ГОСТР ИСО 22313—2015
Программа уменийдолжна соответствовать области применения процедур непрерывности бизне
са с учетом существующих законов и правил.
Программа учений должна быть разработана для обеспечения объективной уверенности в том,
что процедуры и мероприятия по обеспечению непрерывности бизнеса при необходимости будут рабо
тать в соответствии с ожидаемым. Программа должна предусматривать:
a) испытания технических, логистических, административных, методических идругих систем, ис
пользуемых в процедурах:
b
) учения для всех лиц, ответственных за выполнение процедур;
c) проверку мероприятий по обеспечению непрерывности бизнеса и инфраструктуры (включая,
например, места расположения руководства во время инцидента и рабочие места);
d) валидацию восстановления технологии и телекоммуникационных сетей, включая наличие и
возможность передислокации персонала.
Масштаб и сложность учений должны соответствовать целям обеспечения непрерывности бизне
са организации.
Должен быть разработан график проведения учений, частота которых зависит от потребно
стей организации, окружающей среды, в которой она осуществляет свою деятельность, и от требо
ваний заинтересованных сторон. Тем не менее программа учений должна быть гибкой, учитываю
щей изменения внутри организации и результаты предыдущих учений. Значительное изменение в
организации может потребовать проведения внепланового учения для проверки пересмотренных
мероприятий.
Программа учений должна учитывать функции всех сторон, участвующих в мероприятиях по вос
становлению деятельности, включая ключевых провайдеров, третьи стороны, поставщиков и другие
организации. Организация может включить такие стороны в свои учения и может принимать участие в
учениях, организуемых ими.
Масштаб идетали учений должны совершенствоваться на протяжении всей программы на основе
опыта, ресурсов и возможностей организации. На ранних стадиях реализации учений и проверок орга
низация может ограничиваться использованием контрольных вопросников, тренировок и упражнений по
повышению информированности. По мере реализации программы она может быть расширена до
включения в нее настольных учений и полномасштабного моделирования ситуаций.
8.5.3 Планы учений по обеспечению непрерывности бизнеса
Учения представляют собой мероприятия, предназначенные для проверки способности организа
ции реагировать, восстанавливаться и продолжать эффективно выполнять свою деятельность в усло
виях конкретной разрушительной ситуации. Организациядолжна использовать испытания и документи
рованные результаты испытаний для обеспечения результативности и готовности ее планов в области
непрерывности бизнеса.
Все учения и проверки должны иметь четко поставленные цели и задачи по каждому сценарию,
разрабатываемому для их проведения.
Проверки могут быть:
- направлены на получение заранее определенного результата;
- позволять организации принимать инновационные решения.
Учения должны быть реалистичными, четко спланированными и согласованными с соответству
ющими сторонами таким образом, чтобы минимизировать риск разрушения бизнес-процессов и воз
никновения инцидента как непосредственного результата учений. Этого можнодостичь, если проводить
учения в контролируемой и изолированной окружающей среде, при условии, что это не ставит под
угрозу целостность задач учений.
Организация должна разработать сценарии учений, позволяющие достичь поставленных целей,
в которых могут быть использованы угрозы, определенные при оценке риска, или другие соответству
ющие события.
Для достижения результативности некоторых аспектов обеспечения непрерывности бизнеса не
обходимо. чтобы конкретные лица обладали установленными знаниями, навыками и пониманием. Это
требование должно быть обеспечено до проведения учений, что позволяет участникам применить эти
навыки и знания на практике в соответствующих сценариях при моделировании ситуаций.
Учения должны обеспечить одно или более из перечисленного ниже:
a) подтверждение выполнимости срока восстановления (8.3.1);
b
) уверенность в том. что информация, необходимая для осуществления деятельности, не поте
ряла своей актуальности (8.3.2.3);
31