Безопасность и устойчивость — Системы менеджмента непрерывности бизнеса — Требования
ИСО 22301 (ISO 22301:2019) — Менеджмент непрерывности бизнеса
Стандарт ИСО 22301 (ISO 22301) — международный документ, устанавливающий требования к системе менеджмента непрерывности бизнеса (СМНБ). Стандарт разработан техническим комитетом ISO/TC 292 «Безопасность и устойчивость» и определяет, как организация должна готовиться к нештатным ситуациям, реагировать на них и восстанавливать критически важные процессы.
Актуальная версия — ИСО 22301:2019 — опубликована в октябре 2019 года и заменила предыдущую редакцию 2012 года. В России стандарт введён как ГОСТ Р ИСО 22301-2021 (идентичный перевод международного документа). По данным ISO Survey 2023, более 4 600 организаций в 122 странах сертифицированы по ИСО 22301.
Суть стандарта: организация должна заблаговременно определить свои ключевые процессы и ресурсы, оценить угрозы (пожар, кибератака, пандемия, сбой поставщика, стихийное бедствие), разработать планы восстановления и регулярно их тестировать. Цель — сохранить способность предоставлять продукцию и услуги на приемлемом уровне даже при серьёзных инцидентах.
Почему ИСО 22301 важен
- Банки и финансовый сектор — ЦБ РФ (Положения 716-П, 787-П) требует от кредитных организаций обеспечивать непрерывность деятельности; ИСО 22301 — признанный способ выполнения этих требований
- IT-компании и дата-центры — SLA перед клиентами включают гарантии доступности; сертификат ИСО 22301 подтверждает реальную готовность к сбоям
- Телекоммуникации — операторы связи обязаны обеспечивать устойчивость сетей согласно закону «О связи» (126-ФЗ)
- Критическая инфраструктура — объекты КИИ (187-ФЗ) обязаны планировать восстановление функционирования
- Медицинские организации — непрерывность оказания помощи при чрезвычайных ситуациях
- Международные тендеры — крупные корпорации (Shell, Siemens, Microsoft) требуют ИСО 22301 от поставщиков критических услуг
- Страхование — наличие СМНБ может существенно снизить страховые премии
Структура стандарта — 10 разделов
Стандарт ИСО 22301:2019 построен по структуре высокого уровня (HLS, Annex SL). Разделы 1–3 носят вводный характер, разделы 4–10 содержат требования:
| Раздел | Название | Ключевые требования |
|---|---|---|
| 4 | Контекст организации | Анализ внутренней и внешней среды, потребности заинтересованных сторон, область применения СМНБ |
| 5 | Лидерство | Обязательства руководства, политика непрерывности бизнеса, роли и ответственность |
| 6 | Планирование | Действия в отношении рисков и возможностей, цели непрерывности бизнеса |
| 7 | Поддержка | Ресурсы, компетентность, осведомлённость, коммуникации, документированная информация |
| 8 | Деятельность | Анализ бизнес-влияния (BIA), оценка рисков, стратегии и решения, планы непрерывности, программа учений |
| 9 | Оценка результатов | Мониторинг, анализ, оценка, внутренний аудит, анализ со стороны руководства |
| 10 | Улучшение | Несоответствия, корректирующие действия, постоянное совершенствование |
Раздел 8 — ключевой и наиболее объёмный. Он охватывает анализ бизнес-влияния (BIA), определение максимально допустимого времени простоя (MTPD), целевого времени восстановления (RTO) и минимального уровня предоставления услуг (MBCO).
Ключевые изменения в версии ИСО 22301:2019
- Полное соответствие Annex SL — структура унифицирована для интеграции с ИСО 9001, ИСО 14001, ИСО 27001 и другими системами менеджмента
- Переработан раздел 8 «Деятельность» — упрощена структура, чётче определены требования к BIA и оценке рисков
- Усилены требования к стратегиям и решениям — добавлен термин «решения» (solutions) наряду со «стратегиями»
- Расширены требования к учениям — программа учений должна охватывать все элементы СМНБ, включая коммуникации и цепочки поставок
- Уточнены требования к документации — применяется концепция «документированной информации» вместо жёсткого перечня документов
Жизненный цикл стандарта
Этапы внедрения ИСО 22301
Внедрение СМНБ по ИСО 22301 занимает от 4 до 12 месяцев в зависимости от масштаба организации и сложности процессов.
Gap-анализ текущего состояния. Определение критических процессов и границ СМНБ.
Определение MTPD (максимально допустимого простоя), RTO (целевого времени восстановления) и MBCO (минимального уровня услуг) для каждого критического процесса.
Идентификация угроз (природных, техногенных, кибер), оценка вероятности и последствий. Выбор стратегий: резервные площадки, альтернативные поставщики, дублирование IT-систем.
Планы активации, кризисных коммуникаций, восстановления процессов, возврата к нормальной деятельности. Назначение ответственных и каналов связи.
Тренировки различных типов: настольные (tabletop), функциональные и полномасштабные. Проверка планов в условиях, приближённых к реальным.
Проверка соответствия требованиям стандарта. Выявление несоответствий и формирование корректирующих действий.
Двухэтапный аудит: анализ документации и планов (этап 1) + проверка реального функционирования СМНБ (этап 2). Выдача сертификата ИСО 22301.
Типичные ошибки при внедрении
| Ошибка | Последствие | Правильный подход |
|---|---|---|
| BIA проведён формально | Неверные приоритеты восстановления, критические процессы упущены | Проводить BIA с участием владельцев процессов, а не только IT-отдела |
| Планы не тестируются | При реальном инциденте план не работает | Минимум 2 учения в год, включая полномасштабные |
| Фокус только на IT-инфраструктуре | Не учтены персонал, помещения, поставщики | BCM охватывает все ресурсы: люди, объекты, технологии, информация, поставщики |
| Нет актуализации планов | Планы устарели после реорганизации или смены IT-систем | Пересматривать планы при любых существенных изменениях и не реже 1 раза в год |
| Отсутствие поддержки руководства | Нет бюджета на BCM, персонал не вовлечён | Включить BCM в стратегические цели, назначить ответственного на уровне совета директоров |
ИСО 22301 в России
В России стандарт введён как ГОСТ Р ИСО 22301-2021 (идентичный перевод ISO 22301:2019). Утверждён Приказом Росстандарта от 19.11.2021 № 1554-ст. Входит в серию стандартов по непрерывности бизнеса наряду с ГОСТ Р ИСО 22313 (руководящие указания) и ГОСТ Р ИСО 22317 (анализ бизнес-влияния).
Регуляторные требования
ЦБ РФ в Положении 716-П (об управлении операционным риском) и Положении 787-П (о требованиях к системе управления операционной надёжностью) фактически требует от банков внедрение элементов СМНБ. Закон 187-ФЗ «О безопасности КИИ» обязывает субъекты критической инфраструктуры обеспечивать восстановление функционирования. Сертификат ИСО 22301 — наиболее признанный способ продемонстрировать выполнение этих требований.
Сроки и стоимость
Средний срок внедрения и сертификации: 4–8 месяцев. Стоимость сертификации: от 120 000 ₽ для малых организаций (до 50 сотрудников), от 200 000 ₽ для среднего бизнеса. Стоимость зависит от количества критических процессов и площадок. Подробный расчёт.
Выбор органа по сертификации
Рекомендуется выбирать органы с аккредитацией IAF MLA для международного признания. В России аккредитацию проводит Росаккредитация (ФСА). Для компаний с международными партнёрами важна аккредитация UKAS, DAkkS или ANAB.
Преимущества сертификации ИСО 22301
Организация продолжает работать при пожаре, кибератаке, пандемии или сбое поставщика
Соответствие требованиям ЦБ РФ, закона о КИИ (187-ФЗ) и международных партнёров
Минимизация финансовых потерь и времени простоя при инцидентах
Гарантия непрерывности предоставления услуг для заказчиков и партнёров
Снижение страховых премий за счёт подтверждённой готовности к рискам
Допуск к тендерам международных корпораций и госструктур
Метрики восстановления: RTO, RPO, MTPD и MBCO
Количественные параметры восстановления — техническое ядро системы менеджмента непрерывности бизнеса по ИСО 22301 (ISO 22301:2019). Именно они превращают анализ влияния на бизнес (BIA) из абстрактного документа в инструмент планирования ресурсов. Эксперт по сертификации проверяет, что для каждого критического процесса определены и обоснованы следующие величины.
| Метрика | Что определяет |
|---|---|
| RTO (Recovery Time Objective) | Целевое время восстановления процесса после прерывания — за сколько он должен снова заработать |
| RPO (Recovery Point Objective) | Допустимый объём потери данных во времени — на какой момент в прошлом восстанавливаются данные |
| MTPD / MAO | Максимально допустимый период простоя, после которого ущерб становится необратимым (MTPD всегда ≥ RTO) |
| MBCO | Минимальный уровень предоставления продуктов и услуг, приемлемый в период нарушения деятельности |
Логика взаимосвязи метрик такова: BIA выявляет максимально допустимый период простоя (MTPD), а RTO устанавливается строго меньше него, чтобы оставить запас. RPO определяет частоту резервного копирования: если допустима потеря не более 1 часа данных, бэкап должен выполняться чаще одного раза в час. MBCO задаёт, на каком урезанном уровне организация продолжит работать в кризис. Несогласованность этих величин (например, RTO = 4 часа при технической возможности восстановления за 24 часа) — типичное несоответствие, которое выявляется на аудите и требует пересмотра стратегии непрерывности.
Оценка рисков и стратегии обеспечения непрерывности
После BIA стандарт требует провести оценку рисков (раздел 8.2.3) и на её основе выбрать стратегии непрерывности (раздел 8.3). Оценка рисков отвечает на вопрос «что может прервать критические процессы», BIA — «насколько это больно». Вместе они формируют основу для инвестиций в устойчивость.
Типовые угрозы, которые анализируются для российских организаций: пожары и аварии инженерных систем, кибератаки и шифровальщики, сбои или уход ключевого поставщика (включая санкционные риски), отключения электроэнергии и связи, эпидемии, отказ единственной площадки. Для каждой значимой угрозы выбирается стратегия восстановления:
- Резервные площадки — горячая (hot site, мгновенное переключение), тёплая (warm site, частично готовая) или холодная (cold site, оборудуется по факту); выбор зависит от RTO;
- Резервирование данных и систем — георазнесённое резервное копирование, репликация, кластеризация под заданный RPO;
- Дублирование поставщиков — наличие альтернативных подрядчиков по критическим закупкам, особенно актуально в условиях санкционных ограничений;
- Удалённая и распределённая работа — возможность персонала продолжить деятельность вне основного офиса;
- Передача риска — страхование перерыва в деятельности (business interruption) как дополнение, а не замена планов.
Выбранные стратегии оформляются в планы обеспечения непрерывности бизнеса (BCP) и планы реагирования на инциденты, а их работоспособность подтверждается программой учений — без проверки на практике план остаётся документом, а не реальной защитой.
Требования ЦБ РФ и операционная надёжность
В России наиболее жёсткий регуляторный драйвер для ИСО 22301 — требования Банка России к операционной надёжности и управлению операционным риском. Для финансовых организаций непрерывность бизнеса перестала быть «лучшей практикой» и стала надзорным требованием, невыполнение которого влечёт предписания и санкции.
- Положение ЦБ №716-П — управление операционным риском, включая риск нарушения непрерывности деятельности; требует регистрации событий, расчёта показателей и планов обеспечения непрерывности;
- Положение ЦБ №787-П — требования к обеспечению операционной надёжности при осуществлении банковской деятельности, целевые показатели непрерывности технологических процессов;
- ГОСТ Р 57580 — требования к защите информации финансовых организаций, тесно связанные с непрерывностью критических сервисов;
- ФЗ-187 «О безопасности КИИ» — для субъектов критической информационной инфраструктуры (банки, энергетика, транспорт, связь) обеспечение устойчивости значимых объектов обязательно.
Внедрение ИСО 22301 закрывает значительную часть этих требований единой системой: BIA и метрики восстановления соответствуют целевым показателям непрерывности 787-П, реестр сценариев и планы реагирования — требованиям по управлению операционным риском 716-П. Поэтому банки, платёжные сервисы, страховые компании и субъекты КИИ всё чаще проходят сертификацию по ИСО 22301 не ради «корочки», а как способ системно и проверяемо выполнить требования регулятора.
Часто задаваемые вопросы
ИСО 22301 (ISO 22301:2019) — международный стандарт системы менеджмента непрерывности бизнеса. Он определяет, как организация должна готовиться к нештатным ситуациям, реагировать на них и восстанавливать критические процессы. Сертификат нужен банкам, IT-компаниям, объектам КИИ и организациям, для которых простой недопустим.
Аварийное восстановление (Disaster Recovery) фокусируется на восстановлении IT-систем и данных. СМНБ по ИСО 22301 охватывает всю организацию: персонал, помещения, оборудование, поставщиков, коммуникации. DR — один из компонентов BCM, но далеко не единственный.
Для организаций до 50 сотрудников — от 120 000 ₽, от 50 до 200 сотрудников — от 200 000 ₽, свыше 200 — от 350 000 ₽. Стоимость зависит от количества критических процессов, площадок и сложности IT-инфраструктуры.
Стандарт формально добровольный. Однако для банков (Положения ЦБ 716-П, 787-П) и субъектов КИИ (187-ФЗ) внедрение элементов непрерывности бизнеса фактически обязательно. Сертификация по ИСО 22301 — наиболее признанный способ подтвердить выполнение этих требований.
Да, стандарт разработан по структуре Annex SL и легко интегрируется с ИСО 9001 (качество), ИСО 14001 (экология), ИСО 27001 (информационная безопасность) и ИСО 45001 (охрана труда). Общие элементы: контекст, лидерство, планирование, поддержка, внутренний аудит.
Стандарт требует программу учений с определённой периодичностью. На практике рекомендуется не менее 2 учений в год: одно настольное (tabletop) и одно функциональное или полномасштабное. После каждого учения — анализ результатов и обновление планов.
BIA (Business Impact Analysis) — анализ бизнес-влияния. Определяет, какие процессы критичны, каковы последствия их прерывания и за какое время их нужно восстановить (RTO). BIA — фундамент всей СМНБ: без него невозможно расставить приоритеты восстановления и выделить ресурсы.
ГОСТ Р ИСО 22301-2021 — идентичный перевод международного стандарта ISO 22301:2019 на русский язык. Требования полностью совпадают. ГОСТ утверждён Приказом Росстандарта от 19.11.2021 № 1554-ст.
RTO (Recovery Time Objective) — целевое время восстановления процесса после прерывания. RPO (Recovery Point Objective) — допустимый объём потери данных во времени, который определяет частоту резервного копирования. MTPD (Maximum Tolerable Period of Disruption) — максимально допустимый период простоя, после которого ущерб становится необратимым; RTO всегда устанавливается строго меньше MTPD. Эти величины определяются в ходе BIA и должны быть согласованы между собой — иначе аудит ИСО 22301 зафиксирует несоответствие.
Для финансовых организаций ключевые документы — Положение ЦБ №716-П (управление операционным риском, включая риск нарушения непрерывности) и Положение ЦБ №787-П (обеспечение операционной надёжности с целевыми показателями непрерывности). Дополнительно применяются ГОСТ Р 57580 (защита информации) и ФЗ-187 для субъектов КИИ. Внедрение ИСО 22301 системно закрывает значительную часть этих требований: BIA и метрики восстановления соответствуют показателям 787-П, а реестр сценариев и планы реагирования — требованиям 716-П.
Бесплатная консультация по ИСО 22301
Перезвоним в течение 30 минут, ответим на вопросы и рассчитаем стоимость сертификации
Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности