Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)

Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»

CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2020

План действий по обеспечению непрерывности и восстановлению деятельности (ОНиВД) инфраструктуры компании = Business Continuity Planning (BCP) + Disaster Recovery Planning (DRP) = Business Continuity Management (управление непрерывностью бизнеса).

Источники угроз: человеческий, техногенный, природный фактор.

Рассматриваем события: аварии, стихийные бедствия, катастрофы, атаки, беспорядки, коллапсы, эпидемии и т.д.

До события: Обеспечение непрерывности деятельности (Business Continuity)

После события: Восстановление работоспособности (Disaster Recovery)

Документы:

• ISO 22301:2019 = ГОСТ Р ИСО 22301-2014 «Системы менеджмента непрерывности бизнеса. Общие требования»

• ISO/IEC 27031:2011 = ГОСТ Р ИСО/МЭК 27031-2012 «Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса»

• NIST SP 800-34 «Руководство по планированию непрерывности»

• Указание ЦБ РФ от 5 марта 2009 г. № 2194-У, в котором прописано требование о необходимости обеспечения непрерывности деятельности и (или) восстановления деятельности кредитной организации на случай непредвиденных обстоятельств.
  

Типы нарушений работоспособности инфраструктуры (по уровню воздействия):

• Авария: проблемы с ПО или АО

• Бедствие: здание недоступно некоторое время

• Катастрофа: здание разрушено.
  

Для аварий важны параметры оборудования:

• MTBF (mean time between failures, среднее время наработки на отказ)

• MTTR (mean time to repair, среднее время восстановления).
  

Для бедствий и катастроф важны параметры систем восстановления:

• RTO (recovery time objective) – время восстановления данных и элементов инфраструктуры из резервной копии, резервного ЦОД, резервной площадки

• RPO (recovery point objective) – целевая дата, на которую можно восстановить данные

• ADT (acceptable downtime) – время ожидания до начала действий по Плану ОНиВД

• WRT (work recovery time) – временные затраты на тестирование и подготовку к включению систем после восстановления инфраструктуры

• MTD (maximum tolerable downtime) – время, за которое бизнес-процессы вернутся к нормальному докризисному уровню. MTD рассчитывается для каждой бизнес-функции, операции, актива. MTD=RTO+WRT

RPO (recovery point objective) – на какую дату сможем восстановить данные, т.е. сколько данных потеряем.

RTO (recovery time objective) – за какое время после события восстановим данные из бекапа.

Типы резервных площадок, которые можно взять в аренду:

• «Горячий сайт» (Hot site) – предоставление наших резервных копий, оборудования и ПО; время готовности для начала работы на нем – немедленно

• «Теплый сайт» (Warm site) – есть СКС, электроэнергия, но нет дорогого оборудования (сеть, сервера); время готовности – примерно 12 часов

• «Холодный сайт» (Cold site) – только помещение; время готовности – примерно 1 неделя.
  

Взаимное соглашение (Reciprocal agreement) – заблаговременная договоренность с владельцем какого-либо офиса о возможности временного переезда туда в случае наступления события.

Избыточный/резервный сайт (Redundant site) – принадлежащая компании точная копия офиса и инфраструктуры, но без сотрудников; такое редко встречается по причине дороговизны.

Свойства систем:

• Отказоустойчивость (Fault tolerance) – возможность системы самовосстановиться после ошибки

• Высокая доступность (Failover / High Availability) – если одна система выходит из строя, вторая немедленно продолжает бизнес-процесс

• Избыточность (Redundancy) – физическое дублирование оборудования, сетей.
  

Типы резервных копий (бекапов):

Полный (Full) бекап: резервная копия всех данных. Занимает много места, делается долго, быстрое восстановление, самый надежный способ.

Дифференциальный (Differential, разностный) бекап: резервная копия всех данных, созданных или измененных с момента последнего полного бекапа. Для восстановления данных нужна полная копия + сам дифференциальный бекап. Занимает мало места (т.к. хранится только последняя копия), делается долго (т.к. нужно записать все изменения с момента последнего полного бекапа), быстрое восстановление. Нет возможности откатиться на произвольную точку в прошлом, можно вернуться только на дату, когда был сделан последний разностный бекап (это плохо в случае вирусного заражения).

Инкрементальный (Incremental) бекап: резервная копия данных, измененных с момента предыдущего инкрементального бекапа. Для восстановления данных нужна полная копия + все промежуточные инкрементальные бекапы. Занимает много места (т.к. нужно хранить все промежуточные копии), делается быстро, долгое восстановление (т.к. нужно собрать вместе полную копию и всю цепочку предыдущих инкрементальных бекапов). Есть возможность откатиться на произвольную точку в прошлом.

Рекомендации по резервному копированию:

Не забывать шифровать резервные копии вне зависимости от типа носителя (ленты, диски, съемные накопители), сжимать данные для ускорения и экономии места, проверять целостность бекапов и возможность восстановиться с них.

Регламенты резервного копирования должны включать: установленный срок хранения данных (retention period), приоритизацию данных для бекапа, тестирование процесса восстановления, учет носителей, резервирование бизнес-данных и инфраструктурных файлов/конфигов (БД контроллера домена – файл NTDS.dit – занимает порядка 500 Мб, текстовые конфиги сетевых устройств – 1-10 Мб).

Правило резервного копирования «3-2-1»:

• Создавать минимум 3 копии данных

• Хранить резервные копии на 2 разных носителях (например, лента и диск)

• Хранить 1 резервную копию за пределами площадки.
  

Схема резервного копирования «Дед, отец, сын»:

• Ежемесячные полные резервные копии («дед»), хранятся 1 год, последняя копия в году хранится 5-10-15 лет

• Еженедельные полные резервные копии («отец»), хранятся 1 месяц

• Ежедневные инкрементальные или дифференциальные копии («сын»).
  

Учебные тревоги:

• Чеклисты и тесты «на бумаге»: без воздействия на бизнес-процессы

• Теоретические симуляции: совместная работа проектной команды, без воздействия на бизнес-процессы

• Практические симуляции: возможно воздействие на некритичные бизнес-процессы и подразделения (например, непродолжительное перемещение нескольких отделов на резервную площадку)

• Полномасштабное тестирование: полное перемещение всех подразделений и процессов на резервную площадку.
  

Физическая безопасность

Порядок применения физических мер защиты:

1. Предупредить/напугать (таблички, предупреждения)
2. Предотвратить доступ (закрытые двери, замки)
3. Обнаружить попытки проникновения (датчики, камеры)
4. Задержать/замедлить развитие проникновения до момента прибытия полиции (дополнительные замки, двери, препятствия).

При выборе здания надо учитывать:

1. Ландшафт, окружение, соседние здания
2. Характеристику местоположения (близость пожарных частей и отделов полиции, опасное производство/вокзалы/рынки поблизости)
3. Доступность среды (дороги и трафик, близость транспорта)
4. Природные факторы (вероятность потопов, землетрясений, иных природных катастроф).

Особенности проектирования серверных помещений:

• Одна дверь для входа/выхода; для выхода в случае пожара - еще одна дверь, закрытая по умолчанию, с кнопкой экстренного выхода

• Расположение серверных: дальше от мест массового присутствия сотрудников, лестниц, мест пребывания посторонних (ресепшн, зона погрузки), в самом сердце здания, дальше от стен, по этажности - не слишком высоко и не низко

• Отверстия вентиляции должны быть зарешечены, внутри серверной – воздушное давление (пыль выдувается из серверной)

• Кнопка для обесточивания серверного оборудования должна находиться рядом с выходом на случай пожара

• Огнетушители – газовые, с возможностью находиться персоналу внутри помещения.

• Датчики воды должны располагаться под поднятыми полами (для быстрого обнаружения воды) и в подвесных потолках (для обнаружения протечки сверху)

• Датчики дыма (детектор частиц) и огня (температурные) должны быть видны и их местоположение должно быть задокументировано

• Сигнал тревоги от датчиков должен идти охране

• Желательно, чтобы в серверную приходила своя линия питания (не связанная со зданием)

• Желательно - два или больше поставщика электроэнергии (от разных подстанций)

• Должен быть бекап питания (UPS-аккумуляторы или дизель-генераторы с запасом топлива).