Класичне правило резервного копіювання 3-2-1 протягом десятиліть вважалося достатнім для забезпечення збереження даних. Проте еволюція кіберзагроз, зокрема поширення ransomware-атак, компрометація облікових записів адміністраторів та цілеспрямовані атаки на системи резервного копіювання, продемонстрували обмеженість цього підходу. У статті розглядається модифіковане правило 3-2-1-1-0, його складові елементи, практичне значення та застосування в умовах сучасного кіберпростору.
1. Вступ
Резервне копіювання є фундаментальним елементом забезпечення інформаційної безпеки та безперервності бізнес-процесів. Традиційне правило 3-2-1, сформульоване ще в епоху фізичних носіїв, передбачало створення трьох копій даних на двох різних типах носіїв з обов’язковим зберіганням однієї копії поза основною локацією [1].
Однак у сучасних умовах цей підхід дедалі частіше виявляється недостатнім. Зловмисники навчилися не лише шифрувати продуктивні системи, але й цілеспрямовано знищувати або шифрувати резервні копії. Саме це стало підґрунтям для появи модифікованого правила 3-2-1-1-0.
2. Походження та логіка правила 3-2-1-1-0
Правило 3-2-1-1-0 є розвитком класичної моделі та доповнює її двома критично важливими вимогами [2]:
- наявністю щонайменше однієї незмінної (immutable) або фізично відключеної копії;
- обов’язковою перевіркою відновлюваності резервних копій до стану «нуль помилок».
Ці доповнення враховують нову реальність: резервні копії самі стали об’єктом атак.
3. Структурний аналіз правила 3-2-1-1-0
3.1. Три копії даних
Перший компонент передбачає наявність щонайменше трьох копій:
- робочої (production);
- однієї або більше резервних.
Наявність лише однієї резервної копії створює єдину точку відмови, особливо в разі синхронного зараження системи та бекапу ransomware-шкідником.
3.2. Два різних типи носіїв
Йдеться не про різні пристрої, а саме про різні технології зберігання. Наприклад, поєднання локального дискового сховища та хмарного об’єктного сховища знижує ризики, пов’язані з дефектами обладнання, помилками прошивок або компрометацією одного класу систем.
3.3. Одна копія поза основною локацією (off-site)
Off-site-копія забезпечує захист від фізичних загроз: пожеж, стихійних лих, крадіжок, а також воєнних дій. Для України цей аспект набуває особливої актуальності.
3.4. Одна immutable або offline копія
Цей елемент є ключовою інновацією правила 3-2-1-1-0.
Immutable-копії базуються на принципі WORM (Write Once Read Many) і не можуть бути змінені або видалені протягом визначеного періоду навіть адміністраторами системи.
Offline-копії фізично відключені від мережі, що робить їх недоступними для віддалених атак.
Обидва підходи ефективно протидіють ransomware та компрометації облікових записів.
3.5. Нуль помилок після відновлення
Останній компонент наголошує на принциповій істині: резервна копія має цінність лише тоді, коли її реально можна відновити. Регулярне тестування процесів відновлення дозволяє виявити пошкодження даних, помилки конфігурацій та проблеми сумісності ще до настання інциденту.
4. Переваги моделі 3-2-1-1-0 у порівнянні з 3-2-1
Модель 3-2-1-1-0:
- враховує загрозу цілеспрямованих атак на бекапи;
- мінімізує ризик повної втрати даних навіть при компрометації адміністраторів;
- забезпечує контроль не лише збереження, а й відновлюваності даних.
Таким чином, вона переходить від формального резервного копіювання до повноцінної стратегії кіберстійкості.
5. Практичне застосування
Правило 3-2-1-1-0 є особливо актуальним для:
- державних інформаційних систем;
- об’єктів критичної інфраструктури;
- фінансового сектору;
- медичних інформаційних систем;
- SaaS-платформ та веб-ресурсів з високою доступністю.
Для малих організацій та окремих веб-сайтів можливе спрощене впровадження, однак принципи незмінності та перевірки відновлення мають зберігатися.
7. Нормативно-правовий контекст України у сфері резервного копіювання та кіберстійкості
Хоча в українському законодавстві правило резервного копіювання 3-2-1-1-0 прямо не закріплене, його принципи логічно випливають із чинних нормативних актів у сфері кібербезпеки, захисту інформації та забезпечення безперервності функціонування інформаційних систем.
7.1. Закон України «Про основні засади забезпечення кібербезпеки України»
Закон визначає базові принципи забезпечення кібербезпеки, зокрема:
- стійкість та безперервність функціонування інформаційно-комунікаційних систем;
- управління ризиками кібербезпеки;
- захист критичної інформаційної інфраструктури.
У контексті цього закону резервне копіювання розглядається не як технічна опція, а як елемент кіберстійкості. Вимоги правила 3-2-1-1-0 напряму підтримують виконання цих принципів, особливо в частині протидії наслідкам кібератак та відновлення після інцидентів.
7.2. Критична інформаційна інфраструктура (КІІ)
Відповідно до підзаконних актів та методичних рекомендацій щодо об’єктів критичної інформаційної інфраструктури:
- оператори КІІ зобов’язані забезпечувати резервування інформаційних ресурсів;
- має бути передбачене відновлення працездатності після інцидентів у визначені терміни.
Застосування immutable або offline-бекапів (компонент «1» у 3-2-1-1-0) безпосередньо відповідає вимогам щодо захисту КІІ від цілеспрямованих деструктивних кібератак, у тому числі ransomware.
7.3. НД ТЗІ та ДСТУ у сфері технічного захисту інформації
Нормативні документи системи технічного захисту інформації (НД ТЗІ) передбачають:
- забезпечення цілісності інформації;
- резервування та відновлення даних;
- контроль правильності функціонування засобів захисту.
Зокрема, вимога «0» у моделі 3-2-1-1-0 (нуль помилок після відновлення) узгоджується з підходами НД ТЗІ щодо контролю цілісності та працездатності систем. Регулярне тестування відновлення можна розглядати як практичну реалізацію цих вимог у сучасних ІТ-середовищах.
7.4. Документи НКЦК та Держспецзв’язку
Рекомендації Національного координаційного центру кібербезпеки та Держспецзв’язку України неодноразово наголошують на таких аспектах:
- необхідність резервного копіювання з урахуванням загроз ransomware;
- відокремлення систем резервного копіювання від продуктивних середовищ;
- обмеження адміністративного доступу до бекап-інфраструктури.
Ці положення концептуально відповідають вимогам:
- off-site зберігання;
- immutable-бекапів;
- незалежних облікових записів для систем резервного копіювання.
7.5. Безперервність діяльності та планування відновлення (BCP / DRP)
Хоча BCP (Business Continuity Planning) та DRP (Disaster Recovery Planning) не мають окремого спеціального закону в Україні, вони широко використовуються в державному секторі та на об’єктах КІІ у вигляді внутрішніх нормативних документів.
Правило 3-2-1-1-0 природно інтегрується в такі плани, оскільки:
- забезпечує наявність незалежних копій даних;
- знижує RTO та RPO;
- дозволяє проводити регулярні навчальні відновлення (DR-drills).
8. Значення правила 3-2-1-1-0 для українських реалій
В умовах:
- війни;
- постійних кібератак на державні та приватні ресурси;
- фізичних ризиків для датацентрів та офісної інфраструктури,
модель 3-2-1-1-0 набуває не лише технічного, а й стратегічного значення. Вона поєднує міжнародні best practices із вимогами та логікою української системи кібербезпеки.
9. Висновки
Модифіковане правило резервного копіювання 3-2-1-1-0 відображає зміну парадигми інформаційної безпеки: резервні копії більше не є пасивним елементом інфраструктури, а стають стратегічним ресурсом. Його впровадження дозволяє істотно підвищити кіберстійкість організацій та зменшити наслідки як кіберінцидентів, так і фізичних загроз.
Застосування правила 3-2-1-1-0 дозволяє українським організаціям не лише відповідати формальним вимогам законодавства та нормативних документів, а й реально підвищувати рівень кіберстійкості в умовах зростаючих загроз. Фактично йдеться про перехід від «виконання вимог» до усвідомленого управління ризиками.
Джерела
1. What Is the 3-2-1 Backup Rule, and How Does It Work In the Cloud? [Електронний ресурс]. – CO— by U.S. Chamber of Commerce. – Режим доступу: https://www.uschamber.com/co/run/technology/3-2-1-backup-rule (дата звернення: 05.01.2026).
2. Lysetskyi, Yu.M. & Seredovich, Ye.P.. (2025). Choosing an effective data backup and recovery strategy. Mathematical machines and systems. 1. 76-80. 10.34121/1028-9763-2025-1-76-80.