Открыть сервис

ГОСТ Р 53647.1-2009

ГОСТ Р 53647.1-2009 — это национальный стандарт Российской Федерации, устанавливающий требования к системе менеджмента непрерывности бизнеса (СМНБ). Официальное полное наименование: «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство». Стандарт был принят и введён в действие Приказом Федерального агентства по техническому регулированию и метрологии (Росстандарт) от 15 декабря 2009 года № 956-ст. Он является идентичным переводом международного стандарта BS 25999-1:2006 (Business continuity management. Part 1. Code of practice), разработанного Британским институтом стандартов (BSI). ГОСТ Р 53647.1-2009 носит рекомендательный характер и предназначен для организаций всех форм собственности, размеров и отраслей, стремящихся обеспечить свою способность продолжать деятельность в условиях сбоев, кризисов и чрезвычайных ситуаций.

История разработки и принятия

Необходимость создания стандарта по менеджменту непрерывности бизнеса возникла в начале 2000-х годов на фоне роста угроз техногенного, природного и террористического характера, а также увеличения зависимости организаций от информационных технологий. Международный стандарт BS 25999-1:2006 стал первым в мире комплексным документом, систематизирующим лучшие практики в этой области. Российский ГОСТ Р 53647.1-2009 был разработан Техническим комитетом по стандартизации ТК 100 «Стратегический и инновационный менеджмент» при участии ведущих экспертов в области управления рисками и антикризисного менеджмента. Целью принятия стандарта стало внедрение в российскую практику современных подходов к обеспечению устойчивости организаций, гармонизированных с международными требованиями. В 2012 году была разработана вторая часть — ГОСТ Р 53647.2-2012 «Менеджмент непрерывности бизнеса. Часть 2. Требования», которая устанавливает обязательные требования к системе менеджмента непрерывности бизнеса для целей сертификации (аналог BS 25999-2:2007).

Цель и область применения

Основная цель ГОСТ Р 53647.1-2009 — предоставить организациям практическое руководство по созданию, внедрению, поддержанию и постоянному улучшению системы менеджмента непрерывности бизнеса. Стандарт охватывает все этапы жизненного цикла СМНБ: от анализа рисков и оценки воздействия на бизнес до разработки стратегий восстановления, проведения учений и аудитов. Область применения стандарта не ограничена каким-либо конкретным сектором экономики. Он может быть использован как коммерческими компаниями, так и государственными учреждениями, некоммерческими организациями, образовательными и медицинскими учреждениями. Важно отметить, что стандарт носит рекомендательный характер, то есть его применение является добровольным, если иное не установлено законодательством или договорными обязательствами.

Ключевые понятия и определения

ГОСТ Р 53647.1-2009 вводит и разъясняет ряд фундаментальных терминов в области непрерывности бизнеса:

Структура и основные разделы

ГОСТ Р 53647.1-2009 состоит из нескольких основных разделов, которые последовательно раскрывают процесс создания и функционирования СМНБ:

1. Общие положения и принципы

Раздел описывает концепцию менеджмента непрерывности бизнеса, его взаимосвязь с общим менеджментом организации и риск-менеджментом. Подчёркивается, что СМНБ должна быть интегрирована в корпоративную культуру и поддерживаться высшим руководством. Формулируются ключевые принципы: ориентация на заинтересованные стороны, процессный подход, постоянное улучшение.

2. Политика и стратегия непрерывности бизнеса

Данный раздел посвящён разработке политики в области непрерывности бизнеса, которая представляет собой заявление высшего руководства о намерениях и обязательствах. Политика должна быть документирована, доведена до сведения всех сотрудников и периодически пересматриваться. Стратегия непрерывности бизнеса определяет общий подход организации к обеспечению устойчивости, включая выбор методов восстановления, распределение ресурсов и приоритеты.

3. Анализ воздействия на бизнес (BIA)

Анализ воздействия на бизнес (Business Impact Analysis, BIA) является центральным элементом СМНБ. Раздел детально описывает методику проведения BIA, которая включает:

4. Оценка рисков

Раздел посвящён идентификации и анализу рисков, которые могут привести к нарушению деятельности организации. Рассматриваются различные категории угроз: природные катастрофы (землетрясения, наводнения), техногенные аварии (пожары, отключения электроэнергии), человеческий фактор (ошибки, саботаж), кибератаки, террористические акты, эпидемии и пандемии. Оценка рисков проводится с учётом вероятности наступления события и тяжести его последствий. Результаты оценки рисков используются для разработки мер по их снижению и предотвращению.

5. Разработка стратегий непрерывности

На основе результатов BIA и оценки рисков разрабатываются стратегии обеспечения непрерывности для каждой критической бизнес-функции. Стратегии могут включать:

6. Разработка и внедрение планов непрерывности бизнеса

Раздел содержит практические рекомендации по составлению планов непрерывности бизнеса (BCP). Каждый план должен содержать:

7. Тестирование, обучение и аудит

Для обеспечения работоспособности СМНБ необходимы регулярные тестирования (учения, симуляции, настольные упражнения) и обучение персонала. Раздел описывает различные виды тестирования: от простых проверок планов до полномасштабных учений с участием всех подразделений. Также предусматривается проведение внутренних и внешних аудитов для оценки соответствия СМНБ требованиям стандарта и выявления областей для улучшения.

8. Постоянное улучшение

Заключительный раздел подчёркивает, что СМНБ не является статичным документом. Она должна постоянно совершенствоваться на основе результатов тестирований, аудитов, анализа произошедших инцидентов и изменений во внешней и внутренней среде организации. Процесс улучшения включает корректирующие и предупреждающие действия.

Значение и применение в России

ГОСТ Р 53647.1-2009 сыграл важную роль в популяризации и стандартизации подходов к управлению непрерывностью бизнеса в России. Он стал основой для разработки внутренних регламентов во многих крупных компаниях, особенно в банковском секторе, энергетике, телекоммуникациях и на транспорте. Стандарт используется как методическая база при подготовке к сертификации на соответствие требованиям ГОСТ Р 53647.2-2012 или международного стандарта ISO 22301:2012 (который заменил BS 25999). Наличие сертифицированной СМНБ часто является обязательным условием для участия в тендерах, получения кредитов или заключения крупных контрактов. Кроме того, стандарт способствует повышению доверия со стороны клиентов, партнёров и регуляторов, демонстрируя, что организация серьёзно относится к управлению рисками и готова к любым нештатным ситуациям.

Критика и ограничения

Несмотря на широкое признание, ГОСТ Р 53647.1-2009 имеет ряд ограничений. Во-первых, он основан на устаревшей версии британского стандарта (BS 25999-1:2006), который в 2012 году был заменён международным стандартом ISO 22301:2012. Это приводит к некоторым терминологическим и методологическим расхождениям. Во-вторых, стандарт носит рекомендательный характер и не содержит обязательных требований, что может снижать мотивацию организаций к его внедрению. В-третьих, его применение требует значительных временных и финансовых затрат, особенно для малых и средних предприятий. Некоторые эксперты отмечают, что стандарт недостаточно учитывает специфику российского законодательства и особенности ведения бизнеса в стране, что может затруднять его практическую реализацию.

Источники

  1. ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство». — М.: Стандартинформ, 2010.
  2. ГОСТ Р 53647.2-2012 «Менеджмент непрерывности бизнеса. Часть 2. Требования». — М.: Стандартинформ, 2013.
  3. BS 25999-1:2006 «Business continuity management. Part 1. Code of practice». — BSI, 2006.
  4. ISO 22301:2012 «Societal security — Business continuity management systems — Requirements». — ISO, 2012.
  5. Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании» (ред. от 28.04.2023).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →