ГОСТ Р ИСО 22301—2014
8.3.2 Установление требований к ресурсам
Организация должна определить требования к ресурсам для выполнения выбранных стратегий.
Рассматриваемые ресурсы должны включать в себя, но не ограничиваться, следующими:
a ) персонал;
b
) информация и данные:
c) здания, рабочая среда и связанные с ними коммуникации:
d) оборудование и расходные материалы;
e) системы информационно-коммуникационных технологий (ИКТ):
0 транспорт;
д) финансы:
h) партнеры и поставщики.
8.3.3 Защита и снижение риска
Для идентифицированных рисков, требующих обработки, организация должна разработать ме
ры. обеспечивающие:
a) снижение вероятности разрушений (нарушений);
b
) сокращение продолжительности разрушений (нарушений):
c) снижение последствий разрушений (нарушений) для ключевой продукции и услуг организа
ции.
Организация должна выбрать и провести необходимую обработку риска в соответствии с аппе
титом риска.
8.4 Установление и внедрение процедур непрерывности бизнеса
8.4.1 Общие положения
Организация должна установить, внедрить и поддерживать в рабочем состоянии процедуры
управления и продолжения своей деятельности в условиях действия инцидента на основе целей вос
становления. идентифицированных в ходе анализа воздействия на бизнес.
Организация должна документировать процедуры (включая необходимые ответные меры) для
обеспечения непрерывности деятельности и управления в условиях инцидента.
Процедуры должны:
a) устанавливать соответствующий порядок внутреннего и внешнего обмена информацией;
b
) быть конкретными в отношении неотложных действий, которые должны быть выполнены в
условиях разрушения (нарушения) деятельности;
c) быть гибкими для реагирования на непредвиденные угрозы и меняющиеся внутренние и
внешние условия;
d) быть сфокусированы на последствиях событий, которые могут нарушить работу;
е) быть разработаны на основе установленных предположений и анализа взаимозависимостей;
0 результативно минимизировать последствия путем осуществления стратегий смягчения по
следствий инцидента.
8.4.2 Структура ответных мер на инцидент
Организация должна установить, документировать и внедрить процедуры и структуру управле
ния действиями при возникновении разрушительного инцидента с использованием персонала, обла
дающего необходимой ответственностью, полномочиями и компетентностью.
Структура ответных мер должна
a) определять пороги воздействия, за пределами которых инициируют выполнение ответных
мер;
b
) оценивать характер и степень разрушительного инцидента и его возможных последствий;
c) приводить в действие соответствующие ответные меры, предусмотренные СМНБ;
d) иметь в наличии процессы и процедуры активации, функционирования, координации ответ
ных мер и информирования о них;
e) иметь в наличии ресурсы для поддержки процессов и процедур управления в условиях раз
рушительного инцидента для минимизации его последствий;
0 активизировать связь с заинтересованными сторонами и властями, а также средствами мас
совой информации.
Организация должна определить, руководствуясь безопасностью жизни как важнейшим приори
тетом. после консультаций с важными заинтересованными сторонами, необходимость сообщения
внешним сторонам о наличии существенного риска и его последствиях для организации и документи-
13