ГОСТ Р ИСО 22313-2021. Национальный стандарт Российской Федерации. Надежность в технике. Системы менеджмента непрерывности деятельности. Руководство
8 Функционирование
8.1 Оперативное планирование и управление
8.1.1 Общие положения
Организация должна определить, планировать, внедрить и поддерживать процессы, необходимые для создания и поддержания менеджмента непрерывности деятельности, отвечающего применимым требованиям (см. раздел 4), и осуществлять действия, определенные в 6.1.
Данные процессы должны быть интегрированы в бизнес-процессы организации, чтобы обеспечить надлежащее управление ими и поддержку их результативности.
Организация должна создать механизмы управления, которые включают в себя:
a) принятие решения о том, как данные процессы должны быть определены, спланированы, внедрены и управляться (например, путем разработки плана внедрения и согласования подходящих методов внедрения и поддержки менеджмента непрерывности деятельности);
b) обеспечение управления данными процессами в соответствии с принятыми решениями, например, путем установления контрольных точек проекта и определения требуемых результатов;
c) хранение документированной информации для демонстрации того, что процессы были выполнены в соответствии с планом.
Организация должна обеспечить управление планируемыми изменениями, анализ непреднамеренных изменений и принятие соответствующих мер.
Организация должна обеспечить управление процессами аутсорсинга и цепочки поставок (см. 8.3.4.9).
8.1.2 Менеджмент непрерывности деятельности
Элементы менеджмента непрерывности деятельности, как показано на рисунке 5, включают:
a) оперативное планирование и управление (см. 8.1): эффективное оперативное планирование и управление лежат в основе менеджмента непрерывности деятельности. Руководство этой деятельностью должно осуществлять ответственное лицо (представитель), назначенное высшим руководством;
b) анализ воздействий на деятельность и оценка риска (см. 8.2): анализ воздействий на деятельность позволяет организации оценить влияние, которое нарушение деятельности может оказать на поставку ее продукции и услуг, что позволяет организации расставить приоритетность возобновления деятельности.
Рисунок 5 - Элементы менеджмента непрерывности деятельности
Понимание риска нарушения этих приоритетных видов деятельности позволяет организации управлять ими.
Результаты анализа воздействий на деятельность и оценки риска позволяют организации определить соответствующие параметры стратегий и решений по обеспечению непрерывности деятельности;
c) стратегии и решения обеспечения непрерывности деятельности (см. 8.3): идентификация и оценка стратегий обеспечения непрерывности деятельности позволяют организации принять решения для снижения риска и смягчения последствий нарушений приоритетных видов деятельности и устранения возникающих нарушений деятельности. Выбранные решения по обеспечению непрерывности деятельности обеспечат возобновление поставок продукции и услуг на приемлемом уровне (производства или обслуживания) и в согласованные сроки;
d) планы и процедуры обеспечения непрерывности деятельности (см. 8.4): планы и процедуры обеспечения непрерывности деятельности позволяют организации управлять нарушениями и продолжать деятельность на основе своих требований к обеспечению непрерывности деятельности. Организация должна установить структуру реагирования группы (команды) управления, ответственных за реагирование на нарушения (см. 8.4.2). Организация должна разработать и внедрить планы и процедуры предупреждения и обмена информацией (см. 8.4.3), реагирования на инциденты (см. 8.4.4.2.2) и восстановления (возвращения к работе в обычном режиме) (см. 8.4.5);
e) программу учений (см. 8.5); программа учений позволяет организации проверить эффективность принятых решений, планов и процедур. Программа учений также позволяет организации:
1) содействовать повышению осведомленности персонала и развитию его компетентности,
2) обеспечивать полноту, актуальность и соответствие требованиям планов и процедур обеспечения непрерывности деятельности,
3) улучшать непрерывности своей деятельности;
f) оценку документации и возможностей обеспечения непрерывности деятельности (см. 8.6); организация должна оценить менеджмент непрерывности деятельности, чтобы убедиться в его результативности и способности организации достичь своих целей в области непрерывности деятельности.
8.1.3 Поддержка непрерывности деятельности
Результативная и эффективная поддержка непрерывности деятельности включает в себя:
- обеспечение постоянной актуальности области применения, ролей и обязанностей для обеспечения непрерывности деятельности;
- содействие и внедрение менеджмента непрерывности деятельности в организации и, при необходимости, у заинтересованных сторон;
- управление затратами, связанными с непрерывностью деятельности;
- установление и мониторинг процедур управления изменениями и управления преемственностью в рамках СМНД;
- организацию или обеспечение соответствующей подготовки и повышения осведомленности персонала;
- ведение документации по программе, соответствующей размерам и сложности организации.
Каждый компонент системы обеспечения непрерывности деятельности организации, включая документацию, необходимо регулярно пересматривать, внедрять и обновлять через запланированные интервалы времени. Данные процедуры также должны быть пересмотрены и обновлены всякий раз при значительных изменениях в оперативной среде, структуре, местах расположения, персонале, процессах или технологиях организации или при выявлении значительных недостатков и упущений на учениях или в процессе инцидентов.
Организация может применить признанный метод управления проектами для обеспечения результативного и эффективного менеджмента непрерывности деятельности.
Методы обеспечения результативности непрерывности деятельности включают в себя:
- внедрение передовой практики;
- управление программой учений;
- координацию регулярного анализа и обновления системы менеджмента непрерывности деятельности, включая пересмотр или переработку анализа воздействий на деятельность и оценку риска;
- обеспечение соответствия процедур обеспечения непрерывности деятельности потребностям групп реагирования.
8.2 Анализ воздействия на деятельность и оценка риска
8.2.1 Общие положения
Организация достигает своей цели, если поставляет свою продукцию и услуги потребителям. Поэтому важно создать понимание того негативного воздействия, которое стечением времени будет иметь нарушение поставок этой продукции и услуг (и деятельности, которая их поддерживает) на организацию и заинтересованные стороны. Также важно понимать взаимосвязь потребностей в ресурсах для деятельности, поддерживающей продукцию и услуги, и угроз для них.
Организация должна внедрять и поддерживать процессы, которые обеспечивают систематический анализ воздействий на деятельность (см. 8.2.2) и оценку риска нарушений деятельности (см. 8.2.3), результаты которых позволяют организации определять стратегии и решения обеспечения непрерывности деятельности (см. 8.3). Анализ воздействий на деятельность и оценка риска должны быть пересмотрены через запланированные интервалы времени и при наличии существенных изменений внутри организации или в среде, в которой она работает.
Именно организация должна определить порядок проведения анализа воздействий на деятельность и оценки риска для приоритетных видов деятельности (см. 8.2.3).
8.2.2 Анализ воздействий на деятельность
Анализ воздействий на деятельность позволяет организации определить приоритеты для возобновления прерванной деятельности. Основная цель данного анализа состоит в том, чтобы организация могла определить и классифицировать приоритетные виды деятельности, которые могут потребовать срочных действий, если они были прерваны, поскольку неспособность быстро возобновить их может привести к неприемлемым уровням неблагоприятных последствий. При этом деятельность, которая не требует быстрого восстановления, тоже может нуждаться в признании ее приоритетной. Например, деятельность, которую не нужно возобновлять в течение шести месяцев, но для возобновления которой потребуется как минимум восемь месяцев, должна быть приоритетной. Таким образом, приоритетные виды деятельности также могут быть рассмотрены как виды деятельности, которые могут потребовать внедрения решений по обеспечению непрерывности деятельности до того, как они будут нарушены (см. 8.3.5).
В настоящем стандарте использован термин "приоритетный вид деятельности", но организации могут использовать свои собственные термины, временные периоды или порядок расстановки приоритетов. Примеры терминов включают "критический", "существенный", "жизненно важный" и "ключевой". Примеры периодов времени включают "0 - 2 ч", "0 - 1 день" и "1 - 3 дня". Примеры приоритетов включают "высокий", "средний" и "низкий" или "1-й", "2-й" и "3-й".
Каждая организация может описать свою работу по-своему. Например, организация может описывать деятельность как задачи или наборы задач, которые организация выполняет для того, чтобы произвести или доставить свою продукцию и услуги (см. рисунок 6). Другие организации, возможно, могут описать продукцию и услуги как результат процессов, которые состоят из видов деятельности.
Анализ должен охватывать все виды деятельности, входящие в область применения СМНД. Допустимо проводить анализ по группам видов деятельности, например, относящихся к конкретным продукции и услугам (см. рисунок 6).
Рисунок 6 - Понимание организации
При проведении анализа воздействий на деятельность используемая терминология должна отражать то, как организация описывает свои собственные операции.
ISO/TS 22317 содержит дополнительные рекомендации по проведению анализа воздействий на деятельность. Данный документ содержит поэтапный подход как способ удовлетворения требований ИСО 22301.
Анализ воздействий на деятельность позволяет организации определить неблагоприятные последствия нарушений деятельности и подготовить, в качестве выходных данных, установку и обоснование требований к непрерывности деятельности.
Анализ также позволяет организации:
- получить представление о своих продукции и услугах, а также о связанной с ними деятельности;
- расставить приоритеты и определить сроки возобновления поставок продукции и услуг;
- определить ресурсы, которые могут быть необходимы для обеспечения непрерывности и восстановления;
- выявить взаимозависимости (как внутренние, так и внешние).
Процесс анализа воздействий на деятельность должен быть использован для расстановки приоритетов и установления обеспечения непрерывности деятельности.
Данный процесс должен включать в себя определение критериев оценки для анализа воздействий на деятельность, включая виды воздействия и временные рамки, которые должны быть рассмотрены. И то, и другое должно быть основано на области применения, целях и задачах деятельности организации и учитывать потребности заинтересованных сторон. Критерии оценки должны быть пересмотрены через запланированные интервалы времени и в периоды изменений.
Типы воздействия (которые можно назвать "категориями воздействий") могут включать себя, например, следующие (см. таблицу 4).
Таблица 4
Примеры видов воздействий
Тип | Описание |
Финансовый | Убытки из-за штрафов, пени, упущенной выгоды или уменьшения доли рынка |
Репутационный | Отрицательные отзывы или абсолютное снижение уровня репутации |
Оперативный | Сильное и продолжительное нарушение деятельности или сбой в выполнении операции |
Нормативно-правовая база | Судебная ответственность и отзыв лицензии |
Договорной | Нарушение договоров или обязательств между организациями |
Коммерческий | Неспособность достичь поставленных целей или воспользоваться возможностями |
Время, необходимое для того, чтобы воздействие стало неприемлемым, может варьироваться от нескольких секунд до нескольких месяцев. Временные рамки будут зависеть от чувствительности к времени продукции и услуг организации. Например, для размещения продукции, которая очень чувствительна ко времени, временные рамки могут составлять минуты или часы. Более длительные временные рамки уместны для организаций с менее чувствительными к срокам поставки продукции и услугам.
Нарушение деятельности может привести к косвенному воздействию на поставку продукции и услуги. Например, утрата платежеспособности поставщиков может нанести ущерб репутации организации и привести к тому, что поставщики откажутся поставлять товары, что в свою очередь помешает производству продукции или оказанию услуг. Товары и услуги также имеют ежедневные колебания спроса, которые могут носить циклический характер. Часто существуют сезонные колебания и более высокие уровни активности, связанные с еженедельными, ежемесячными или годовыми циклами или сроками реализации проекта. Учет косвенных последствий и предположение о том, что нарушение происходит в наихудшее время, обеспечивают оценку максимально возможных последствий.
Именно высшее руководство организации определяет пороги воздействий, которые являются неприемлемыми для организации. Время, необходимое для того, чтобы воздействие стало неприемлемым, можно назвать "максимально допустимым периодом прерывания деятельности (MTPD)", "максимально допустимым периодом" или "максимально допустимым отключением". Минимальный уровень продукции или услуги, приемлемый для организации, может быть выражен как "минимальная цель обеспечения непрерывности деятельности (MBCO)".
Анализ воздействий на деятельность должен также включать в себя определение зависимости приоритетных видов деятельности, что позволит организации учесть результаты данного анализа при оценке риска (см. 8.2.3) и определении стратегии и решений обеспечения непрерывности деятельности (см. 8.3).
Организация должна с осторожностью подходить к определению потребностей в ресурсах для поддержания приоритетных видов деятельности (см. 8.3.4) перед принятием решений по обеспечению непрерывности деятельности (см. 8.3.3), поскольку зависимости приоритетных видов деятельности могут не иметь отношения к принятым решениям по обеспечению непрерывности.
Процесс анализа воздействий на деятельность должен включать:
a) определение критериев оценки, имеющих отношение к области применения организации, включая:
1) виды воздействий;
2) сроки;
b) определение видов деятельности, способствующих поставке продукции и услуг организации;
c) использование критериев для оценки ожидаемого воздействия стечением времени в результате нарушения данного вида деятельности;
d) оценка продолжительности времени, в течение которого последствия отказа от возобновления деятельности станут неприемлемыми;
e) установление временных рамок в пределах времени, указанного выше в перечислении d), для возобновления деятельности в указанные сроки на минимально допустимом уровне мощности (см. рисунки 2 и 3);
f) определение приоритетных видов деятельности;
g) выявление зависимостей из наиболее приоритетных направлений деятельности, в том числе и людей (см. 8.3.4.2), информации и данных (см. 8.3.4.3), физической инфраструктуры: зданий, рабочих мест или других объектов и связанного оборудования (см. 8.3.4.4), оборудования и расходных материалов (см. 8.3.4.5), системы информационно-коммуникационных технологий (см. 8.3.4.6), транспорта и логистики (см. 8.3.4.7), финансов (см. 8.3.4.8), партнеров и поставщиков (см. 8.3.4.9);
h) выявление взаимозависимости приоритетных видов деятельности (например, закупки зависят от финансирования и высвобождения средств).
В настоящем стандарте продолжительность времени для возобновления деятельности [см. e) выше] называют "целевой продолжительностью восстановления (RTO)". При определении RTO целесообразно учесть:
- зависимости от сопутствующих видов деятельности;
- сложность процесса восстановления.
Для организаций со сложными процессами восстановления целесообразно установить несколько RTO для диапазона приемлемых мощностей.
При рассмотрении зависимости деятельности от информации и данных организация должна обеспечить актуальность информации и данных, необходимых для возобновления деятельности. Для достижения данной цели организация может использовать термин "цель точки восстановления (RPO)". RPO - это точка, до которой восстанавливают используемые информацию и данные, чтобы продолжить работать после возобновления деятельности. RPO также можно использовать для определения частоты резервного копирования, необходимой для предупреждения недопустимой потери данных и информации, а также для определения других незавершенных работ, которые могут помешать возобновлению деятельности.
ИСО/МЭК 27031 содержит дополнительные рекомендации в отношении обеспечения необходимых текущих данных. ИСО/МЭК 27002 содержит рекомендации по обеспечению постоянной конфиденциальности, целостности и доступности данных.
Анализ воздействий на деятельность должен быть документирован, включая:
- определение законодательных, обязательных и договорных требований (обязательств) и их влияния на требования непрерывности деятельности (см. 4.2.2);
- одобрение или изменение области применения СМНД организации (см. 4.3);
- оценку воздействий на организацию с течением времени как обоснование требований обеспечения непрерывности деятельности (время и возможности);
- выявление взаимосвязей между продукцией и услугами, видами деятельности и ресурсами;
- определение вспомогательных ресурсов, от которых зависят приоритетные виды деятельности;
- выявление зависимостей от других видов деятельности, цепочек поставок, поставщиков, партнеров и других заинтересованных сторон.
Информация может быть получена из следующих источников:
- интервью;
- рассылка вопросников;
- воркшопы;
- другие внутренние и внешние источники.
8.2.3 Оценка риска
Примечание - Руководство в данном пункте относят к риску нарушений (срыва) приоритетных видов деятельности. Руководство, связанное с оценкой эффективности показателей СМНД, приведено в 6.1.
Цель оценки риска состоит в том, чтобы организация могла оценить риск нарушений приоритетных видов деятельности для того, чтобы принять соответствующие меры для снижения данного риска.
Организация должна внедрить и поддерживать формальный процесс оценки риска, который позволяет систематически выявлять, анализировать и оценивать риск нарушения приоритетных видов деятельности организации и процессов, систем, информации, людей, активов, поставщиков и других ресурсов, которые их поддерживают.
Оценка риска - это структурированный процесс анализа риска с точки зрения вероятности и последствий, который проводят прежде, чем принимают решение о дальнейшей обработке риска. Данный структурированный процесс помогает ответить на некоторые фундаментальные вопросы:
- Что может случиться?
- Какова вероятность того, что это произойдет?
- Какие могут быть последствия?
- Есть ли что-нибудь, что могло бы смягчить последствия или уменьшить их вероятность?
Данный процесс должен учитывать область применения в организации, а также потребности и ожидания заинтересованных сторон (см. 4.1 и 4.2).
Организация должна понимать угрозы и уязвимости, относящиеся к ресурсам, необходимым для деятельности организации, особенно к:
- ресурсам, необходимым для осуществления мероприятий, определенных в качестве высокоприоритетных;
- ситуации, если продолжительность времени замены ресурса больше, чем целевое время восстановления деятельности.
Организация должна выбрать соответствующий метод идентификации, анализа и оценки риска нарушений деятельности, или деятельности и условий, которые могут к ним привести. ИСО 31000 устанавливает принципы менеджмента риска и связанные с ними руководящие принципы. Типичные элементы, которые должны быть учтены при реализации настоящего стандарта, включают в себя следующие:
a) идентификация риска: потенциальные источники риска для приоритетных видов деятельности организации и процессов, систем, данных, людей, активов, поставщиков и других ресурсов, которые их поддерживают. При этом исходят из:
1) конкретных угроз (опасностей), которые могут в какой-то момент нарушить деятельность и ресурсы (например, пожар, наводнение, сбой питания, потеря персонала, прогулы персонала, компьютерные вирусы, отказ оборудования);
2) нарушений, которые могут возникнуть из-за уязвимостей внутри ресурсов (например, отдельные точки неисправности, недостатки в противопожарной защите, отсутствие электрической устойчивости, недостаточный штат сотрудников, плохая ИТ-безопасность и устойчивость);
b) анализ риска: понимание риска таким образом, чтобы его можно было оценить и определить наиболее подходящие способы его обработки, включая:
1) рассмотрение причин и источников риска, вероятности как положительных, так и отрицательных последствий, а также влияния других факторов на вероятность;
2) определение риска исходя прежде всего из его вероятности и ожидаемых последствий, но также с учетом эффективности и действенности существующих средств и методов управления.
Ключевым параметром анализа является вероятность, поэтому уверенность в ее достоверности (основанная на экспертной оценке, неопределенности, наличии, качестве, количестве и постоянной актуальности информации или ограничениях при моделировании) должна быть рассмотрена и доведена до сведения лиц, принимающих решения, и других заинтересованных сторон.
Анализ может быть качественным, полуколичественным или количественным;
c) оценка риска: оценка того, какой риск, связанный с нарушением, требует обработки. При этом необходимо сосредоточиться на ресурсах, необходимых для деятельности с высоким приоритетом или со значительным временем выполнения заказа.
Организация должна быть осведомлена обо всех финансовых, законодательных и/или обязательных требованиях, которые могут потребовать соответствующего обмена информацией. Кроме того, в некоторых случаях уровень детализации информации может значительно отличаться.
8.3 Стратегии и решения обеспечения непрерывности деятельности
8.3.1 Общие положения
Стратегии обеспечения непрерывности деятельности - это возможные способы удовлетворения организацией своих требований к непрерывности деятельности.
Стратегии обеспечения непрерывности деятельности должны состоять, по крайней мере, из одного решения по обеспечению непрерывности деятельности, но могут потребовать более одного решения для удовлетворения требований обеспечения непрерывности деятельности.
Решения по обеспечению непрерывности деятельности включают в себя подходы, механизмы, методы, процедуры, процессы и действия, которые могут быть применены для реализации стратегий деятельности. Решения могут быть использованы для более чем одной стратегии.
Стратегии и решения обеспечения непрерывности деятельности:
a) дать возможность организации возобновить виды деятельности в требуемые сроки и с приемлемой производительностью;
b) определить возможности, которые организация может реализовать и усовершенствовать с течением времени для снижения риска, связанного с нарушением деятельности.
Определение стратегий обеспечения непрерывности деятельности и выбор решений по обеспечению непрерывности деятельности должны быть основаны на анализе воздействий на деятельность (см. 8.2.2) и оценке риска (см. 8.2.3) с учетом связанных с этим затрат.
Организация должна установить процедуры определения и выбора стратегий и решений обеспечения непрерывности деятельности, включая рассмотрение и утверждение рекомендуемых решений. Организация должна рассмотреть варианты, которые могут быть реализованы до, во время и после нарушения деятельности.
8.3.2 Идентификация стратегий и решений
8.3.2.1 Общие положения
Большинство стратегий требуют принятия одного или нескольких решений, но для некоторых видов деятельности организации приемлемыми стратегиями могут быть бездействие или отсрочка возобновления.
Например, стратегия переезда для возобновления деятельности может состоять из ряда решений, включая "экстренный транспорт", "перенаправление сети" и "альтернативный персонал". Данные решения также могут стать частью стратегии "продления рабочего времени".
Аналогичным образом производственная стратегия защиты приоритетных видов деятельности может, например, состоять из ряда решений, включая "перемещение производства 30% продукта A из местоположения A в местоположение B" или "разделение производства продукта A между местоположением C и местоположением D".
Для обеспечения того, чтобы выполнение планов обеспечения непрерывности деятельности (см. 8.4.4) не зависело от нарушений деятельности, организации, возможно, потребуется принять меры предосторожности, например разделить команды и восстановленные системы ИКТ по нескольким местоположениям. Полное разделение не всегда достижимо, и может возникнуть необходимость выявить ограничения и согласовать их с высшим руководством. Ограничения могут быть выражены в терминах расстояния или минимального числа персонала и могут зависеть от реакции государственных органов на серьезные или широко распространенные нарушения.
Организация должна определить соответствующие стратегии и решения для:
- защиты приоритетных видов деятельности;
- стабилизации, продолжения, возобновления и восстановления приоритетных видов деятельности;
- смягчения последствий, реагирования на них и управления ими.
Организация должна установить механизм определения и выбора стратегий и решений обеспечения непрерывности деятельности, включая утверждение и внедрение рекомендуемых решений (см. 8.3).
ISO/TS 22331 содержит дополнительные рекомендации по определению и выбору стратегий и решений обеспечения непрерывности деятельности.
8.3.2.2 Защита приоритетных видов деятельности
Защита приоритетных видов деятельности может быть достигнута путем:
- снижения риска воздействия нарушений на деятельность;
- передачи деятельности третьей стороне (хотя ответственность продолжает нести организация).
В качестве альтернативы можно изменить способ ведения деятельности, если существуют жизнеспособные альтернативы.
При определении стратегий и решений для защиты приоритетных видов деятельности организации следует учесть:
- предполагаемую уязвимость деятельности и последствия, которые могут возникнуть в случае ее прекращения;
- стоимость мероприятий по сравнению с ожидаемыми выгодами;
- срочность деятельности, так как времени на решение вопроса будет меньше;
- общую осуществимость и пригодность стратегий и решений.
8.3.2.3 Стабилизация, продолжение, возобновление и восстановление приоритетных видов деятельности
Установление RTO для возобновления приоритетной деятельности на согласованном уровне производительности позволяет организации определить стратегии сокращения периода нарушения, снижения воздействий и обеспечения своевременного восстановления приоритетной деятельности.
Для того чтобы обеспечить возобновление приоритетной деятельности в рамках их RTO, совместимые RTO также должны быть установлены для зависимых видов деятельности и вспомогательных ресурсов. Организация также должна определить свои возможности при восстановлении зависимых видов деятельности и вспомогательных ресурсов. При установлении RTO организации, возможно, следует рассмотреть:
- возможность предоставления другой услуги до момента полного возобновления;
- обеспечение эффективной мобилизации людей;
- обеспечение поощрения и поддержки людей, возвращающихся на работу в трудную минуту;
- обходные пути (например, ручные процессы), которые откладывают необходимость возобновления зависимости от вспомогательных ресурсов;
- отставание и время, необходимое для восстановления потерянной информации;
- сложность и масштаб требований к восстановлению или потребность в специализированном оборудовании с длительным сроком выполнения заказа.
Стратегии обеспечения непрерывности деятельности могут включать следующее:
a) перемещение деятельности: передача некоторых или всех видов деятельности либо внутри организации другой части организации, либо внешней третьей стороне, независимой от организации или на основе соглашения о взаимной помощи. При определении мест, в которых следует возобновить деятельность, следует учитывать поврежденные/затронутые участки и неповрежденные альтернативные участки;
b) перемещение или перераспределение ресурсов: ресурсы, включая персонал, переводят в другое место (внутри организации или внешней третьей стороне);
c) альтернативные процессы и резервные мощности: создание альтернативных процессов или создание избыточных/резервных мощностей в процессах и/или запасов;
d) временный обходной путь: некоторые виды деятельности могут использовать другой способ работы, который обеспечивает приемлемые результаты в течение ограниченного времени. Вполне вероятно, что обходной путь будет более трудоемким (например, ручные операции в отличие от автоматизированной системы).
По этим причинам обходные пути, как правило, подходят только для коротких периодов времени или отсрочки возвращения к обычному способу ведения деятельности.
Примеры стратегий включают:
- обеспечение запасных производственных мощностей в альтернативном месте;
- предоставление возможностей удаленной работы ключевому персоналу.
8.3.2.4 Смягчение последствий, реагирование на них и управление ими
Стратегии смягчения последствий нарушений деятельности, реагирования на них и управления ими могут включать следующее:
a) страхование: покупка страховки может обеспечить некоторую финансовую компенсацию за некоторые убытки, но не будет покрывать все расходы (например, незастрахованный риск, бренд, репутация, затраты заинтересованных сторон, доля рынка, последствия, связанные с человеческим фактором). Финансовый расчет сам по себе не сможет полностью защитить организацию и удовлетворить ожидания заинтересованных сторон. Страховое покрытие, скорее всего, будет использовано в сочетании с другими решениями;
b) восстановление активов: заключение договоров на резервные услуги с организациями, которые специализируются на очистке или ремонте активов после их повреждения;
c) управление репутацией: развитие эффективного потенциала предупреждения и обмена информацией (см. 8.4.3) и установление эффективных процедур обмена информацией об инцидентах (см. 8.4.4.5).
Для выявления риска, требующего обработки, и в соответствии со своим общим отношением к риску организация должна рассмотреть способы снижения вероятности, сокращения периода и ограничения последствий нарушения.
Если существует конкретная опасность, над которой организация не имеет никакого контроля и которая может значительно нарушить работу организации (например, землетрясение или наводнение), организация должна, где это уместно:
- идентифицировать стратегии и реализовать решения по ограничению потенциального воздействия нарушения;
- идентифицировать внешний орган, ответственный за мониторинг опасности;
- обеспечить обмен информацией с внешними ответственными организациями, чтобы понять протоколы их уведомлений;
- провести анализ протоколов уведомлений, чтобы определить, соответствуют ли они потребностям организации.
8.3.3 Выбор стратегий и решений
Выбор стратегий обеспечения непрерывности деятельности должен быть основан на том, в какой степени они:
a) обеспечат возобновление приоритетной деятельности на согласованной мощности в сроки, определенные в ходе анализа воздействий на деятельность (см. 8.2.2);
b) соответствуют размеру и виду риска, который организация может принять или не принять;
c) предоставят преимущества по управляемым и разумным ценам.
Организация должна проводить анализ всех решений при внесении изменений в работу организации.
Решения по обеспечению непрерывности деятельности для стабилизации, продолжения, возобновления или восстановления приоритетной деятельности часто могут быть непомерно дорогими. Если организация считает, что это так, она должна либо выбрать альтернативные решения, которые являются приемлемыми и отвечают ее целям обеспечения непрерывности деятельности, либо рассматривать соответствующие виды продукции и услуг как исключения из области применения СМНД в соответствии с 4.3.3.
Если организация оценивает угрозу как крайне маловероятную или затраты на защиту приоритетного объекта являются непомерно дорогостоящими, то организация может принять риск и повторно оценить его в рамках текущей оценки эффективности СМНД (см. раздел 9). Принятие риска может также потребовать, чтобы затронутые виды продукции или услуг были удалены из области применения СМНД.
8.3.4 Требования к ресурсам
8.3.4.1 Общие положения
Организация должна определить требования к ресурсам для реализации выбранных решений.
Организация должна определить:
- соответствующие рабочие группы или, для небольших организаций, отдельных ответственных лиц, которые обладают соответствующими полномочиями по надзору за подготовкой к инцидентам, реагированию на них и восстановлению;
- логистические возможности и процедуры для обнаружения, приобретения, хранения, распределения, обслуживания, тестирования и учета услуг, персонала, ресурсов, материалов и объектов, произведенных или подаренных;
- финансовые, материально-технические и административные процедуры для поддержки механизмов обеспечения непрерывности деятельности до, во время и после нарушения деятельности; эти процедуры должны:
- обеспечить оперативность принятия финансовых решений;
- соответствовать установленным уровням полномочий, принципам
управления и бухгалтерского учета;
- цели управления ресурсами по срокам реагирования, персоналу, оборудованию, обучению, финансированию, страхованию, контролю ответственности, экспертным знаниям, материалам и срокам, в течение которых каждый из них будет необходим из ресурсов организации и от поставщиков;
- процедуры оказания помощи заинтересованным сторонам, обмена информацией с ними, стратегические партнерства и взаимную или одностороннюю помощь.
8.3.4.2 Люди
8.3.4.2.1 Основные положения
В организации должен быть персонал, который обладает необходимой компетентностью, чтобы реагировать на нарушения деятельности (инциденты) и управлять ими, а также участвовать в возобновлении приоритетной деятельности.
8.3.4.2.2 Реагирование на инциденты
Организация должна назначить персонал по реагированию на нарушения (инциденты), наделенный необходимой ответственностью, полномочиями и компетенцией для управления инцидентом.
Персонал по реагированию на инциденты должен сформировать группу, которая отвечает за управление всеми нарушениями, которые существенно влияют или могут существенно повлиять на организацию.
Персонал может быть сгруппирован в команды (группы) в соответствии с их продемонстрированной компетентностью, например, по следующим направлениям:
- управление инцидентом/стратегическое управление (см. 8.4.4.4);
- обмен информацией (см. 8.4.4.5);
- безопасность и благополучие (см. 8.4.4.6);
- спасение и безопасность (см. 8.4.4.7);
- возобновление деятельности (см. 8.4.4.8);
- восстановление систем ИКТ (см. 8.4.4.9).
Все сотрудники, входящие в данные группы, должны иметь четко определенные обязанности и полномочия, которые применяются до, во время и после нарушения деятельности.
Обучение персонала по реагированию на нарушения и восстановлению деятельности включает в себя:
- оценку инцидентов;
- управление эвакуацией и укрытием на месте, если это применимо к области применения;
- организацию работы на альтернативных рабочих местах;
- методы эффективного управления внутренним и внешним обменом информацией;
- работу с человеческими аспектами (см. ISO/TS 22330).
Навыки реагирования и компетентность во всей организации должны быть развиты путем практического обучения, включая активное участие в учениях.
Группы реагирования и восстановления должны получать образование и подготовку по вопросам своих обязанностей и полномочий, включая взаимодействие с первыми лицами реагирования и другими заинтересованными сторонами. Группы реагирования должны регулярно проходить обучение, и новые члены групп должны проходить обучение, если они присоединяются к структуре реагирования. Данные группы также должны пройти подготовку по предупреждению инцидентов, которые могут перерасти в кризис.
8.3.4.2.3 Возобновление деятельности
Организация должна определить надлежащие меры по поддержанию и расширению наличия основных навыков и знаний, с тем чтобы можно было возобновить деятельность при сокращении численности персонала. Люди могут реагировать не так, как ожидалось во время инцидента, и могут нуждаться в поощрении, заверении и поддержке. При этом должны быть включены сотрудники, подрядчики и другие заинтересованные стороны, обладающие обширными специальными навыками и знаниями. Методы защиты или повышения данных навыков могут включать в себя:
- список резервных квалифицированных специалистов и план вызова;
- многопрофильную подготовку персонала и подрядчиков;
- разделение основных навыков для уменьшения последствий инцидента, включая физическое разделение персонала с основными навыками более чем в одном месте;
- использование третьих лиц;
- планирование преемственности;
- документирование процессов и других форм хранения и управления знаниями.
Целесообразно также рассмотреть процедуры, основанные на перемещении персонала после инцидента:
- транспортировка персонала в другое место;
- потребности в персонале на альтернативном объекте, такие как:
- размещение;
- объекты общественного питания;
- обеспечение личных и семейных обязательств;
- обучение на различном оборудовании;
- проблемы, связанные с удаленной работой на дому.
Роли специалистов могут включать:
- безопасность;
- транспортную логистику;
- социальное обеспечение и чрезвычайную ситуацию.
Для того, чтобы поощрить и успокоить людей, которые должны будут отреагировать на нарушение, организация должна предоставить, например, практические советы, обучение осведомленности о риске, транспортные решения и поддержу, связанную с семьей.
ISO/TS 22330 предоставляет дополнительные указания относительно аспектов человеческого фактора обеспечения непрерывности деятельности.
8.3.4.3 Информация и данные
Слова "информация" и "данные" используют взаимозаменяемо в повседневном обиходе. В настоящем стандарте термин "информация" использован для обозначения данных, которые были обработаны, организованы и соотнесены для получения смысла. Таким образом, информация создана на основе данных, которые включают в себя, например, факты, статистические данные и цифры, хранящиеся вручную и/или в электронном виде, которые могут быть сохранены и использованы на компьютере.
Информация может быть воссоздана из данных во время нарушения (сбоя), но время обработки может быть более продолжительным; кроме того, средства для этого также могут оказаться недоступными. Поэтому организации должны учитывать требования деятельности как к информации, так и к данным. Если информация или данные, необходимые для деятельности (а не только для приоритетной деятельности), безвозвратно утеряны, возобновление данной деятельности может оказаться невозможным.
Информация и данные, жизненно важные для деятельности организации, должны быть защищены и восстановимы в срок, установленный в процессе анализа воздействий на деятельность. При определении порядка хранения и восстановления данных организация должна быть осведомлена о применимых законодательных и обязательных требованиях.
Вся информация или данные, необходимые для обеспечения реагирования и восстановления организации, должны иметь соответствующие:
- конфиденциальность (например, если деятельность перемещена в другое место);
- целостность: информация и данные надежны, и им можно доверять;
- доступность: информация и данные доступны так быстро, как того требует деятельность (т.е. в рамках RTO деятельности); информация и данные, необходимые во время реагирования, могут быть необходимы немедленно, в то время как другая информация и данные могут не потребоваться до тех пор, пока не закончится инцидент;
- актуальность: информация настолько актуальна, насколько это необходимо для осуществления деятельности (см. 8.2.2), может быть необходимо воссоздать информацию, потерянную в результате инцидента, а данные восстановить.
При копировании информации и данных могут быть использованы различные методы, включая виртуальные (электронные) форматы (например, диск, облако, лента) и физические (печатные) форматы (например, фотокопии, создание двойных копий в процессе производства).
Информация и данные о принятых решениях по восстановлению информации и данных, которые еще не были скопированы или сохранены в безопасном месте, должны быть документированы.
Если место хранения скопированных информации или данных расположено слишком близко к оригиналу, нарушение может привести к компрометации целостности или воспрепятствовать доступу к ней. Большое расстояние от информации или данных может помешать доступу к информации/данным в случае необходимости. Уместно иметь письменные доказательства того, как были разрешены эти противоречивые проблемы.
Информация и данные, упомянутые в настоящем подпункте, могут включать следующее:
- контактная информация;
- поставщик, заинтересованные стороны и сведения о заинтересованной стороне;
- юридические документы (например, договоры, страховые полисы, правоустанавливающие документы);
- другие документы об услугах (например, договора, соглашения об уровне обслуживания);
- метаданные (т.е. информация для описания аудиовизуального контента и сущности данных в определенном формате);
- уведомления и предупреждающие сообщения, распространяемые в качестве меры реагирования на инциденты и нарушения;
- руководящие принципы и критерии, касающиеся того, кто имеет право ссылаться на процедуры.
8.3.4.4 Здания, рабочие места и связанные с ними коммунальные услуги
Решения по рабочим местам могут значительно варьироваться, при этом целый ряд вариантов может быть не доступен. Различные типы инцидентов или угроз могут потребовать реализации различных или нескольких вариантов расположения рабочих мест. Соответствующая тактика частично будет определена на основе размера организации, сектора экономики и способов распределения деятельности, заинтересованных сторон и географического месторасположения. Например, государственные органы должны поддерживать современную систему предоставления услуг в своих сообществах, в то время как некоторые организации могут работать с другой страной или континентом на других условиях.
Организация должна разработать решение, которое уменьшит воздействие недоступности ее обычных рабочих мест. Это может включать следующее:
- альтернативные помещения (места) внутри организации, включая замещение других видов деятельности;
- альтернативные помещения, предоставляемые другими организациями (независимо от того, заключены ли с ними взаимные соглашения или нет);
- центры управления;
- альтернативные помещения, предоставляемые сторонними специалистами;
- работа из дома или на удаленных объектах;
- другие согласованные подходящие помещения;
- использование альтернативной рабочей силы в установленном месте.
Альтернативные помещения должны быть тщательно отобраны с учетом географического местоположения, которое может быть затронуто одним и тем же инцидентом. Такой инцидент, как стихийное бедствие, может нанести ущерб обширным районам и повлиять на основные коммунальные услуги, такие как предоставление электричества, газа, воды и связи. Если такой риск существует, альтернативные помещения должны быть удалены от такой возможной зоны воздействия.
Если персонал будет переведен в альтернативные помещения, то следует должным образом рассмотреть следующее:
- убедитесь, что помещения находятся не так близко, чтобы они могли пострадать от одного и того же инцидента;
- убедитесь, что помещение находится достаточно близко, чтобы персонал был готов и мог туда ездить;
- возможные трудности, которые могут быть вызваны случившимся.
Использование альтернативных помещений в целях обеспечения непрерывности деятельности должно быть подкреплено четким заявлением о том, предназначены ли ресурсы, необходимые в альтернативных помещениях, исключительно для использования организацией. Если альтернативные помещения используются совместно с другими организациями, следует разработать и документировать план смягчения последствий недостаточности таких помещений.
В некоторых ситуациях (например, производственная линия, кол-центр или если короткий RTO) может быть целесообразно переместить рабочую нагрузку, а не персонал. Это может потребовать наличия свободных мощностей на альтернативном объекте или привлечения дополнительного персонала (будь то за счет сверхурочной работы или набора персонала), а также привлечения других ресурсов.
8.3.4.5 Оборудование и расходные материалы
Организация должна определить и вести инвентаризацию основных поставок, которые поддерживают ее приоритетные виды деятельности.
Некоторые материалы и оборудование может быть трудно приобрести, они могут быть очень дорогими (требующими длительного времени для получения разрешения) или иметь длительные сроки выполнения заказа. Решения по предоставлению таких ресурсов, возможно, должны учитывать такие вопросы. При принятии таких решений могут быть использованы изменяющиеся методы ведения бизнеса, такие как управление запасами или управление зданиями.
Методы их обеспечения могут включать в себя:
- хранение дополнительных запасов в другом месте;
- договоренности с третьими лицами о поставке товара в короткие сроки;
- перенаправление своевременных поставок в другие места;
- хранение материалов на складах или в местах отгрузки;
- перенос сборочных операций в другое место, где существуют запасы ресурсов;
- определение альтернативных/замещающих поставок;
- определение объектов и оборудования и многовариантное планирование по этапам.
В тех случаях, если деятельность зависит от специализированных поставок, организация должна определить поставщиков, от которых зависят приоритетные виды деятельности, особенно там, где имеется единственный источник поставок. Решения для управления непрерывностью поставок могут включать:
- увеличение числа поставщиков;
- поощрение или требование к поставщикам иметь систему обеспечения непрерывности деятельности;
- договорные и/или сервисные соглашения с поставщиками;
- выявление альтернативных способных поставщиков.
В тех случаях, если деятельность переносят, следует проверить, способны ли поставщики эффективно предоставлять свою продукцию или услуги в другом месте.
8.3.4.6 Системы ИКТ
В большинстве организаций деятельность не может осуществляться без применения систем ИКТ, которые должны быть восстановлены до того, как деятельность может быть возобновлена. Если возможно и практично, организация должна применять обходные пути и ручные способы обработки данных до момента восстановления системы ИКТ.
Технологические варианты будут зависеть от характера используемых ИКТ и их применения в организации, но, как правило, будут представлять собой сочетание следующих факторов:
- состояние ИКТ внутри организации;
- услуг, оказываемых организации третьими лицами;
- внешних услуг, на которые организация подписана.
Методы обеспечения систем ИКТ, необходимые для осуществления приоритетных видов деятельности, могут включать в себя:
- распределение их географически (например, поддержание одной и той же ИКТ технологии в разных местах расположения, которые скорее всего не будут затронуты одним и тем же нарушением);
- хранение старого оборудования в качестве замены или запасных частей в случае нарушения деятельности;
- предоставление оборудования или восстановительных услуг по договорам с третьими лицами.
Из-за сложности поддерживающих технологий для систем ИКТ часто необходимы сложные механизмы обеспечения их своевременного восстановления. Поэтому следует обратить внимание на:
- размещение технологических площадок и расстояние между ними;
- размещение используемых технологий по отдельным местам расположения;
- обеспечение адекватных условий для увеличения числа пользователей с удаленным доступом;
- установление неукомплектованных (темных) мест расположения, а также укомплектованных мест расположения;
- улучшение телекоммуникационной связи и повышение уровня избыточной маршрутизации;
- обеспечение автоматической "отработки отказа" вместо ручного вмешательства для восстановления систем ИКТ;
- учет устаревания систем ИКТ.
Если организация размещает свои системы ИКТ более чем в одном месте расположения, то возможно реализовать решение, при котором совокупный потенциал распределенных систем ИКТ будет больше, чем потенциал системы ИКТ, размещенной в одном месте.
Если организация использует узкоспециализированные или специально разработанные технологии с длительными сроками выполнения заказа, ей целесообразно рассмотреть вопрос об усилении защиты своих систем ИКТ путем принятия специальных положений о замене или восстановлении в случае нарушений деятельности.
ИСО/МЭК 27031 содержит дополнительные рекомендации по обеспечению непрерывности работы ИКТ.
8.3.4.7 Транспорт и логистика
После нарушения деятельности (инцидента) может потребоваться транспортировка для:
- персонала, который отправляется домой, если его обычный транспорт недоступен;
- персонала, переведенного на альтернативное место работы;
- ресурсов, необходимых в другом месторасположении.
Организация должна заранее определить варианты предоставления альтернативных видов транспорта, которые могут потребоваться после нарушения деятельности. Они могут включать в себя:
- выявление возможных сценариев нарушений логистики, в том числе вызванных непосредственно инцидентом или необычной ситуацией;
- обеспечение альтернативных видов транспорта и маршрутов для работы в необычных условиях дорожного движения;
- договора с альтернативными транспортными компаниями.
8.3.4.8 Финансы
Организация должна определить варианты обеспечения необходимого финансирования во время и после сбоя. Это может включать в себя:
- предоставление средств на экстренные закупки, такие как продовольствие, помещение, оборудование, расходные материалы и транспорт;
- возмещение расходов персоналу;
- крупные расходы, например, на аренду или покупку зданий и оборудования.
Для защиты от злоупотреблений или облегчения получения выплат по страховым случаям целесообразно продемонстрировать и обеспечивать эффективный финансовый контроль, например, путем обеспечения формального учета расходов во время и после нарушения деятельности.
8.3.4.9 Партнеры и поставщики
Деловые сети и цепочки поставок часто бывают сложными и взаимозависимыми по нескольким направлениям. Важно понимать цепочку поставок и риск, который с ней связан, для организации. При анализе воздействий на деятельность (см. 8.2.2) организация должна совместно с соответствующими поставщиками провести анализ цепочек поставок, от которых зависят приоритетные виды деятельности. Поставщики, в свою очередь, должны быть обязаны каскадно передавать результаты анализа и взаимодействовать со своими поставщиками.
Анализ цепочки поставок должен быть основан на наборе критериев, разработанных организацией, и обеспечивать общий подход организации к оценке уровня зависимости от цепочки поставок и конкретных поставщиков в ней и пониманию сроков поиска альтернативных механизмов.
Методы обеспечения и оценки непрерывности деятельности поставщиков и партнеров могут включать:
- установление требований к непрерывности деятельности в тендерах и контрактах;
- периодический аудит планов поставщиков;
- пересмотр программ учений и технического обслуживания;
- участие в совместных учениях по обеспечению непрерывности деятельности.
Если продукция, услуга или деятельность переданы на аутсорсинг, то ответственность за эту продукцию, услугу или деятельность остается за организацией.
В тех случаях, если приоритетные виды деятельности или решения по обеспечению непрерывности деятельности зависят от продукции и услуг поставщика, организация должна оценить непрерывность деятельности поставщиков, чтобы получить уверенность в том, что поставщик использует эффективные методы обеспечения непрерывности деятельности для этой продукции и услуг, например, путем анализа результатов учений.
Организация может сосредоточить свои усилия на поставщиках, неспособность которых поставлять продукцию и услуги приведет к наиболее быстрому срыву приоритетных видов деятельности.
8.3.5 Выполнение решений
Принятые решения должны быть реализованы и поддерживаться на протяжении долгого времени.
После выбора решений по обеспечению непрерывности деятельности руководство должно участвовать в идентификации ресурсов для обеспечения непрерывности деятельности (например, рабочее пространство, персонал, оборудование, материалы). Организация должна обеспечить доступность этих ресурсов в момент нарушения деятельности.
Для реализации стратегий возобновления и смягчения последствий организация должна идентифицировать и внедрить все решения, которые должны быть приняты до нарушения деятельности. Если время, необходимое для активации решения, превышает установленное в соответствии с требованиями к непрерывности деятельности, организация должна внедрить выбранное решение до момента нарушения деятельности.
8.4 Планы и процедуры обеспечения непрерывности деятельности
8.4.1 Общие положения
Организация должна установить структуру реагирования, поддерживаемую планами и процедурами обеспечения непрерывности деятельности, включая:
- управление ответными мерами на нарушение деятельности;
- эффективный обмен информацией с заинтересованными сторонами;
- использование решений по обеспечению непрерывности деятельности для возобновления деятельности в рамках своих RTO.
Обычно план состоит из одной или нескольких процедур. В совокупности планы и процедуры должны:
- определить неотложные шаги, которые необходимо предпринять, и помочь в своевременном принятии решений;
- быть достаточно гибкими, чтобы их можно было применить к непредвиденным угрозам и в изменчивых ситуациях;
- быть направлены на ожидаемые последствия нарушения деятельности;
- быть согласованы с решениями по обеспечению непрерывности деятельности, выбранными организацией для минимизации последствий;
- четко определять роли и распределять ответственность за выполнение всех задач.
8.4.2 Структура ответных мер
8.4.2.1 Цель
Эффективная структура ответных мер позволяет организациям обнаруживать события, выявлять инциденты и определять, могут ли они привести к нарушению. Организация должна разработать структуру ответных мер на инциденты, которая обеспечит эффективное реагирование на нарушение деятельности независимо от его причины. Если в организации отсутствует согласованная и документированная структура ответных мер, вполне вероятно, что она не сможет эффективно реагировать на нарушения и не сможет возобновить нарушенную деятельность в установленные сроки.
8.4.2.2 Структура
Структура реагирования на инциденты должна точно идентифицировать:
- группы лиц, ответственных за ответные меры на инциденты и возобновление деятельности;
- иерархию групп (команд) реагирования;
- роли и обязанности групп.
Структура ответных мер должна быть простой и оперативной. Структура должна предусматривать методы своевременной передачи информации и решений.
Единой структуры ответных мер на инциденты, подходящей для всех организаций, не существует. Каждая организация должна разработать свою собственную структуру с учетом следующего:
- существующей структуры менеджмента;
- характера, культуры, масштаба, сложности и технологической инфраструктуры организации;
- принятых решений для обеспечения непрерывности деятельности;
- требований организации к непрерывности деятельности;
- предполагаемых угроз для организации.
Для более крупных и/или сложных организаций может быть целесообразно создать отдельные группы персонала, которые будут сосредоточены на различных аспектах инцидента. В небольших организациях одна группа может справиться с инцидентом, но это никогда не должно быть ответственностью одного человека.
8.4.2.3 Командные возможности
Коллективно группы (команды) должны быть способны к следующему:
- оценка характера и масштабов нарушения и его потенциального воздействия;
- измерение потенциальных последствий инцидента по заранее установленным пороговым значениям воздействия с целью определения того, оправдан ли формальный ответ;
- инициирование соответствующих ответных мер на нарушение, активизация планов, мобилизация групп реагирования и обеспечение наличия необходимых ресурсов;
- планирование всех действий, которые должны быть предприняты;
- установление приоритетов для всех действий по реагированию, при этом первостепенное значение должно быть отдано безопасности жизнедеятельности;
- мониторинг того, как разворачивается инцидент, и эффективности ответных мер организации на воздействие и последствия нарушений деятельности;
- активация подходящих решений для обеспечения непрерывности деятельности;
- обеспечение эффективного руководства и мониторинга за реакцией организации на инцидент и реагированием на изменения по мере развития ситуации;
- обмен информацией с заинтересованными сторонами, включая, в частности, персонал, затронутых членов семьи, посетителей, орган власти и средства массовой информации.
8.4.2.4 Состав групп реагирования и руководство
Каждая группа реагирования должна иметь:
a) идентифицированных членов групп и их заместителей, которые обладают необходимой ответственностью, полномочиями и компетенцией, позволяющими группе реагирования выполнять свою роль и обязанности;
b) документированные процедуры для руководства действиями группы (см. 8.4.4).
8.4.3 Сигнал опасности и обмен информацией
8.4.3.1 Общие положения
Эффективное управление первоначальным обменом информацией с самого начала нарушения может иметь огромное значение для эффективности ответных мер организации. Эффективный обмен информацией может быть достигнут только в том случае, если организация четко знает, кто, когда, с кем и как будет общаться. Поэтому организация должна установить документированные процедуры для следующих действий, связанных с предупреждением и обменом информацией, и определить, кто будет нести ответственность за их выполнение:
- внутренний обмен информацией между различными уровнями и подразделениями организации, в том числе в рамках структуры реагирования;
- оповещение заинтересованных лиц и получение, документирование и реагирование на сообщения от них (это может включать экстренные контакты сотрудников);
- обеспечение наличия коммуникационного оборудования и средств связи;
- облегчение структурированной связи с аварийно-спасательными службами;
- управление реакцией организации на работу средств массовой информации и обеспечение ее соответствия стратегии обмена информацией организации;
- запись жизненно важной информации об инциденте, выполненных действиях и принятых решениях.
Организация должна обеспечить наличие эффективных процедур и средств для получения, документирования и реагирования на предупреждения и внешние сообщения от национальных или региональных систем реагирования. Для некоторых организаций целесообразно создать специальные объекты, расположенные достаточно далеко от пострадавшего объекта, чтобы инцидент не препятствовал их работе. Для лиц с особыми потребностями (например, пожилых людей и людей с ограниченными возможностями) может быть необходимо принятие специальных мер. Рекомендации по распространению предупреждений, включая информационное содержание и каналы обмена информацией, приведены в ИСО 22322.
Оборудование связи может пострадать от нарушений деятельности, поэтому целесообразно обеспечить альтернативные варианты обмена информацией, например:
- громкоговорители;
- системы громкой связи;
- запасные мобильные телефоны;
- спутниковые телефоны;
- двухсторонние рации.
8.4.3.2 Оповещение заинтересованных сторон
В некоторых случаях на заинтересованные стороны может повлиять уже начавшееся или неизбежное нарушение. Например, нарушения в работе организации, которая осуществляет опасные операции или хранит токсичные продукты, могут привести к тому, что соседние организации могут быть в опасности. Такие организации должны:
- установить процедуры мониторинга опасных факторов;
- заблаговременно идентифицировать информацию о предупреждении общественности, которую целесообразно предоставить во время нарушения деятельности;
- идентифицировать географические регионы (районы), в которые необходимо будет направить информацию о предупреждении общественности;
- оценить потенциальные уровни серьезности опасностей;
- идентифицировать обоснованные критерии выдачи предупреждений и обеспечить процедуры передачи предупреждающей информации организациям, ответственным за публичное предупреждение;
- установить отношения с внешними органами власти, ответственными за потенциально пострадавшие районы.
Для таких организаций также целесообразно:
- установить отношения с внешней организацией, ответственной за публичное предупреждение;
- удостовериться, что их соседи понимают, как подается сигнал тревоги и как реагировать.
Процедуры предупреждения и обмена информацией должны быть отработаны во время учений организации (см. 8.5).
8.4.4 Планы обеспечения непрерывности деятельности
8.4.4.1 Общие положения
Планы обеспечения непрерывности деятельности устанавливают способы реагирования на нарушение деятельности групп реагирования и возобновления деятельности в рамках СМНД.
Поскольку терминология в разных организациях различна и во многих случаях конкретные термины используют взаимозаменяемо, важно, чтобы роли и обязанности групп реагирования были точно идентифицированы, при этом в поддерживающих документированных процедурах должны быть точно указаны их цели, область применения и задачи (см. таблицу 5).
Таблица 5
Примеры групп реагирования (команд), возможные роли
и обязанности
Группа (команда) | Роль | Обязанности |
Аварийного реагирования Управления активами Обеспечения безопасности | Аварийное реагирование | Безопасность жизнедеятельности Ограничение ущерба |
Оценки ущерба | Оценка ущерба | Оценка ущерба |
Управления инцидентами | Управление инцидентами и контроль | Управление инцидентами |
Кризисного управления Высшее руководство | Принятие стратегических решений Обмен информацией во время инцидента | Стратегическое управление Кризисное управление Взаимодействие Связи с общественностью |
Связи с общественностью | Обмен информацией во время инцидента | Взаимодействие Связи с общественностью |
Восстановления ИКТ | Восстановление систем и инфраструктуры ИКТ | Послеаварийное восстановление ИКТ Примечание - Руководство по процедурам ИКТ можно найти в ИСО/МЭК 27031 |
Финансовая Администрация | Общее и финансовое управление | Финансы и управление |
По человеческим ресурсам Охраны труда | Социальное обеспечение и особые потребности Благополучие заинтересованной стороны | Человеческие ресурсы Безопасность и благополучие |
Спасения Безопасности Средств ИКТ | Утилизация объектов, систем ИКТ и данных Безопасность | Спасение и безопасность |
Непрерывности деятельности | Возобновление прерванной деятельности | Возобновление координации Управление ресурсами |
8.4.4.2 Охват
8.4.4.2.1 Общие положения
В совокупности планы обеспечения непрерывности деятельности должны охватывать все аспекты реагирования на инцидент и быть специально проработаны для групп, которые будут их использовать. Поэтому целесообразно:
- вовлечение широкого круга персонала, включая группы экспертов и специалистов, в разработку планов обеспечения непрерывности деятельности;
- использование обратной связи от учений и анализа полученных уроков после нарушения деятельности.
Сроки и результативность должны быть основаны на информации, собранной в ходе анализа воздействий на деятельность (см. 8.2.2), а также на выборе стратегий и решений обеспечения непрерывности деятельности (см. 8.3.3).
8.4.4.2.2 Реагирование на инциденты
Для адекватного реагирования на инцидент необходимо предпринять целый ряд действий. Они должны быть идентифицированы в документированных процедурах и включать:
a) реагирование на инцидент и его оценку, в том числе:
1) определение того, что и как произошло;
2) идентификацию того, какие подразделения организации и заинтересованные стороны затронуты или могут быть затронуты;
3) прогноз продолжительности инцидента и возможных последствий;
4) оценка возможности управления инцидентами существующими средствами и методами управления;
5) оценка возможности того, может ли инцидент привести к нарушению в соответствии с заранее установленными пороговыми значениями;
b) управление непосредственными последствиями инцидента, при этом необходимо уделить должное внимание вопросам здоровья и благосостояния пострадавших лиц (включая членов групп) и воздействиям на окружающую среду, проработке вариантов реагирования на инцидент и предупреждению дальнейших потерь или ущерба;
c) анализ оценки инцидента в соответствии с критериями активации для каждой из процедур;
d) объявление об инциденте и инициирование соответствующих процедур при выполнении критериев инициирования (активации);
e) мобилизация персонала в группы реагирования на инцидент для проведения мероприятий по стабилизации, непрерывности и восстановлению;
f) создание центрального пункта (места) для использования группой управления инцидентом, контролирующей его (центральный пункт);
g) определение приоритетных вопросов и мероприятий, которые должны быть предприняты для управления инцидентом и его последствиями;
h) управление и координация всеми активированными процедурами;
i) активация или создание альтернативных площадок для восстановления возможностей ИТ или другой инфраструктуры и для временного ведения деятельности организации;
j) мониторинг инцидентов, в том числе их развития;
k) анализ и корректировка планов в соответствии с меняющимися обстоятельствами;
l) деэскалацию, прекращение работы и возвращение к рутинным операциям по мере восстановления устойчивого потенциала;
m) проведение опроса и определение возможностей для обучения;
n) обеспечение надлежащего управления, а также обеспечение сопоставления и безопасности документации, полученной в ходе управления и восстановления после инцидента.
Для достижения своевременного возобновления поставок организацией продукции и услуг документированные процедуры возобновления каждого вида деятельности должны:
- соответствовать RTO деятельности, поддерживающей данную продукцию или услугу;
- быть достаточно надежными.
Это может быть достигнуто путем:
- владения или управления средствами и ресурсами для осуществления процедуры;
- заключения контрактов, соглашений или уровней обслуживания с третьими лицами.
8.4.4.3 Содержание и удобство использования
8.4.4.3.1 Цель
Каждый план обеспечения непрерывности деятельности должен идентифицировать свою цель, область применения и задачи в форме, понятной для групп, которые его используют. Должны быть четко указаны ссылки на другие требуемые или соответствующие документированные процедуры или документы, а также описан метод их получения и доступа к ним. План обеспечения непрерывности деятельности также должен включать:
- критерии и процедуры активации;
- процедуру реализации;
- требования к обмену информацией и процедуры обмена информацией;
- внутренние и внешние взаимозависимости и взаимодействия;
- потребность в ресурсах;
- требования к отчетности;
- процессы, связанные с информационным потоком и документированием.
8.4.4.3.2 Руководящие указания и вспомогательная информация
Каждый план должен включать в себя:
a) роли, обязанности и полномочия:
1) определенные роли, обязанности и полномочия для персонала и групп (команд), которые будут использовать план;
2) руководящие принципы и критерии в отношении того, кто имеет право ссылаться на план и при каких обстоятельствах (включая определенные этапы эскалации);
b) критерии активации:
1) процесс активизации реагирования организации на нарушение и, в рамках каждой документированной процедуры, ее критерии активации и процедуры (может быть уместно рассмотреть вопрос о том, происходит ли это в рабочее или нерабочее время);
2) места сбора персонала с подходящими альтернативами;
c) рабочие параметры:
1) определение действий и задач, которые должны быть выполнены, особенно в отношении способов продолжения или восстановления организацией своей приоритетной деятельности в заранее установленные сроки;
2) соответствующие потребности в ресурсах (см. 8.3.4);
3) средства регистрации информации о происшествии, предпринятых действиях и принятых решениях;
d) вспомогательную информацию для координации и обмена информацией:
1) контактные данные членов групп (команды) и других лиц с ролями и обязанностями, при этом должны быть учтены применимые нормативные требования в отношении защиты информации и должны быть сохранены доказательства их соблюдения;
2) контактные и мобилизационные данные для всех соответствующих учреждений, организаций и ресурсов, которые могут потребоваться;
e) критерии прекращения деятельности:
1) механизмы прекращения работы после того, как инцидент прошел;
2) инструкции, которым необходимо следовать.
8.4.4.3.3 Удобство использования
Как и в случае с другими видами документированной информации (см. 7.5.3), организация должна обеспечить удобство использования и доступность планов обеспечения непрерывности деятельности в любое время и везде, где они необходимы. Для обеспечения того, чтобы работа планов обеспечения непрерывности деятельности не пострадала в результате сбоя, для организации целесообразно принять соответствующие меры предосторожности (например, разделить команды и восстановленные системы ИКТ по нескольким местам). Полное разделение для всех масштабов и типов разрушений не всегда достижимо, и может потребоваться выявить ограничения и согласовать их с высшим руководством. Ограничения могут быть выражены в терминах расстояния, минимального количества персонала или серьезности последствий и могут зависеть от реакции государственных органов власти на серьезные или широкомасштабные нарушения.
8.4.4.4 Управление инцидентом/стратегическое управление
Цель управления инцидентами заключается в обеспечении эффективного реагирования организации на нарушение на стратегическом уровне.
Данные процедуры должны включать в себя основу для решения всех возможных проблем, с которыми сталкивается организация во время инцидента, в том числе связанных с заинтересованными сторонами, и должны охватывать все средства, которые понадобятся группе управления инцидентом и другим группам реагирования.
8.4.4.5 Обмен информацией
Процедуры обмена информацией могут быть включены в процедуры управления инцидентами или реагирования других групп. Если существуют несколько таких групп, то они должны работать в тесном сотрудничестве.
Организация должна управлять и координировать доставку и прием сообщений во время инцидента. Процедуры должны содержать:
a) подробную информацию о том, как и при каких обстоятельствах организация будет общаться с сотрудниками и их родственниками, другими заинтересованными лицами и экстренными контактами;
b) подробную информацию о реакции средств массовой информации организации после инцидента, которая может включать в себя:
1) стратегию обмена информацией об инциденте;
2) предпочтительный способ взаимодействия со средствами массовой информации;
3) руководство или шаблон для составления заявления для средств массовой информации;
4) соответствующее количество подготовленных, компетентных представителей, уполномоченных распространять информацию в средствах массовой информации.
Важно, чтобы сроки и содержание внутреннего и внешнего обмена информацией должны быть согласованы. Для укрепления уверенности, доверия и мотивации внутренний обмен информацией является приоритетом.
Заранее подготовленная информация может быть особенно полезна на ранних стадиях инцидента. Это позволит группе предоставить подробную информацию об организации и ее деловой деятельности, пока детали инцидента еще не установлены.
Возможно, будет уместно:
- создать подходящее место для взаимодействия со средствами массовой информации или другими группами заинтересованных сторон;
- определить соответствующее количество компетентных, обученных людей для ответа на телефонные запросы средств массовой информации;
- использовать все каналы обмена информацией, открытые для организации, включая социальные сети;
- подготовить справочные материалы об организации и ее деятельности (эта информация должна быть предварительно согласована до выпуска).
Следует рассмотреть вопрос о возможном давлении со стороны общественности или других сторон, которые коллективно обладают властью или могут повлиять на организацию.
Следует включить процесс определения и расстановки приоритетов по обмену информацией с другими ключевыми заинтересованными сторонами. Возможно, потребуется разработать отдельную процедуру управления заинтересованными сторонами, предусмотреть критерии определения приоритетов и предусмотреть выделение контактных лиц для каждой заинтересованной стороны или группы заинтересованных сторон.
8.4.4.6 Безопасность и благополучие
Организации обязаны проявлять заботу о сотрудниках, подрядчиках, посетителях и клиентах в тех случаях, когда инцидент представляет непосредственный риск для их жизни, средств к существованию и благосостоянию. Особое внимание необходимо будет уделять группам лиц с ограниченными возможностями или особыми потребностями (например, беременным, временно нетрудоспособным лицам). Заблаговременное планирование выполнения этих требований может снизить риск и успокоить пострадавших. Долгосрочные последствия инцидентов нельзя недооценивать. Организация должна разработать соответствующие решения, включая рассмотрение соответствующих социальных и культурных вопросов, для содействия физическому и психологическому восстановлению персонала внутри организации.
Следует включить следующие элементы реагирования, связанные с социальным обеспечением, включая:
- места эвакуации (включая реализацию внутренних мероприятий по укрытию в места эвакуации) и сборные пункты;
- мобилизацию групп по обеспечению безопасности, оказанию первой помощи или эвакуации;
- определение местонахождения и учет тех, кто находился на месте или в непосредственной близости.
Также может быть включено следующее:
- услуга по переводу;
- обеспечение транспортом, по мере необходимости;
- назначение средств связи и контактная информация для экстренных служб, соответствующих учреждений и служб быстрого реагирования;
- поиск перемещенной рабочей силы или подрядчиков;
- управление телефонной линией помощи;
- физическая реабилитация и психологическая поддержка.
Необходимо точно определить необходимые ресурсы. Ресурсы должны быть доступны своевременно и должны выполнять свою предназначенную функцию.
8.4.4.7 Спасение и безопасность
Организация может подготовить документированные процедуры, связанные с обеспечением спасения и безопасности, и включить в них руководство:
- по приоритетам утилизации активов, оборудования (включая системы ИКТ) и документированной информации (с учетом требований информационной безопасности и конфиденциальности);
- охране помещений, переданных аварийными службами.
Организация может назначить специалистов-подрядчиков по спасению до инцидента. Эффективное спасение активов, оборудования и документированной информации может ограничить воздействие и обеспечить более быстрое возвращение к обычному ходу деятельности.
8.4.4.8 Возобновление приоритетной деятельности
Организация должна установить процедуры, которые определяют:
- приоритетные виды деятельности, которые должны быть возобновлены;
- сроки, в течение которых они должны быть возобновлены;
- мощности, на которых должны быть возобновлены приоритетные виды деятельности;
- ситуации, в которых эта процедура может быть активирована.
В каждой процедуре должны быть подробно описаны, где это уместно, ресурсы, необходимые в различные моменты времени, для достижения поставленных целей. Это может включать в себя:
- идентификационные номера ресурсов;
- навыки и квалификацию персонала;
- техническое оборудование;
- средства телекоммуникаций;
- наличие ресурсов по заключенным соглашениям о взаимной помощи.
8.4.4.9 Системы ИКТ
Процедуры возобновления деятельности должны идентифицировать системы ИКТ, на которые опирается их возобновление, и должны ссылаться на все существующие процедуры обеспечения непрерывности деятельности в области ИКТ.
Процедуры обеспечения непрерывности ИКТ, если таковые имеются, должны касаться, как минимум:
- активации необходимого реагирования в области ИКТ и развертывания персонала в области ИКТ;
- доступа к резервным данным и получения альтернативных услуг;
- восстановления данных, информационных услуг, обмена информацией и поддержки;
- графика наличия и требований к мощностям, позволяющих проводить мероприятия в соответствии с RTO.
Дополнительные рекомендации по системам ИКТ представлены в ИСО/МЭК 27031.
8.4.5 Восстановление
Организация должна заранее определить способы возврата к обычному ходу деятельности после нарушения и должна установить документированные процедуры восстановления и возврата операций в обычное русло после временных мер, принятых во время инцидента. При этом необходимо учесть соответствующие требования к аудиту и управлению организацией.
Целью восстановления является восстановление деловой активности для поддержания нормальной работы после нарушения. Возвращение к обычному ходу деятельности может быть достигнуто путем:
- устранения повреждений, возникших в результате инцидента;
- переноса операций из временных помещений обратно в восстановленное основное место ведения деятельности;
- переезда на новое место работы.
Как лучше всего вернуться к обычному ходу деятельности, будет зависеть от тяжести ущерба, причиненного инцидентом, и оценки того, сколько времени необходимо для создания необходимых активов.
Документированные процедуры должны предусматривать детальную оценку ситуации и ее последствий, определение задач и шагов по восстановлению. Во время восстановления организации может быть необходимо:
- создание ресурсов и инфраструктуры для восстановления;
- работа на восстановительных объектах;
- восстановление поврежденных объектов;
- обеспечение безопасности чрезвычайных закупок и финансирования;
- аварийно-спасательное оборудование на поврежденных объектах;
- предъявление претензии по существующим страховым полисам;
- привлечение дополнительного персонала для поддержки восстановительных работ;
- выбор вариантов восстановления и возвращения к работе в обычном режиме;
- перенос операций на восстановленные объекты;
- восстановление утраченной документированной информации;
- поддержание связи с соответствующими заинтересованными сторонами на соответствующих частотах;
- нормализация работы на восстановленных объектах;
- проведение анализа после восстановления;
- проведение должной проверки по требованиям аудита и корпоративного управления.
Документированные процедуры восстановления должны включать положения о возобновлении всех видов деятельности, а не только тех, которые определены в качестве приоритетных. При этом необходимо учитывать, что деятельность с более низким приоритетом должна быть возобновлена в какой-то момент времени и что потребности в ресурсах должны быть удовлетворены (см. 8.3.4).
8.5 Программа учений
8.5.1 Общие положения
Процедуры и механизмы обеспечения непрерывности деятельности организации не могут считаться надежными до тех пор, пока они не будут реализованы и пока не будет сохранена их актуальность. Учения развивают командную работу, компетентность, уверенность и знания и должны включать тех, кто будет обязан использовать процедуры.
8.5.2 Разработка программы учений
Надежные и реалистичные учения выявляют области для улучшения даже в хорошо продуманных процедурах. Организация должна разработать программу учений, которая со временем подтвердит эффективность ее стратегий и решений, планов и процедур обеспечения непрерывности деятельности.
Разработка программы учений позволяет применять скоординированный подход к наращиванию и развитию потенциала организации. Программа должна охватывать индивидуальные планы, персонал (в том числе из внешних организаций), возможности и ресурсы, которые способствуют стратегическим целям организации.
Высшее руководство должно обеспечить постановку целей программы учений и назначение компетентного лица для управления программой учений. Объем программы учений должен быть основан на размере и характере деятельности организации, осуществляющей учения, а также на объеме, функциональности, сложности и уровне зрелости реализуемых планов и возможностей. На ранних стадиях зрелости учения и тестирование могут быть ограничены использованием контрольных вопросов, элементов учений и учений на осознание.
По мере созревания программы она может быть расширена и включать в себя настольные учения и полномасштабное моделирование.
Программа учений должна быть гибкой, с учетом изменений в организации и результатов предыдущих учений. Значительное изменение в организации может привести к составлению графика учений по изучению пересмотренных механизмов.
Программа учений должна учитывать роль всех сторон, включая сторонних поставщиков и других лиц, которые, возможно, будут участвовать в восстановительных работах. Организация может включать такие стороны в свои учения и может участвовать в учениях, которые они организуют.
Для обеспечения эффективного и результативного проведения учений в установленные сроки программа учений должна включать следующее:
- анализ потребностей для учений;
- одобрение со стороны высшего руководства;
- точные цели и задачи;
- объем, количество, виды, продолжительность, места проведения и графики учений;
- соответствующий персонал для поддержки программы учений;
- необходимые ресурсы и бюджет;
- процессы, связанные с конфиденциальностью, информационной безопасностью, охраной труда и другими подобными вопросами.
Программа учений должна со временем обеспечивать уверенность в том, что общие меры реагирования организации будут эффективными. Программа, если она будет реализована, должна:
- помочь изучать технические, материально-технические, административные, процедурные и другие оперативные аспекты процедур реагирования;
- помочь изучать обязанности персонала в рамках процедур, в том числе внешних организаций;
- помочь изучать механизмы и инфраструктуру обеспечения непрерывности деятельности (включая, например, командные центры и рабочие зоны);
- валидировать восстановление технологий и телекоммуникаций, включая наличие и перемещение персонала;
- тренировать группы реагирования в управлении воздействиями, возникающими в результате нарушения цепочки поставок.
Организация должна проводить мониторинг и измерять ход осуществления программы учений для обеспечения достижения ее целей. Программа учений должна быть пересмотрена на предмет выявления возможностей для улучшений.
8.5.3 Тренировка осуществления планов обеспечения непрерывности деятельности
Учения, включая тесты, - это мероприятия, направленные на изучение способности организации реагировать, восстанавливаться и продолжать эффективно выполнять назначенные виды деятельности при столкновении с конкретными сценариями нарушений деятельности. Организация должна использовать учения и документированные результаты учений для обеспечения результативности и готовности своих планов обеспечения непрерывности деятельности.
Каждый вид учений и тест должны иметь точно определенные цели и задачи и быть основаны на сценарии, соответствующем их достижению.
Учения могут:
- прогнозировать заранее определенный результат (например, заранее запланирован и определен);
- позволяют организации разрабатывать инновационные решения.
Учения должны быть реалистичными, тщательно спланированными и согласованными с соответствующими сторонами с тем, чтобы существовал минимальный риск срыва деятельности и возникновения инцидента непосредственно в результате учений. Это может быть достигнуто путем выполнения учения в контролируемой и изолированной среде при условии, что это не ставит под угрозу целостность целей учений.
Организация должна разработать сценарии учений, которые удовлетворяют целям учений и могут использовать угрозы, выявленные в ходе оценки риска, или информацию, полученную в результате предыдущих нарушений деятельности.
Эффективность некоторых аспектов обеспечения непрерывности деятельности потребует, чтобы конкретные лица или лица, занимающие определенные должности, обладали определенными знаниями, навыками и пониманием. Они должны быть на месте до начала учения, позволяя участникам применять их к соответствующим сценариям и моделям.
Учения должны быть разработаны и проведены таким образом, чтобы они обеспечивали одно или несколько из следующих действий:
- верификация достижимости RTO деятельности (см. 8.2.2) и RTO зависимых и вспомогательных ресурсов для приоритетных видов деятельности (см. 8.3.2.3);
- уверенность в том, что информация и данные, необходимые для осуществления деятельности, являются надлежащим образом актуальными (см. 8.3.4.3);
- улучшение понимания зависимостей от непрерывности деятельности поставщиков и других заинтересованных сторон;
- повышение осведомленности об области применения и приоритетах организации;
- улучшение понимания содержания и использования процедур обеспечения непрерывности деятельности;
- повышение уверенности в реагировании на инциденты;
- возможность улучшения возможностей организации;
- оценка полезности и применимости решений по обеспечению непрерывности деятельности;
- оценка адекватности разработанных возможностей и распределения ресурсов;
- выявление ранее недокументированных требований и практик, используемых при управлении сбоями;
- возможность выявления всех других недостатков в письменных процедурах обеспечения непрерывности деятельности и их реализации;
- уверенность в том, что процедуры обеспечения непрерывности деятельности могут быть реализованы в случае необходимости;
- повышение доверия заинтересованных сторон к готовности организации к инцидентам;
- средство выполнения нормативных, договорных или организационных требований к управлению.
Учения могут быть в самых разных форматах. Решение о пригодности данного вида учений будет зависеть от ряда факторов, в том числе следующих:
- область применения в организации;
- цели учений;
- зрелость программы учений;
- опыт участников;
- бюджет;
- доступность участников;
- толерантность организации к текущим нарушениям, вызванным проведением учений.
Организация должна действовать по результатам своей деятельности для осуществления утвержденных изменений и улучшений.
Различные виды учений, которые можно выполнять, называются по-разному, но обычно они делятся на следующие категории.
- дискуссия: дискуссионные учения предназначены для ознакомления участников с планами и процедурами обеспечения непрерывности деятельности в условиях низкого стресса;
- моделирование: учения, основанные на операциях, предназначены для того, чтобы быть более реалистичными и сложными. Они могут проводиться в обычных оперативных условиях, альтернативных помещениях или командных центрах.
Примеры приведены в таблице 6.
Таблица 6
Примеры описаний методов выполнения учений
Категория | Метод | Описание |
Обсуждение | Анализ плана | Анализ планов - это неофициальный анализ планов и процедур, которые используются для ознакомления участников с новым или обновленным содержанием. Они полезны в качестве отправной точки при разработке планов и процедур или при их существенном пересмотре. Анализ плана обычно может быть проведен за 1 - 2 ч |
За столом (на месте) | В настольных учениях на месте используют простые сценарии для ознакомления участников с планами и процедурами в условиях низкого стресса. Они также могут быть использованы для анализа стратегий обеспечения непрерывности деятельности и решений для проверки и улучшения. Вид учений "за столом" на месте обычно является первым типом формального учения, проводимого организацией, и обычно оно может быть проведено в течение 2 - 3 ч | |
За столом (за пределами площадки) | Выездные учения "за столом" обычно проводят в альтернативных помещениях или в командном центре с целью пересмотра планов и процедур обеспечения непрерывности деятельности. В учении обычно используют простой сценарий. Ключевое отличие от системы "за столом" на месте заключается в том, что анализ проводят вдали от обычной рабочей среды. Выездной вид учений "за столом", как правило, может быть проведен за 2 - 3 ч, исключая время транспортировки | |
Практикум (один или несколько планов) | Рабочее совещание (практикум), основанное на плане, обычно проводят за пределами площадки в альтернативных помещениях с использованием достаточно сложных сценариев. Участники учения могут представлять один или несколько планов в зависимости от объема учения. Цель состоит в том, чтобы команды практиковались в совместной работе и принятии решений в более напряженных временных рамках. Практикум, охватывающий несколько планов, обычно может быть проведен в течение 3 - 5 ч в зависимости от сложности планов и сценария | |
Моделирование | Учения (одно или несколько мест расположения) | Практикумы обычно проводятся за пределами площадки в альтернативных помещениях с использованием сценариев, влияющих на одно или несколько местоположений. Цель этого учения состоит в том, чтобы команды из разных мест практиковались в совместной работе и принятии совместных решений. Практикум, охватывающий несколько мест, как правило, может быть проведен в течение 3 - 5 дней в зависимости от количества задействованных локаций и сложности сценария |
Учения для всей организации (полномасштабные) | Полномасштабные учения предназначены для подготовки участников к сбоям, которые влияют на всю организацию и требуют активации плана обеспечения непрерывности деятельности. Это сложные, высоконагруженные учения, которые тщательно планируют и контролируют, чтобы гарантировать, что они достигают своих целей и не вызывают нарушений деятельности. Полномасштабный вид учений может занять от половины дня до недели в зависимости от его сложности и количества задействованных людей |
В рамках данного мероприятия следует запланировать проведение анализа результатов учений со всеми участниками для обсуждения вопросов и извлеченных уроков. Эта информация должна быть документирована и обновлена по мере необходимости.
Организация должна провести после учений разбор полетов и анализ достижения целей и задач учений. После учений следует подготовить доклад, содержащий рекомендации и график их выполнения.
Уроки, извлеченные из учений, и фактические инциденты, пережитые в ходе учений, должны быть проанализированы. Учения, которые показывают серьезные недостатки или неточности в процедурах, должны быть повторены после завершения корректирующих действий.
Преимущества учений и тестирования включают в себя:
- валидацию допущений, решений по обеспечению непрерывности деятельности и областей применения планов обеспечения непрерывности деятельности;
- обеспечение правильного функционирования технических средств и ресурсов;
- обеспечение пропускной способности альтернативных объектов;
- повышение эффективности и сокращение времени, необходимого для завершения процессов (например, для сокращения времени отклика);
- повышение осведомленности заинтересованных сторон;
- развитие компетентности и осведомленности участников.
ИСО 22398 содержит дополнительные указания по видам учений, а также рекомендации по планированию, проведению и совершенствованию программ учений.
8.6 Оценка документации и возможностей обеспечения непрерывности деятельности
8.6.1 Общие положения
Организация должна проводить оценки своего анализа воздействий на деятельность, оценки рисков, стратегий и решений, планов и процедур обеспечения непрерывности деятельности с целью обеспечения их постоянной пригодности, адекватности и эффективности.
Оценки должны учитывать необходимость внесения изменений в политику, цели и другие элементы СМНД на основе, например, результатов учений, анализов инцидентов и изменений в работе организации.
Оценки могут быть проведены в форме внутренних или внешних аудитов или самооценок. На периодичность и сроки проведения проверок могут влиять законы и нормативные акты в зависимости от размера, характера и правового статуса организации. На них также могут влиять требования заинтересованных сторон.
Оценки должны подтвердить, что:
- вся продукция и услуги, а также их вспомогательная деятельность и ресурсы были определены и включены в решения организации по обеспечению непрерывности деятельности;
- политика организации в области обеспечения непрерывности деятельности, решения и процедуры обеспечения непрерывности деятельности точно отражают его приоритеты и стратегические требования;
- компетентность лиц и непрерывность деятельности организации эффективны и соответствуют поставленной цели и позволят осуществлять управление, руководство, мониторинг и координацию реагирования организации на нарушение;
- решения организации по обеспечению непрерывности деятельности эффективны, актуальны и соответствуют поставленной цели;
- программы организации по осуществлению и техническому обслуживанию эффективно реализованы;
- решения и процедуры обеспечения непрерывности деятельности включают улучшения, выявленные в ходе инцидентов и учений, а также в программе технического обслуживания;
- организация имеет постоянную программу обучения и повышения осведомленности о непрерывности деятельности;
- процедуры обеспечения непрерывности деятельности были эффективно доведены до сведения соответствующих сотрудников и что эти сотрудники понимают свои роли и обязанности;
- механизмы обеспечения непрерывности деятельности, которые существуют у поставщиков и партнеров для зависимостей приоритетных видов деятельности, являются надлежащими и адекватными;
- организация в достаточной степени соответствует применимым законодательным и нормативным требованиям, а также передовым отраслевым практикам и соответствует политике и целям обеспечения непрерывности деятельности;
- процессы управления изменениями существуют и работают эффективно.
8.6.2 Измерение показателей СМНД
Оценка показателей СМНД (планов, процедур и возможностей обеспечения непрерывности деятельности) должна включать механизмы обеспечения непрерывности деятельности для аутсорсинговых видов деятельности и непрерывности деятельности поставщиков и партнеров, от которых зависят приоритетные виды деятельности.
Примеры метрик, которые могут быть использованы для измерения показателей СМНД, включают:
- резервные данные достаточно актуальны, чтобы возобновить деятельность и ресурсы в рамках указанных RTO;
- необходимые помещения и оборудование имеются в альтернативном месте (местах) для обеспечения восстановления и возобновления деятельности;
- продемонстрированы необходимые компетенции для возобновления приоритетной деятельности в рамках указанного RTO;
- продемонстрированы необходимые компетенции для реагирования на инциденты и управления ими.
Если в организации происходят сбои, следует провести анализ, который может включать в себя:
- определение характера и причины нарушения;
- оценку адекватности реакции руководства;
- оценку эффективности организации по выполнению RTO;
- оценку адекватности механизмов обеспечения непрерывности деятельности при подготовке сотрудников к инциденту;
- определение улучшений, которые необходимо внести в способы обеспечения непрерывности деятельности;
- сравнение фактических воздействий с теми, которые рассматривались в ходе анализа воздействий на деятельность (см. 8.2.2);
- получение обратной связи от заинтересованных сторон и тех, кто участвовал в ответных мерах.
8.6.3 Результаты
Результаты, свидетельствующие об эффективных планах, процедурах и возможностях обеспечения непрерывности деятельности, могут включать следующее:
- возможность управления инцидентами включена и обеспечивает эффективное реагирование;
- понимание организацией самой себя и своих взаимоотношений с другими организациями, соответствующими регулирующими органами, местными органами власти и аварийными службами должным образом разработано, документировано и понято;
- регулярные учения обеспечивают то, что персонал обучен эффективно реагировать на нарушение;
- требования заинтересованных сторон понятны и могут быть выполнены;
- персонал получает адекватную поддержку и связь во время сбоя;
- репутация организации защищена;
- продемонстрировано соответствие законодательным и обязательным требованиям;
- финансовый контроль поддерживается на протяжении всего инцидента;
- организация может продемонстрировать повышенный уровень гибкости и взаимодействия в работе со своими клиентами и другими заинтересованными сторонами.
Документированная информация, касающаяся всех оценок и их результатов, должна храниться в качестве доказательств.
Подписаться на обновления