ГОСТ Р 53647.3— 2015
Анализ воздействия на бизнес и анализ риска необходимо проводить регулярно, а также при вне
сении существенных изменений в деятельность организации или воздействия организации на окружаю
щую среду.
8 Стратегия непрерывности бизнеса
После идентификации критических видов работ, процессов и ресурсов, которые поддерживают
ключевые продукцию или услуги организации, завершения действий по оценке воздействий и риска
опасного события, согласования времени восстановления объекта и минимального уровня требуемых
услуг, организация должна рассмотреть пути достижения (продолжения) непрерывности деятельности
В соответствии с ГОСТ Р ИСО 22301 организация должна определить подходящую стратегию не
прерывности бизнеса для:
1) защиты приоритетных видов деятельности:
2) стабилизации, продолжения, возобновления и восстановления приоритетных видов деятельно
сти и их обеспечения ресурсами:
3) смягчения последствий, разработки ответных мер и управления ими.
Лица, ответственные за МНЕ, должны определить способ возобновления организацией критиче
ских видов деятельности в пределах установленного времени и какие ресурсы для этого потребуются.
Это определяет требования к ресурсам для обеспечения непрерывности деятельности. Кроме того, не
обходимо определить, как будут осуществляться взаимоотношения с ключевыми заинтересованными
лицами во время разрушения.
При выборе соответствующего варианта или стратегии восстановления деятельности должны
быть приняты во внимание максимально приемлемый период нарушений/разрушений для каждого вида
деятельности, затраты на выполнение стратегий и ущерб от последствий бездействия.
При согласовании стратегий восстановления должны быть учтены вовлеченные в них ключевые
ресурсы, например персонал, производственная среда, технологии, информация и запасы. Информаци
онные ресурсы необходимо рассматривать отдельно от технологических на основе составленных ранее
карт процессов, так какчерез доступ к критической информации, независимо от пригодности технологий,
возможно управление ключевыми услугами вручную.
Пример
—
Организация является важным поставщиком продукции на большой мясокомбинат. Эта
организация расположена в небольшом городе, и поставка электроэнергии для нее осуществляется
единственной в области электроподстанцией. Однажды утром подача электричества была приоста
новлена и производство остановилось. Обычно подача энергии возобновлялась
в
течение одного часа,
но
в
тот день этого не произошло. Поставщик электроэнергии проинформировал организацию о том,
что произошло серьезное повреждение, и подача энергии возобновится не ранее, чем через 2 дня.
Эта ситуация привела к серьезным проблемам для компании, т.к. отсутствовала электроэнергия
для работы компьютеров, телефонов, факсов, офисов и складов. Организация не использовала бумаж
ных носителей информации, все записи хранились
в
электронном виде.
В
результате организация не
могла воспользоваться записями о потребителях, персонале и поставщиках. Хотя организация имела
запасы продукции на складах, персонал не знал, что и куда необходимо направлять, и не мог получить
доступ к складам, так как на них отсутствовало освещение. Отправив персонал домой, администрация,
при необходимости, не могла с ним связаться. В это время у основного потребителя также произошла
остановка производства, и тонны мяса не были вовремя обработаны.
Вывод: необходимо обеспечивать резервные возможности доступа к информации.
Вышеупомянутая организация после этого случая для обеспечения устойчивости своей работы
установила небольшой аварийный генератор.
Любой инцидент, который приводит к нарушению договоренностей, вызывает неудобства для лю
дей. включая персонал организации, потребителей, подрядчиков, партнеров и сообщество в целом. Чем
больше и длительнее разрушение, тем большие последствия для людей. Обязанностью организации
является защита людей и выполнение нормативных и договорных требований.
Для эффективного восстановления организация должна обеспечить разработку соответствующих
HR-политики1>и процедур высокого риска, как части общихдействий по восстановлению. HR-политика и
процедуры должны охватывать две области:
26
*’ HR — высокий риск.