Введение в ДОРА
Закон о цифровой операционной устойчивости (DORA), принятый как Регламент (ЕС) 2022 / 2554, является знаковым постановлением, принятым Советом ЕС для повышения цифровой операционной устойчивости финансовых учреждений в ЕС. Его основные цели заключаются в следующем:
- Улучшить управление рисками в сфере ИКТ: Обеспечить наличие у финансовых организаций надежной системы управления рисками в сфере ИКТ.
- Оптимизация отчетности об инцидентах: Standardоптимизировать процесс регистрации и сообщения об инцидентах, связанных с ИКТ.
- Обеспечить непрерывное тестирование: Обязать проводить регулярное и тщательное тестирование цифровой операционной устойчивости.
- Регулировать риски третьих лиц: Отслеживайте и управляйте рисками, возникающими из-за зависимости от сторонних поставщиков услуг.
- Содействие обмену информацией: Содействие обмену информацией о киберугрозах между финансовыми организациями.
Эта нормативно-правовая база связывает финансовые учреждения, включая банки, страховые компании и инвестиционные компании, тем самым подчеркивая важность цифровой операционной устойчивости. Более того, в отличие от директив, которые устанавливают цели для достижения государствами-членами, такие правила, как DORA, применяются напрямую, обеспечивая единообразие на всей территории ЕС.
Пять столпов ДОРА
Комплексный подход DORA основан на пяти ключевых принципах:
- Управление рисками в сфере ИКТ
- Управление инцидентами
- Тестирование цифровой операционной устойчивости
- Стороннее управление рисками
- Механизмы обмена информацией
В этой статье мы сосредоточимся на первом столпе: ДОРА Управление рисками в сфере ИКТ.
Управление рисками в сфере ИКТ: первый столп DORA
Управление рисками в сфере ИКТ в рамках DORA заключается в создании комплексной структуры, которая позволяет финансовым организациям предвидеть, противостоять и восстанавливаться после инцидентов, связанных с ИКТ. Эта структура включает в себя несколько ключевых элементов:
Устойчивые ИТ-системы и инструменты
Во-первых, жизненно важно вести детальную инвентаризацию всех активов ИКТ, включая оборудование, программное обеспечение, данные и услуги. Инструмент инвентаризации Xygeni включает обширные метаданные, такие как даты создания, определенные свойства и связанные угрозы безопасности. Это позволяет глубоко понять характеристики и значимость каждого актива.
Далее, классификация активов на основе их важности для деятельности организации и потенциального воздействия их компрометации помогает эффективно управлять рисками. Инструменты Xygeni помогают в этой классификации, предоставляя полную документацию всех активов, включая их конфигурации и взаимозависимости.
Кроме того, документация имеет решающее значение для поддержания уровня безопасности. Xygeni поддерживает это, предлагая возможности тщательного документирования, гарантируя, что вся важная информация об активах находится в хорошем состоянии и легко доступна.
Идентификация и документирование критических функций и активов
Ведение детальной инвентаризации всех активов ИКТ, включая оборудование, программное обеспечение, данные и услуги, имеет жизненно важное значение. Инструмент инвентаризации Xygeni включает обширные метаданные, такие как даты создания, конкретные свойства и связанные с ними угрозы безопасности. Это позволяет глубоко понять характеристики и актуальность каждого актива.
Более того, классификация активов на основе их важности для операций и потенциального воздействия помогает эффективному управлению рисками. Более того, инструменты Xygeni помогают в этой классификации, предоставляя полную документацию всех активов, включая конфигурации и взаимозависимости.
Таким образом, документация имеет решающее значение для поддержания уровня безопасности. Xygeni поддерживает это, предлагая возможности тщательного документирования, гарантируя, что вся важная информация об активах находится в хорошем состоянии и легко доступна.
Непрерывный мониторинг и меры защиты
Мониторинг в режиме реального времени с использованием передовых инструментов необходим для быстрого обнаружения аномалий. Обнаружение аномального поведения Xygeni обеспечивает наблюдение в режиме реального времени за ИКТ-средой для разработки программного обеспечения, предлагая комплексный мониторинг различных SDLC активы, системы и виды деятельности.
Кроме того, необходимо установить процедуры для оперативного выявления, сообщения и реагирования на инциденты ИКТ. Xygeni поддерживает управление инцидентами, предоставляя многоуровневый мониторинг для обеспечения безопасного, соответствующего требованиям кода, проходящего через SDLC, включая раннее обнаружение уязвимостей безопасности на уровне рабочей станции разработчика и мониторинг в CI/CD pipelines.
Более того, регулярные оценки уязвимости, тесты на проникновение и учения на основе сценариевcises помогают выявлять и устранять потенциальные слабости. Xygeni помогает с тестированием устойчивости цифровых операций, включая обнаружение утечек секретов, анализ инфраструктуры, обнаружение вредоносного кода и проверку кода. Эти инструменты предотвращают уязвимости безопасности в скриптах и быстро обнаруживают вредоносный код.
Заключение по управлению рисками в сфере ИКТ
В заключение отметим, что первый компонент управления рисками в области ИКТ DORA имеет важное значение для поддержания безопасности и стабильности финансового сектора. Внедряя устойчивые ИТ-системы, тщательно документируя и классифицируя критически важные активы, а также постоянно отслеживая риски, финансовые организации могут создать надежную защиту от инцидентов, связанных с ИКТ. Пакет решений Xygeni предназначен для поддержки финансовых организаций в достижении соответствия DORA, повышая их общую цифровую операционную устойчивость.
Оставайтесь с нами, чтобы увидеть нашу следующую публикацию из этой серии, в которой мы рассмотрим второй столп DORA: управление инцидентами.
Часто задаваемые вопросы о DORA ICT Risk Management
Что такое управление рисками в сфере ИКТ в рамках DORA?
Управление рисками в сфере ИКТ в рамках DORA предполагает создание системы прогнозирования, противодействия и восстановления после инцидентов, связанных с ИКТ, обеспечивая операционную устойчивость финансовых организаций.
Почему важно управление рисками в сфере ИКТ?
Управление рисками в сфере ИКТ имеет решающее значение для поддержания безопасности и стабильности финансовых учреждений, защиты от киберугроз и обеспечения соответствия нормативным требованиям. standards.
Как Xygeni поддерживает управление рисками в сфере ИКТ?
Xygeni предоставляет инструменты для динамического управления запасами, непрерывного мониторинга и обнаружения аномалий в реальном времени, помогая финансовым организациям достичь соответствия требованиям DORA и повысить устойчивость цифровых операций.
Каковы ключевые элементы управления рисками в сфере ИКТ?
Ключевые элементы включают отказоустойчивые ИТ-системы, идентификацию и документирование критически важных функций и активов, непрерывный мониторинг и меры защиты.
Каково значение Закона о цифровой операционной устойчивости (DORA)?
Целью DORA является обеспечение последовательной ИТ-безопасности standardпо всему ЕС, повышая устойчивость финансового сектора к киберугрозам и сбоям в работе.
Когда DORA будет полностью применима?
DORA будет полностью применяться с 17 января 2025 года, а проверка и отчет должны быть проведены к 17 января 2028 года.
