«Большинство воспринимает доступность как нечто про «не падать». На деле это свод инженерных и процессных решений, которые превращают сырой ИТ-ландшафт в предсказуемую систему. Требования ФСТЭК — не просто список, а карта зависимостей: если пропустишь один слой, следующий становится бесполезным.»
Смысл доступности в контексте защиты персональных данных
Доступность — это гарантия того, что авторизованные пользователи получат доступ к персональным данным тогда, когда это необходимо для штатного течения бизнес-процессов. В приказе ФСТЭК России №21 она закреплена как одна из трех базовых характеристик безопасности наряду с конфиденциальностью и целостностью. Нарушение доступности, будь то длительный простой системы или потеря данных, фактически парализует обработку ПДн, что может привести к сбоям в работе организации и, как следствие, к нарушению требований 152-ФЗ.
Для информационных систем персональных данных (ИСПДн) регулятор устанавливает пять конкретных мер обеспечения доступности (ОДТ.1 – ОДТ.5). Их применение не универсально: выбор зависит от присвоенного системе уровня защищенности (УЗ) и актуальной модели угроз.
ОДТ.1: Отказоустойчивые технические средства
Эта мера требует использования аппаратного обеспечения, спроектированного с учётом отказов. Речь не о простой надёжности железа, а об архитектуре, где критические компоненты дублированы и способны автоматически подхватить нагрузку при сбое основного элемента. Цель — исключить единую точку отказа на физическом уровне.
Технические реализации
- RAID-массивы (особенно уровни 1, 5, 6, 10) для дисковых подсистем защищают от выхода из строя одного или нескольких накопителей без остановки работы.
- Дублированные блоки питания и вентиляции в серверах и коммутаторах.
- Кластерные конфигурации, где несколько серверов работают как единый ресурс (failover cluster). При падении одного узла его задачи переходят на другой.
- ECC-память (Error-Correcting Code memory) для автоматического исправления единичных ошибок, предотвращающих сбои приложения или системы.
Пример: база данных, развернутая на кластере из двух серверов с общим массивом хранения данных. При аварии на основном сервере вторая нода берет на себя обработку запросов в течение нескольких десятков секунд, что сохраняет доступность сервиса для пользователей.
ОДТ.2: Комплексное резервирование
Если ОДТ.1 — это устойчивость «железа», то ОДТ.2 — дублирование всех значимых компонентов системы в целом. Мера предполагает создание избыточности не только для технических средств, но и для программного обеспечения, каналов связи, а также инженерной инфраструктуры.
Уровни резервирования
- Аппаратное: резервные серверы, системы хранения данных, маршрутизаторы.
- Программное: готовые к развертыванию копии операционных систем, СУБД, ключевых приложений.
- Сетевое: дублирование каналов связи у разных провайдеров, использование нескольких маршрутов.
- Инфраструктурное: источники бесперебойного питания (ИБП), генераторы, системы кондиционирования.
Сценарий: организация использует географически распределенные дата-центры. В основном ЦОД обрабатываются ПДн, а в резервном в реальном времени ведется их репликация. При потере основного центра обработка переключается на резервный, обеспечивая непрерывность бизнеса.
ОДТ.3: Мониторинг и восстановление
Наличие резервных мощностей бесполезно, если их некому и нечем задействовать. Эта мера обязывает организовать непрерывный контроль работоспособности ИСПДн и иметь отработанные процедуры реагирования на инциденты.
Методы контроля
- Проверка доступности узлов по сети (ICMP ping).
- Мониторинг загрузки ресурсов: процессор, оперативная память, дисковое пространство, сетевая карта.
- Проверка целостности системных файлов и журналов транзакций СУБД.
- Анализ логов приложений на предмет ошибок и предупреждений.
- Автоматизированные скрипты, имитирующие действия пользователя (синтетические транзакции).
Процедуры восстановления
- Автоматический перезапуск «упавших» служб или контейнеров.
- Сценарии автоматического переключения (failover) на резервные мощности.
- Процедуры восстановления данных из резервных копий.
- План замены отказавшего «железа» (горячий spare).
- Обязательное тестирование функциональности после восстановления.
ОДТ.4-5: Резервное копирование и восстановление данных
Эти две меры тесно связаны: создание бэкапов (ОДТ.4) бессмысленно без гарантированной возможности их применения (ОДТ.5). Они являются последним рубежом защиты от катастрофических сбоев, логических ошибок или вредоносных действий.
ОДТ.4: Резервное копирование
Политика резервного копирования должна быть регламентирована. Частота создания копий зависит от критичности данных и динамики их изменения.
- Полные копии (Full): создаются с заданной периодичностью (например, раз в неделю). Требуют больше времени и места, но обеспечивают самое простое восстановление.
- Инкрементальные копии (Incremental): сохраняют только данные, измененные с момента последнего бэкапа любого типа. Быстрые, но восстановление требует цепочки: последний full + все последующие incremental.
- Дифференциальные копии (Differential): сохраняют данные, измененные с момента последнего полного бэкапа. Восстановление проще: нужен только последний full и последний differential.
- Неизменяемые снапшоты (Immutable snapshots): копии, которые нельзя удалить или изменить в течение заданного периода. Ключевой инструмент защиты от ransomware-атак.
ОДТ.5: Восстановление данных
Эта мера формализует требования к процессу восстановления через два ключевых метрических показателя:
- RTO (Recovery Time Objective) — максимально допустимое время простоя системы после инцидента. Определяет, как быстро нужно поднять сервис.
- RPO (Recovery Point Objective) — максимальный допустимый объем потери данных. Определяет, как часто нужно делать бэкапы (потеря данных между последней копией и сбоем).
Критически важным является регулярное тестирование процедур восстановления. Бэкап, который никогда не проверяли на восстановление, — это не бэкап, а надежда.
| Тип данных и их динамика | Рекомендуемая частота копирования | Типичный RTO | Типичный RPO | Подходящие методы |
|---|---|---|---|---|
| Высокодинамичные операционные ПДн (онлайн-транзакции) | Очень высокая (каждые 15-30 мин) | Менее 1 часа | Менее 15-30 минут | Транзакционная репликация + частые снапшоты |
| Справочные ПДн (изменения 1-2 раза в день) | Ежедневно | До 4 часов | До 24 часов | Ежедневные полные или дифференциальные копии |
| Архивные, редко изменяемые ПДн | Еженедельно / ежемесячно | До 24 часов | До 7 дней | Еженедельные полные копии, долгосрочное хранение на ленте или холодном облаке |
Применение мер по уровням защищенности ИСПДн
Требования ФСТЭК дифференцированы. Для систем с высоким уровнем защищенности (УЗ-1, УЗ-2) необходим максимальный набор мер. Для менее критичных (УЗ-3, УЗ-4) требования смягчаются.
| Мера обеспечения доступности (ОДТ) | УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|---|
| ОДТ.1: Отказоустойчивые технические средства | Требуется | Требуется | Не требуется | Не требуется |
| ОДТ.2: Комплексное резервирование | Требуется | Требуется | Не требуется | Не требуется |
| ОДТ.3: Мониторинг и восстановление | Требуется | Требуется | Требуется | Не требуется |
| ОДТ.4: Резервное копирование | Требуется | Требуется | Требуется | Требуется |
| ОДТ.5: Восстановление данных | Требуется | Требуется | Требуется | Требуется |
Примечание: для ИСПДн уровня УЗ-1 часто требуется реализация всех мер в усиленном варианте, например, с географически распределенным резервированием (ОДТ.2).
Доступность как системное свойство
Обеспечение доступности ПДн — это не про отдельный сервер или скрипт. Это многоуровневая инженерная дисциплина, где каждый слой — от дублированного блока питания до отлаженной процедуры восстановления из бэкапа — закрывает свой класс угроз. Пропуск одного уровня, например, внедрение кластера (ОДТ.1) без организации мониторинга (ОДТ.3), сводит инвестиции к нулю: система будет «отказоустойчиво» лежать в даунтайме, пока кто-то случайно не заметит проблему.
Выбор и глубина реализации мер должны быть обоснованы не только формальным уровнем защищенности ИСПДн, но и реальными потребностями бизнеса в непрерывности обработки данных. RTO и RPO — это прежде всего бизнес-показатели, которые затем транслируются в технические требования. Грамотное обеспечение доступности превращает ИТ-инфраструктуру из источника рисков в предсказуемый и устойчивый фундамент для обработки персональных данных.