ГОСТ Р 53647.3— 2015
Введение
Менеджмент непрерывности деятельности или менеджмент непрерывности бизнеса (МНБ) пред
ставляет собой методологию, которая сегодня становится достаточно популярной вследствие различий
во внешних условиях, в которых работает организация и в которых организации необходимо найти свое
место.
Существуют три основных типа риска, с которыми сталкивается организация:
- риск, который можно идентифицировать, определить его количественные характеристики и спла
нировать действия по его снижению (например, риск отказа коммунальных сетей, риск возникновения
пожара ит.п.):
- риск, воздействие которого не может быть полностью определено (например, пандемия гриппа
человека или заболеваний животных);
- непредвиденный риск, который может оказать существенное воздействие на организацию.
В 2007 году Нассим Николас Тэлеб выдвинул понятие «черные лебеди», чтобы описать непред
виденные события, которые поражают организацию внезапно: например, японское землетрясение
2011 года, цунами и последующая авария на ядерном объекте.
При реализации такой риск может вызвать серьезные нарушения в обществе и организациях из-
за невозможности доставки продукции и услуг, которые поддерживают экономику и благосостояние об
щества в целом. Нарушить деятельность организации могут не только крупные аварии. Каждая пятая
британская организация раз в год страдает от событий более низкого уровня, таких как массовая за
болеваемость персонала, повреждение или утрата техники, отсутствие доступа к официальному сайту
организации или потеря ключевого для организации поставщика. Подобные события, как правило, не
воздействуют на все общество, но могут привести к нарушению деятельности отдельной организации,
влияя на ее денежные потоки, или привести к утрате доверия и ухудшению репутации организации у
потребителей. Внедрение МНБ позволяет организации успешнее справляться с таким проблемами не
зависимо от вызвавших их причин и таким образом защищает организацию и. следовательно, общество,
которому она служит.
В 2003 году Британский институт стандартов (BSI) издалдокумент PAS 56 «Руководящие указания
по менеджменту непрерывности бизнеса», которые объединили передовые практики в МНБ и были при
няты многими организациями во всем мире.
В 2006 году PAS 56 был заменен Британским стандартом BS 25999-1. включающим требования
МНБ.
В 2012 году был введен стандарт ИСО 22301. устанавливающий новые требования к МНБ. Этот
стандарт был дополнен новым ИСО 22313.
Настоящий стандарт обеспечивает помощь организациям по выполнению требований
ГОСТ Р ИСО 22301 и основывается на предположении, что организацией уже предприняты некото
рые действия по внедрению МНБ.
Понятие непрерывности деятельности (бизнеса) было разработано в середине 1980-х годов, как
новый способ управления деловыми рисками. Основанием для МНБ явилось то обстоятельство, что
ключевой обязанностью руководства организации является обеспечение продолжения деятельности
организации всегда и при любыхобстоятельствах.
Традиционно планирование деятельности концентрировалось на восстановлении деятельности
после аварий (например, таких как потеря компьютерных данных), поэтому в начале 1970-х годов МНБ
был создан для обеспечения быстрого восстановления информационных систем, телекоммуникаций
или ликвидации пожара или наводнения. Ответственность за запланированные действия была распре
делена по различным подразделениям организации. Как правило, это были отделы информационных
технологий и отделы безопасности. Планы аварийного восстановления, как правило, разрабатывали на
основе уже произошедших инцидентов.
Неожиданные события довольно часто являются результатом деятельности самой организации.
У каждой организации существуют слабые места: недостатки информационных систем, использование
неофициальных каналов связи, недостаточное обучение операторов, нарушение связей в структуре ор
ганизации иотклонения от установленных процедур. Экспертиза обычно выявляет, что причиной аварии
послужила комбинация нескольких обстоятельств, которые и привели к катастрофе.
МНБ объединяет не только «лечение», но и «профилактику». Это наука не только о том. как справ
ляться с последствиями инцидента, как и когда происходит инцидент и каким образом предотвращать
кризис и его последствия, но также и об установлении традиций организации, которые приводят к бы-
IV