План восстановления после сбоев
План восстановления после сбоев — это формализованный документ, содержащий совокупность процедур, правил и инструкций, направленных на восстановление критически важных функций и информационных систем организации после возникновения инцидента, нарушения работы или катастрофы. План является одним из ключевых элементов управления непрерывностью бизнеса (Business Continuity Management, BCM) и аварийного восстановления (Disaster Recovery, DR). Основная цель плана — минимизировать время простоя, предотвратить или сократить потери данных, а также обеспечить возврат к нормальному режиму функционирования в заданные сроки.
История и предпосылки возникновения
Практика составления планов восстановления начала формироваться во второй половине XX века с ростом зависимости организаций от вычислительной техники. Первые документы такого рода были ориентированы исключительно на восстановление работы мейнфреймов после сбоев электропитания или аппаратных отказов. В 1970-х годах, после ряда крупных сбоев в банковской сфере, регулирующие органы США (в частности, Федеральная резервная система) начали требовать от финансовых учреждений наличия формальных планов действий на случай чрезвычайных ситуаций.
В 1990-х годах с распространением персональных компьютеров и локальных сетей понятие плана расширилось, включив в себя не только восстановление оборудования, но и целостность данных, а также процедуры резервного копирования. После терактов 11 сентября 2001 года в США и серии масштабных природных катастроф (ураган «Катрина» в 2005 году) стало очевидно, что планы должны охватывать не только технические сбои, но и полную потерю доступа к физическим офисам и персоналу. В России требования к разработке таких планов закреплены в ряде отраслевых стандартов, в частности, в нормативных актах Банка России (Положение № 719-П) и в рекомендациях по защите информации (ФСТЭК России).
Классификация планов восстановления
Планы восстановления классифицируются по нескольким признакам: по масштабу, по объекту восстановления и по типу инцидента.
По масштабу и объекту
- План аварийного восстановления (Disaster Recovery Plan, DRP). Сосредоточен на восстановлении информационных технологий: серверов, сетевого оборудования, баз данных и приложений. Обычно включает процедуры переключения на резервный центр обработки данных (ЦОД) или облачную инфраструктуру.
- План обеспечения непрерывности бизнеса (Business Continuity Plan, BCP). Охватывает более широкий спектр — от работы с персоналом до логистики и связи с клиентами. BCP определяет, как организация будет выполнять свои ключевые функции, даже если ИТ-системы полностью недоступны (например, используя бумажные носители и ручной ввод данных).
- План восстановления после сбоя конкретной системы. Детализированный документ для одного критического приложения или сервиса (например, план восстановления корпоративной почты или системы управления базами данных).
- План действий при чрезвычайных ситуациях (Emergency Response Plan, ERP). Описывает немедленные действия при пожаре, наводнении, вооружённом нападении или техногенной аварии, направленные на спасение людей и локализацию угрозы.
По типу инцидента
- План при аппаратном сбое. Включает замену вышедшего из строя оборудования (серверов, дисковых массивов, коммутаторов).
- План при программном сбое. Описывает восстановление из резервных копий, откат обновлений, переустановку операционной системы или приложения.
- План при кибератаке. Включает процедуры изоляции заражённых систем, смены паролей, восстановления из чистых (нескомпрометированных) резервных копий и взаимодействия с правоохранительными органами.
- План при природной катастрофе или техногенной аварии. Предусматривает эвакуацию, развёртывание временного офиса, использование резервного ЦОДа в другом регионе.
Структура и содержание плана
Типовой план восстановления после сбоев включает следующие разделы:
1. Цели и область действия
Определяются критически важные бизнес-процессы, допустимое время простоя (RTO — Recovery Time Objective) и допустимый объём потери данных (RPO — Recovery Point Objective). Например, для банковской транзакционной системы RTO может составлять не более 15 минут, а RPO — 0 секунд (нулевая потеря данных).
2. Роли и ответственность
Формируется команда реагирования на инциденты (Incident Response Team). Назначаются:
- Руководитель восстановления (обычно директор по ИТ или операционный директор).
- Координатор по связям с общественностью и клиентами.
- Технические специалисты (администраторы баз данных, сетевые инженеры).
- Юридический консультант.
3. Классификация инцидентов
Инциденты ранжируются по уровню критичности (например, от уровня 1 — полный отказ всей ИТ-инфраструктуры, до уровня 3 — сбой одного неключевого приложения). Для каждого уровня прописан свой сценарий реагирования.
4. Процедуры обнаружения и оповещения
Описывается, как система мониторинга фиксирует сбой, кто первым получает уведомление и по каким каналам связи (SMS, электронная почта, телефонная связь) происходит оповещение членов команды.
5. Процедуры эскалации
Определяется последовательность передачи информации вышестоящему руководству и внешним сторонам (регуляторам, партнёрам, клиентам) в зависимости от тяжести инцидента.
6. Технические шаги по восстановлению
Пошаговая инструкция для каждого типа сбоя. Например:
- Активация резервного ЦОДа.
- Загрузка последней неповреждённой резервной копии.
- Проверка целостности данных.
- Переключение DNS-записей на резервные серверы.
7. План тестирования и обучения
Регулярные учения (не реже одного раза в год) для проверки работоспособности плана. Включают как настольные упражнения (tabletop exercises), так и полномасштабные тесты с реальным переключением систем.
8. Приложения
Содержат контактные данные членов команды, список поставщиков оборудования и услуг, схемы сетевой инфраструктуры, перечень резервных копий с указанием их местоположения.
Метрики эффективности (KPI) плана
Эффективность плана оценивается по нескольким ключевым показателям:
- RTO (Recovery Time Objective). Время, в течение которого система или процесс должны быть восстановлены после объявления инцидента.
- RPO (Recovery Point Objective). Максимальный возраст данных, которые могут быть потеряны (например, 1 час, 15 минут).
- Время реагирования (Response Time). Время от момента обнаружения сбоя до начала выполнения процедур восстановления.
- Процент успешных тестов. Доля учений, в ходе которых удалось достичь заданных RTO и RPO.
- Стоимость восстановления. Затраты на аренду резервных мощностей, оплату сверхурочной работы персонала и привлечение внешних подрядчиков.
Особенности реализации в России
В Российской Федерации разработка планов восстановления после сбоев регулируется несколькими нормативными актами. Для организаций кредитно-финансовой сферы обязательным является выполнение требований Положения Банка России № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке использования Банком России тестовой среды». Данный документ предписывает банкам иметь детализированные планы восстановления, проводить их тестирование не реже одного раза в год и уведомлять регулятора о крупных инцидентах.
Для государственных информационных систем и операторов персональных данных требования к планам восстановления содержатся в приказах ФСТЭК России (например, Приказ № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных»). В этих документах план восстановления рассматривается как одна из обязательных мер защиты информации.
На уровне предприятий реального сектора (промышленность, энергетика, транспорт) планы восстановления часто разрабатываются в рамках системы управления промышленной безопасностью и должны учитывать риск техногенных аварий. В последние годы, в связи с ростом числа кибератак на критическую информационную инфраструктуру (КИИ), требования к планам восстановления ужесточились: они должны предусматривать возможность длительной автономной работы (до нескольких недель) без подключения к внешним сетям.
Критика и ограничения
Несмотря на широкое распространение, практика составления планов восстановления имеет ряд недостатков:
- Устаревание. План, составленный один раз и не обновляемый регулярно, быстро теряет актуальность из-за изменений в ИТ-инфраструктуре, штатном расписании и бизнес-процессах.
- Человеческий фактор. В условиях реального стресса сотрудники могут действовать не по инструкции, особенно если план не отработан на учениях.
- Недостаточное тестирование. Многие организации ограничиваются «бумажным» тестированием или тестированием в изолированной среде, не затрагивающем реальные производственные системы, что не позволяет выявить скрытые проблемы.
- Игнорирование зависимостей. План может не учитывать цепочки поставок: если ключевой поставщик облачных услуг или телекоммуникационный оператор сам пострадал от сбоя, собственные процедуры восстановления могут оказаться бесполезными.
- Финансовые ограничения. Создание полностью отказоустойчивой инфраструктуры (с горячим резервным ЦОДом) требует значительных инвестиций, что заставляет многие компании идти на компромиссы, увеличивая RTO и RPO.
Источники
- Положение Банка России от 17 апреля 2019 года № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке использования Банком России тестовой среды».
- Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных».
- Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Общие положения».
- ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements».
- Уоллес М., Уэббер Л. «Управление непрерывностью бизнеса. Практическое руководство». — М.: Альпина Паблишер, 2015.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →