ГОСТ Р 53647.4—2011/ISO/PAS 22399:2007
7.3 Компетентность, обучение и осведомленность
Организациядолжна обеспечитьнеобходимую компетентностьперсонала на основесоответству
ющего образования, подготовки, навыков или опыта (записи об этом должны быть зарегистрированы)
или причастныхсторон.выполняющихработыдляорганизацииилиотееимени, которые могутбытьвов
лечены в деятельность по предупреждению инцидентов, исследованию их причин, выполнению ответ
ных мер, снижению последствий или могут быть подвержены воздействию идентифицированных
опасностей или угроз.
Организация должна оценить потребности в обучении персонала, разработать и внедрить план
обучения иплан повышения уровня образования для поддержки программы IPOCM. Эти планыдолжны
бытьнаправлены на выполнение всех применимых обязательныхтребований. Цельюобученияявляет
ся повышение осведомленности и навыков, необходимых для разработки, внедрения, поддержки про
граммы IPOCM. Периодичность и программа обучениядолжны быть идентифицированы.
Организациядолжна установить, внедрить и поддерживать процедуры обеспечения осведомлен
ности персонала (лиц. работающихдля нее или отее имени) о:
- важности соответствия политике, процедурам и другим элементам системы IPOCM;
- существенных угрозах, опасностях, фактических или потенциальных воздействиях, связанных с
работой персонала, и преимуществахусовершенствованныхспособов ее выполнения;
- своей роли иобязанностяхв достижении целей изадач программы IPOCM;
- процедурахсдерживания, снижения, реагирования ивосстановлениядо. во время ипосле иици-
дента/разрушения;
- потенциальных последствияхотклонения от указанных процедур.
7.4 Обмен информацией и предупреждение об опасности
Организациядолжна установить, внедрить и поддерживать процедуры ответов на запросы и рас
пространения информации относительноугроз, опасностей, риска и требований системы IPOCM до, во
время и после инцидента/разрушения. Должны быть разработаны процедуры предоставления инфор
мации внутренней и внешней аудитории, включая СМИ и их запросы о текущих иаварийных ситуациях,
для;
- внутреннего обмена информацией между различными уровнями и подразделениями организа
ции ипартнерами;
- получения соответствующего запроса от внешних заинтересованных сторон, его регистрации и
своевременного ответа на него;
- адаптации иинтеграции национальныхили региональныхсправочных иобучающихсистем рабо
ты с опасностями или угрозами, или их эквивалентами, а также их внедрения в плановую или текущую
работуорганизации;
- оповещения и приведения в готовностьлюдей, подвергшихся или потенциально подверженных
инциденту;
-облегчения структурированногообмена информациейс аварийными службами;
- обеспечения доступности средств связи в ситуации кризиса иразрушений;
- обеспечения способности к разнонаправленному взаимодействию и реагированию организации
и персонала;
- регистрации записей жизненно важной информации об инциденте, предпринятых действиях и
принятых решениях,
- обеспечения потребности в необходимыхсредствах связи и концентраторахсети.
Организациядолжна принимать решения, исходя из принципа обеспечения безопасности жизне
деятельности и здоровья людей, на основе консультаций с причастными сторонами о необходимости
внешнегообмена информациейо своихнаиболеесущественныхопасностях, рискеи угрозахдо и после
инцидента и должна зарегистрировать свое решение. Если принято решение о необходимости такого
обмена информацией, организациядолжна установитьивнедритьметоды внешней связи, сигналы тре
воги исигналы об опасности. При обменеданными должны бытьобеспечены защита ицелостностьсек
ретной информации и разработаны процедуры публичного представления несекретных данных,
необходимыхдля координации IPOCM.
До инцидента организация должна разработать стратегию обмена информацией, основанную на
ответах на следующие вопросы:
- кто нуждается в информации:
- какая и когда информация необходима или можетбыть запрошена:
- какиеорганизационные ограничения исдерживающие факторы существуют;
- кто наделен полномочиями одобрения и распространения обмена информацией;
17