ГОСТ Р 53647.3—2015
10.4 Функции и ответственность
В плане следует определить функции и ответственностьлюдей, которые будут вовлечены в работу
по созданию плана. Следует определить руководителя группы, ее ключевых членов и их представите
лей. которые должны собраться в случае активации плана. Также должны быть определены уровни
их полномочий (включая финансовые полномочия) и лица, перед которыми они должны отчитываться
о своих действиях. В плане должно быть определено, в какой момент ответственность за
управление в условиях инцидента или управление непрерывностью бизнеса должна перейти к
руководству более вы сокого уровня организации. За планы непрерывности бизнеса и управление в
условиях инцидента могут отвечать отдельные группы.
10.5 Активация плана
В плане должны быть установлены условия, при которых он должен быть активирован (его на
чинают выполнять) и ответственных за это лиц. План должен также включать подробное описание
способов управления в условиях нарушений/разрушений бизнеса и воздействия их последствий на
организацию. Важно, чтобы организация была в состоянии быстро принимать меры во избежание еще
более крупных разрушений. Для активации плана в филиале организации может быть необходимо
закрепление соответствующих полномочий на более низком уровне для работы с локальными инци
дентами. Сведения об активации плана должны быть направлены высшему руководству. Это обеспе
чивает высшему руководству информированность о наличии инцидента и возможность исследовать
его влияние на организацию. Инструкции о проведении таких исследований должны быть подробно
описаны в плане.
10.6 Центр управления
Подробное описание мест работы рабочих групп (центр управления основной и резервный) по
управлению в условиях нарушений/разрушений.
Должны быть запланированы резервные места размещения. Детали резервных мест расположе
ний должны быть включены в план вместе с картами, мерами безопасности для обеспечения доступа,
договорными терминами и любой другой соответствующей информацией.
10.7 Планы восстановления системы
Для малых предприятий планы восстановления основной (базовой) системы могут представлять
собой один документ. Эти планы могут состоять из инструкций по восстановлению данных или пере
мещению телекоммуникационных услуг к альтернативному месту размещения для выполнения работ. В
крупных организациях планы восстановления имеют более сложную структуру и представляют собой
несколько документов, которыеобычно разрабатывают ответственныеза оказание конкретных услуг или
выполнение конкретных видов работ, например, планы восстановления ИТ разрабатывают в информа
ционном центре. В основном плане восстановления должно быть назначенолицо, ответственное за раз
работку этого плана и ключевые предпринимаемые действия.
10.8 Контактная информация
План должен включать контактную информацию участников группы и их представителей. Кроме
того, он может включатьдругие деталидля внутренних и внешних контактов с:
- ключевым высшим руководством;
- оперативным штатом ключевых сотрудников;
- аварийными службами;
- чиновниками (органов местного самоуправления);
- другими службами иорганами власти;
- поставщиками;
- ключевыми потребителями;
- сервисными компаниями;
- страховыми компаниями;
- СМИ.
Целесообразно включать подробную информацию о ключевых контрактах, страховых полисах,
обязательных и законодательных требованиях и т. д. Эти дополнительные документы могут храниться
отдельно от плана, однако, при необходимости, они должны быть доступны.
37