Открыть сервис

Аварийное восстановление информационных систем

Аварийное восстановление информационных систем — это комплекс организационно-технических мероприятий, направленных на восстановление работоспособности информационных систем (ИС), их компонентов и данных после сбоев, отказов оборудования, ошибок персонала, кибератак или воздействия внешних факторов (пожаров, наводнений, техногенных катастроф). Аварийное восстановление является частью более широкой концепции обеспечения непрерывности бизнеса (Business Continuity Management, BCM) и тесно связано с резервным копированием, планированием действий в чрезвычайных ситуациях и управлением инцидентами.

История

Практика аварийного восстановления начала формироваться в 1960—1970-х годах с развитием крупных вычислительных центров (мейнфреймов), где сбои могли приводить к остановке работы целых предприятий. Первоначально основной мерой было создание дублирующих аппаратных комплексов («горячих» резервных площадок). В 1979 году в США была основана компания SunGard (ныне — Sungard Availability Services), ставшая одним из пионеров рынка услуг по аварийному восстановлению для корпоративных клиентов.

В 1980—1990-х годах, с распространением персональных компьютеров, локальных сетей и клиент-серверных архитектур, подходы к восстановлению усложнились. Появились стандарты и методологии, такие как ITIL (Information Technology Infrastructure Library) и COBIT, которые включили аварийное восстановление в общую практику управления ИТ-услугами. В 2000-х годах, с развитием облачных технологий и виртуализации, возникли модели Disaster Recovery as a Service (DRaaS), позволяющие восстанавливать системы в облачной инфраструктуре без приобретения собственного резервного оборудования.

Основные понятия и метрики

Для оценки эффективности аварийного восстановления используются две ключевые метрики:

  • RTO (Recovery Time Objective)целевое время восстановления. Максимально допустимый период времени, в течение которого система может быть недоступна после сбоя. RTO определяет, насколько быстро необходимо восстановить работоспособность.
  • RPO (Recovery Point Objective)целевая точка восстановления. Максимально допустимый объём потери данных, выраженный во времени. RPO показывает, насколько «свежими» должны быть восстановленные данные (например, потеря данных за последние 15 минут допустима, а за час — нет).

Эти метрики задаются бизнес-требованиями и напрямую влияют на стоимость и сложность решений по восстановлению.

Классификация стратегий восстановления

Стратегии аварийного восстановления классифицируются по степени готовности резервных ресурсов и времени переключения:

### Холодное резервирование (Cold Standby)

Резервная площадка (или сервер) не содержит активного оборудования. Для восстановления требуется закупка, доставка и настройка аппаратуры, установка программного обеспечения и восстановление данных из резервных копий. RTO составляет от нескольких дней до недель. RPO — от нескольких часов до суток. Это наиболее дешёвый, но и самый медленный вариант.

### Тёплое резервирование (Warm Standby)

Резервная площадка оснащена оборудованием и программным обеспечением, но не находится в активном состоянии. Для переключения требуется запуск систем, синхронизация данных и проверка работоспособности. RTO — от нескольких часов до одного дня. RPO — от нескольких минут до нескольких часов.

### Горячее резервирование (Hot Standby)

Резервная площадка полностью дублирует основную, работает в синхронном режиме и готова принять нагрузку мгновенно. Переключение происходит автоматически или вручную за секунды или минуты. RTO — менее 15 минут, RPO — нулевой (потеря данных отсутствует). Это наиболее дорогостоящий вариант, требующий каналов связи высокой пропускной способности.

### Активное-активное резервирование (Active-Active)

Нагрузка распределяется между двумя или более географически распределёнными центрами обработки данных (ЦОД). При отказе одного из них трафик автоматически перенаправляется на оставшиеся. RTO и RPO стремятся к нулю.

Этапы процесса аварийного восстановления

Процесс аварийного восстановления обычно включает следующие этапы:

  1. Обнаружение инцидента. Мониторинг систем, оповещение персонала, регистрация события в системе управления инцидентами.
  2. Оценка ущерба и принятие решения. Анализ масштабов сбоя, определение необходимости активации плана аварийного восстановления (Disaster Recovery Plan, DRP). Решение принимается уполномоченным лицом (руководителем по непрерывности бизнеса или ИТ-директором).
  3. Активация плана. Запуск процедур переключения на резервные ресурсы, оповещение заинтересованных сторон (руководства, пользователей, клиентов, регуляторов).
  4. Восстановление данных. Восстановление баз данных, файловых систем и приложений из резервных копий или реплик. Проверка целостности данных.
  5. Восстановление приложений и сервисов. Запуск прикладного программного обеспечения, проверка его работоспособности, настройка сетевого доступа.
  6. Тестирование и верификация. Проверка корректности работы восстановленных систем, выполнение тестовых сценариев, подтверждение готовности к эксплуатации.
  7. Переключение обратно (Failback). После устранения причин сбоя на основной площадке производится обратное переключение — возврат систем на штатные ресурсы. Этот этап также требует планирования и тестирования.
  8. Разбор инцидента (Post-mortem). Анализ причин сбоя, оценка эффективности восстановления, корректировка плана аварийного восстановления.

План аварийного восстановления (DRP)

План аварийного восстановления — это документ, содержащий подробные инструкции по действиям персонала, перечни оборудования, программного обеспечения и данных, а также схемы коммуникаций. В России требования к разработке и содержанию DRP могут быть установлены внутренними регламентами организаций, а также отраслевыми стандартами (например, в банковской сфере — стандартами Банка России, в государственных информационных системах — требованиями ФСТЭК России).

План должен включать:

  • Перечень критичных информационных систем и их приоритеты.
  • Метрики RTO и RPO для каждой системы.
  • Схемы резервирования и восстановления.
  • Роли и ответственность членов команды восстановления.
  • Контактные данные ключевых сотрудников и внешних подрядчиков.
  • Сценарии для различных типов сбоев (отказ оборудования, кибератака, пожар).
  • Процедуры тестирования плана.

Технические средства и методы

Для реализации аварийного восстановления используются следующие технологии:

  • Резервное копирование (Backup). Создание копий данных на ленточные накопители, дисковые массивы или в облачные хранилища. Различают полное, инкрементальное и дифференциальное копирование.
  • Репликация данных. Синхронная или асинхронная передача изменений данных с основной системы на резервную. Репликация может быть на уровне дисков (аппаратная), на уровне файловых систем или на уровне баз данных.
  • Виртуализация. Использование гипервизоров (VMware vSphere, Microsoft Hyper-V, KVM) для создания резервных копий виртуальных машин и быстрого их развёртывания на резервных хостах.
  • Облачные технологии (DRaaS). Аренда вычислительных мощностей и хранилищ у облачных провайдеров (Amazon Web Services, Microsoft Azure, Яндекс.Облако — сервисы сертифицированы в РФ). Позволяет отказаться от собственных резервных ЦОД.
  • Кластеризация. Объединение нескольких серверов в кластер, обеспечивающий автоматическое переключение при отказе одного из узлов (например, Microsoft Failover Cluster, Red Hat High Availability).
  • Географически распределённые ЦОД. Размещение основного и резервного центров обработки данных на значительном удалении друг от друга (сотни километров) для защиты от региональных катастроф.

Тестирование и аудит

Регулярное тестирование плана аварийного восстановления является обязательным условием его эффективности. Различают следующие виды тестирования:

  • Структурное тестирование (Checklist Test). Проверка наличия и актуальности документации, контактов, оборудования.
  • Моделирование (Simulation Test). Проведение учебных занятий с командой восстановления без реального переключения систем.
  • Параллельное тестирование (Parallel Test). Запуск резервных систем параллельно с основными для проверки их работоспособности без остановки производства.
  • Полное тестирование (Full Interruption Test). Реальное переключение на резервные ресурсы с остановкой основной системы. Наиболее рискованный, но и наиболее достоверный метод.

Аудит аварийного восстановления проводится внутренними или внешними аудиторами для оценки соответствия плана требованиям стандартов (ISO 22301, ГОСТ Р 53647.1-2009 «Непрерывность бизнеса») и регуляторов.

Применение в России

В Российской Федерации аварийное восстановление информационных систем регулируется рядом нормативных актов, в зависимости от отрасли и типа обрабатываемой информации:

  • Для государственных информационных систем (ГИС) — требования к обеспечению непрерывности работы и восстановлению установлены Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и приказами ФСТЭК России.
  • Для объектов критической информационной инфраструктуры (КИИ) — требования к аварийному восстановлению содержатся в Федеральном законе № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и подзаконных актах.
  • Для банковской сферы — стандарты Банка России (например, Положение № 683-П «Об организации управления операционным риском в кредитных организациях») предписывают обязательное наличие планов восстановления и их регулярное тестирование.
  • Для персональных данных — требования к восстановлению доступа к данным в случае сбоя установлены Федеральным законом № 152-ФЗ «О персональных данных».

Критика и ограничения

Основные проблемы аварийного восстановления включают:

  • Высокую стоимость. Горячее резервирование и географически распределённые ЦОД требуют значительных капитальных и операционных затрат, что делает их недоступными для малого и среднего бизнеса.
  • Сложность тестирования. Полное тестирование может привести к реальным сбоям и потерям данных, поэтому многие организации ограничиваются моделированием, что снижает уверенность в работоспособности плана.
  • Человеческий фактор. Недостаточная квалификация персонала, устаревшая документация, несоблюдение процедур в стрессовой ситуации могут свести на нет все технические меры.
  • Зависимость от внешних поставщиков. При использовании DRaaS или облачных услуг организация становится зависимой от провайдера, что может создавать риски при изменении условий договора, банкротстве или санкционных ограничениях.

Источники

  1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  2. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  4. Положение Банка России от 08.04.2020 № 683-П «Об организации управления операционным риском в кредитных организациях».
  5. ГОСТ Р 53647.1-2009 «Непрерывность бизнеса. Общие требования».
  6. ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements».
  7. ITIL Foundation, 4th edition, AXELOS, 2019.
  8. Методические рекомендации ФСТЭК России по обеспечению непрерывности работы информационных систем.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →