Что случится, если в файловое хранилище проникнет вирус или корпоративная сеть будет подвержена хакерской атаке? А если серверную зальет водой или в помещение с оборудованием ударит молния? Или произойдет сбой в системе питания? Можно попытаться спасти имущество, но что делать с информацией, которая порой дороже любых денег? Если вы не позаботились об ее экстренном восстановлении заранее, остается только считать убытки. А вот, если имеете под рукой актуальный план восстановления, вы спасены.

От BCP до DRP

С повсеместным развитием бизнеса стало понятно, что для дальнейшего роста одних лишь финансовых вложений недостаточно. Прогрессивные компании быстро смекнули, что нужно не только вкладываться в дело сейчас, но и прогнозировать динамику в обозримом будущем. Со временем эти догадки переросли в концепцию беспрерывного бизнеса (Business Continuity), которая гласит: что бы ни случилось, бизнес-процессы не должны останавливаться. Если ты не прогрессируешь, значит, деградируешь. Понятно, что в критической ситуации можно растеряться и наломать дров, поэтому появился отдельный документ BCR (Business Continuity Plan), объясняющий, что делать, чтобы внешние обстоятельства не повлияли на течение бизнес-процессов или повлияли с минимальным уроном. Казалось бы, выход найден: если что-то случиться, можно найти подсказку в BCP. Да, но не совсем. Все современные компании так или иначе «завязаны» на IT, а вот эта сфера в BCP представлена лишь в виде поверхностных рекомендаций. Что же делать? Правильно – создать отдельный документ, описывающий необходимые действия при нарушениях в работе IT-инфраструктуры. Это и есть DRP, он же Disaster Recovery Plan, он же план аварийного восстановления.

Многие ошибочно полагают, что DRP и BCP – это одно и то же. Но такое мнение в корне неверно. DRP можно назвать детализированным BCP для IT. А по факту, это четкое и последовательное описание действий сотрудников в аварийных ситуациях (то есть тех, когда оборудование и/или программное обеспечение неисправно на протяжении длительного периода времени). Что дает DRP?

• четко объясняет, кому, что и как делать при конкретных аварийных ситуациях (будь то утечка информации, неисправность кабеля или возгорание сервера);
• позволяет вернуть контроль над критически важными процессами и быстро восстановить систему;
• минимизирует урон и последствия аварии.

DRP – документ исключительной важности. Его обязательно используют во всех банках и других финансовых предприятиях, а также высокотехнологических компаниях непрерывного цикла (в том числе атомных электростанциях).

КАК СОЗДАЮТ DRP

Все IT-системы разные, поэтому и DRP универсальным быть не может – план восстановления пишется для каждой компании индивидуально. Как правило, его создают в несколько этапов:

1. Аудит системы. Прежде, чем предписывать меры поведения в случае аварии, нужно установить, какие именно сбои и по каким причинам могут возникнуть в принципе, как они повлияют на бизнес-процессы и с какими рисками связаны. Проще говоря, нужно обнаружить слабые места системы. Если их можно устранить – нужно устранять, если нет – обязательно обозначить в плане восстановления.
2. Разработка плана. На этом этапе создаются практические указания по поведению в экстренных случаях для всех (!) сотрудников предприятия.
3. Тестирование. Прежде чем запускать такой важный план, его нужно проверить в актуальных («аварийных») условиях – этим занимаются IT-специалисты.
4. Внедрение. Наконец план окончательно документируют и доносят до сведения сотрудников компании.

План аварийного восстановления зависит от специфики деятельности компании, степени зависимости бизнес-процессов от IT и величины рисков, связанных с нарушениями в работе информационной системы. Но здесь важен еще один нюанс: если для крупных компаний, полностью «завязанных» на IT, аварии чреваты простоем и бешенными неустойками, то на кону у более мелких игроков – их существование на рынке вообще.

Поэтому DRP нужен всем и всегда – это единственный способ поставить запятую сразу после слова «восстановить».