висимости от необходимости, а не по жесткому графику. Поэтому последним шагом в процессе послеаварийного восстановления должна быть настройка расписания обновления. В этом графике также должны быть предусмотрены обновления, чтобы выполнять их, когда это необходимо.

Вызовы

Естьмноговызовов,скоторымисталкиваютсяприподготовкепланапослеава- рийного восстановления.Одним из них является отсутствие одобрения со сто- роны высшего руководства. Планирование послеаварийного восстановления воспринимается как простая тренировка для ложного события,которое может никогда не произойти (3).

Поэтому высшее руководство может не отдавать предпочтение разработке такого плана,атакже можетне одобритьамбициозный план,который кажется дорогим. Еще одной проблемой является ограничение по допустимому вре-

мени восстановления (recoverytimeobjective–RTO),скоторымсталкиваются команды послеаварийного восстановления. Допустимое время восстановле- ния является ключевым определяющим фактором максимально допустимо- го времени простоя для организации. Временами команде послеаварийного восстановлениясложнопридуматьэкономическиэффективныйпланврамках допустимого времени восстановления. Наконец, существует проблема уста- ревших планов. IT-инфраструктура динамически меняется в своих попытках противостоять угрозам, с которыми она сталкивается. Поэтому очень важно актуализировать план послеаварийного восстановления, но некоторые ор- ганизации этого не делают. Устаревшие планы могут быть неэффективными и неспособными восстановитьдеятельность организации в случае аварий,вы- званных новыми векторами угроз.

Восстановление без перерыва в обслуживании

Бываютситуации,когдаавариявлияетнасистему,котораявсеещеиспользует- ся. Традиционные механизмы восстановления означают, что уязвимая систе- мадолжнабытьпереведенававтономныйрежим,восстановленаизрезервных копий, а затем снова переведена в режим онлайн. Есть организации с систе- мами, которые не могут позволить себе роскошь быть отключенными, чтобы выполнить процесс восстановления. Существуют и другие системы, которые структурно построены таким образом, что их нельзя отключить с целью­вос- становления. В обоих случаях необходимо выполнить восстановление без пе- рерыва в обслуживании. Можно это сделать двумя способами. Первый способ включает в себя установку чистой системы с правильными конфигурациями инеповрежденнымифайламирезервныхкопийповерхнеисправнойсистемы. Конечным результатом является то,что от неисправной системы избавляются вместе с ее файлами, а новая система вступает в действие.

рументы восстановления данных используются в системе, которая все еще включена.Инструментывосстановлениямогутзапускатьобновлениевсехсу- ществующих конфигураций, чтобы изменить их на правильные. Также мож- но заменить неисправные файлы недавними резервными копиями.Этоттип восстановления используется при наличии ценных данных, которые долж- ны быть восстановлены в существующей системе. Это позволяет изменять систему, не затрагивая нижележащие файлы, а также разрешает выполнять восстановление сервиса, не прибегая к полному восстановлению системы. Хороший пример – восстановление Windows с использованием Linux live CD. Live CD может выполнять множество процессов восстановления, тем самым избавляя пользователя от необходимости устанавливать новую версию Win- dows, теряя все существующие программы (4). Например, live CD можно ис- пользоватьдля сброса или изменения пароля на компьютере с Windows.Ути- лита Linux,используемаядля сброса или изменения паролей,носитназвание chntpw.Злоумышленнику не нужны для этого привилегии суперпользователя. Пользовательдолжен загрузитькомпьютер с Windows с Ubuntu live CD и уста- новить chntpw (4). Live CD обнаружит диски на компьютере, и пользовате- лю просто нужно будет идентифицировать тот, который содержит установку

Windows.

Располагая этой информацией, пользователь должен ввести в терминале следующие команды:

cd/media ls

cd <hdd or ssd label>

cd windows/system32/config

Это каталог, который содержит конфигурации Windows:

sudo chntpw sam

В предыдущей команде sam – это файл конфигурации, содержащий реестр

Windows (4).

После открытия в терминале появится список, показывающий все учетные записи пользователей на ПК, и приглашение для редактирования пользовате- лей. Есть два варианта: очистка пароля или сброс старого пароля.

Команда для сброса пароля в терминале может выглядетьтак:

sudo chntpw -u <user> SAM

Как упоминалось в ранее рассмотренном примере, когда пользователи не могут вспомнить свои пароли Windows, они могут восстановить свои учет- ные записи, используя live CD, не ломая работающую инсталляцию Windows. Существует­ множество других процессов быстрого восстановления систем, и у всех них есть некоторое сходство. Существующая система никогда не сти- рается полностью.

Организации должны защищать свои сети и IT-инфраструктуру от полного от- каза. Планирование на случай непредвиденных обстоятельств – это процесс принятия временных мер для обеспечения быстрого восстановления после сбоевивтожевремяограничениястепениущерба,вызванногосбоями(5).Это причина, почему планирование на случай непредвиденных обстоятельств яв- ляется важной ответственностью,которуюдолжны братьна себя организации. Процесс планирования включает в себя выявление рисков, которым подвер- жена IT-инфраструктура, и последующую разработку стратегий исправления, позволяющих значительно снизить влияние рисков. Существует множество рисков, с которыми сталкиваются организации: начиная от стихийных бед- ствий и заканчивая неосторожными действиями пользователей. Последствия, которыемогутбытьвызваныэтимирисками,варьируютсяотлегких,такихкак отказы дисков,до серьезных,таких как физическое разрушение фермы серве- ров. Даже при условии того, что организации, как правило, выделяют ресурсы на предотвращение возникновения таких рисков, невозможно устранить их все (5). Одна из причин, по которой их нельзя устранить, заключается в том, что организации зависят от многих критически важных ресурсов, находящих- ся вне их контроля, таких как телекоммуникации. Другие причины включают в себя продвижение угроз и неконтролируемые действия внутренних пользо- вателей из-за халатности или злого умысла.

Поэтому организации должны прийти к осознанию того, что однажды они могут проснуться и стать свидетелями катастрофы, которая нанесла серьез- ный ущерб. У них должен быть надежный план действий на случай непред- виденных обстоятельств,включая проверенные планы выполнения и графики своевременной актуализации этих планов.Чтобы пландействий на случай не- предвиденных обстоятельств был эффективным, организации должны гаран- тировать, что:

они понимаютинтеграцию между планомдействий в чрезвычайных си- туациях и другими планами обеспечения непрерывности бизнеса;

они тщательно разрабатывают планы действий на случай непредвиден- ных обстоятельств и обращают внимание на выбранные ими стратегии восстановления, а также допустимое время восстановления;

они разрабатывают планы действий в чрезвычайных ситуациях, уделяя особое внимание упражнениям,тренировкам и обновлению задач.

План действий в чрезвычайных ситуациях должен охватывать следующие IT-платформы и предоставлять адекватные стратегии и методы их восстанов- ления:

рабочие станции, ноутбуки и смартфоны;серверы;сайты;интранет;

рые они предлагают (6).

Исходя из этой информации, организация может определить индивидуаль- ные последствия нарушения работы каждой системы. Такой анализ должен проводиться в три этапа, как показано на рис. 14.2.

Определение ключевых IT-ресурсов

Определение

последствий

разрушения

Рис.14.2

Определение критических IT-ресурсов  Хотя иногда IT-инфраструктура может быть сложной и содержащей множество компонентов, только некоторые из них имеют решающее значение. Это ресурсы, которые поддерживают основ- ные бизнес-процессы, такие как обработка платежной ведомости, обработка транзакций или оформление заказа в интернет-магазине.Критически важны- ми ресурсами являются серверы,сеть и каналы связи.Однако на разных пред- приятиях могут быть свои важные ресурсы.

Выявление последствий нарушения  Для каждого из идентифицированных критических ресурсов предприятие должно определить допустимое время простоя.Максимально допустимое время простоя–это период недоступности ресурса, в течение которого предприятие не будет испытывать серьезных по- следствий (6). У разных организаций будет разное максимально допустимое время простоя в зависимости от их основных бизнес-процессов. Например, у интернет-магазина максимально допустимое время простоя сети меньше, чем в обрабатывающей промышленности. Организация должна внимательно наблюдатьзасвоимиключевымипроцессамиисоставлятьоценкимаксималь-

ными, не оказывая неблагоприятных последствий. Наилучшие оценки време- ни простоя должны быть получены путем уравновешивания стоимости сбоев и стоимости восстановления IT-ресурса.

Разработка приоритетов восстановления  Исходя из информации, которую ор-

ганизация получила на предыдущем этапе, она должна определить приорите- ты ресурсов,которыедолжны бытьвосстановлены первыми.Наиболее важные ресурсы, такие как каналы связи и сеть, почти всегда являются приоритетны- ми.Темнеменееэтовсеещезависитотхарактераорганизации.Некоторыеор- ганизации могут даже отдать приоритет восстановлению производственных линий, а не сети.

Определение средств профилактического контроля

После проведения анализа последствий для деятельности организация полу- читжизненно важную информацию о своих системах итребованиях по их вос- становлению. Некоторые эффекты, выявленные в ходе анализа, можно ней- трализоватьспомощьюпрофилактическихмер.Этомеры,которыемогутбыть созданы для обнаружения, сдерживания или уменьшения воздействия сбоев в системе. Если превентивные меры осуществимы и в то же время не очень затратны, следует принять их для оказания помощи в восстановлении систе- мы. Однако иногда использование превентивных мер для всех типов сбоев, которые могут произойти, может быть довольно затратным делом. Существу- ет очень широкий спектр профилактических средств управления, начиная со средств, которые предотвращают перебои в подаче электроэнергии, и закан- чивая теми, что предотвращают возгорание.

Разработка стратегий восстановления

Это стратегии, которые будут использоваться для быстрого и эффективного восстановления IT-инфраструктуры после того, как произошел сбой. Страте- гии восстановления должны быть разработаны с акцентом на информацию, полученную в ходе анализа последствий для деятельности. При выборе между альтернативными стратегиями, такими как затраты, безопасность, совмести- мость в рамках всего сайта и допустимое время восстановления организации (7), нужно учитывать ряд моментов.

Стратегии восстановления также должны состоять из сочетания методов, дополняющих друг друга и охватывающих весь ландшафт угроз, с которыми сталкивается организация.

Ниже приведены наиболее часто используемые методы восстановления.

Резервные копии  Время от времени данные, содержащиеся в системах, долж- ны быть скопированы. Интервалы резервного копирования, однако, должны быть достаточно короткими, чтобы собрать достаточно свежие данные (7). В случае аварии, которая приводит к потере систем и данных в них, организа- ция может легко восстановиться. Она может переустановить систему, а затем

создавать и внедрять политики резервного копирования. Они, по крайней мере, должны охватывать места хранения резервных копий, соглашения об именах резервных копий, частоту выполнения и способы передачи данных на резервные сайты.

Рисунок 14.3 иллюстрирует полный процесс резервного копирования.

Базы данных

Сервис облачного резервного копирования

Облачное резервное копирование

Корпоративный сервер

Дата-центр

Локальное резервное копирование

Рабочие станции

Рис.14.3

Облачные резервные копии имеютпреимущество в стоимости,надежности, доступности и размере. Поскольку организация не покупает оборудование и не покрывает расходы на обслуживание облачных серверов, это обходится дешевле. Так как облачные резервные копии всегда в сети, они более надеж- ны и доступны по сравнению с резервными копиями на внешних устройствах хранения. Наконец, гибкость аренды, когда можно арендовать столько места, сколько нужно,дает преимущество в емкости хранилища,которая растет в со- ответствии со спросом. Два основных недостатка облачных вычислений – это конфиденциальность и безопасность.

Альтернативные резервные узлы  Есть некоторые сбои, которые имеют долго- срочные последствия. Это заставляет организацию закрывать операции на текущей инфраструктуре на долгий период времени. План действий в чрез-