ГОСТ Р 53647.3—2015
На данном этапе вновь могут быть проведены консультации и согласование с Координационным
Советом СМНБ или с высшим руководством по определению риска для критических видов деятельно
сти. Важно также понять какой уровень риска организация готова принять как допустимый. Уровень до
пустимого риска определяет уровень устойчивости организации и количество задержек или остановок
поставок, которые организация считает приемлемыми с позиций обеспечения непрерывности функцио
нирования процесса.
7.8 Обработка риска для его снижения и защиты от потерь
В матрице риска, представленной на рисунке 14. показано несколько вариантов, применимых к ри
ску критических видов деятельности: принятие, управление или ограничение, снижение или предупреж
дение и планирование. Соответствующая обработка риска может включать в себя один из этих вариан
тов или их сочетание.
7.9 Принятие риска
В ситуации, когда воздействие на бизнес незначительно и вероятность отказа низка. Координа
ционный Совет СМНБ. включающий членов высшего руководства, может принять решение о принятии
риска и отказаться от действий по обработке риска. Допустимый риск зависит от размера организации,
причастных сторон и их интересов, сферы деятельности организации, действий конкурентов и подхода
высшего руководства к риску.
7.10 Снижение риска
В случае высокого уровня риска и низкого уровня воздействия на критические виды деятельно
сти предпочтительно снижение риска. Например, при высоком риске отказа энергоснабжения наличие
и функционирование резервного генератора или других источников электропитания сводит к минимуму
воздействие отказа электроснабжения на критические виды деятельности. Если работа с одним постав
щиком может быть приостановлена при нарушении поставок, то привлечение второго поставщика анало
гичной продукции и услуг может существенно сократить риск таких исследований.
7.11 Прекращение деятельности
В случае высокого риска существенных воздействий на деятельность организации и невозмож
ности снижения риска может быть принято решение о прекращении деятельности. Если прекращение
деятельности невозможно, необходимо изменить или перепроектировать процессы или изменить раз
мещение процессов, например, разместить производство на более безопасныхтерриториях, где послед
ствия опасности слабее.
7.12 План обеспечения непрерывности бизнеса
Если вероятность опасного события не высока, а воздействие на бизнес является очень суще
ственным. важно исследовать планы обеспечения непрерывности бизнеса на их выполнимость в усло
виях инцидента. Примером может стать классический случай, когда целая группа ключевого персонала
выиграла в национальную лотерею и приняла решение немедленно оставить свои рабочие места.
В приложении М приведен пример формы записей о снижении риска.
Страхование часто может стать способом возмещения ущерба от последствий возможного опасно
го события. Несмотря нато. что благодаря страхованию можно получить компенсацию за потерюсредств
(например, оборудования) и доходов, однако это не поможет защитить бренд и репутацию организации.
Лояльность потребителя не является вечной, организация должна предусмотреть способы сохра
нения своих потребителей до полного восстановления услуг. Планирование обеспечения непрерывно
сти бизнеса является основным элементом процесса МНБ. который разработан для обеспечения
не прерывности поставки продукции и услуг организации потребителям. Глубина планирования зависит
от уровня риска и воздействия на организацию нарушения, в соответствии с допустимым риском.
Результатом оценки риска должен стать перечень действий по обработке риска, разработан
ных для:
1) снижения вероятности нарушения/разрушения деятельности;
2) сокращения периода нарушения/разрушения деятельности;
3) ограничения воздействия любого нарушения/разрушения на ключевые виды продукции и услуг
организации.
25