По сути, соответствие требованиям DORA означает соблюдение standards, установленные Законом о цифровой операционной устойчивости (DORA). Это регламент Европейского союза, разработанный для повышения цифровой устойчивости и кибербезопасности финансовых учреждений, а также их поставщиков технологий. Он вступил в силу 17 января 2025 года: DORA создает четкие и standard Правила, помогающие организациям управлять рисками, связанными с информационно-коммуникационными технологиями (далее — ИКТ). Ознакомьтесь с контрольным списком соответствия требованиям DORA ниже!
В отличие от прежних нормативных актов, ориентированных в основном на финансовые риски, DORA выводит безопасность ИКТ на первый план. Он также применим к широкому кругу предприятий: от банков и страховых компаний до разработчиков программного обеспечения, поставщиков облачных услуг и ИТ-консалтинговых компаний, работающих с финансовым сектором. Подводя итог, можно сказать, что соответствие требованиям DORA означает, что ваша организация способна своевременно выявлять цифровые риски, эффективно реагировать на киберугрозы и обеспечивать бесперебойную работу сервисов в условиях сбоев.
Основные требования соответствия DORA #
Чтобы соответствовать требованиям DORA, компаниям необходимо сосредоточиться на пяти основных областях:
1. Управление рисками в сфере ИКТ
Вам понадобится четкий процесс для:
- Идентификация и классификация ключевых технологических активов
- Постоянный мониторинг ваших систем для проверки на наличие уязвимостей
- Создание подробных планов реагирования и восстановления на случай инцидентов, которые могут произойти
- Регулярные оценки ваших мер кибербезопасности
2. Отчеты об инцидентах, связанных с ИКТ
Информация об инцидентах в сфере ИКТ, особенно о серьёзных, должна предоставляться регулирующим органам с учётом строгих сроков. Это способствует прозрачности и позволяет властям контролировать и направлять процесс восстановления.
3. Тестирование устойчивости цифровых операций (DORT)
Ваша организация должна регулярно проверять, насколько хорошо ваши системы способны противостоять киберугрозам. Это включает в себя:
- Запуск сканирования уязвимостей
- Проведение тестов на проникновение
- Выполнение более сложных атак, имитирующих реальные ситуации (TLPT)
4. Управление рисками третьих лиц в сфере ИКТ
Поскольку многие услуги зависят от внешних поставщиков, DORA требует строгого контроля рисков, связанных со сторонними организациями. Это означает:
- Тщательная оценка поставщиков перед подписанием контрактов.
- Определение обеспечительных обязательств в контрактах.
- Постоянный мониторинг поставщиков на предмет рисков.
- Подготовка планов выхода на случай необходимости быстрой замены услуг.
5. Соглашения об обмене информацией
DORA всегда поощряет обмен информацией о киберугрозах с коллегами в целях повышения коллективной устойчивости в финансовом секторе.
Контрольный список соответствия DORA #
Если у вас есть пошаговый контрольный список соответствия требованиям DORA, он может упростить процесс. Здесь вы найдете все, что должно быть включено в ваш контрольный список соответствия требованиям DORA:
Кризисная коммуникация и восстановление: У вас должен быть план, как общаться и восстанавливаться во время возможных инцидентов в сфере ИКТ.
Картографирование активов и услуг: Вам необходимо вести актуальный учет критически важных ИКТ-систем и услуг.
Структура оценки рисков: Настоятельно рекомендуется внедрить четкие методы оценки и управления рисками в сфере ИКТ.
Непрерывный мониторинг: Для обнаружения уязвимостей и инцидентов вы можете использовать мониторинг в реальном времени.
Протоколы отчетности об инцидентах: Определить, как классифицировать инциденты и сообщать о них регулирующим органам
Тестирование безопасности: Запланируйте периодическое сканирование уязвимостей, тестирование на проникновение и оценку устойчивости
Проверки рисков третьей стороной: И последнее, но не менее важное: регулярно проверяйте своих поставщиков и четко устанавливайте ожидания в отношении кибербезопасности.
Сканирование уязвимостей и соответствие требованиям DORA: что вам нужно знать #
Сканирование уязвимостей Играет ключевую роль в обеспечении соответствия требованиям DORA. В рамках тестирования эксплуатационной устойчивости вам необходимо:
- Определить область применения: Обеспечьте сканирование всех критически важных систем и приложений.
- Автоматизация сканирования: Автоматизируйте максимально возможное количество процессов, чтобы обеспечить единообразие и регулярность оценок.
- Расставьте приоритеты исправлений: Включайте результаты в рабочие процессы безопасности и расставляйте приоритеты исправлений в зависимости от серьезности проблем.
- Включить сторонние системы: Системы сканирования также управляются ключевыми поставщиками.
- Вести учет: Документируйте результаты сканирования, выводы и действия для аудита и отчетности о соответствии.
Пренебрежение этим аспектом может привести к несоблюдению требований и сделать вашу организацию уязвимой для атак.
Почему соответствие требованиям важно для менеджеров по безопасности и команд DevSecOps? #
Для менеджеров по безопасности DORA предлагает больше, чем просто структура соответствия: он обеспечивает структурированный и стратегический подход, который может помочь им повысить устойчивость своей кибербезопасности.
А для команд DevSecOps DORA соответствует современным практикам разработки, таким как:
- Внедрение тестирования безопасности на раннем этапе (сдвиг влево).
- Использование безопасных процессов разработки программного обеспечения (SDLC).
- Автоматизация сканирования уязвимостей и рабочих процессов устранения.
- Мониторинг инфраструктуры и приложений в режиме реального времени.
Внедрение принципов DORA делает вашу разработку и эксплуатацию более безопасными и эффективными. Примите участие в нашем открытом мероприятии SafeDev Talk. ДОРА – Понимание того, что поставлено на карту с точки зрения кибербезопасности чтобы узнать больше от экспертов по кибербезопасности!
Повышение цифровой устойчивости с помощью DORA #
#
Сертификат соответствия требованиям DORA призван стать обязательным инструментом для финансовых компаний и их поставщиков по всей Европе, поскольку он побуждает организации повышать уровень кибербезопасности, управлять рисками третьих лиц и повышать устойчивость к сбоям в работе ИКТ. Если вы хотите упростить процесс обеспечения соответствия требованиям, ознакомьтесь с Ксигени— универсальный инструмент AppSec, который поможет вам защитить цепочку поставок программного обеспечения, автоматизировать сканирование уязвимостей и оптимизировать отчётность. Ваша служба безопасности всегда будет в курсе угроз и нормативных требований! Ознакомьтесь с продукцией or Получите бесплатную пробную версию!
Выполнение требований DORA ЕС по управлению ИКТ-рисками, сообщению об инцидентах, проведению тестирования безопасности и мониторингу сторонних поставщиков.
Финансовые организации, такие как банки и страховщики, а также поставщики ИКТ, поддерживающие их.
Это практичный список, охватывающий оценку рисков, инвентаризацию активов, постоянный мониторинг, сканирование уязвимостей и многое другое.
Да. Регулярное сканирование на наличие уязвимостей однозначно требуется.
Встраивая проверки безопасности и мониторинг в процесс поставки программного обеспечения pipelineи управление инфраструктурой.
