Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2020
План действий по обеспечению непрерывности и восстановлению деятельности (ОНиВД) инфраструктуры компании = Business Continuity Planning (BCP) + Disaster Recovery Planning (DRP) = Business Continuity Management (управление непрерывностью бизнеса).
Источники угроз: человеческий, техногенный, природный фактор.
Рассматриваем события: аварии, стихийные бедствия, катастрофы, атаки, беспорядки, коллапсы, эпидемии и т.д.
До события: Обеспечение непрерывности деятельности (Business Continuity)
После события: Восстановление работоспособности (Disaster Recovery)
Документы:
-
ISO 22301:2019 = ГОСТ Р ИСО 22301-2014 «Системы менеджмента непрерывности бизнеса. Общие требования»
-
ISO/IEC 27031:2011 = ГОСТ Р ИСО/МЭК 27031-2012 «Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса»
-
NIST SP 800-34 «Руководство по планированию непрерывности»
- Указание ЦБ РФ от 5 марта 2009 г. № 2194-У, в котором прописано требование о необходимости обеспечения непрерывности деятельности и (или) восстановления деятельности кредитной организации на случай непредвиденных обстоятельств.
Типы нарушений работоспособности инфраструктуры (по уровню воздействия):
-
Авария: проблемы с ПО или АО
-
Бедствие: здание недоступно некоторое время
- Катастрофа: здание разрушено.
Для аварий важны параметры оборудования:
-
MTBF (mean time between failures, среднее время наработки на отказ)
- MTTR (mean time to repair, среднее время восстановления).
Для бедствий и катастроф важны параметры систем восстановления:
-
RTO (recovery time objective) – время восстановления данных и элементов инфраструктуры из резервной копии, резервного ЦОД, резервной площадки
-
RPO (recovery point objective) – целевая дата, на которую можно восстановить данные
-
ADT (acceptable downtime) – время ожидания до начала действий по Плану ОНиВД
-
WRT (work recovery time) – временные затраты на тестирование и подготовку к включению систем после восстановления инфраструктуры
- MTD (maximum tolerable downtime) – время, за которое бизнес-процессы вернутся к нормальному докризисному уровню. MTD рассчитывается для каждой бизнес-функции, операции, актива. MTD=RTO+WRT
RPO (recovery point objective) – на какую дату сможем восстановить данные, т.е. сколько данных потеряем.
RTO (recovery time objective) – за какое время после события восстановим данные из бекапа.
Типы резервных площадок, которые можно взять в аренду:
-
«Горячий сайт» (Hot site) – предоставление наших резервных копий, оборудования и ПО; время готовности для начала работы на нем – немедленно
-
«Теплый сайт» (Warm site) – есть СКС, электроэнергия, но нет дорогого оборудования (сеть, сервера); время готовности – примерно 12 часов
- «Холодный сайт» (Cold site) – только помещение; время готовности – примерно 1 неделя.
Взаимное соглашение (Reciprocal agreement) – заблаговременная договоренность с владельцем какого-либо офиса о возможности временного переезда туда в случае наступления события.
Избыточный/резервный сайт (Redundant site) – принадлежащая компании точная копия офиса и инфраструктуры, но без сотрудников; такое редко встречается по причине дороговизны.
Свойства систем:
-
Отказоустойчивость (Fault tolerance) – возможность системы самовосстановиться после ошибки
-
Высокая доступность (Failover / High Availability) – если одна система выходит из строя, вторая немедленно продолжает бизнес-процесс
- Избыточность (Redundancy) – физическое дублирование оборудования, сетей.
Типы резервных копий (бекапов):
Полный (Full) бекап: резервная копия всех данных. Занимает много места, делается долго, быстрое восстановление, самый надежный способ.
Дифференциальный (Differential, разностный) бекап: резервная копия всех данных, созданных или измененных с момента последнего полного бекапа. Для восстановления данных нужна полная копия + сам дифференциальный бекап. Занимает мало места (т.к. хранится только последняя копия), делается долго (т.к. нужно записать все изменения с момента последнего полного бекапа), быстрое восстановление. Нет возможности откатиться на произвольную точку в прошлом, можно вернуться только на дату, когда был сделан последний разностный бекап (это плохо в случае вирусного заражения).
Инкрементальный (Incremental) бекап: резервная копия данных, измененных с момента предыдущего инкрементального бекапа. Для восстановления данных нужна полная копия + все промежуточные инкрементальные бекапы. Занимает много места (т.к. нужно хранить все промежуточные копии), делается быстро, долгое восстановление (т.к. нужно собрать вместе полную копию и всю цепочку предыдущих инкрементальных бекапов). Есть возможность откатиться на произвольную точку в прошлом.
Рекомендации по резервному копированию:
Не забывать шифровать резервные копии вне зависимости от типа носителя (ленты, диски, съемные накопители), сжимать данные для ускорения и экономии места, проверять целостность бекапов и возможность восстановиться с них.
Регламенты резервного копирования должны включать: установленный срок хранения данных (retention period), приоритизацию данных для бекапа, тестирование процесса восстановления, учет носителей, резервирование бизнес-данных и инфраструктурных файлов/конфигов (БД контроллера домена – файл NTDS.dit – занимает порядка 500 Мб, текстовые конфиги сетевых устройств – 1-10 Мб).
Правило резервного копирования «3-2-1»:
-
Создавать минимум 3 копии данных
-
Хранить резервные копии на 2 разных носителях (например, лента и диск)
- Хранить 1 резервную копию за пределами площадки.
Схема резервного копирования «Дед, отец, сын»:
-
Ежемесячные полные резервные копии («дед»), хранятся 1 год, последняя копия в году хранится 5-10-15 лет
-
Еженедельные полные резервные копии («отец»), хранятся 1 месяц
- Ежедневные инкрементальные или дифференциальные копии («сын»).
Учебные тревоги:
-
Чеклисты и тесты «на бумаге»: без воздействия на бизнес-процессы
-
Теоретические симуляции: совместная работа проектной команды, без воздействия на бизнес-процессы
-
Практические симуляции: возможно воздействие на некритичные бизнес-процессы и подразделения (например, непродолжительное перемещение нескольких отделов на резервную площадку)
- Полномасштабное тестирование: полное перемещение всех подразделений и процессов на резервную площадку.
Физическая безопасность
Порядок применения физических мер защиты:
- Предупредить/напугать (таблички, предупреждения)
- Предотвратить доступ (закрытые двери, замки)
- Обнаружить попытки проникновения (датчики, камеры)
- Задержать/замедлить развитие проникновения до момента прибытия полиции (дополнительные замки, двери, препятствия).
При выборе здания надо учитывать:
- Ландшафт, окружение, соседние здания
- Характеристику местоположения (близость пожарных частей и отделов полиции, опасное производство/вокзалы/рынки поблизости)
- Доступность среды (дороги и трафик, близость транспорта)
- Природные факторы (вероятность потопов, землетрясений, иных природных катастроф).
Особенности проектирования серверных помещений:
-
Одна дверь для входа/выхода; для выхода в случае пожара - еще одна дверь, закрытая по умолчанию, с кнопкой экстренного выхода
-
Расположение серверных: дальше от мест массового присутствия сотрудников, лестниц, мест пребывания посторонних (ресепшн, зона погрузки), в самом сердце здания, дальше от стен, по этажности - не слишком высоко и не низко
-
Отверстия вентиляции должны быть зарешечены, внутри серверной – воздушное давление (пыль выдувается из серверной)
-
Кнопка для обесточивания серверного оборудования должна находиться рядом с выходом на случай пожара
-
Огнетушители – газовые, с возможностью находиться персоналу внутри помещения.
-
Датчики воды должны располагаться под поднятыми полами (для быстрого обнаружения воды) и в подвесных потолках (для обнаружения протечки сверху)
-
Датчики дыма (детектор частиц) и огня (температурные) должны быть видны и их местоположение должно быть задокументировано
-
Сигнал тревоги от датчиков должен идти охране
-
Желательно, чтобы в серверную приходила своя линия питания (не связанная со зданием)
-
Желательно - два или больше поставщика электроэнергии (от разных подстанций)
-
Должен быть бекап питания (UPS-аккумуляторы или дизель-генераторы с запасом топлива).