Безопасность и устойчивость — Системы менеджмента непрерывности бизнеса — Требования
ИСО 22301 (ISO 22301:2019) — Менеджмент непрерывности бизнеса
Стандарт ИСО 22301 (ISO 22301) — международный документ, устанавливающий требования к системе менеджмента непрерывности бизнеса (СМНБ). Стандарт разработан техническим комитетом ISO/TC 292 «Безопасность и устойчивость» и определяет, как организация должна готовиться к нештатным ситуациям, реагировать на них и восстанавливать критически важные процессы.
Актуальная версия — ИСО 22301:2019 — опубликована в октябре 2019 года и заменила предыдущую редакцию 2012 года. В России стандарт введён как ГОСТ Р ИСО 22301-2021 (идентичный перевод международного документа). По данным ISO Survey 2023, более 4 600 организаций в 122 странах сертифицированы по ИСО 22301.
Суть стандарта: организация должна заблаговременно определить свои ключевые процессы и ресурсы, оценить угрозы (пожар, кибератака, пандемия, сбой поставщика, стихийное бедствие), разработать планы восстановления и регулярно их тестировать. Цель — сохранить способность предоставлять продукцию и услуги на приемлемом уровне даже при серьёзных инцидентах.
Почему ИСО 22301 важен
- Банки и финансовый сектор — ЦБ РФ (Положения 716-П, 787-П) требует от кредитных организаций обеспечивать непрерывность деятельности; ИСО 22301 — признанный способ выполнения этих требований
- IT-компании и дата-центры — SLA перед клиентами включают гарантии доступности; сертификат ИСО 22301 подтверждает реальную готовность к сбоям
- Телекоммуникации — операторы связи обязаны обеспечивать устойчивость сетей согласно закону «О связи» (126-ФЗ)
- Критическая инфраструктура — объекты КИИ (187-ФЗ) обязаны планировать восстановление функционирования
- Медицинские организации — непрерывность оказания помощи при чрезвычайных ситуациях
- Международные тендеры — крупные корпорации (Shell, Siemens, Microsoft) требуют ИСО 22301 от поставщиков критических услуг
- Страхование — наличие СМНБ может существенно снизить страховые премии
Структура стандарта — 10 разделов
Стандарт ИСО 22301:2019 построен по структуре высокого уровня (HLS, Annex SL). Разделы 1–3 носят вводный характер, разделы 4–10 содержат требования:
| Раздел | Название | Ключевые требования |
|---|---|---|
| 4 | Контекст организации | Анализ внутренней и внешней среды, потребности заинтересованных сторон, область применения СМНБ |
| 5 | Лидерство | Обязательства руководства, политика непрерывности бизнеса, роли и ответственность |
| 6 | Планирование | Действия в отношении рисков и возможностей, цели непрерывности бизнеса |
| 7 | Поддержка | Ресурсы, компетентность, осведомлённость, коммуникации, документированная информация |
| 8 | Деятельность | Анализ бизнес-влияния (BIA), оценка рисков, стратегии и решения, планы непрерывности, программа учений |
| 9 | Оценка результатов | Мониторинг, анализ, оценка, внутренний аудит, анализ со стороны руководства |
| 10 | Улучшение | Несоответствия, корректирующие действия, постоянное совершенствование |
Раздел 8 — ключевой и наиболее объёмный. Он охватывает анализ бизнес-влияния (BIA), определение максимально допустимого времени простоя (MTPD), целевого времени восстановления (RTO) и минимального уровня предоставления услуг (MBCO).
Ключевые изменения в версии ИСО 22301:2019
- Полное соответствие Annex SL — структура унифицирована для интеграции с ИСО 9001, ИСО 14001, ИСО 27001 и другими системами менеджмента
- Переработан раздел 8 «Деятельность» — упрощена структура, чётче определены требования к BIA и оценке рисков
- Усилены требования к стратегиям и решениям — добавлен термин «решения» (solutions) наряду со «стратегиями»
- Расширены требования к учениям — программа учений должна охватывать все элементы СМНБ, включая коммуникации и цепочки поставок
- Уточнены требования к документации — применяется концепция «документированной информации» вместо жёсткого перечня документов
Жизненный цикл стандарта
Этапы внедрения ИСО 22301
Внедрение СМНБ по ИСО 22301 занимает от 4 до 12 месяцев в зависимости от масштаба организации и сложности процессов.
Gap-анализ текущего состояния. Определение критических процессов и границ СМНБ.
Определение MTPD (максимально допустимого простоя), RTO (целевого времени восстановления) и MBCO (минимального уровня услуг) для каждого критического процесса.
Идентификация угроз (природных, техногенных, кибер), оценка вероятности и последствий. Выбор стратегий: резервные площадки, альтернативные поставщики, дублирование IT-систем.
Планы активации, кризисных коммуникаций, восстановления процессов, возврата к нормальной деятельности. Назначение ответственных и каналов связи.
Тренировки различных типов: настольные (tabletop), функциональные и полномасштабные. Проверка планов в условиях, приближённых к реальным.
Проверка соответствия требованиям стандарта. Выявление несоответствий и формирование корректирующих действий.
Двухэтапный аудит: анализ документации и планов (этап 1) + проверка реального функционирования СМНБ (этап 2). Выдача сертификата ИСО 22301.
Типичные ошибки при внедрении
| Ошибка | Последствие | Правильный подход |
|---|---|---|
| BIA проведён формально | Неверные приоритеты восстановления, критические процессы упущены | Проводить BIA с участием владельцев процессов, а не только IT-отдела |
| Планы не тестируются | При реальном инциденте план не работает | Минимум 2 учения в год, включая полномасштабные |
| Фокус только на IT-инфраструктуре | Не учтены персонал, помещения, поставщики | BCM охватывает все ресурсы: люди, объекты, технологии, информация, поставщики |
| Нет актуализации планов | Планы устарели после реорганизации или смены IT-систем | Пересматривать планы при любых существенных изменениях и не реже 1 раза в год |
| Отсутствие поддержки руководства | Нет бюджета на BCM, персонал не вовлечён | Включить BCM в стратегические цели, назначить ответственного на уровне совета директоров |
ИСО 22301 в России
В России стандарт введён как ГОСТ Р ИСО 22301-2021 (идентичный перевод ISO 22301:2019). Утверждён Приказом Росстандарта от 19.11.2021 № 1554-ст. Входит в серию стандартов по непрерывности бизнеса наряду с ГОСТ Р ИСО 22313 (руководящие указания) и ГОСТ Р ИСО 22317 (анализ бизнес-влияния).
Регуляторные требования
ЦБ РФ в Положении 716-П (об управлении операционным риском) и Положении 787-П (о требованиях к системе управления операционной надёжностью) фактически требует от банков внедрение элементов СМНБ. Закон 187-ФЗ «О безопасности КИИ» обязывает субъекты критической инфраструктуры обеспечивать восстановление функционирования. Сертификат ИСО 22301 — наиболее признанный способ продемонстрировать выполнение этих требований.
Сроки и стоимость
Средний срок внедрения и сертификации: 4–8 месяцев. Стоимость сертификации: от 120 000 ₽ для малых организаций (до 50 сотрудников), от 200 000 ₽ для среднего бизнеса. Стоимость зависит от количества критических процессов и площадок. Подробный расчёт.
Выбор органа по сертификации
Рекомендуется выбирать органы с аккредитацией IAF MLA для международного признания. В России аккредитацию проводит Росаккредитация (ФСА). Для компаний с международными партнёрами важна аккредитация UKAS, DAkkS или ANAB.
Преимущества сертификации ИСО 22301
Организация продолжает работать при пожаре, кибератаке, пандемии или сбое поставщика
Соответствие требованиям ЦБ РФ, закона о КИИ (187-ФЗ) и международных партнёров
Минимизация финансовых потерь и времени простоя при инцидентах
Гарантия непрерывности предоставления услуг для заказчиков и партнёров
Снижение страховых премий за счёт подтверждённой готовности к рискам
Допуск к тендерам международных корпораций и госструктур
Часто задаваемые вопросы
ИСО 22301 (ISO 22301:2019) — международный стандарт системы менеджмента непрерывности бизнеса. Он определяет, как организация должна готовиться к нештатным ситуациям, реагировать на них и восстанавливать критические процессы. Сертификат нужен банкам, IT-компаниям, объектам КИИ и организациям, для которых простой недопустим.
Аварийное восстановление (Disaster Recovery) фокусируется на восстановлении IT-систем и данных. СМНБ по ИСО 22301 охватывает всю организацию: персонал, помещения, оборудование, поставщиков, коммуникации. DR — один из компонентов BCM, но далеко не единственный.
Для организаций до 50 сотрудников — от 120 000 ₽, от 50 до 200 сотрудников — от 200 000 ₽, свыше 200 — от 350 000 ₽. Стоимость зависит от количества критических процессов, площадок и сложности IT-инфраструктуры.
Стандарт формально добровольный. Однако для банков (Положения ЦБ 716-П, 787-П) и субъектов КИИ (187-ФЗ) внедрение элементов непрерывности бизнеса фактически обязательно. Сертификация по ИСО 22301 — наиболее признанный способ подтвердить выполнение этих требований.
Да, стандарт разработан по структуре Annex SL и легко интегрируется с ИСО 9001 (качество), ИСО 14001 (экология), ИСО 27001 (информационная безопасность) и ИСО 45001 (охрана труда). Общие элементы: контекст, лидерство, планирование, поддержка, внутренний аудит.
Стандарт требует программу учений с определённой периодичностью. На практике рекомендуется не менее 2 учений в год: одно настольное (tabletop) и одно функциональное или полномасштабное. После каждого учения — анализ результатов и обновление планов.
BIA (Business Impact Analysis) — анализ бизнес-влияния. Определяет, какие процессы критичны, каковы последствия их прерывания и за какое время их нужно восстановить (RTO). BIA — фундамент всей СМНБ: без него невозможно расставить приоритеты восстановления и выделить ресурсы.
ГОСТ Р ИСО 22301-2021 — идентичный перевод международного стандарта ISO 22301:2019 на русский язык. Требования полностью совпадают. ГОСТ утверждён Приказом Росстандарта от 19.11.2021 № 1554-ст.
Бесплатная консультация по ИСО 22301
Перезвоним в течение 30 минут, ответим на вопросы и рассчитаем стоимость сертификации
Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности