Аварийное восстановление информационных систем
Аварийное восстановление информационных систем — это комплекс организационно-технических мероприятий, направленных на восстановление работоспособности информационных систем (ИС), их компонентов и данных после сбоев, отказов оборудования, ошибок персонала, кибератак или воздействия внешних факторов (пожаров, наводнений, техногенных катастроф). Аварийное восстановление является частью более широкой концепции обеспечения непрерывности бизнеса (Business Continuity Management, BCM) и тесно связано с резервным копированием, планированием действий в чрезвычайных ситуациях и управлением инцидентами.
История
Практика аварийного восстановления начала формироваться в 1960—1970-х годах с развитием крупных вычислительных центров (мейнфреймов), где сбои могли приводить к остановке работы целых предприятий. Первоначально основной мерой было создание дублирующих аппаратных комплексов («горячих» резервных площадок). В 1979 году в США была основана компания SunGard (ныне — Sungard Availability Services), ставшая одним из пионеров рынка услуг по аварийному восстановлению для корпоративных клиентов.
В 1980—1990-х годах, с распространением персональных компьютеров, локальных сетей и клиент-серверных архитектур, подходы к восстановлению усложнились. Появились стандарты и методологии, такие как ITIL (Information Technology Infrastructure Library) и COBIT, которые включили аварийное восстановление в общую практику управления ИТ-услугами. В 2000-х годах, с развитием облачных технологий и виртуализации, возникли модели Disaster Recovery as a Service (DRaaS), позволяющие восстанавливать системы в облачной инфраструктуре без приобретения собственного резервного оборудования.
Основные понятия и метрики
Для оценки эффективности аварийного восстановления используются две ключевые метрики:
- RTO (Recovery Time Objective) — целевое время восстановления. Максимально допустимый период времени, в течение которого система может быть недоступна после сбоя. RTO определяет, насколько быстро необходимо восстановить работоспособность.
- RPO (Recovery Point Objective) — целевая точка восстановления. Максимально допустимый объём потери данных, выраженный во времени. RPO показывает, насколько «свежими» должны быть восстановленные данные (например, потеря данных за последние 15 минут допустима, а за час — нет).
Эти метрики задаются бизнес-требованиями и напрямую влияют на стоимость и сложность решений по восстановлению.
Классификация стратегий восстановления
Стратегии аварийного восстановления классифицируются по степени готовности резервных ресурсов и времени переключения:
### Холодное резервирование (Cold Standby)
Резервная площадка (или сервер) не содержит активного оборудования. Для восстановления требуется закупка, доставка и настройка аппаратуры, установка программного обеспечения и восстановление данных из резервных копий. RTO составляет от нескольких дней до недель. RPO — от нескольких часов до суток. Это наиболее дешёвый, но и самый медленный вариант.
### Тёплое резервирование (Warm Standby)
Резервная площадка оснащена оборудованием и программным обеспечением, но не находится в активном состоянии. Для переключения требуется запуск систем, синхронизация данных и проверка работоспособности. RTO — от нескольких часов до одного дня. RPO — от нескольких минут до нескольких часов.
### Горячее резервирование (Hot Standby)
Резервная площадка полностью дублирует основную, работает в синхронном режиме и готова принять нагрузку мгновенно. Переключение происходит автоматически или вручную за секунды или минуты. RTO — менее 15 минут, RPO — нулевой (потеря данных отсутствует). Это наиболее дорогостоящий вариант, требующий каналов связи высокой пропускной способности.
### Активное-активное резервирование (Active-Active)
Нагрузка распределяется между двумя или более географически распределёнными центрами обработки данных (ЦОД). При отказе одного из них трафик автоматически перенаправляется на оставшиеся. RTO и RPO стремятся к нулю.
Этапы процесса аварийного восстановления
Процесс аварийного восстановления обычно включает следующие этапы:
- Обнаружение инцидента. Мониторинг систем, оповещение персонала, регистрация события в системе управления инцидентами.
- Оценка ущерба и принятие решения. Анализ масштабов сбоя, определение необходимости активации плана аварийного восстановления (Disaster Recovery Plan, DRP). Решение принимается уполномоченным лицом (руководителем по непрерывности бизнеса или ИТ-директором).
- Активация плана. Запуск процедур переключения на резервные ресурсы, оповещение заинтересованных сторон (руководства, пользователей, клиентов, регуляторов).
- Восстановление данных. Восстановление баз данных, файловых систем и приложений из резервных копий или реплик. Проверка целостности данных.
- Восстановление приложений и сервисов. Запуск прикладного программного обеспечения, проверка его работоспособности, настройка сетевого доступа.
- Тестирование и верификация. Проверка корректности работы восстановленных систем, выполнение тестовых сценариев, подтверждение готовности к эксплуатации.
- Переключение обратно (Failback). После устранения причин сбоя на основной площадке производится обратное переключение — возврат систем на штатные ресурсы. Этот этап также требует планирования и тестирования.
- Разбор инцидента (Post-mortem). Анализ причин сбоя, оценка эффективности восстановления, корректировка плана аварийного восстановления.
План аварийного восстановления (DRP)
План аварийного восстановления — это документ, содержащий подробные инструкции по действиям персонала, перечни оборудования, программного обеспечения и данных, а также схемы коммуникаций. В России требования к разработке и содержанию DRP могут быть установлены внутренними регламентами организаций, а также отраслевыми стандартами (например, в банковской сфере — стандартами Банка России, в государственных информационных системах — требованиями ФСТЭК России).
План должен включать:
- Перечень критичных информационных систем и их приоритеты.
- Метрики RTO и RPO для каждой системы.
- Схемы резервирования и восстановления.
- Роли и ответственность членов команды восстановления.
- Контактные данные ключевых сотрудников и внешних подрядчиков.
- Сценарии для различных типов сбоев (отказ оборудования, кибератака, пожар).
- Процедуры тестирования плана.
Технические средства и методы
Для реализации аварийного восстановления используются следующие технологии:
- Резервное копирование (Backup). Создание копий данных на ленточные накопители, дисковые массивы или в облачные хранилища. Различают полное, инкрементальное и дифференциальное копирование.
- Репликация данных. Синхронная или асинхронная передача изменений данных с основной системы на резервную. Репликация может быть на уровне дисков (аппаратная), на уровне файловых систем или на уровне баз данных.
- Виртуализация. Использование гипервизоров (VMware vSphere, Microsoft Hyper-V, KVM) для создания резервных копий виртуальных машин и быстрого их развёртывания на резервных хостах.
- Облачные технологии (DRaaS). Аренда вычислительных мощностей и хранилищ у облачных провайдеров (Amazon Web Services, Microsoft Azure, Яндекс.Облако — сервисы сертифицированы в РФ). Позволяет отказаться от собственных резервных ЦОД.
- Кластеризация. Объединение нескольких серверов в кластер, обеспечивающий автоматическое переключение при отказе одного из узлов (например, Microsoft Failover Cluster, Red Hat High Availability).
- Географически распределённые ЦОД. Размещение основного и резервного центров обработки данных на значительном удалении друг от друга (сотни километров) для защиты от региональных катастроф.
Тестирование и аудит
Регулярное тестирование плана аварийного восстановления является обязательным условием его эффективности. Различают следующие виды тестирования:
- Структурное тестирование (Checklist Test). Проверка наличия и актуальности документации, контактов, оборудования.
- Моделирование (Simulation Test). Проведение учебных занятий с командой восстановления без реального переключения систем.
- Параллельное тестирование (Parallel Test). Запуск резервных систем параллельно с основными для проверки их работоспособности без остановки производства.
- Полное тестирование (Full Interruption Test). Реальное переключение на резервные ресурсы с остановкой основной системы. Наиболее рискованный, но и наиболее достоверный метод.
Аудит аварийного восстановления проводится внутренними или внешними аудиторами для оценки соответствия плана требованиям стандартов (ISO 22301, ГОСТ Р 53647.1-2009 «Непрерывность бизнеса») и регуляторов.
Применение в России
В Российской Федерации аварийное восстановление информационных систем регулируется рядом нормативных актов, в зависимости от отрасли и типа обрабатываемой информации:
- Для государственных информационных систем (ГИС) — требования к обеспечению непрерывности работы и восстановлению установлены Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и приказами ФСТЭК России.
- Для объектов критической информационной инфраструктуры (КИИ) — требования к аварийному восстановлению содержатся в Федеральном законе № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и подзаконных актах.
- Для банковской сферы — стандарты Банка России (например, Положение № 683-П «Об организации управления операционным риском в кредитных организациях») предписывают обязательное наличие планов восстановления и их регулярное тестирование.
- Для персональных данных — требования к восстановлению доступа к данным в случае сбоя установлены Федеральным законом № 152-ФЗ «О персональных данных».
Критика и ограничения
Основные проблемы аварийного восстановления включают:
- Высокую стоимость. Горячее резервирование и географически распределённые ЦОД требуют значительных капитальных и операционных затрат, что делает их недоступными для малого и среднего бизнеса.
- Сложность тестирования. Полное тестирование может привести к реальным сбоям и потерям данных, поэтому многие организации ограничиваются моделированием, что снижает уверенность в работоспособности плана.
- Человеческий фактор. Недостаточная квалификация персонала, устаревшая документация, несоблюдение процедур в стрессовой ситуации могут свести на нет все технические меры.
- Зависимость от внешних поставщиков. При использовании DRaaS или облачных услуг организация становится зависимой от провайдера, что может создавать риски при изменении условий договора, банкротстве или санкционных ограничениях.
Источники
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Положение Банка России от 08.04.2020 № 683-П «Об организации управления операционным риском в кредитных организациях».
- ГОСТ Р 53647.1-2009 «Непрерывность бизнеса. Общие требования».
- ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements».
- ITIL Foundation, 4th edition, AXELOS, 2019.
- Методические рекомендации ФСТЭК России по обеспечению непрерывности работы информационных систем.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →