ГОСТ Р 53647.1—2009
6.6.2 Непрерывность бизнеса
Если организация решила применитьдляключевой продукцииили услугистратегию непрерывнос
ти бизнеса, тодолжен бытьустановлен «целевой срок восстановления» и всоответствиис этим показа
телем проведена оценкастратегии непрерывности бизнеса (раздел 7).
Стратегии непрерывности направлены на повышение устойчивости организации к нарушениям и
разрушениям. Это достигается путем обеспечения непрерывности критических видов деятельности
и/или их восстановления на приемлемом минимальном уровне и в сроки, установленные в результа те
АВБ.
6.6.3 Принятие риска
Риск может считаться приемлемым без необходимости предпринимать дальнейшие действия.
Даже есликонкретный риск неприемлем, в некоторыхситуацияхсделатьчто-либос небольшим повели
чине риском может быть трудно или стоимость предпринятых ответных мер непропорциональна полу
ченной выгоде. В этих случаях решением может быть принятие существующего уровня риска, если
высшее руководствосчитает подобныйрискприемлемым иегозначение находится в границахдопусти
мого совокупного риска организации. В некоторых обстоятельствах воздействие риска может быть вне
допустимого совокупного риска организации, однако из-за низкой вероятности возникновения соответ
ствующего опасного события и/или экономической нецелесообразности затрат на управление данным
риском, высшее руководство может принять риск.
Принятиериска можетбытьдополнено разработкойи применением плана обработки рискав ситу
ации. когда произойдет соответствующее опасное событие.
6.6.4 Передача риска
В некоторыхслучаяхлучшим решением можетбытьпередача риска. Этодостигается путемприме
нения обычныхстраховых или договорных соглашений, либо путем оплаты третьемулицу, которое при
нимает на себя риск любым способом. Подобный выбор особенно хорош для того, чтобы смягчить
финансовый риск или риск, связанный с активами. Риск может быть передан для уменьшения подвер
женности организации риску или по причине того, что другая организация имеет больше возможностей
для эффективногоуправленияриском. Важноотметить, чтонекоторыевиды рискавообще не могутбыть
переданы, в частности невозможно передать риск потери репутации, даже если вдоговоре предусмот
рен отказот поставки услуги.
Заключение договоров страхования может стать частью стратегии обработки риска иобеспечить
некоторую финансовую компенсацию за понесенные потери. Однако не все потери можно полностью
застраховать (например, незастрахованные инциденты, урон, нанесенный бренду или репутации, сни
жение стоимости активовпричастныхсторон, сокращениедолирынка ипоследствиядляздоровья чело
века). Однотолько финансовое урегулирование не всегда позволяет полностью защититьее способом,
удовлетворяющим ожидания причастных сторон. Установление объема страхования, вероятнее всего,
следует использовать совместно сдругими стратегиями.
6.6.5 Изменение, приостановка или прекращение производства
В некоторых обстоятельствах может быть уместно изменение, приостановка или прекращение
производства продукции, оказания услуги, деятельности функционального подразделения или процес
са. Этот вариант необходимо рассматривать только тогда, когда он не противоречит установленным
целям организации, законодательным и обязательным требованиям и ожиданиям причастных сторон.
Данный вариант восновном применим при ограниченном срокежизни услуги, продукции, деятельности,
функционального подразделения или процесса.
П р и м е ч а н и е — Эти четыре элемента иногда называют моделью «4 Т»’1«Обработка* (непрерывность
бизнеса). «Допустимость» (принятие риска). ■>Передача» и «Прекращение производства».
6.7 Утверждение
Высшееруководстводолжноутвердитьпереченьключевойпродукциииуслуг, анализвоздействия
набизнесиоценкирискадляобеспечениятого, чтобы работабылавыполненадолжным образом исоот
ветствовала потребностям организации.
и
«4 Т» model: «Treat» (business continuity). «Tolerate* (accept trie risk). «Transfer» and «Terminate».
14