DRP Nedir?
DRP (Disaster Recovery Plan - Felaket Kurtarma Plani), bir organizasyonun dogal afet, siber saldiri, donanim arizasi veya insan kaynakli felaketler sonrasinda kritik BT altyapisini ve is operasyonlarini en kisa surede yeniden calistirmak icin hazirlanan yapilandirilmis bir dokumantasyon ve eylem planidir.
Gunumuzde dijital donusum sureclerinin hiz kazanmasiyla birlikte, isletmelerin veri kaybi ve sistem kesintilerine karsi hazirlikli olmasi artik bir tercih degil, zorunluluk haline gelmistir. DRP, bu zorunlulugun sistematik ve olculebilir bir sekilde karsilanmasini saglar.
DRP'nin Önemi ve Gerekliliği
Isletmelerin felaket kurtarma planina sahip olmasi gereken temel nedenler sunlardir:
- Is Surekliligi: Beklenmedik olaylar sonrasinda operasyonlarin devamini saglar
- Veri Koruma: Kritik is verilerinin kaybolmasini onler
- Yasal Uyumluluk: ISO 27001, SOX, HIPAA gibi standartlarin gerekliliklerini karsilar
- Marka Itibar Koruma: Uzun sureli kesintilerin musteri guvenini sarsmasi onlenir
- Finansal Kayip Onleme: Sistem kesintilerinin maliyetini minimize eder
| Felaket Türü | Ortalama Kesinti Süresi | Tahmini Maliyet (Saatlik) |
|---|---|---|
| Siber Saldiri | 21 gun | $10.000 - $50.000 |
| Donanim Arizasi | 1-3 gun | $5.000 - $20.000 |
| Dogal Afet | 1-4 hafta | $25.000 - $100.000 |
| Insan Hatasi | 1-8 saat | $2.000 - $10.000 |
| Yazilim Hatasi | 4-24 saat | $3.000 - $15.000 |
DRP'nin Temel Bileşenleri
1. İş Etki Analizi (BIA - Business Impact Analysis)
Is etki analizi, DRP'nin temel taslarindan biridir. Bu analiz ile su sorularin cevabi aranir:
- Hangi is surecleri kritiktir?
- Her bir is surecinin maksimum tolere edilebilir kesinti suresi nedir?
- Kesinti durumunda finansal ve operasyonel etkiler nelerdir?
- Bagimliliklari olan sistemler ve uygulamalar hangileridir?
2. RTO (Recovery Time Objective) - Kurtarma Süresi Hedefi
RTO, bir felaket sonrasinda sistemlerin tekrar calisir hale getirilmesi icin belirlenen maksimum kabul edilebilir suredir.
| RTO Seviyesi | Süre | Örnek Senaryo |
|---|---|---|
| Kritik | 0-1 saat | Bankacilik islem sistemleri |
| Yuksek | 1-4 saat | E-ticaret platformlari |
| Orta | 4-24 saat | E-posta sunuculari |
| Dusuk | 24-72 saat | Arsiv sistemleri |
| Minimum | 72+ saat | Test ortamlari |
3. RPO (Recovery Point Objective) - Kurtarma Noktası Hedefi
RPO, felaket aninda kabul edilebilir maksimum veri kaybi miktarini zaman cinsinden ifade eder. Ornegin RPO degeri 1 saat olan bir sistem, en fazla 1 saatlik veri kaybini tolere edebilir demektir.
4. Kurtarma Stratejileri
DRP icerisinde tanimlanan kurtarma stratejileri, is ihtiyaclarina gore farklilik gosterir:
- Soguk Yedekleme (Cold Site): Temel altyapi hazir, ancak sistem kurulumu gerekli
- Ilik Yedekleme (Warm Site): Kismen yapilandirilmis sistemler mevcut
- Sicak Yedekleme (Hot Site): Anlik gecis yapilabilen tam donanimli yedek merkez
- Bulut Tabanli DR: Cloud ortaminda esnek ve olceklenebilir kurtarma
DRP ile BCP Arasındaki Fark
DRP ve BCP (Business Continuity Plan - Is Surekliligi Plani) sik sik birbirine karistirilir. Aralarindaki temel farklar sunlardir:
| Özellik | DRP | BCP |
|---|---|---|
| Odak Noktasi | BT altyapisi ve veri kurtarma | Tum is operasyonlari |
| Kapsam | Teknik sistemler | Insanlar, surecler, teknoloji |
| Hedef | Sistemleri yeniden baslatmak | Is surekliligi saglamak |
| Zaman Dilimi | Felaket sonrasi | Felaket oncesi, sirasi ve sonrasi |
| Sorumlu Birim | BT departmani | Ust yonetim ve tum birimler |
| Standart | ISO 27031 | ISO 22301 |
Kisaca ifade etmek gerekirse, DRP buyuk resmin bir parcasidir. BCP tum organizasyonu kapsarken, DRP ozellikle bilgi teknolojileri altyapisinin kurtarilmasina odaklanir.
DRP Oluşturma Adımları
Adım 1: Risk Değerlendirmesi
Potansiyel tehditlerin belirlenmesi ve onceliklendirilmesi gerekir. Risk degerlendirmesinde dikkate alinacak faktorler:
- Dogal afetler (deprem, sel, yangin)
- Siber tehditler (ransomware, DDoS, veri ihlali)
- Altyapi arizalari (guc kesintisi, ag arizasi)
- Insan kaynakli riskler (sabotaj, ihmal)
Adım 2: Kritik Varlıkların Belirlenmesi
Organizasyonun en onemli BT varliklarinin envanteri cikarilmalidir:
| Varlık Kategorisi | Örnekler | Öncelik |
|---|---|---|
| Veritabanlari | Musteri DB, Finansal DB | Kritik |
| Uygulamalar | ERP, CRM, E-posta | Yuksek |
| Ag Altyapisi | Router, Switch, Firewall | Kritik |
| Sunucular | Web, Uygulama, Dosya | Yuksek |
| Depolama | SAN, NAS, Bulut | Kritik |
Adım 3: Kurtarma Stratejilerinin Belirlenmesi
Her bir kritik varlik icin uygun kurtarma stratejisi secilmelidir. Bu secimde RTO ve RPO degerleri belirleyici rol oynar.
Adım 4: Plan Dokümantasyonu
DRP dokumani su bolumlerden olusmalidir:
- Yonetici ozeti
- Kapsam ve amac
- Roller ve sorumluluklar
- Iletisim plani ve eskalasyon matrisi
- Kurtarma prosedürleri (adim adim)
- Sistem ve ag diyagramlari
- Yedekleme ve geri yukleme prosedürleri
- Tedarikci ve ucuncu taraf iletisim bilgileri
Adım 5: Test ve Doğrulama
Plan olusturulduktan sonra duzenli olarak test edilmelidir. Test edilmeyen bir DRP, gercek bir felaket aninda ise yaramayabilir.
DRP Test Yöntemleri
| Test Türü | Açıklama | Sıklık |
|---|---|---|
| Masa Basi Tatbikati | Senaryolarin teorik olarak tartisilmasi | 3 ayda bir |
| Yurume Testi (Walkthrough) | Plani adim adim gozden gecirme | 6 ayda bir |
| Simulasyon Testi | Gercekci senaryo ile canlandirma | Yilda bir |
| Paralel Test | Yedek sistemlerin aktif calistirilmasi | Yilda bir |
| Tam Kesinti Testi | Gercek gecis yapilarak dogrulama | 2 yilda bir |
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
DRP İçin Kullanılan Çerçeveler ve Standartlar
DRP olusturulurken referans alinabilecek uluslararasi standartlar ve cerceveler sunlardir:
- ISO 22301: Is surekliligi yonetim sistemi standardi
- ISO 27031: Bilgi ve iletisim teknolojisi icin is surekliligi rehberi
- NIST SP 800-34: BT sistemleri icin felaket kurtarma planlama kilavuzu
- ITIL: BT hizmet yonetimi cercevesi
- COBIT: BT yonetisim ve yonetim cercevesi
DR Tier Seviyeleri
Share Tier Classification sistemi, kurtarma cozumlerini yedi seviyeye ayirir:
| Tier | Tanım | RTO | RPO |
|---|---|---|---|
| 0 | Yedekleme yok | Belirsiz | Belirsiz |
| 1 | Tesis disi yedekleme | Gunler-haftalar | 24 saat |
| 2 | Sicak yedekleme tesisi | Gunler | 24 saat |
| 3 | Elektronik veri transfer | 12-24 saat | 2-4 saat |
| 4 | Anlik yedekleme | 4-8 saat | Dakikalar |
| 5 | Islem butunlugu | 2-4 saat | Sifir |
| 6 | Sifir veri kaybi | 1-2 saat | Sifir |
| 7 | Otomatik failover | Dakikalar | Sifir |
Bulut Tabanlı DR Çözümleri
Bulut teknolojilerinin yayginlasmasi ile birlikte DRaaS (Disaster Recovery as a Service) cozumleri on plana cikmaktadir:
- Dusuk Maliyet: Fiziksel yedek tesis maliyeti ortadan kalkar
- Esneklik: Kaynaklarin ihtiyaca gore olceklenmesi
- Hizli Kurtarma: Dakikalar icerisinde sistemlerin ayaga kalktirilmasi
- Cografi Dagilim: Verilerin farkli bolgelerde tutulmasi
- Otomatik Failover: Manuel mudahale gerektirmeyen gecis mekanizmalari
DRP Başarı Metrikleri
Bir DRP'nin etkinligini olcmek icin kullanilan temel metrikler:
| Metrik | Açıklama | Hedef |
|---|---|---|
| RTO Uyumlulugu | Gercek kurtarma suresinin hedefe uygunlugu | %95+ |
| RPO Uyumlulugu | Veri kaybi miktarinin hedefe uygunlugu | %99+ |
| Test Basari Orani | Testlerde basarili tamamlanma orani | %90+ |
| Doküman Guncellik | Planin son guncelleme tarihi | 6 ay icerisinde |
| Calisanlarin Farkindaligi | Egitim ve tatbikat katilim orani | %100 |
Sık Yapılan DRP Hataları
- Plani olusturup hic test etmemek: En yaygin ve en tehlikeli hata
- Sadece BT'yi dahil etmek: Is birimleri ve ust yonetim de surece dahil olmali
- Guncel tutmamak: Altyapi degisikliklerinde plan da guncellenmeli
- Iletisim planini atlamak: Kimin kimi, nasil bilgilendirecegi net olmali
- Tek noktali bagimliliklari gormezden gelmek: SPOF analizleri yapilmali
- Ucuncu taraf riskleri goz ardi etmek: Tedarikci ve bulut saglayici riskleri dahil edilmeli
ISO 27001 egitimleri ve risk yonetimi programlari ile DRP sureclerinizi profesyonel standartlarda yurutmenize destek oluyoruz.
