- •Постановка задачи
- •Идентификация бизнес-целей организации в части вср
- •Идентификация значимых бизнес-процессов
- •Идентификация бизнес-операций
- •4. Идентификация it-сервисов
- •5. Оценка значимости бизнес-операций
- •6. Формирование перечня it-ресурсов
- •7. Идентификация перечня угроз
- •8. Расчет риска
- •9. Оценка вероятности и последствий угроз
- •10. Сводная оценка ra и bia
- •11. Идентификация ит-целей в части bcp
- •12. Идентификация ит-процессов
- •13. Определение rto и rpo ит-сервисов
- •14. Разработка bcp ит-сервисов
- •15. Разработка плана тестирования bcp
- •16. Оценка воздействия угроз на бизнес bia
13. Определение rto и rpo ит-сервисов
RTO – это промежуток времени, в течение которого система может оставаться недоступной в случае аварии.
RPO – это максимальный период времени, за который могут быть потеряны данные в результате инцидента ИБ.
В таблице 13 RTO и RPO для ИТ-сервисов компании (приведено соответствие с бизнес-операциями и возможными угрозами).
Данные представлены на основании соглашения о времени обслуживания внутри организации.
Таблица 13 – Высокоуровневые цели ИТ-контролей для ИТ-процессов
ID ИТсервиса |
ID BOP |
Бизнес-операция |
ID Угрозы |
Угроза |
RTO, ч. |
RPO, ч. |
S1 |
BOP-1 |
Администрирование web-сервера |
T-SY-1 |
Угроза вирусного заражения |
2 ч. |
4 ч. |
T-BD-2 |
DDoS-атака на сервер |
|||||
T-P-1 |
Персонал записывает пароли на бумаге |
|||||
S1 |
BOP-2 |
Мониторинг web-сервера |
T-SY-1 |
Угроза вирусного заражения |
4 ч. |
6 ч. |
T-EQ-2 |
Ошибки в настройке системы |
|||||
S2 |
BOP-3 |
Мониторинг работы сервера |
T-SY-1 |
Угроза вирусного заражения |
4 ч. |
6 ч. |
T-EQ-2 |
Ошибки в настройке системы |
|||||
T-CC-1 |
Ошибки конфигурирования |
|||||
S3 |
BOP-4 |
Внесение данных в БД |
T-SY-1 |
Угроза вирусного заражения |
4 ч. |
4 ч. |
T-BD-1 |
Угроза уязвимостей СУБД |
|||||
T-P-2 |
Персонал забывает пароли |
|||||
S4 |
BOP-5 |
Принятие заказов |
T-SY-1 |
Угроза вирусного заражения |
4 ч. |
6 ч. |
S5 |
BOP-6 |
Удаленное централизованное управление установкой и обновлением ПО |
T-SY-1 |
Угроза вирусного заражения |
2 ч. |
6 ч. |
T-BD-4 |
НСД |
|||||
T-EQ-3 |
Слабые пароли |
|||||
T-P-2 |
Персонал забывает пароли |
|||||
S3 |
BOP-7 |
Регистрация и идентификация пользователей |
T-EQ-1 |
Пользователь совершает действия, не предусмотренные инструкциями |
4 ч. |
4 ч. |
T-CC-2 |
Обход злоумышленником защиты сетевого экрана |
По RTO и RPO система ООО «Восток» для обеспечения непрерывности бизнес-процессов и сервисов использует технологию для запуска сервисов из резервной копии в аварийной ситуации.
Для каждого сервиса производится резервное копирование ответственность за которое возложена на технический отдел.
14. Разработка bcp ит-сервисов
Описание детальных целей контроля (взятых из CobIT 4.1), перечисленных ранее, представлено в таблице 14.
Таблица 14 – Цели ИТ-контроля
ID детальной цели ИТконтроля |
Детальная цель контроля (CobIT 4.1) |
Описание детальной цели контроля |
DS 5.1. |
Управление ИТ-безопасностью |
Организовать управление ИТ-безопасностью на максимально возможном организационном уровне, чтобы действия по обеспечению безопасности соответствовали требованиям бизнеса |
DS 5.6. |
Определение инцидентов в сфере безопасности |
Четко определеить и сообщить характеристики потенциальных инцидентов в сфере безопасности, чтобы их можно было классифицировать и устранить в процессе управления проблемами и инцидентами |
DS 3.5. |
Мониторинг и отчетность |
Осуществлять постоянный мониторинг производительности и мощностей ИТ ресурсов. Полученные данные должны служить обеспечению и настройке текущей производительности ИТ и учитывать такие вопросы как устойчивость, вероятность инцидентов, текущая и проектная эксплуатационная нагрузка, планы хранения ресурсов |
DS 5.3. |
Управление идентификацией |
следует убедиться в том, что все пользователи (внутренние, внешние и временные) и их деятельность в ИТ системах (приложениях, ИТ среде, системных операциях) может быть однозначно идентифицирована |
AI 2.2. |
Детальный дизайн приложений |
Подготовить детальный дизайн приложения и технические требования к программному обеспечению |
AI 3.3. |
Обслуживание инфраструктуры |
Разработать стратегию. И план обслуживания инфраструктуры и убедиться что изменения находятся под контролем в соответствии с принятой в организации процедурой управления. Включить в план периодические оценки соответствия бизнес-целям |
DS 5.4. |
Управление учетными записями пользователей |
Обеспечить управление запросами6 созданием, приостановкой, изменением и ликвидацией учетных записей пользователей и связанных с ними полномочий с помощью комплекса процедур |
DS 5.6. |
Определение инцидентов в сфере безопасности |
Четко определить и сообщить характеристики потенциальных инцидентов в сфере безопасности, чтобы их можно было классифицировать и устранить в процессе управления проблемами и инцидентами |
DS 5.10. |
Сетевая безопасность |
Применять технологии обеспечения безопасности и соответствующие процедуры управления (межсетевые экраны6 устройства для безопасности, сетевой сегментации и системы обнаружения вторжений) для авторизации доступа и контроля информационных межсетевых потоков |
DS 7.2. |
Проведение тренингов и обучение |
Обучение и тренинг основываются на выявленных потребностях, определении целевые групп и их состава, эффективных механизмах организации учебного процесса и контролем успеваемости. |