Каждому знакома такая ситуация: секретарь-референт ищет презентацию, за день до этого подготовленную для встречи с клиентами, но отыскать почему-то не может. Для создания нового варианта не хватает нужных данных и, главное, времени. Если на предприятии не существует четко разработанного аварийного плана, то происходит примерно следующее: в отчаянии сотрудница звонит администратору, но узнает, что он в отпуске. Драгоценное время уходит, однако ей наконец-то удается связаться с кем-то из технического отдела, только чтобы узнать, что этот сотрудник лишь поверхностно знаком с системой резервного копирования данных и еще ни разу не проводил аварийное восстановление. Пока он разберется во всем и отыщет нужный файл, пройдет полдня, и важная встреча будет сорвана.

При наличии правильно составленного аварийного плана секретарь точно знала бы, кто является ответственным в такой ситуации или выполняет соответствующие обязанности в его отсутствие, и немедленно связалась бы с этим человеком. Сотрудник, хорошо знающий систему, произвел бы резервное восстановление презентации достаточно быстро, и встреча с клиентами прошла бы как планировалось.

Тщательно разработанный аварийный план крайне необходим и в случае полной потери всех электронных данных. Оперативное восстановление, а следовательно, и быстрое возвращение к текущей деятельности, могут оказать решающее влияние на дальнейшее существо-вание предприятия. Поэтому аварийный план — обязательный элемент любой хорошей концепции безопасности ИТ. При его разработке главным оказывается вопрос о важности электронных данных для предприятия. При составлении плана надо подумать о следующем:

  • с какой целью предприятие использует электронные данные? Когда они должны быть представлены?
  • как повлияет на деловой процесс недоступность данных в течение одного дня или их полная утеря?

Обязательно следует рассмотреть ниже следующие моменты (см. также врезку «Что входит в правильное планирование резервного копирования и аварийного восстановления?»). Так, необходимо определить круг задействованных лиц. Особенно важно назначить ответственного за принятие мер в аварийной ситуации и его заместителя. По возможности, к планированию следует привлечь кого-то из менеджеров, чтобы он мог оказать помощь в случае непредвиденных обстоятельств. Важно ознакомить сотрудников с аварийным планом и регулярно проводить обучение. Кроме того, нужно решить, каким образом надо оповещать о возникновении аварийной ситуации и кого именно.

Аварийный план должен быть понятным и доступным для тех сотрудников, работа которых зависит от электронных данных. На случай полного сбоя или катастрофы план следует хранить не только в распечатанном виде в рабочем помещении, но и в удаленном, безопасном месте.

В зависимости от сферы деятельности предприятия и значения электронных данных для его функционирования следует решить вопрос
о том, нужно ли моментально реагировать на потерю данных, произошедшую в нерабочее время, или достаточно осуществить аварийное восстановление в начале рабочего дня. От ответа будет зависеть, создавать ли организации собственную службу быстрого реагирования. Кроме того, необходимо выяснить, какие данные настолько важны, что их нужно сразу же восстановить, а какими можно заняться позже. Аварийный план должен содержать следующую информацию:

  • телефоны и адреса людей, оповещаемых об аварии;
  • сведения об ответственном лице и его заместителе, например об ответственном за энергоснабжение;
  • данные о резервном ЦОД (если таковой имеется);
  • сведения о компаниях по обслуживанию ИТ, с которыми заключены договоры о технической поддержке;
  • адресный перечень производителей и поставщиков программного и аппаратного обеспечения.

Рисунок 1. Без планирования и тренировки даже самые простые действия в аварийной ситуации могут оказаться ошибочными. Для каждого этапа указания о действиях четко формулируются и классифицируются по степени важности данных и масштаба ущерба (к примеру, утрата одиночного файла, полная утрата или ошибка целой системы). Необходимо внести в документ не только указания для сотрудников, но и руководство к действиям для ответственных лиц. Крайне важно, чтобы подробная документация существовала и для аварийного восстановления. Эта документация должна содержать пошаговые инструкции для аварийного восстановления и составляться таким образом, чтобы с данной операцией мог справиться и посторонний человек, разбирающийся в ИТ (см. Рисунок 1).

Необходимо точно установить, где хранятся резервные копии и как получить доступ к ним. Поскольку в документации содержатся конфиденциальные данные, доступ к ней должны иметь только уполномоченные лица. При обновлении системы резервного копирования, замене ответственных лиц или любых других корректировках необходимо издать новый вариант документации и аварийных указаний. Сотрудники должны быть в курсе всех изменений. Действия в аварийной ситуации необходимо описывать короткими, емкими, четкими и понятными фразами. Для облегчения понимания можно использовать графические изображения.

Не реже одного раза в год следует проводить учебные тренировки с использованием аварийного плана, причем задействовать всех сотрудников и ответственных лиц, чтобы отработать правильное поведение в критической ситуации. Имеет смысл назначить человека, отвечающего за эти тренировки и контролирующего их. При сбоях или выявлении недочетов в аварийном плане он может инициировать внесение соответствующих изменений.

После полного аварийного восстановления нужно проверить, дейс-твительно ли все данные имеются в наличии. В зависимости от системы и важности информации, при полной утрате часто восстанавливают не все файлы и иногда забывают об этом. На последующих резервных копиях потерянные данные уже не содержатся, поэтому существует риск, что они будут удалены активной системой сохранения данных (Retention Policy).

Любой аварийный план предполагает создание надлежащих резервных копий. Между методами резервного копирования также существует ряд различий (см. врезку «Различные методы аварийного восстановления»). Прежде всего, следует уяснить основные преимущества и недостатки внутрикорпоративного сохранения на магнитные ленты по сравнению с удаленным резервным копированием. Многие компании хранят свои массивы данных на лентах, но такой способ имеет ряд недостатков. У лент существует определенный срок службы, их можно перезаписывать ограниченное количество раз. Они довольно дороги, поэтому предприятия обновляют их нечасто. В результате увеличивается риск того, что когда-нибудь ленты не удастся прочитать из-за дефектов и износа. Кроме того, резервное копирование весьма трудоемко: ленты приходится устанавливать в специальный механизм, а система нуждается в управлении и регулярном техническом обслуживании. Магнитные ленты необходимо периодически проверять на предмет их функционирования, но времени и ресурсов предприятиям часто не хватает.

Ленты с резервными копиями, считывающее устройство, а также программное обеспечение, включая лицензионные ключи и файлы-каталоги, надо хранить отдельно от системы. Кроме того, носители резервных копий должны быть защищены от возможного доступа со стороны третьих лиц.

Альтернативой традиционному сохранению на ленты выступает удаленное резервное копирование, когда данные шифруются еще до передачи, затем отправляются по Internet в удаленный ЦОД и там сохраняются. Такой метод имеет несколько преимуществ: затраты времени на правильное сохранение существенно сокращаются, а сам процесс резервного копирования осуществляется полностью автоматически в фоновом режиме. Нет необходимости в обслуживании системы и обременительной замене лент. Кроме того, не нужно приобретать какие-либо носители для данных. Проблема хранения резервных копий также отпадает, поскольку данные всегда хранятся отдельно от системы в ЦОД провайдера услуг по резервному копированию. При удаленном резервном копировании предприятие, как правило, само может определять интервалы между сохранением данных. Возможно даже постоянное сохранение (Continuous Data Protection, CDP), осуществляемое при любом изменении документов и файлов. В скобках заметим, что на магнитные ленты данные переносятся даже не каждый день.

При выборе системы резервного копирования важную роль играют соображения безопасности, прежде всего, в отношении передачи данных. Но опасностей со стороны сети (вроде атак хакеров) стоит опасаться меньше всего, если при выборе провайдера учесть несколько показателей качества. Важно, чтобы сохраняемые данные шифровались локально еще до их передачи и хранились на целевой системе в зашифрованном виде. Следует обратить внимание и на то, чтобы пользователь сам генерировал свой ключ. Таким образом, только он сможет читать сохраненные данные. При удаленном резервном копировании важно, чтобы ключ хранился в надежном месте и был защищен от доступа третьих лиц.

Гунтер Пиппер и Станислав Панов — руководители компании Netcos. Татьяна Шетц — независимая журналистка.


© AWi Verlag


Что входит в правильное планирование резервного копирования и аварийного восстановления?

Условие: функционирующая система резервного копирования данных, регулярное и надежное их сохранение, а также регулируемое хранение носителей сохраненных копий.

  • Назначение ответственного лица, его заместителя и уполномоченных лиц.
  • Разработка правил замещения, при необходимости — плана оперативного реагирования.
  • Разработка правил уведомления.
  • Исчерпывающий список адресов и контактной информации.
  • Определение возможных аварийных ситуаций.
  • Общие правила поведения в аварийной ситуации.
  • Детализированное руководство к действию для четко указанных аварийных ситуаций.
  • Оценка важности определенных данных.
  • Перечень требований доступности определенных файлов.
  • В концепции резервного копирования и плане аварийного восстановления не следует забывать об «островах» ИТ.
  • Подробная документация процесса восстановления.
  • Концепция хранения документации и руководства к действиям в аварийных ситуациях.
  • Регулярное тестирование.
  • Обучение сотрудников и их вовлеченность в проблему.
  • Проверка целостности данных после полного восстановления.

Различные методы аварийного восстановления

Аварийное восстановление файла при традиционном сохранении на магнитные ленты:

  • с помощью файла-каталога определяется лента, на которой хранится нужный файл;
  • лента предоставляется либо вручную, либо через библиотеку;
  • условие: лента и привод работоспособны, резервное копирование произведено;
  • на ленте ищется нужный файл; необходимо считать всю ленту до этого файла;
  • файл восстанавливается.

Аварийное восстановление файла при удаленном резервном копировании:

  • клиент резервного копирования устанавливает соединение с провайдером услуги;
  • программный помощник аварийного восстановления на клиенте определяет файл, который нужно восстановить;
  • предоставляется прямой доступ ко всем версиям этого файла;
  • файл восстанавливается;
  • скорость аварийного восстановления ограничивается лишь пропускной способностью имеющегося соединения Internet.