ГОСТ Р ИСО 22301-2021
ГОСТ Р ИСО 22301-2021 — это национальный стандарт Российской Федерации, идентичный международному стандарту ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements» (Безопасность и устойчивость — Системы менеджмента непрерывности бизнеса — Требования). Документ устанавливает требования к системе менеджмента непрерывности бизнеса (СМНБ), предназначенной для защиты организации от сбоев, минимизации последствий инцидентов и обеспечения восстановления критически важных видов деятельности в приемлемые сроки. Стандарт введён в действие приказом Федерального агентства по техническому регулированию и метрологии (Росстандарт) от 30 декабря 2021 года № 1950-ст и заменил ранее действовавший ГОСТ Р 53647.1-2009, который был основан на версии ISO 22301:2012.
История разработки и внедрения
Разработка стандарта велась в рамках Технического комитета по стандартизации ТК 079 «Оценка соответствия» и подкомитета ПК 1 «Менеджмент непрерывности бизнеса». Основой послужил международный стандарт ISO 22301:2019, который, в свою очередь, заменил ISO 22301:2012. Переход на новую версию был обусловлен необходимостью гармонизации с современными подходами к управлению рисками, цифровой трансформацией и ростом угроз, включая кибератаки, пандемии и природные катастрофы.
В Российской Федерации стандарт был принят для обеспечения единых требований к системам менеджмента непрерывности бизнеса, применяемым как в коммерческих, так и в государственных организациях. Дата введения в действие — 1 января 2023 года, с правом досрочного применения. В отличие от предыдущей версии, ГОСТ Р ИСО 22301-2021 содержит более чёткие формулировки, упрощённую структуру и усиленный акцент на анализ заинтересованных сторон и контекста организации.
Структура и основные разделы
Стандарт построен по классической схеме высокоуровневой структуры (HLS — High Level Structure), применяемой в большинстве стандартов на системы менеджмента ISO. Это облегчает интеграцию с другими системами, например, с ISO 9001 (менеджмент качества) или ISO 27001 (информационная безопасность). Документ включает следующие основные разделы:
- Область применения — определяет границы системы менеджмента непрерывности бизнеса.
- Нормативные ссылки — перечень документов, на которые даются ссылки.
- Термины и определения — ключевые понятия, такие как «непрерывность бизнеса», «инцидент», «максимально приемлемое время простоя» (MTPD), «целевое время восстановления» (RTO).
- Контекст организации — анализ внешних и внутренних факторов, определение заинтересованных сторон и их требований.
- Лидерство — обязанности высшего руководства, разработка политики непрерывности бизнеса.
- Планирование — идентификация рисков и возможностей, установление целей в области непрерывности.
- Обеспечение — ресурсы, компетентность персонала, осведомлённость, управление документированной информацией.
- Функционирование — реализация мер по обеспечению непрерывности, включая разработку планов, проведение учений и тестирований.
- Оценка результатов деятельности — мониторинг, измерение, внутренний аудит, анализ со стороны руководства.
- Улучшение — корректирующие действия, постоянное совершенствование системы.
Ключевые требования
Анализ влияния на бизнес (BIA)
Одним из центральных элементов стандарта является анализ влияния на бизнес (Business Impact Analysis, BIA). Организация обязана выявить критически важные виды деятельности, определить последствия их нарушения, установить максимально приемлемое время простоя (MTPD) и целевое время восстановления (RTO). BIA служит основой для разработки стратегий непрерывности и распределения ресурсов.
Оценка рисков
Стандарт требует проведения оценки рисков, связанных с потенциальными сбоями. Организация должна идентифицировать угрозы (природные, техногенные, человеческие), оценить их вероятность и возможные последствия, а затем разработать меры по снижению рисков. Оценка рисков проводится в контексте всей организации и её окружения.
Планы непрерывности и восстановления
На основе BIA и оценки рисков разрабатываются планы непрерывности бизнеса (BCP) и планы восстановления (DRP). Планы должны содержать конкретные процедуры, роли и ответственность, ресурсы, сроки и критерии активации. Стандарт требует, чтобы планы были документированы, доступны персоналу и регулярно обновлялись.
Учения и тестирование
Организация обязана проводить регулярные учения и тестирования планов непрерывности. Цель — проверка их реализуемости, выявление недостатков и повышение готовности персонала. Частота и масштаб учений определяются на основе оценки рисков и требований бизнеса. Результаты учений документируются и используются для улучшения системы.
Постоянное улучшение
Система менеджмента непрерывности бизнеса должна быть динамичной. Стандарт предписывает проведение внутренних аудитов, анализ со стороны руководства и корректирующие действия. Любые изменения в организации, внешней среде или законодательстве должны учитываться для поддержания актуальности системы.
Применение в Российской Федерации
ГОСТ Р ИСО 22301-2021 носит добровольный характер, однако его применение рекомендуется для организаций, стремящихся к повышению устойчивости и доверия со стороны заказчиков, инвесторов и контролирующих органов. Стандарт особенно востребован в таких сферах, как:
- Финансовый сектор — банки, страховые компании, инвестиционные фонды, где сбои могут привести к значительным финансовым потерям и репутационным рискам.
- Промышленность и энергетика — предприятия, обеспечивающие критическую инфраструктуру, включая электростанции, нефтегазовые компании, заводы.
- Транспорт и связь — авиакомпании, железные дороги, операторы связи, где непрерывность услуг имеет жизненно важное значение.
- Государственные органы — министерства, ведомства, службы, отвечающие за безопасность, здравоохранение, чрезвычайные ситуации.
Внедрение стандарта может быть частью стратегии управления рисками и соответствия требованиям законодательства, например, Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (КИИ). В этом случае ГОСТ Р ИСО 22301-2021 может использоваться как методическая основа для разработки систем непрерывности, хотя прямого требования к его применению в законе нет.
Отличия от предыдущей версии
По сравнению с ГОСТ Р 53647.1-2009, новая версия стандарта имеет ряд существенных изменений:
- Упрощённая структура — количество разделов сокращено с 10 до 10 (с учётом HLS), но содержание стало более логичным и сфокусированным.
- Усиленный акцент на контекст — введено обязательное требование анализа внешних и внутренних факторов, а также заинтересованных сторон.
- Чёткое разделение понятий — уточнены термины «инцидент», «сбой», «кризис», «непрерывность».
- Более гибкие требования к документации — организация может сама определять объём документированной информации, исходя из своих потребностей.
- Усиление роли лидерства — высшее руководство должно демонстрировать приверженность системе непрерывности, включая выделение ресурсов и личное участие в анализе.
Критика и ограничения
Несмотря на широкое признание, стандарт подвергается критике по ряду причин:
- Сложность внедрения для малых и средних предприятий — требования к документированию, анализу и тестированию могут быть избыточными для небольших организаций с ограниченными ресурсами.
- Формальный подход — некоторые организации внедряют стандарт ради сертификации, не уделяя должного внимания реальной готовности к сбоям.
- Недостаточная адаптация к российским условиям — хотя стандарт является идентичным переводом ISO, он не учитывает специфику российского законодательства, системы управления рисками и корпоративной культуры.
- Отсутствие обязательности — добровольный характер снижает мотивацию для внедрения, особенно в секторах, не связанных с критической инфраструктурой.
Интересные факты
- Стандарт ISO 22301:2019, на котором основан ГОСТ Р ИСО 22301-2021, является первым международным стандартом, полностью посвящённым менеджменту непрерывности бизнеса. Его предшественник, BS 25999-1, был разработан Британским институтом стандартов (BSI) в 2006 году.
- В России сертификация на соответствие ГОСТ Р ИСО 22301-2021 проводится аккредитованными органами по сертификации систем менеджмента. Наличие сертификата может быть требованием тендеров или контрактов с крупными заказчиками.
- Стандарт активно используется в рамках систем управления информационной безопасностью (СУИБ) по ISO 27001, так как непрерывность бизнеса является одним из ключевых аспектов защиты информации.
- В 2023 году Росстандарт утвердил также ГОСТ Р ИСО 22313-2023, который содержит руководящие указания по применению ГОСТ Р ИСО 22301-2021, что облегчает внедрение стандарта на практике.
Источники
- ГОСТ Р ИСО 22301-2021 «Системы менеджмента непрерывности бизнеса. Требования». — М.: Стандартинформ, 2021.
- ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements».
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Рекомендации по внедрению систем менеджмента непрерывности бизнеса. — М.: Росстандарт, 2022.
- Методические материалы ТК 079 «Оценка соответствия». — М.: ВНИИС, 2021.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →