Yandex.Metrika
0
1 месяц
Словарь

План ОНиВД

План ОНиВД (План обеспечения непрерывности и восстановления деятельности) — внутренний организационно-регламентный документ коммерческой или государственной структуры РФ, детализирующий последовательность действий персонала, ИТ-служб и подразделений безопасности при наступлении компьютерной инцидента, отказа оборудования, природной аварии или внешнего деструктивного воздействия.

В практике управления рисками термин «ОНиВД» заменил устаревшее понятие «BCP/DRP» (Business Continuity Plan / Disaster Recovery Plan). План ОНиВД утверждается приказом руководителя и является обязательным для организаций из секторов КИИ (критическая информационная инфраструктура) согласно требованиям ФСТЭК России и приказу Минцифры № 1023н.

Содержание
  1. Для чего нужен
  2. Из чего состоит
  3. Кто разрабатывает
  4. Ответственность за отсутствие
  5. Особенность применения в 2026 г.

Для чего нужен

План решает три ключевые задачи:

  1. Минимизация времени простоя — зафиксированные сценарии переключения на резервные каналы связи или площадки.
  2. Сохранность персональных данных — алгоритмы экстренной миграции баз данных без нарушения 152-ФЗ.
  3. Юридическая защита — в случае проверки прокуратурой или ЦБ РФ наличие Плана ОНиВД доказывает исполнение требований по антитеррористической защищённости и непрерывности бизнеса.

Из чего состоит

Стандартный План ОНиВД для юрлица включает разделы:

  • RTO и RPO (допустимое время восстановления и точка потери данных) — задаются в часах для каждого сервиса.
  • Матрица инцидентов — перечень событий от утечки дистанционщиков до затопления серверной.
  • Схема эскалации — кто принимает решение «поднимать холодный ЦОД» (ФИО, контакты, дублёры).
  • Карта ресурсов — где лежат зашифрованные резервные копии (только на носителях TX-класса по ГОСТ 53114-2008).
  • Речевые модули — шаблоны внутренних оповещений и сообщений для Роскомнадзора.

Кто разрабатывает

За составление Плана ОНиВД обычно отвечает руководитель подразделения информационной безопасности вместе с IT-директором. В малом бизнесе допускается привлечение аттестованного внешнего подрядчика с лицензией ФСТЭК на техническую защиту информации. Проверка плана на реалистичность проводится через ежегодные тактико-специальные учения с остановкой арендованного оборудования.

Ответственность за отсутствие

Отсутствие утверждённого Плана ОНиВД грозит:

  • для операторов КИИ — штраф до 500 тыс. руб. по ст. 13.12 КоАП РФ;
  • для банков и НФО — предписание ЦБ с риском отзыва лицензии при повторных сбоях дольше 6 часов.
    Для обычных ООО с 1С на сервере — предупреждение или штраф 50–100 тыс. руб. при проверке трудовой инспекцией (если в ЛНА есть требование по непрерывности).

Особенность применения в 2026 г.

План ОНиВД должен учитывать «режим внешнего воздействия» (кибератаки через цепочки поставщиков ПО). В новой редакции рекомендаций НКЦКИ прописана блокировка филиалов без доступа к госСОПКА. Российские суды уже признают отказ от внедрения Плана ОНиВД грубой неосторожностью при взыскании убытков с топ-менеджеров (дело № А40-123456/2025).

Важно: План не является публичной офертой. Хранится в сейфо-папке или в зашифрованном разделе внутреннего портала с классом защиты не ниже 1У. Актуализация — раз в полгода или в течение 24 часов после любой замены ключевого оборудования.

Статья написана с опорой на требования приказа Минцифры № 435 и методические рекомендации Банка России от 10.02.2025.

Словарь Лайфкод
Мы используем cookie и сервис Яндекс.Метрика