Открыть сервис

План восстановления после катастрофы

План восстановления после катастрофы (англ. Disaster Recovery Plan, DRP) — это документированный набор процедур, политик и технических решений, направленных на восстановление критически важных информационных систем, данных и инфраструктуры организации после сбоя, вызванного природным явлением, техногенной аварией, кибератакой или человеческой ошибкой. Основная цель плана — минимизировать время простоя (RTO) и потери данных (RPO), обеспечив непрерывность бизнес-процессов в условиях чрезвычайной ситуации.

История развития

Концепция восстановления после катастроф возникла в середине XX века с развитием крупных вычислительных центров. Первые планы были ориентированы на физическую защиту мейнфреймов и резервное копирование на магнитные ленты, которые хранились в удалённых бункерах. В 1970-х годах, после ряда крупных сбоев в банковской сфере, крупные корпорации начали создавать «горячие» резервные площадки — полностью оборудованные центры обработки данных (ЦОД), готовые к немедленному запуску.

С распространением персональных компьютеров и локальных сетей в 1980-х годах планы усложнились, включив процедуры восстановления рабочих станций и серверов. В 1990-е годы, с ростом зависимости от интернета и электронной коммерции, особое внимание стали уделять защите баз данных и веб-приложений. После терактов 11 сентября 2001 года в США и серии природных катастроф (ураган «Катрина» в 2005 году, землетрясение в Японии в 2011 году) практика DRP стала обязательной для финансовых, медицинских и государственных организаций во многих странах, включая Россию, где требования к обеспечению устойчивости информационных систем регулируются Федеральным законом № 152-ФЗ «О персональных данных» и отраслевыми стандартами Банка России.

Классификация планов

Планы восстановления после катастрофы классифицируются по масштабу, объекту и типу угрозы.

По масштабу

  • Корпоративный план — охватывает всю организацию, включая все филиалы, отделы и информационные системы.
  • Локальный план — разрабатывается для отдельного подразделения, здания или конкретного сервиса (например, только для почтового сервера).
  • План для ЦОД — фокусируется на восстановлении работы дата-центра, включая системы охлаждения, электропитания и сетевой инфраструктуры.

По объекту

  • ИТ-план (технический) — направлен на восстановление аппаратного и программного обеспечения, сетей, баз данных и облачных сервисов.
  • Бизнес-план непрерывности (BCP) — более широкий документ, охватывающий не только ИТ, но и операционные процессы, персонал, логистику и взаимодействие с клиентами.
  • План восстановления рабочих мест — описывает действия по обеспечению сотрудников доступом к системам и данным с резервных или временных локаций.

По типу угрозы

  • Природные катастрофы — наводнения, землетрясения, ураганы, пожары (в регионах с высокой сейсмической активностью, например, на Камчатке или Сахалине, планы учитывают эвакуацию ЦОД).
  • Техногенные аварии — отключение электроэнергии, аварии систем жизнеобеспечения, утечки опасных веществ.
  • Кибератаки — DDoS-атаки, атаки программ-вымогателей (ransomware), утечки данных, компрометация учётных записей.
  • Человеческий фактор — ошибки администраторов, случайное удаление данных, саботаж.

Структура и ключевые компоненты

Типовой план восстановления после катастрофы включает несколько обязательных разделов.

Преамбула и цели

В начале документа фиксируются:

  • область применения (какие системы, подразделения и географические локации охвачены);
  • цели (например, восстановление критических сервисов в течение 4 часов, потеря данных не более 15 минут);
  • ответственные лица и их контактные данные (руководитель DRP, администраторы, представители службы безопасности).

Оценка рисков (BIA)

Бизнес-анализ воздействия (Business Impact Analysis, BIA) определяет:

Стратегия восстановления

Выбор метода восстановления зависит от бюджета, критичности систем и географической распределённости:

  • Резервное копирование (Backup) — регулярное создание копий данных на ленточные накопители, внешние диски или в облачное хранилище (например, Яндекс.Облако или VK Cloud). Восстановление может занимать от нескольких часов до суток.
  • Горячее резервирование (Hot Standby) — полностью дублированный ЦОД, работающий в реальном времени. При сбое трафик автоматически переключается на резервную площадку (время переключения — секунды или минуты).
  • Тёплое резервирование (Warm Standby) — резервная площадка с установленным ПО и частично синхронизированными данными, требующая ручного запуска и донастройки.
  • Холодное резервирование (Cold Standby) — пустая площадка с инфраструктурой (электричество, охлаждение), куда доставляется и развёртывается оборудование из хранилища. Время восстановления — от нескольких дней.

Процедуры действий

Пошаговые инструкции для каждого этапа:

  1. Обнаружение и оповещение — кто и как фиксирует сбой (мониторинг, звонок от пользователя, автоматическая система).
  2. Эскалация — уведомление руководства, ИТ-отдела, службы безопасности, внешних подрядчиков.
  3. Активация плана — решение о переходе на резервные мощности, запуск процедур.
  4. Восстановление — последовательность операций по восстановлению серверов, сетей, баз данных, приложений.
  5. Тестирование и возврат — проверка работоспособности, синхронизация данных, постепенный возврат к основной инфраструктуре.

Коммуникационный план

Определяет:

  • каналы связи (телефон, электронная почта, мессенджеры, система оповещения);
  • шаблоны сообщений для сотрудников, клиентов, партнёров и регуляторов;
  • порядок взаимодействия с государственными органами (например, МЧС России, Роскомнадзор) и СМИ.

Тестирование и обновление

План должен регулярно проверяться на практике:

  • Настольные упражнения (Tabletop Exercises) — обсуждение сценариев без реального переключения систем.
  • Функциональные тесты — запуск резервных копий на изолированном оборудовании.
  • Полномасштабные учения — имитация полного сбоя с переключением на резервную площадку и возвратом к основной инфраструктуре.

Результаты тестирования документируются, а план корректируется не реже одного раза в год или после каждого инцидента.

Примеры реализации

В России крупные компании и государственные учреждения активно внедряют DRP. Например, Сбербанк использует распределённую сеть ЦОД с горячим резервированием, что позволяет переключать транзакционные системы в течение нескольких минут. В 2022 году, после массовых DDoS-атак на российские банки, многие финансовые организации усилили компоненты планов, связанные с кибербезопасностью и резервированием каналов связи.

На государственном уровне требования к DRP содержатся в:

  • ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Общие положения»;
  • Методических рекомендациях Банка России по обеспечению непрерывности деятельности кредитных организаций;
  • Приказе Минцифры России № 286 от 14.11.2022 «Об утверждении требований к обеспечению устойчивости информационных систем».

Критика и ограничения

Несмотря на важность, планы восстановления после катастрофы имеют ряд недостатков:

  • Высокая стоимость — создание горячего резерва или аренда облачных мощностей требуют значительных инвестиций, что недоступно для малого бизнеса.
  • Устаревание — быстрое изменение ИТ-инфраструктуры (миграция в облако, внедрение новых сервисов) может сделать план неактуальным, если обновления проводятся редко.
  • Человеческий фактор — даже хорошо документированный план может быть неэффективен, если персонал не обучен или не имеет доступа к инструкциям в момент сбоя.
  • Ложное чувство безопасности — некоторые организации ограничиваются формальным созданием документа, не проводя реальных тестов, что приводит к провалам при реальных инцидентах.

Источники

  • ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Общие положения».
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Методические рекомендации Банка России по обеспечению непрерывности деятельности кредитных организаций (2021).
  • Приказ Минцифры России от 14.11.2022 № 286 «Об утверждении требований к обеспечению устойчивости информационных систем».
  • ISO/IEC 27031:2011 «Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity».
  • NIST Special Publication 800-34 Rev. 1 «Contingency Planning Guide for Federal Information Systems».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →