Как подготовить Disaster recovery plan (DRP)

Термины, встречающиеся в статье

DRP - План аварийного восстановления

BCP - План непрерывности бизнеса

IMP - План управления инцидентами 

Что такое план аварийного восстановления (DRP)?

План аварийного восстановления (DRP) — это документированный структурированный подход, описывающий, как организация может быстро возобновить работу после незапланированного инцидента. DRP является неотъемлемой частью плана обеспечения непрерывности бизнеса (BCP). Он применяется к аспектам организации, которые зависят от функционирующей инфраструктуры информационных технологий (ИТ). Задача DRP — помочь организации устранить потерю данных и восстановить функциональность системы, чтобы она могла работать после инцидента, даже если она работает на минимальном уровне.

План состоит из шагов по минимизации последствий стихийного бедствия, чтобы организация могла продолжать работу или быстро возобновлять выполнение критически важных функций. Как правило, DRP включает в себя анализ бизнес-процессов и потребностей в обеспечении непрерывности. Перед созданием подробного плана организация часто проводит анализ влияния на бизнес (BIA) и анализ рисков (RA), а также устанавливает цели восстановления.

Поскольку киберпреступность и нарушения безопасности становятся все более изощренными, для организации важно определить свои стратегии восстановления и защиты данных. Способность быстро обрабатывать инциденты может сократить время простоя и свести к минимуму финансовый и репутационный ущерб. Планы DRP также помогают организациям соблюдать нормативные требования, обеспечивая при этом четкую схему восстановления.

Некоторые типы бедствий, которые организации могут планировать, включают следующее:

• сбой приложения
• сбой связи
• отключение электричества
• природная катастрофа
• вредоносное ПО или другая кибератака
• авария центра обработки данных
• строительная катастрофа
• катастрофа в кампусе
• общегородская катастрофа
• региональная катастрофа
• национальное бедствие

Рекомендации по плану восстановления

В случае аварии стратегия восстановления должна начинаться на бизнес-уровне, чтобы определить, какие приложения наиболее важны для работы организации. Целевое время восстановления (RTO) описывает количество времени, в течение которого критически важные приложения могут быть отключены, обычно измеряемое в часах, минутах или секундах. Целевая точка восстановления (RPO) описывает возраст файлов, которые необходимо восстановить из хранилища резервных копий данных для возобновления нормальной работы.

Стратегии восстановления определяют планы организации по реагированию на инцидент, а планы аварийного восстановления описывают, как организация должна реагировать. Планы восстановления являются производными от стратегий восстановления.

При определении стратегии восстановления организации должны учитывать следующие вопросы:

• бюджет
• страховое покрытие
• ресурсы -- люди и материальные объекты
• позиция руководства в отношении рисков
• технологии
• данные и хранение данных
• доступные поставщики оборудования и ресурсов
• требования соответствия

Важное значение имеет одобрение руководством стратегий восстановления. Все стратегии должны соответствовать целям организации. После разработки и утверждения стратегий аварийного восстановления их можно преобразовать в планы аварийного восстановления.

Типы планов аварийного восстановления

DRP можно настроить для конкретной среды. Некоторые конкретные типы планов включают следующее:

• Виртуализированный план аварийного восстановления. Виртуализация предоставляет возможности для реализации аварийного восстановления более эффективным и простым способом. Виртуализированная среда может запускать новые экземпляры виртуальных машин за считанные минуты и обеспечивать восстановление приложений благодаря высокой доступности. Тестирование также упрощается, но план должен подтверждать, что приложения могут запускаться в режиме аварийного восстановления и возвращаться к нормальной работе в пределах RPO и RTO.
• План аварийного восстановления сети. Разработка плана восстановления сети усложняется по мере увеличения сложности сети. Важно предоставить подробную пошаговую процедуру восстановления; протестируйте его должным образом; и держите его в курсе. План должен включать информацию, относящуюся к сети, например, о ее производительности и сетевом персонале.
• План аварийного восстановления облака. Облачное аварийное восстановление может варьироваться от процедур резервного копирования файлов в облаке до полной репликации. Облачное аварийное восстановление может быть эффективным с точки зрения пространства, времени и затрат, но для поддержания плана аварийного восстановления требуется надлежащее управление. Менеджер должен знать расположение физических и виртуальных серверов. План должен касаться безопасности, что является распространенной проблемой в облаке, которую можно решить с помощью тестирования.
• План аварийного восстановления центра обработки данных. Этот тип плана ориентирован исключительно на центр обработки данных и инфраструктуру. Оценка операционного риска является ключевой частью DRP центра обработки данных. Он анализирует ключевые компоненты, такие как местоположение здания, системы электропитания и защиты, безопасность и офисные помещения. План должен охватывать широкий спектр возможных сценариев.

Объем и цели планирования аварийного восстановления

Основная цель DRP — свести к минимуму негативное влияние инцидента на бизнес-операции. План аварийного восстановления может варьироваться от базового до всеобъемлющего. Некоторые DRP могут иметь длину до 100 страниц.

Контрольный список плана аварийного восстановления ИТ обычно включает следующее:

• важные системы и сети, которые он охватывает;
• сотрудники, ответственные за эти системы и сети;
• информация о RTO и RPO;
• действия по перезапуску, перенастройке и восстановлению систем и сетей;
• и другие экстренные меры, необходимые в случае непредвиденного инцидента.

Местоположение сайта аварийного восстановления должно быть тщательно продумано в DRP. Расстояние — важный, но часто упускаемый из виду элемент процесса DRP. Внешнее местоположение, близкое к основному центру обработки данных, может показаться идеальным — с точки зрения стоимости, удобства, пропускной способности и тестирования. Тем не менее, отключения сильно различаются по масштабу. Серьезное региональное событие может разрушить основной центр обработки данных и его сайт аварийного восстановления, если они расположены слишком близко друг к другу.

Как построить план аварийного восстановления

Процесс планирования аварийного восстановления включает в себя больше, чем просто написание документа. Перед написанием DRP анализ рисков и анализ влияния на бизнес могут помочь определить, на чем сосредоточить ресурсы в процессе аварийного восстановления.

Контрольный список DRP должен включать следующие шаги:

• установление диапазона или степени необходимого лечения и деятельности -- объем выздоровления;
  сбор соответствующих документов по сетевой инфраструктуре;
• выявление наиболее серьезных угроз и уязвимостей, а также наиболее критичных активов;
• просмотр истории незапланированных инцидентов и отключений, а также способов их устранения;
• определение текущих процедур аварийного восстановления и стратегий аварийного восстановления;
• определение группы реагирования на инциденты;
• рассмотрение и утверждение руководством DRP;
• тестирование плана;
• обновление плана;
• и проведение аудита DRP или BCP.

Планы аварийного восстановления — это живые документы. Вовлечение сотрудников — от руководства до начального уровня — повышает ценность плана.

Еще одним компонентом DRP является план коммуникации. В этой стратегии должно быть подробно описано, как будет осуществляться внутренняя и внешняя кризисная коммуникация. Внутренняя связь включает в себя оповещения, которые можно отправлять по электронной почте, через системы пейджинговой связи, голосовые сообщения и текстовые сообщения на мобильные устройства. Примеры внутренней коммуникации включают в себя инструкции по эвакуации здания и встречи в назначенных местах, обновленную информацию о развитии ситуации и уведомления о безопасном возвращении в здание.

Внешняя связь еще более важна для BCP и включает в себя инструкции о том, как уведомить членов семьи в случае травмы или смерти; как информировать и обновлять ключевых клиентов и заинтересованные стороны о статусе бедствия; и как обсуждать стихийные бедствия со средствами массовой информации.

Образец плана аварийного восстановления

Организация может начать свой DRP со сводки основных действий и списка важной контактной информации. Это делает наиболее важную информацию быстро и легко доступной.

В плане должны быть определены роли и обязанности членов группы аварийного восстановления, а также изложены критерии для запуска плана в действие. План должен подробно определять действия по реагированию на инциденты и восстановлению.

Другие важные элементы шаблона плана аварийного восстановления включают следующее:

• заявление о намерениях и заявление о политике DR;
• планировать цели;
• средства аутентификации, такие как пароли;
• географические риски и факторы;
• советы по работе со СМИ;
• финансовая и юридическая информация и действия;
• и история плана.

Тестирование плана аварийного восстановления

DRP подтверждаются тестированием для выявления недостатков и предоставления возможностей для устранения проблем до того, как произойдет авария. Тестирование может предоставить доказательства того, что план реагирования на чрезвычайные ситуации эффективен и соответствует RPO и RTO. Поскольку ИТ-системы и технологии постоянно меняются, тестирование аварийного восстановления также помогает обеспечить актуальность плана аварийного восстановления.

Тестирование аварийного восстановления различается по сложности. При обзоре плана подробное обсуждение DRP позволяет выявить недостающие элементы и несоответствия. В настольном тесте участники шаг за шагом выполняют запланированные действия, чтобы продемонстрировать, знают ли члены группы аварийного восстановления свои обязанности в чрезвычайной ситуации. В имитационном тесте используются такие ресурсы, как сайты восстановления и системы резервного копирования, что, по сути, является полномасштабным тестом без фактического аварийного переключения.

Причины отказа от тестирования DRP включают бюджетные ограничения, нехватку ресурсов и отсутствие одобрения руководства. Тестирование аварийного восстановления требует времени, ресурсов и планирования. Это также может быть рискованно, если в тесте используются живые данные.

План управления инцидентами и план аварийного восстановления

План управления инцидентами (IMP) — или план реагирования на инциденты — также должен быть включен в DRP; вместе они создают комплексную стратегию защиты данных. Цель обоих планов — свести к минимуму влияние неожиданного инцидента, восстановиться после него и как можно быстрее вернуть организацию к нормальному уровню производительности. Однако IMP и DRP — это не одно и то же.

Основное различие между планом управления инцидентами и планом аварийного восстановления заключается в их основных целях. IMP фокусируется на защите конфиденциальных данных во время события и определяет объем действий, которые необходимо предпринять во время инцидента, включая конкретные роли и обязанности группы реагирования на инциденты.

Напротив, DRP фокусируется на определении целей восстановления и шагов, которые необходимо предпринять, чтобы вернуть организацию в рабочее состояние после возникновения инцидента.