13. Определение rto и rpo ит-сервисов

RTO – это промежуток времени, в течение которого система может оставаться недоступной в случае аварии.

RPO – это максимальный период времени, за который могут быть потеряны данные в результате инцидента ИБ.

В таблице 13 RTO и RPO для ИТ-сервисов компании «Аквариус» (приведено соответствие с бизнес-операциями и возможными угрозами).

Данные представлены на основании соглашения о времени обслуживания внутри организации компании.

Таблица 13 – Высокоуровневые цели ИТ-контролей для ИТ-процессов

ID ИТсервиса	ID BOP	Бизнес-операция	ID Угрозы	Угроза	RTO, ч.	RPO, ч.
S1	BOP-1	Администрирование web-сервера	T-SY-1	Угроза вирусного заражения	2 ч.	4 ч.
			T-BD-2	DDoS-атака на сервер
			T-P-1	Персонал записывает пароли на бумаге
S1	BOP-2	Мониторинг web-сервера	T-SY-1	Угроза вирусного заражения	4 ч.	6 ч.
			T-EQ-2	Ошибки в настройке системы
S2	BOP-3	Мониторинг работы сервера	T-SY-1	Угроза вирусного заражения	4 ч.	6 ч.
			T-EQ-2	Ошибки в настройке системы
			T-CC-1	Ошибки конфигурирования
S3	BOP-4	Внесение данных в БД	T-SY-1	Угроза вирусного заражения	4 ч.	4 ч.
			T-BD-1	Угроза уязвимостей СУБД
			T-P-2	Персонал забывает пароли
S4	BOP-5	Принятие заказов	T-SY-1	Угроза вирусного заражения	4 ч.	6 ч.
S5	BOP-6	Удаленное централизованное управление установкой и обновлением ПО	T-SY-1	Угроза вирусного заражения	2 ч.	6 ч.
			T-BD-4	НСД
			T-EQ-3	Слабые пароли
			T-P-2	Персонал забывает пароли
S3	BOP-7	Регистрация и идентификация пользователей	T-EQ-1	Пользователь совершает действия, не предусмотренные инструкциями	4 ч.	4 ч.
			T-CC-2	Обход злоумышленником защиты сетевого экрана

По RTO и RPO система компании «Аквариус» для обеспечения непрерывности бизнес-процессов и сервисов использует технологию запуска сервисов из резервной копии в аварийной ситуации.

Для каждого сервиса (S-1, S-2, S-3, S-4 и S-5) производится резервное копирование, ответственность за которое несет технический отдел.