ГОСТ Р 53647.1-2009
ГОСТ Р 53647.1-2009 — это национальный стандарт Российской Федерации, устанавливающий требования к системе менеджмента непрерывности бизнеса (СМНБ). Официальное полное наименование: «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство». Стандарт был принят и введён в действие Приказом Федерального агентства по техническому регулированию и метрологии (Росстандарт) от 15 декабря 2009 года № 956-ст. Он является идентичным переводом международного стандарта BS 25999-1:2006 (Business continuity management. Part 1. Code of practice), разработанного Британским институтом стандартов (BSI). ГОСТ Р 53647.1-2009 носит рекомендательный характер и предназначен для организаций всех форм собственности, размеров и отраслей, стремящихся обеспечить свою способность продолжать деятельность в условиях сбоев, кризисов и чрезвычайных ситуаций.
История разработки и принятия
Необходимость создания стандарта по менеджменту непрерывности бизнеса возникла в начале 2000-х годов на фоне роста угроз техногенного, природного и террористического характера, а также увеличения зависимости организаций от информационных технологий. Международный стандарт BS 25999-1:2006 стал первым в мире комплексным документом, систематизирующим лучшие практики в этой области. Российский ГОСТ Р 53647.1-2009 был разработан Техническим комитетом по стандартизации ТК 100 «Стратегический и инновационный менеджмент» при участии ведущих экспертов в области управления рисками и антикризисного менеджмента. Целью принятия стандарта стало внедрение в российскую практику современных подходов к обеспечению устойчивости организаций, гармонизированных с международными требованиями. В 2012 году была разработана вторая часть — ГОСТ Р 53647.2-2012 «Менеджмент непрерывности бизнеса. Часть 2. Требования», которая устанавливает обязательные требования к системе менеджмента непрерывности бизнеса для целей сертификации (аналог BS 25999-2:2007).
Цель и область применения
Основная цель ГОСТ Р 53647.1-2009 — предоставить организациям практическое руководство по созданию, внедрению, поддержанию и постоянному улучшению системы менеджмента непрерывности бизнеса. Стандарт охватывает все этапы жизненного цикла СМНБ: от анализа рисков и оценки воздействия на бизнес до разработки стратегий восстановления, проведения учений и аудитов. Область применения стандарта не ограничена каким-либо конкретным сектором экономики. Он может быть использован как коммерческими компаниями, так и государственными учреждениями, некоммерческими организациями, образовательными и медицинскими учреждениями. Важно отметить, что стандарт носит рекомендательный характер, то есть его применение является добровольным, если иное не установлено законодательством или договорными обязательствами.
Ключевые понятия и определения
ГОСТ Р 53647.1-2009 вводит и разъясняет ряд фундаментальных терминов в области непрерывности бизнеса:
- Непрерывность бизнеса — способность организации продолжать поставку продуктов или услуг на приемлемом заранее определённом уровне после инцидента, нарушающего нормальную деятельность.
- Менеджмент непрерывности бизнеса — целостный процесс управления, который идентифицирует потенциальные угрозы для организации и их возможное воздействие на бизнес-операции, а также обеспечивает основу для повышения устойчивости организации и способности эффективно реагировать на инциденты.
- Инцидент — событие, которое может привести к нарушению или прерыванию деятельности организации.
- Критическая бизнес-функция — функция, сбой в выполнении которой в течение определённого времени приведёт к серьёзным негативным последствиям для организации (финансовым, репутационным, юридическим).
- Максимально допустимый перерыв (MTPD) — максимальный период времени, в течение которого организация может функционировать без выполнения критической бизнес-функции до того, как наступит неприемлемый ущерб.
- Целевое время восстановления (RTO) — запланированный период времени, в течение которого организация обязуется восстановить выполнение критической бизнес-функции после инцидента.
- План непрерывности бизнеса — документированная процедура, описывающая действия организации по обеспечению непрерывности или восстановлению критических бизнес-функций после инцидента.
Структура и основные разделы
ГОСТ Р 53647.1-2009 состоит из нескольких основных разделов, которые последовательно раскрывают процесс создания и функционирования СМНБ:
1. Общие положения и принципы
Раздел описывает концепцию менеджмента непрерывности бизнеса, его взаимосвязь с общим менеджментом организации и риск-менеджментом. Подчёркивается, что СМНБ должна быть интегрирована в корпоративную культуру и поддерживаться высшим руководством. Формулируются ключевые принципы: ориентация на заинтересованные стороны, процессный подход, постоянное улучшение.
2. Политика и стратегия непрерывности бизнеса
Данный раздел посвящён разработке политики в области непрерывности бизнеса, которая представляет собой заявление высшего руководства о намерениях и обязательствах. Политика должна быть документирована, доведена до сведения всех сотрудников и периодически пересматриваться. Стратегия непрерывности бизнеса определяет общий подход организации к обеспечению устойчивости, включая выбор методов восстановления, распределение ресурсов и приоритеты.
3. Анализ воздействия на бизнес (BIA)
Анализ воздействия на бизнес (Business Impact Analysis, BIA) является центральным элементом СМНБ. Раздел детально описывает методику проведения BIA, которая включает:
- Идентификацию всех бизнес-функций и процессов.
- Оценку последствий их нарушения для организации (финансовых, операционных, репутационных, юридических).
- Определение критических бизнес-функций и их приоритетов.
- Установление максимально допустимых перерывов (MTPD) и целевых времён восстановления (RTO) для каждой критической функции.
- Выявление зависимостей между функциями, а также от внешних поставщиков, подрядчиков и инфраструктуры.
4. Оценка рисков
Раздел посвящён идентификации и анализу рисков, которые могут привести к нарушению деятельности организации. Рассматриваются различные категории угроз: природные катастрофы (землетрясения, наводнения), техногенные аварии (пожары, отключения электроэнергии), человеческий фактор (ошибки, саботаж), кибератаки, террористические акты, эпидемии и пандемии. Оценка рисков проводится с учётом вероятности наступления события и тяжести его последствий. Результаты оценки рисков используются для разработки мер по их снижению и предотвращению.
5. Разработка стратегий непрерывности
На основе результатов BIA и оценки рисков разрабатываются стратегии обеспечения непрерывности для каждой критической бизнес-функции. Стратегии могут включать:
- Резервирование — создание дублирующих мощностей (оборудования, персонала, помещений).
- Альтернативные методы работы — переход на ручные процессы, использование удалённого доступа, привлечение сторонних организаций.
- Страхование — перенос части финансовых рисков на страховую компанию.
- Планирование восстановления — разработка подробных процедур по восстановлению функций после сбоя.
6. Разработка и внедрение планов непрерывности бизнеса
Раздел содержит практические рекомендации по составлению планов непрерывности бизнеса (BCP). Каждый план должен содержать:
- Цель и область применения.
- Состав команды по управлению инцидентом и её обязанности.
- Критерии активации плана.
- Пошаговые процедуры реагирования и восстановления.
- Перечень необходимых ресурсов (оборудование, программное обеспечение, контакты).
- Процедуры коммуникации (внутренней и внешней).
- Порядок тестирования и актуализации плана.
7. Тестирование, обучение и аудит
Для обеспечения работоспособности СМНБ необходимы регулярные тестирования (учения, симуляции, настольные упражнения) и обучение персонала. Раздел описывает различные виды тестирования: от простых проверок планов до полномасштабных учений с участием всех подразделений. Также предусматривается проведение внутренних и внешних аудитов для оценки соответствия СМНБ требованиям стандарта и выявления областей для улучшения.
8. Постоянное улучшение
Заключительный раздел подчёркивает, что СМНБ не является статичным документом. Она должна постоянно совершенствоваться на основе результатов тестирований, аудитов, анализа произошедших инцидентов и изменений во внешней и внутренней среде организации. Процесс улучшения включает корректирующие и предупреждающие действия.
Значение и применение в России
ГОСТ Р 53647.1-2009 сыграл важную роль в популяризации и стандартизации подходов к управлению непрерывностью бизнеса в России. Он стал основой для разработки внутренних регламентов во многих крупных компаниях, особенно в банковском секторе, энергетике, телекоммуникациях и на транспорте. Стандарт используется как методическая база при подготовке к сертификации на соответствие требованиям ГОСТ Р 53647.2-2012 или международного стандарта ISO 22301:2012 (который заменил BS 25999). Наличие сертифицированной СМНБ часто является обязательным условием для участия в тендерах, получения кредитов или заключения крупных контрактов. Кроме того, стандарт способствует повышению доверия со стороны клиентов, партнёров и регуляторов, демонстрируя, что организация серьёзно относится к управлению рисками и готова к любым нештатным ситуациям.
Критика и ограничения
Несмотря на широкое признание, ГОСТ Р 53647.1-2009 имеет ряд ограничений. Во-первых, он основан на устаревшей версии британского стандарта (BS 25999-1:2006), который в 2012 году был заменён международным стандартом ISO 22301:2012. Это приводит к некоторым терминологическим и методологическим расхождениям. Во-вторых, стандарт носит рекомендательный характер и не содержит обязательных требований, что может снижать мотивацию организаций к его внедрению. В-третьих, его применение требует значительных временных и финансовых затрат, особенно для малых и средних предприятий. Некоторые эксперты отмечают, что стандарт недостаточно учитывает специфику российского законодательства и особенности ведения бизнеса в стране, что может затруднять его практическую реализацию.
Источники
- ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство». — М.: Стандартинформ, 2010.
- ГОСТ Р 53647.2-2012 «Менеджмент непрерывности бизнеса. Часть 2. Требования». — М.: Стандартинформ, 2013.
- BS 25999-1:2006 «Business continuity management. Part 1. Code of practice». — BSI, 2006.
- ISO 22301:2012 «Societal security — Business continuity management systems — Requirements». — ISO, 2012.
- Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании» (ред. от 28.04.2023).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →