Открыть сервис

План восстановления после сбоев

План восстановления после сбоев — это формализованный документ, содержащий совокупность процедур, правил и инструкций, направленных на восстановление критически важных функций и информационных систем организации после возникновения инцидента, нарушения работы или катастрофы. План является одним из ключевых элементов управления непрерывностью бизнеса (Business Continuity Management, BCM) и аварийного восстановления (Disaster Recovery, DR). Основная цель плана — минимизировать время простоя, предотвратить или сократить потери данных, а также обеспечить возврат к нормальному режиму функционирования в заданные сроки.

История и предпосылки возникновения

Практика составления планов восстановления начала формироваться во второй половине XX века с ростом зависимости организаций от вычислительной техники. Первые документы такого рода были ориентированы исключительно на восстановление работы мейнфреймов после сбоев электропитания или аппаратных отказов. В 1970-х годах, после ряда крупных сбоев в банковской сфере, регулирующие органы США (в частности, Федеральная резервная система) начали требовать от финансовых учреждений наличия формальных планов действий на случай чрезвычайных ситуаций.

В 1990-х годах с распространением персональных компьютеров и локальных сетей понятие плана расширилось, включив в себя не только восстановление оборудования, но и целостность данных, а также процедуры резервного копирования. После терактов 11 сентября 2001 года в США и серии масштабных природных катастроф (ураган «Катрина» в 2005 году) стало очевидно, что планы должны охватывать не только технические сбои, но и полную потерю доступа к физическим офисам и персоналу. В России требования к разработке таких планов закреплены в ряде отраслевых стандартов, в частности, в нормативных актах Банка России (Положение № 719-П) и в рекомендациях по защите информации (ФСТЭК России).

Классификация планов восстановления

Планы восстановления классифицируются по нескольким признакам: по масштабу, по объекту восстановления и по типу инцидента.

По масштабу и объекту

  • План аварийного восстановления (Disaster Recovery Plan, DRP). Сосредоточен на восстановлении информационных технологий: серверов, сетевого оборудования, баз данных и приложений. Обычно включает процедуры переключения на резервный центр обработки данных (ЦОД) или облачную инфраструктуру.
  • План обеспечения непрерывности бизнеса (Business Continuity Plan, BCP). Охватывает более широкий спектр — от работы с персоналом до логистики и связи с клиентами. BCP определяет, как организация будет выполнять свои ключевые функции, даже если ИТ-системы полностью недоступны (например, используя бумажные носители и ручной ввод данных).
  • План восстановления после сбоя конкретной системы. Детализированный документ для одного критического приложения или сервиса (например, план восстановления корпоративной почты или системы управления базами данных).
  • План действий при чрезвычайных ситуациях (Emergency Response Plan, ERP). Описывает немедленные действия при пожаре, наводнении, вооружённом нападении или техногенной аварии, направленные на спасение людей и локализацию угрозы.

По типу инцидента

  • План при аппаратном сбое. Включает замену вышедшего из строя оборудования (серверов, дисковых массивов, коммутаторов).
  • План при программном сбое. Описывает восстановление из резервных копий, откат обновлений, переустановку операционной системы или приложения.
  • План при кибератаке. Включает процедуры изоляции заражённых систем, смены паролей, восстановления из чистых (нескомпрометированных) резервных копий и взаимодействия с правоохранительными органами.
  • План при природной катастрофе или техногенной аварии. Предусматривает эвакуацию, развёртывание временного офиса, использование резервного ЦОДа в другом регионе.

Структура и содержание плана

Типовой план восстановления после сбоев включает следующие разделы:

1. Цели и область действия

Определяются критически важные бизнес-процессы, допустимое время простоя (RTO — Recovery Time Objective) и допустимый объём потери данных (RPO — Recovery Point Objective). Например, для банковской транзакционной системы RTO может составлять не более 15 минут, а RPO — 0 секунд (нулевая потеря данных).

2. Роли и ответственность

Формируется команда реагирования на инциденты (Incident Response Team). Назначаются:

  • Руководитель восстановления (обычно директор по ИТ или операционный директор).
  • Координатор по связям с общественностью и клиентами.
  • Технические специалисты (администраторы баз данных, сетевые инженеры).
  • Юридический консультант.

3. Классификация инцидентов

Инциденты ранжируются по уровню критичности (например, от уровня 1 — полный отказ всей ИТ-инфраструктуры, до уровня 3 — сбой одного неключевого приложения). Для каждого уровня прописан свой сценарий реагирования.

4. Процедуры обнаружения и оповещения

Описывается, как система мониторинга фиксирует сбой, кто первым получает уведомление и по каким каналам связи (SMS, электронная почта, телефонная связь) происходит оповещение членов команды.

5. Процедуры эскалации

Определяется последовательность передачи информации вышестоящему руководству и внешним сторонам (регуляторам, партнёрам, клиентам) в зависимости от тяжести инцидента.

6. Технические шаги по восстановлению

Пошаговая инструкция для каждого типа сбоя. Например:

  • Активация резервного ЦОДа.
  • Загрузка последней неповреждённой резервной копии.
  • Проверка целостности данных.
  • Переключение DNS-записей на резервные серверы.

7. План тестирования и обучения

Регулярные учения (не реже одного раза в год) для проверки работоспособности плана. Включают как настольные упражнения (tabletop exercises), так и полномасштабные тесты с реальным переключением систем.

8. Приложения

Содержат контактные данные членов команды, список поставщиков оборудования и услуг, схемы сетевой инфраструктуры, перечень резервных копий с указанием их местоположения.

Метрики эффективности (KPI) плана

Эффективность плана оценивается по нескольким ключевым показателям:

  • RTO (Recovery Time Objective). Время, в течение которого система или процесс должны быть восстановлены после объявления инцидента.
  • RPO (Recovery Point Objective). Максимальный возраст данных, которые могут быть потеряны (например, 1 час, 15 минут).
  • Время реагирования (Response Time). Время от момента обнаружения сбоя до начала выполнения процедур восстановления.
  • Процент успешных тестов. Доля учений, в ходе которых удалось достичь заданных RTO и RPO.
  • Стоимость восстановления. Затраты на аренду резервных мощностей, оплату сверхурочной работы персонала и привлечение внешних подрядчиков.

Особенности реализации в России

В Российской Федерации разработка планов восстановления после сбоев регулируется несколькими нормативными актами. Для организаций кредитно-финансовой сферы обязательным является выполнение требований Положения Банка России № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке использования Банком России тестовой среды». Данный документ предписывает банкам иметь детализированные планы восстановления, проводить их тестирование не реже одного раза в год и уведомлять регулятора о крупных инцидентах.

Для государственных информационных систем и операторов персональных данных требования к планам восстановления содержатся в приказах ФСТЭК России (например, Приказ № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных»). В этих документах план восстановления рассматривается как одна из обязательных мер защиты информации.

На уровне предприятий реального сектора (промышленность, энергетика, транспорт) планы восстановления часто разрабатываются в рамках системы управления промышленной безопасностью и должны учитывать риск техногенных аварий. В последние годы, в связи с ростом числа кибератак на критическую информационную инфраструктуру (КИИ), требования к планам восстановления ужесточились: они должны предусматривать возможность длительной автономной работы (до нескольких недель) без подключения к внешним сетям.

Критика и ограничения

Несмотря на широкое распространение, практика составления планов восстановления имеет ряд недостатков:

  • Устаревание. План, составленный один раз и не обновляемый регулярно, быстро теряет актуальность из-за изменений в ИТ-инфраструктуре, штатном расписании и бизнес-процессах.
  • Человеческий фактор. В условиях реального стресса сотрудники могут действовать не по инструкции, особенно если план не отработан на учениях.
  • Недостаточное тестирование. Многие организации ограничиваются «бумажным» тестированием или тестированием в изолированной среде, не затрагивающем реальные производственные системы, что не позволяет выявить скрытые проблемы.
  • Игнорирование зависимостей. План может не учитывать цепочки поставок: если ключевой поставщик облачных услуг или телекоммуникационный оператор сам пострадал от сбоя, собственные процедуры восстановления могут оказаться бесполезными.
  • Финансовые ограничения. Создание полностью отказоустойчивой инфраструктуры (с горячим резервным ЦОДом) требует значительных инвестиций, что заставляет многие компании идти на компромиссы, увеличивая RTO и RPO.

Источники

  1. Положение Банка России от 17 апреля 2019 года № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке использования Банком России тестовой среды».
  2. Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных».
  3. Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  4. ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Общие положения».
  5. ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements».
  6. Уоллес М., Уэббер Л. «Управление непрерывностью бизнеса. Практическое руководство». — М.: Альпина Паблишер, 2015.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →