ГОСТ Р 53647.3-2015

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

Часть 3

Руководство по обеспечению соответствия требованиям ГОСТ Р ИСО 22301

Business continuity management. Part 3. Guidance on meeting the requirements of GOST R ISO 22301

     

ОКС 03.100.01

Дата введения 2016-07-01

Предисловие

1 ПОДГОТОВЛЕН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (АО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 ноября 2015 г. N 1857-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений национального стандарта Великобритании BIP 2142:2012* "Маршрутная карта менеджмента непрерывности бизнеса. Соответствие требованиям ИСО 22301" (BIP 2142:2012 "The route map to business continuity management. Meeting the requirements of ISO 22301", NEQ)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВЗАМЕН ГОСТ P 53647.3-2010

6 ПЕРЕИЗДАНИЕ. Август 2020 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Менеджмент непрерывности деятельности или менеджмент непрерывности бизнеса (МНБ) представляет собой методологию, которая сегодня становится достаточно популярной вследствие различий во внешних условиях, в которых работает организация и в которых организации необходимо найти свое место.

Существуют три основных типа риска, с которыми сталкивается организация:

- риск, который можно идентифицировать, определить его количественные характеристики и спланировать действия по его снижению (например, риск отказа коммунальных сетей, риск возникновения пожара и т/п.);

- риск, воздействие которого не может быть полностью определено (например, пандемия гриппа человека или заболеваний животных);

- непредвиденный риск, который может оказать существенное воздействие на организацию.

В 2007 году Нассим Николас Тэлеб выдвинул понятие "черные лебеди", чтобы описать непредвиденные события, которые поражают организацию внезапно: например, японское землетрясение 2011 года, цунами и последующая авария на ядерном объекте.

При реализации такой риск может вызвать серьезные нарушения в обществе и организациях из-за невозможности доставки продукции и услуг, которые поддерживают экономику и благосостояние общества в целом. Нарушить деятельность организации могут не только крупные аварии. Каждая пятая британская организация раз в год страдает от событий более низкого уровня, таких как массовая заболеваемость персонала, повреждение или утрата техники, отсутствие доступа к официальному сайту организации или потеря ключевого для организации поставщика. Подобные события, как правило, не воздействуют на все общество, но могут привести к нарушению деятельности отдельной организации, влияя на ее денежные потоки, или привести к утрате доверия и ухудшению репутации организации у потребителей. Внедрение МНБ позволяет организации успешнее справляться с такими проблемами независимо от вызвавших их причин и таким образом защищает организацию и, следовательно, общество, которому она служит

В 2003 году Британский институт стандартов (BSI) издал документ PAS 56 "Руководящие указания по менеджменту непрерывности бизнеса", которые объединили передовые практики в МНБ и были приняты многими организациями во всем мире.

В 2006 году PAS 56 был заменен Британским стандартом BS 25999-1, включающим требования МНБ.

В 2012 году был введен стандарт ИСО 22301, устанавливающий новые требования к МНБ. Этот стандарт был дополнен новым ИСО 22313.

Настоящий стандарт обеспечивает помощь организациям по выполнению требований ГОСТ Р ИСО 22301 и основывается на предположении, что организацией уже предприняты некоторые действия по внедрению МНБ.

Понятие непрерывности деятельности (бизнеса) было разработано в середине 1980-х годов как новый способ управления деловыми рисками. Основанием для МНБ явилось то обстоятельство, что ключевой обязанностью руководства организации является обеспечение продолжения деятельности организации всегда и при любых обстоятельствах.

Традиционно планирование деятельности концентрировалось на восстановлении деятельности после аварий (например, таких, как потеря компьютерных данных), поэтому в начале 1970-х годов МНБ был создан для обеспечения быстрого восстановления информационных систем, телекоммуникаций или ликвидации пожара или наводнения. Ответственность за запланированные действия была распределена по различным подразделениям организации. Как правило, это были отделы информационных технологий и отделы безопасности. Планы аварийного восстановления, как правило, разрабатывали на основе уже произошедших инцидентов.

Неожиданные события довольно часто являются результатом деятельности самой организации. У каждой организации существуют слабые места: недостатки информационных систем, использование неофициальных каналов связи, недостаточное обучение операторов, нарушение связей в структуре организации и отклонения от установленных процедур. Экспертиза обычно выявляет, что причиной аварии послужила комбинация нескольких обстоятельств, которые и привели к катастрофе.

МНБ объединяет не только "лечение", но и "профилактику". Это наука не только о том, как справляться с последствиями инцидента, как и когда происходит инцидент, и каким образом предотвращать кризис и его последствия, но также и об установлении традиций организации, которые приводят к быстрому восстановлению и обеспечению непрерывности ее деятельности по поставке ключевой продукции и/или услуг потребителям.

МНБ устанавливает стратегическую структуру работы, обеспечивающую проактивные действия и гибкость организации по отношению ко всем возможным нарушениям. Это не просто ответные меры, выполняемые после реализации инцидента. МНБ требует планирования действий во многих аспектах организации. Устойчивость организации к разного рода воздействиям зависит в равной степени как от руководства и персонала, так и от технологий и технических средств. При разработке программ МНБ важно применять интегрированный подход.

МНБ способен предупреждать о том, что может пойти не так, и обеспечивать проведение заранее запланированных и отрепетированных действий для защиты деятельности, следовательно, удовлетворять потребности и ожидания заинтересованных сторон. Это поддерживает доверие к руководству и уверенность в том, что оно способно обеспечивать работу организации в условиях кризиса и предотвращать масштабные последствия, таким образом защищая бренд, репутацию и имидж организации. МНБ уходит от простого восстановления после бедствия к установлению традиций предотвращения появления отказов и кризисов.

Выгода МНБ

Внедрение МНБ может принести реальную выгоду организации не только в части выполнения нормативных и законодательных требований.

Организация обладает конкурентоспособным преимуществом, если она демонстрирует потенциальным потребителям способность поставлять продукцию в условиях кризисов и разрушительных инцидентов. Внедрение требований ГОСТ Р ИСО 22301 может быть частью маркетингового плана по привлечению новых потребителей или в качестве мотивационного фактора для возобновления контрактов со "старыми" потребителями.

Разностороннее совершенствование организации и устранение слабых мест ведут ее к получению финансовой выгоды. Дублирование действий и бездействие ведут к потере времени и ресурсов. Любой отказ, в том числе не приведший к разрушительным последствиям, увеличивает расходы организации.

Кроме того, наличие эффективного МНБ может мотивировать страховые компании на увеличение страховой суммы и/или уменьшение взимаемых страховых взносов.

Одна из самых больших угроз для организации во время сбоя работы - прерывание потока наличных денег При возобновлении поставки ключевых продуктов и услуг эффективный МНБ способствует поддержанию денежного потока.

     1 Область применения

1.1 Общие положения

Настоящий стандарт содержит руководящие указания по внедрению системы менеджмента непрерывности бизнеса в организации. Целью настоящего стандарта является обеспечение организации дополнительной информацией для понимания, разработки и внедрения, анализа и постоянного улучшения деятельности организации на основе стандартов серии ГОСТ Р 53647.

В основу настоящего стандарта положен опыт внедрения системы менеджмента непрерывности бизнеса (МНБ) организациями различных направлений деятельности.

Настоящий стандарт предназначен для организаций всех размеров и форм собственности и специалистов, ответственных за обеспечение непрерывности бизнеса организации.

В область применения настоящего стандарта не входит планирование действий в чрезвычайных и других ситуациях, относящихся к области гражданской обороны и сфере действий МЧС.

Основные принципы МНБ для организации финансовой сферы деятельности приведены в приложении А.

Принимая стандартный подход к МНБ, установленный в ГОСТ Р ИСО 22301, организация может предоставить потребителям ее продукции серьезные гарантии по обеспечению непрерывности деятельности в случае непредвиденных обстоятельств.

1.2 Внедрение ГОСТ Р ИСО 22301

В ГОСТ Р ИСО 22301 установлены требования к разработке и применению эффективной системы менеджмента непрерывности бизнеса (СМНБ). Стандарт может быть использован внутренними и внешними сторонами, включая органы по сертификации, исследующие соответствие организации законодательным и обязательным требованиям, а также требованиям потребителей и собственным требованиям организации.

В ГОСТ Р ИСО 22301 приведены только те требования, соответствие которым может быть установлено в ходе аудита. Демонстрация выполнения требований может быть использована организацией для обеспечения уверенности заинтересованных сторон в успешном внедрении СМНБ в организации.

В ГОСТ Р ИСО 22313 приведены руководящие указания по методам обеспечения эффективности МНБ. Организация может использовать настоящий стандарт полностью или его часть для самооценки или для оценки другими организациями. ГОСТ Р ИСО 22313 не может быть использован для сертификации СМНБ. В ГОСТ Р ИСО 22301 рассматривается также методология PDCA.

1.3 Подход PDCA

Методология PDCA ("планирование - осуществление - проверка - действие") основана на исследованиях Вальтера Шухарта, который в 1930-х годах в США занимался статистическим управлением процессами. Результаты работ Шухарта в 1950-х годах были развиты известным специалистом в области качества Эдвардсом Демингом и были применены для непрерывного улучшения систем менеджмента. На рисунке 1 представлен цикл Шухарта-Деминга.

Рисунок 1 - Цикл Шухарта-Деминга

На рисунке 2 показано, как цикл PDCA может быть применен к системам менеджмента непрерывности бизнеса в соответствии с ГОСТ Р ИСО 22301. Применение цикла PDCA приводит к достижению запланированных результатов в области непрерывности бизнеса, которые отвечают требованиям и ожиданиям заинтересованных сторон.

Рисунок 2 - Применение цикла PDCA к процессам МНБ

Соотношение элементов цикла PDCA и МНБ:

Поскольку МНБ является относительно новой методологией, как правило, ее вводят достаточно развитые организации. Подход PDCA, использованный в ГОСТ Р ИСО 22301, обеспечивает согласованность этого стандарта с другими стандартами системы менеджмента. Если у организации уже имеется система менеджмента, разумно основывать создание СМНБ на тех же структурах, формируя в некоторых случаях интегрированную систему менеджмента.

На рисунке 3 представлена схема жизненного цикла МНБ.

Рисунок 3 - Жизненный цикл МНБ

Общепризнано, что подход PDCA может быть применен к каждому элементу жизненного цикла МНБ, но в настоящем документе был использован нижеследующий подход.

Рисунок 3 представлен в виде колеса МНБ. Центр колеса (управление программой МНБ) и шина (внедрение МНБ в традиции организации) являются элементами, связанными с элементами "планирование, проверка и действие" в цикле PDCA. Спицы колеса (понимание особенностей организации, определение стратегии МНБ, разработка и выполнение ответных мер МНБ, контроль и испытания) относятся к элементу цикла PDCA "осуществление".

1.4 Планирование СМНБ

В основе жизненного цикла МНБ лежит управление программой МНБ. В отличие от управления проектом, в котором существуют начало и конец разработки, МНБ является непрерывным процессом, поэтому управление программой МНБ следует рассматривать как программу действий по обеспечению своевременности и релевантности СМНБ и гарантии ее существования в организации.