют очевидные свидетельства соответствия установленным требованиям в области непрерывности бизнеса и управления в условиях инцидента. Время и ресурсы, затраченные на проверку стратегий МНБ (менеджмента непрерывности бизнеса), с помощью проверки ПНБ (планов непрерывности бизнеса) позволяют установить их пригодность для организации. Не важно, насколько хорошо спроектированными и сильными кажутся стратегии МНБ и ПНБ, только ряд реалистичных учений может выявить области, требующие корректировки.
В настоящих рекомендациях приведено руководство, позволяющее разработать экономичные и эффективные учения.
В настоящих рекомендациях установлены принципы и терминология для проведения учений и приведено руководство по процессам и методам разработки и улучшения способности организации к обеспечению непрерывности бизнеса и действиям в нештатных ситуациях.
Примечание - В настоящих рекомендациях в качестве проверки определен особый тип учений, который направлен на выявление пригодности/непригодности элемента в пределах целей или задач планируемого учения. Соответственно, термин "учение" в настоящих рекомендациях также может относиться к деятельности по проверке.
Целями настоящих рекомендаций являются:
а) предоставление основы для понимания, разработки и выполнения эффективной программы учений в организации;
б) обеспечение уверенности в способности организации проводить учения и проверки с участием внутренних и внешних причастных сторон;
в) помощь организации в совершенствовании и оценке ее способности проводить учения и проверки последовательным, экономичным и продуманным с точки зрения риска способом, отражающим надлежащую практику;
г) поддержка постоянного улучшения программ в области непрерывности бизнеса и управления в нештатных ситуациях.
Настоящие рекомендации предназначены для использования сотрудниками на всех уровнях организации, ответственными за проведение работ или предоставление услуг. Организация может быть общественной, частной, коммерческой или некоммерческой, расположенной в одном месте или представленной по всему миру, иметь небольшой размер или быть очень крупной.
В настоящих рекомендациях применены следующие термины с соответствующими определениями.
2.1 инструктаж (brief): Ознакомление с документами (или устные разъяснения), которые объясняют правила проведения учения его участникам, и/или предоставляют им информацию о сценарии учения.
2.2 итоговый опрос (debrief): Возможность участников учения или реагирования на инцидент рассмотреть и предоставить отзывы о функциональной результативности, эффективности и способности к восстановлению (обычно сразу после окончания учений или инцидента) с целью идентификации полученного опыта и мнения участников, которые обеспечивают возможности для совершенствования.
Примечание - При проведении итогового опроса возможно также проведение дискуссии. Записи о полученном опыте сохраняют. Итоговый опрос сразу после завершения учений также называют "горячим итоговым опросом". Итоговый опрос является важной частью усвоения и передачи опыта, полученного в ходе учения или устранения инцидента.
2.3 руководящий персонал (directing staff):
Примечание - См. раздел 7 и приложение А для получения информации о функциях руководящего персонала.
2.3.1 управляющий (controller): Участник учения, осуществляющий управление частью или всем учением и ответственный за:
- управление участниками ролевых игр и наблюдателями;
- координирование импровизированных ответов сторон на вопросы, не предусмотренные сценарием;
- общее управление учением, включая области здоровья и безопасности.
2.3.2 руководитель учений (director): Участник учений, осуществляющий управление всем учением или его частью и ответственный за:
- достижение целей учения;
- начало и остановку учения.
Примечание - В разделе 7 приведена дополнительная информация о роли руководителя учений.
2.3.3 наблюдатель (observer): Участник учения, который наблюдает за определенными сегментами учений по мере их появления, не вмешиваясь в деятельность других участников.
Примечание - Наблюдатели играют ключевую роль в процессе итогового опроса и подготовки отчета по результатам учений. Также используют термин "ВИП-наблюдатели" для наблюдателей, которые обычно посещают учения только на короткое время, в основном для целей обеспечения внешней или внутренней связи с общественностью и пиара, и не принимают участия в итоговом опросе. Наблюдатели отличаются от арбитров тем, что они пассивны, в то время как арбитры являются активными участниками учений.
2.3.4 ролевой игрок (role-player): Участник учения, по сценарию играющий роль стороны, вовлеченной в реальный инцидент, но не участвующей в учении.
2.3.5 специалист по технике безопасности (safety officer): Участник учения (обычно в режиме реального поведения), который обеспечивает максимально безопасное выполнение всех действий во время учения.
2.3.6 арбитр (umpire): Участник учения, имеющий полномочия вмешиваться в процесс учения и выносить решения по возможным спорам с целью содействия продвижению учений к намеченной цели или задачам.
Примечание - Арбитров часто используют для оценки задач, которые были заранее определены в проекте учения. Арбитр также может выступать в роли специалиста по технике безопасности.
2.4 типы учений
2.4.1 тренировка (drill): Координируемая, контролируемая деятельность с целью проверки одной установленной операции, процедуры или функции в единственном подразделении организации.
Примечание - См. 5.1 а).
2.4.2 учение (exercise): Запланированная репетиция возможного инцидента, разработанная для оценки способности организации справиться с этим инцидентом и возможности совершенствования ответных мер организации в будущем, а также повышения компетентности вовлеченных сторон.
Примечание - Проверка (см. 2.5 и 5.1) - это особый тип учения, который направлен на выявление пригодности/непригодности элемента по отношению к заданной цели или задаче планируемого учения.
2.4.3 реалистичная игра (live play): Учение, которое, насколько это возможно с точки зрения безопасности, приближено к ожидаемым событиям во время реального инцидента.
2.4.4 групповое учение (seminar (or syndicate) exercise): Учения, в которых участников делят на группы для обсуждения установленных вопросов.
Примечание - См. 5.1 б)
2.4.5 моделирование (simulation): Учение, в котором группа участников, обычно представляющая центр или команду управления, реагирует на смоделированный инцидент, происходящий в другом месте страны.
Примечание - См. 5.1 г). Иногда этот тип учений называют "учения командного пункта".
2.4.6 настольное учение (table-top exercise): Облегченное учение, в котором участникам дают определенные роли, которые они должны выполнять в группе или индивидуально.
Примечание - См. 5.1 в).
2.5 испытание (test): Проверка, направленная на получение ожидаемого, измеримого результата пригодности/непригодности элемента.
2.6 программа учений (exercise programme): Планируемая серия учений для развития или оценки устойчивости организации.
Примечание - Обычно при проектировании каждого учения учитывают опыт, полученный во время предыдущих учений. Хотя отдельные учения могут иметь различные цели и задачи, общая программа учений предназначена для валидации общей устойчивости организации или программы ответных мер.
2.7 методист (facilitator): Человек, который представляет сценарий семинара или настольного учения участникам и помогает успешно провести учение посредством ненавязчивого направления, помощи в решении проблем и получении обратной связи, при этом сам не участвует в дискуссиях.
2.8 вводная (inject): Определенная информация о сценарии, требующая от участников реакции или принятия решения и содействия ходу учений.
2.9 перечень основных событий (master events list): Перечень вводных учений, которые обычно осуществляют ролевые игроки, иногда содержащий другие материалы, например, письменные вводные или рекомендации по моделированию инцидента.
2.10 участник (player): Человек, участвующий в учении, реагирующий на набор стимулов, создаваемых скриптом учения.
2.11 отчет по результатам учения (post-exercise report): Документ, в котором описано и проанализировано учение и его ход, собраны итоговые опросы и отчеты наблюдателей, и выявлен полученный опыт.
Примечание - См. 8.7.
2.12 сценарий (scenario): Заранее спланированная сюжетная линия, по которой идет развитие учения с целью обеспечения возможности достижения его задач.
2.13 скрипт (script): Описание учения в развитии, позволяющее руководящему персоналу понять, как будут развиваться события по мере введения различных элементов из перечня основных событий.
Примечание - Скрипт обычно пишут в стиле "эссе".
В настоящем разделе приведено руководство по установлению программы, способствующей развитию компетентности и уверенности сотрудников посредством обучения и учений.
3.1 Для обеспечения уверенности в пригодности планов и процедур и высокой компетентности, выполняющих их людей, крайне важное значение имеет регулярное проведение учений с привлечением всего персонала, который может участвовать в выполнении ответных мер на инцидент. Такие учения должны подтверждать способность организации к обеспечению непрерывности бизнеса и действиям в нештатных ситуациях. Разовое учение или реальный инцидент вряд ли обеспечат необходимый уровень уверенности. Кроме того, при выборе направления каждого учения важно понимать, что менее требовательный сценарий учения может не обеспечить соответствующий уровень валидации планов. Этот риск должен соответствовать цели и задачам учений.
3.2 Если при выполнении ответных мер задействована вся организация или множество ее филиалов, скорее всего будет обеспечено выполнение ответных действий на разрушительный инцидент. Для обеспечения обоснованного уровня уверенности у всех причастных сторон в том, что организация может успешно справиться с инцидентом, должны быть отработаны ответные меры на него. Однако, поскольку вовлечение всех сотрудников в каждое учение не рационально, желательно разработать программу учений, состоящую из серии небольших учений, направленных на проверку планов или повышающих компетентность сотрудников до проведения комплексных учений [см. 5.1, перечисление д)].
3.3 Программа учений должна быть разработана для:
а) прогрессивного повышения компетентности персонала и их уверенности в своих действиях;