ГОСТ Р 53647.4—2011/ISO/PAS 22399:2007
зов системы, опасных событий и разрушений, включая небольшие сбои и пограничные значения
показателей.
Организация должна установить и поддерживать процедуры выполнения мониторинга и измере
ний на регулярной основе. Эти процедуры должны предусматривать:
- качественные иколичественные критерии, соответствующие потребностяморганизации:
- мониторингстепенидостижения целей организации вобласти IPOCM;
- превентивныеоценкивыполненияработ, мониторингкоторыхпроводятдляпроверкиихсоответ
ствия программе IPOCM, критериям функционирования и применимым правовым ирегулирующим тре
бованиям в области IPOCM;
- текущиеоценки (измерения) для проведениямониторингасобытийи разрушений, включаясбои и
другие свидетельства неполного функционирования системы IPOCM;
- регистрацию данных и результатов мониторинга и измерений, достаточных для облегчения
последующего анализа корректирующих и предупреждающихдействий.
8.3 Проверки и учения
Программа учений должна быть совместима с целями организации и соответствующими обяза
тельнымитребованиями вобласти IPOCM. Учениямогутвключать проверки, имеющие предопределен
ный результат, настольные учения, учения с использованием моделирования ситуации и
полномасштабныеучения. Учениядолжны бытьоснованы нареалистичныхсценариях, которыедолжны
бытьтщательно спланированы исогласованы с причастными сторонами идолжны обеспечивать мини
мальный риск нарушения рабочих процессов. Для каждого учениядолжны бытьточно поставлены цели
изадачииопределенаформаотчетапосле ихзавершениясуказаниемдальнейшихрекомендаций. Фор
ма отчета должна быть установлена, а отчет своевременно использован для улучшения системы
IPOCM.
Учения позволяют провести:
- верификацию того, что программа IPOCM полностью охватывает критические виды деятельнос
тиорганизации, их взаимосвязи и приоритетность:
- ориентацию итестированиелиц, отвечающихза программуIPOCM. позволяющиепровестиоцен
кузнания ими своихфункций и обязанностей;
- постоянное улучшение программы IPOCM;
- проверкутехнических, логистических, административных, процедурныхидругих аспектов планов
IPOCM;
- проверкусистемы IPOCM организации и ее инфраструктуры (включая центры управления и про
изводственную среду):
- оценку технологических и телекоммуникационных ресурсовдля обеспечения готовности и пере
мещения персонала;
- регистрацию достаточного количества данных ирезультатов проверок и учений для проведения
последующего анализа корректирующих и предупреждающихдействий.
Проверкидолжны охватывать (но не бытьограничены)следующее:
- планыдействий персонала;
- планы управления в условиях инцидента;
- планы обмена информацией;
- планы восстановления критических видовдеятельности;
- планы размещения;
- системы резервного копирования и восстановления данных, физической и компьютерной безо
пасности,
- соблюдение правовых требований.
8.4 Корректирующие и предупреждающие действия
Организациядолжна установить, внедритьи поддерживать в рабочем состоянии корректирующие
процедурыдля работы сфактическими ипотенциальными несоответствиями программы ивыполнения
соответствующих корректирующих и предупреждающихдействий.
В процедурахдолжны бытьопределены критериидля:
- идентификации икорректировки несоответствий программы ипредпринятыхдействий посниже
нию их воздействия;
- исследования несоответствий программы, определения их причин и выполнения действий,
направленныхна исключение их повторного появления;
- оценки потребности вдействиях, направленных на предотвращение несоответствий программы
и внедрение мер, исключающих их возникновение;
19