Открыть сервис

ГОСТ Р ИСО 22301-2014

ГОСТ Р ИСО 22301-2014 — это национальный стандарт Российской Федерации, идентичный международному стандарту ISO 22301:2012 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования». Стандарт устанавливает требования к системе менеджмента непрерывности бизнеса (СМНБ) и предназначен для организаций всех типов и размеров, стремящихся обеспечить свою способность продолжать деятельность в условиях нарушений, сбоев и кризисных ситуаций.

История разработки и принятия

Разработка стандарта была обусловлена необходимостью гармонизации российской нормативной базы с международными подходами в области управления непрерывностью бизнеса (Business Continuity Management, BCM). Международный стандарт ISO 22301 был опубликован в 2012 году, заменив собой предыдущий стандарт BS 25999-2 (Великобритания). В России работа по адаптации была проведена Техническим комитетом по стандартизации ТК 079 «Оценка соответствия» (ранее — ТК 10 «Менеджмент риска»). Стандарт был утверждён и введён в действие Приказом Федерального агентства по техническому регулированию и метрологии (Росстандарт) от 15 декабря 2014 года № 2070-ст. Дата введения в действие — 1 января 2016 года.

Стандарт имеет статус добровольного применения, однако его требования часто включаются в контрактные условия или используются в качестве основы для внутренних регламентов. В 2021 году на смену международному стандарту пришла версия ISO 22301:2019, однако в России на момент написания статьи действует именно версия 2014 года (ГОСТ Р ИСО 22301-2014), хотя ведётся работа по принятию обновлённой версии.

Область применения

ГОСТ Р ИСО 22301-2014 распространяется на любые организации независимо от их формы собственности, размера, отрасли или географического расположения. Он применим к:

  • коммерческим предприятиям (промышленность, торговля, услуги);
  • государственным и муниципальным учреждениям;
  • некоммерческим организациям;
  • образовательным и медицинским учреждениям;
  • финансовым и страховым компаниям.

Стандарт не устанавливает единых показателей эффективности или конкретных методов восстановления, а определяет общие требования к процессам, документации и управлению.

Структура стандарта

ГОСТ Р ИСО 22301-2014 имеет структуру, типичную для стандартов на системы менеджмента, основанную на цикле PDCA (Plan-Do-Check-Act — Планируй-Делай-Проверяй-Действуй). Документ состоит из следующих основных разделов:

1. Область применения

Определяет границы действия стандарта, возможность исключения отдельных требований (например, для малых предприятий) и необходимость адаптации к конкретной организации.

2. Нормативные ссылки

Содержит перечень стандартов, на которые даются ссылки (например, ГОСТ Р ИСО 31000-2019 «Менеджмент риска»).

3. Термины и определения

Включает ключевые понятия: непрерывность бизнеса, инцидент, критическая деятельность, время восстановления, точка восстановления, план непрерывности бизнеса и другие.

4. Контекст организации

Требует определить внешние и внутренние факторы, влияющие на деятельность организации, а также заинтересованные стороны и их требования. На этом этапе формируется область применения СМНБ.

5. Лидерство

Устанавливает обязанности высшего руководства: разработка политики непрерывности бизнеса, распределение ответственности, обеспечение ресурсами, демонстрация приверженности.

6. Планирование

Включает:

  • идентификацию рисков и возможностей;
  • определение целей СМНБ;
  • планирование изменений.

7. Обеспечение

Описывает требования к ресурсам (человеческим, финансовым, техническим), компетентности персонала, осведомлённости, внутренним и внешним коммуникациям, а также документированной информации.

8. Функционирование

Содержит требования к:

  • оценке воздействия на бизнес (Business Impact Analysis, BIA);
  • оценке рисков;
  • разработке стратегий и решений по обеспечению непрерывности;
  • разработке и внедрению процедур реагирования на инциденты;
  • разработке и тестированию планов непрерывности бизнеса.

9. Оценка результатов деятельности

Предусматривает мониторинг, измерение, анализ и оценку, внутренние аудиты, анализ со стороны руководства.

10. Улучшение

Описывает процессы управления несоответствиями, корректирующими действиями и постоянного улучшения СМНБ.

Ключевые понятия и требования

Оценка воздействия на бизнес (BIA)

Процесс, в ходе которого определяются критически важные виды деятельности организации, их приоритетность, допустимые временные рамки простоя (максимально допустимое время простоя — MTPD) и минимально необходимый уровень ресурсов для восстановления.

Оценка рисков

Анализ угроз (природные, техногенные, кибернетические, человеческие) и уязвимостей, а также вероятности их реализации и потенциального ущерба.

Планы непрерывности бизнеса (BCP)

Документированные процедуры, описывающие действия персонала, использование ресурсов и коммуникации в случае инцидента. Включают:

  • сценарии реагирования (эвакуация, переключение на резервные мощности, удалённая работа);
  • порядок оповещения и взаимодействия;
  • перечень критических поставщиков и подрядчиков;
  • процедуры восстановления до нормального режима.

Тестирование и обучение

Стандарт требует регулярного проведения учений и тренировок (например, настольные упражнения, полномасштабные симуляции) для проверки работоспособности планов и повышения готовности персонала.

Применение в России

В России стандарт используется преимущественно крупными корпорациями, банками, страховыми компаниями, а также организациями, работающими с государственными заказами или имеющими филиалы за рубежом. Внедрение СМНБ на основе ГОСТ Р ИСО 22301-2014 может быть частью комплексной системы управления рисками (СУР) или системы менеджмента информационной безопасности (СМИБ).

Стандарт не является обязательным для лицензирования или сертификации, однако его наличие может повысить доверие со стороны партнёров, инвесторов и контролирующих органов. Сертификацию на соответствие проводят аккредитованные органы по сертификации систем менеджмента.

Критика и ограничения

Основные замечания к ГОСТ Р ИСО 22301-2014 связаны с:

  • Общим характером требований — стандарт не даёт конкретных методик расчёта показателей или шаблонов документов, что требует от организации значительных усилий по адаптации.
  • Сложностью для малого бизнеса — полное внедрение всех требований может быть избыточным и дорогостоящим для небольших компаний.
  • Устареванием — версия 2014 года не учитывает современные угрозы, такие как кибератаки, пандемии (опыт COVID-19 показал необходимость пересмотра подходов к удалённой работе и дистанционному управлению).
  • Отсутствием привязки к российским реалиям — стандарт не учитывает особенности российского законодательства (например, в области защиты персональных данных, мобилизационной подготовки, гражданской обороны).

Связь с другими стандартами

ГОСТ Р ИСО 22301-2014 входит в семейство стандартов по социальной безопасности и непрерывности бизнеса. Он может применяться совместно с:

Источники

  1. ГОСТ Р ИСО 22301-2014 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования». — М.: Стандартинформ, 2015.
  2. ISO 22301:2012 «Societal security — Business continuity management systems — Requirements».
  3. Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании».
  4. Приказ Росстандарта от 15.12.2014 № 2070-ст.
  5. Руководство по внедрению систем менеджмента непрерывности бизнеса (ISO 22313:2012).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →