Открыть сервис

Recovery Point Objective

Recovery Point Objective (RPO, целевая точка восстановления) — это метрика, используемая в планировании непрерывности бизнеса и аварийного восстановления информационных систем. RPO определяет максимально допустимый период времени, за который могут быть потеряны данные в результате сбоя, аварии или кибератаки. Иными словами, RPO указывает, насколько «старыми» могут быть данные, которые организация готова восстановить после инцидента, чтобы возобновить нормальную работу. Метрика выражается в единицах времени (секунды, минуты, часы) и является критическим параметром при проектировании систем резервного копирования и репликации данных.

Определение и сущность

RPO тесно связано с понятием потери данных (data loss). Чем меньше значение RPO, тем меньше данных может быть потеряно при сбое. Например, если RPO установлен в 1 час, то в худшем случае организация потеряет данные, созданные за последний час до момента сбоя. Если RPO равен 0, это означает, что система должна гарантировать нулевую потерю данных — все изменения, внесённые до сбоя, должны быть немедленно сохранены и доступны для восстановления. RPO является одним из двух ключевых показателей в планах аварийного восстановления (Disaster Recovery Plan, DRP), наряду с Recovery Time Objective (RTO, целевое время восстановления), которое определяет максимально допустимое время простоя системы после сбоя.

История и происхождение термина

Термин RPO возник в контексте развития корпоративных информационных систем и стандартов управления непрерывностью бизнеса в 1990-х годах. Первоначально он использовался в документах Международной организации по стандартизации (ISO) и Британского института стандартов (BSI) как часть методологии оценки рисков и планирования восстановления. С ростом зависимости бизнеса от цифровых данных и распространением облачных технологий RPO стал обязательным элементом соглашений об уровне обслуживания (SLA) между поставщиками ИТ-услуг и заказчиками. В России понятие RPO закреплено в ряде отраслевых стандартов, например, в методических рекомендациях Банка России по обеспечению непрерывности деятельности кредитных организаций.

Классификация и виды RPO

RPO может классифицироваться по способу достижения и по значению:

По способу достижения

  • RPO на основе резервного копирования — данные восстанавливаются из последней доступной резервной копии. Значение RPO равно интервалу между созданием копий (например, ежедневное копирование даёт RPO в 24 часа).
  • RPO на основе репликации — данные непрерывно или с малой задержкой копируются на удалённую площадку. Значение RPO может составлять секунды или минуты.
  • RPO на основе синхронной репликациизапись данных подтверждается только после того, как она завершена на всех репликах. Это позволяет достичь RPO = 0, но увеличивает задержки ввода-вывода.
  • RPO на основе асинхронной репликации — данные копируются с некоторой задержкой, что даёт ненулевое RPO (обычно от нескольких секунд до минут), но снижает нагрузку на сеть.

По значению

  • Нулевое RPO (RPO = 0) — гарантирует отсутствие потери данных. Требует синхронной репликации или транзакционных систем с двухфазной фиксацией. Применяется в финансовых системах, системах управления воздушным движением и других критически важных приложениях.
  • Малое RPO (секунды–минуты) — достигается асинхронной репликацией или частым резервным копированием. Характерно для онлайн-сервисов, баз данных электронной коммерции.
  • Среднее RPO (часы) — типично для систем с ежедневным или многочасовым резервным копированием. Используется в корпоративных файловых хранилищах, почтовых системах.
  • Большое RPO (сутки и более) — допустимо для архивных данных, систем с низкой частотой изменений (например, библиотеки документов, исторические базы данных).

Устройство и механизмы реализации

Достижение заданного RPO требует внедрения соответствующих технических решений:

  • Системы резервного копирования — программные или аппаратные комплексы, создающие копии данных по расписанию. Для уменьшения RPO увеличивают частоту копирования (например, до 15 минут).
  • Репликация данныхпроцесс копирования изменений с основного хранилища на резервное в реальном времени или с задержкой. Реализуется на уровне СХД (Storage Area Network), файловых систем (например, ZFS) или приложений (например, репликация баз данных PostgreSQL).
  • Журналирование транзакций — в системах управления базами данных (СУБД) изменения записываются в журнал транзакций, который может быть передан на резервный сервер. Это позволяет восстановить базу данных до состояния на момент сбоя с точностью до секунды.
  • Непрерывная защита данных (CDP) — технология, фиксирующая каждое изменение данных и позволяющая восстановиться на любой момент времени в прошлом. Обеспечивает минимальное RPO (вплоть до нуля), но требует значительных ресурсов хранения.

Применение и значение

RPO является фундаментальным параметром при разработке политик информационной безопасности и планов непрерывности бизнеса. Его значение определяется на основе анализа критичности данных и допустимых финансовых потерь от их утраты.

В корпоративном секторе

  • Финансовые организации — для систем обработки платежей и торговых платформ RPO обычно устанавливается в 0 или несколько секунд, чтобы избежать потери транзакций.
  • Промышленные предприятия — для систем управления производством (SCADA) RPO может составлять минуты, чтобы минимизировать простой оборудования.
  • Государственные учреждения — для реестров и баз данных граждан RPO устанавливается в часы, но с обязательным ежедневным резервированием.

В облачных сервисах

Провайдеры облачных услуг (например, Amazon Web Services, Microsoft Azure, Яндекс.Облако) в соглашениях SLA указывают гарантированное RPO для своих сервисов. Для баз данных в облаке типичное RPO составляет 1–5 минут, для объектных хранилищ — 15–60 минут. Пользователь может выбрать более строгое RPO за дополнительную плату.

В соответствии с законодательством РФ

В России требования к RPO регулируются рядом нормативных актов. Например, Федеральный закон № 152-ФЗ «О персональных данных» обязывает операторов обеспечивать восстановление персональных данных в случае их утраты, но прямо не устанавливает числовых значений RPO. Однако Банк России в Положении № 719-П рекомендует кредитным организациям устанавливать RPO для систем дистанционного банковского обслуживания не более 1 часа. Для систем, обрабатывающих государственные тайны, RPO может быть строго регламентировано ведомственными инструкциями.

Критика и ограничения

Несмотря на широкое использование, концепция RPO имеет ряд недостатков:

  • Не учитывает качество данных — RPO гарантирует только временную свежесть, но не целостность. Восстановленные данные могут содержать ошибки, если сбой произошёл во время записи.
  • Зависимость от инфраструктуры — достижение малого RPO требует высокоскоростных каналов связи, дорогостоящего оборудования и квалифицированного персонала, что недоступно для малого бизнеса.
  • Ложное чувство безопасности — организации могут устанавливать агрессивное RPO (например, 0), не обеспечив соответствующую защиту от логических ошибок (удаление данных пользователем, вирус-шифровальщик), при которых восстановление из реплики также приведёт к потере.
  • Конфликт с RTO — слишком малое RPO часто приводит к большему RTO, так как восстановление из частых копий или реплик требует больше времени. Баланс между этими метриками — сложная инженерная задача.

Интересные факты

  • В 2017 году после атаки вируса-шифровальщика WannaCry британская Национальная служба здравоохранения (NHS) обнаружила, что её RPO для многих систем составлял 24 часа, что привело к потере данных за целый день. После инцидента NHS пересмотрела политику резервирования, сократив RPO до 4 часов.
  • В российской практике известен случай, когда в 2020 году сбой в работе одного из крупных банков привёл к потере данных о транзакциях за 6 часов. Банк был оштрафован Центробанком за нарушение требований к RPO, установленных внутренними нормативами.
  • Технология CDP (Continuous Data Protection) впервые была реализована в коммерческом продукте компанией Veritas в 2003 году, но из-за высокой стоимости и сложности внедрения не получила массового распространения до появления облачных решений.

Источники

  • ISO 22301:2019 «Security and resilience — Business continuity management systems»
  • ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство»
  • Положение Банка России № 719-П от 16.12.2020 «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств»
  • Федеральный закон № 152-ФЗ «О персональных данных»
  • Книга: «Disaster Recovery and Business Continuity» (Thejendra B.S., 2014)
  • Материалы конференции «Continuous Data Protection: A Survey» (IEEE, 2015)

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →