Изисквания на DORA за финансови организации: Ръководство за експерти по сигурността

В света на финансите бързия технологичен напредък и цифровизацията на операциите са критични, както и сигурността на тези операции. Като експерти по сигурността с широк опит в тази област, разбираме значителните промени, които Законът за цифровата оперативна устойчивост (DORA) внася във финансовите организации. DORA, като част от законодателството на ЕС, е на път да определи еталона за цифрова оперативна устойчивост, като гарантира, че финансовите субекти ще останат сигурни, ефективни и надеждни. Предлагаме ви техническа разбивка на неговите изисквания и приложими стъпки за изпълнение.

dora requirements for financial organizations

1. Управление на риска и мениджмънт

Изискване: Финансовите институции трябва да разполагат с надеждна структура за управление, за да се справят с потенциалните рискове, свързани с ИКТ.

Технически съвети:

  • Определяне на лидерство: Назначете главен служител по сигурността на информацията (CISO) или еквивалентно лице, което да отговаря за надзора на управлението на риска в областта на ИКТ. Ние тук можем да ви помогнем, като встъпим като Виртуален CISO във вашата организация. 
  • Прилагане на политики: Разработване, документиране и редовен преглед на политиките, свързани с риска от ИКТ.
  • Непрекъснат мониторинг: Използвайте решения за управление на информацията и събитията в сигурността (SIEM), за да получите цялостен поглед върху сигналите за сигурност в предприятието.

2. Оценки на риска в областта на ИКТ

Изискване: Редовно оценяване на рисковете, свързани с ИКТ, чрез структурирани оценки.

Технически съвети:

  • Внедряване на инструменти за оценка: Използвайте инструменти като Qualys или Nessus, за да извършвате оценки на уязвимостта на вашата ИКТ инфраструктура.
  • Стратегия за смекчаване: Идентифицирайте рисковете и ги подредете по важност в зависимост от потенциалното им въздействие. Назначете екипи или лица, отговорни за всеки риск.
  • Честота: Извършвайте тези оценки поне веднъж годишно или след големи промени в системата.

3. Оперативна устойчивост

Изискване: Финансовите организации трябва да осигурят непрекъснатост на операциите си дори при неблагоприятни сценарии в областта на ИКТ.

Технически съвети:

  • Анализ на въздействието върху бизнеса: Идентифицирайте критичните бизнес функции и потенциалното въздействие на прекъсванията на ИКТ.
  • Създаване на излишък: Въведете дублиращи системи, особено за критични операции. Обмислете технологии като балансьори на натоварването и системи за отказ.
  • Редовни тренировки: Провеждане на тренировки за имитация на прекъсване на ИКТ, за да се осигури бързо възстановяване при инциденти в реално време.

4. Докладване на инциденти

Изискване: Всеки сериозен инцидент, свързан с ИКТ, който засяга финансовите институции, трябва да се докладва незабавно.

Технически съвети:

  • Откриване на инциденти: Използвайте системи за откриване на прониквания (IDS) и системи за предотвратяване на прониквания (IPS), за да наблюдавате и предотвратявате потенциални заплахи за сигурността.
  • Документация: Поддържайте дневници за всички инциденти, включително подробности за инцидента, предприетата реакция и потенциални области за подобрение.
  • Уведомяване: Създайте автоматични системи за предупреждение, за да уведомявате заинтересованите страни при нарушение. Осигуряване на спазването на графика на DORA за докладване на инциденти.

5. Тестване на цифровата устойчивост

Изискване: Субектите трябва да тестват своите цифрови системи за потенциални уязвимости.

Технически съвети:

  • Тестване за проникване: Редовно провеждайте тестове за проникване в инфраструктурата си с помощта на инструменти като Metasploit или Burp Suite.
  • Анализ на сценариите: Използвайте симулации, за да имитирате реални сценарии на атаки и да разберете по-добре уязвимостта на системата.
  • Непрекъсната обратна връзка: Уверете се, че резултатите от тези тестове се връщат обратно в системата с цел непрекъснато подобряване.

6. Информационни и комуникационни системи

Изискване: Поддържане на сигурни и ефективни ИКТ системи.

Технически съвети:

  • Криптиране: Използвайте усъвършенствани техники за криптиране на данни в покой и при пренос. TLS за данни при пренос и AES за данни в режим на съхранение са добри отправни точки.
  • Контрол на достъпа: Въведете контрол на достъпа, базиран на роли (RBAC), за да гарантирате, че само оторизиран персонал има достъп до чувствителни данни и операции.
  • Редовни кръпки: Уверете се, че всички системи са редовно актуализирани с най-новите пачове за сигурност.

7. Риск от трети страни

Изискване: Управление и наблюдение на рисковете, произтичащи от трети страни – доставчици на услуги.

Технически съвети:

  • Надлежна проверка: Преди да се включите в системата, извършете задълбочени проверки на сигурността на доставчиците от трети страни. Инструменти като UpGuard могат да предоставят информация за техните позиции по отношение на сигурността.
  • Редовни одити: Провеждайте периодични одити на доставчиците от трети страни, за да се уверите, че те спазват стандартите за сигурност на вашата организация.
  • Договорни клаузи: Имайте ясни клаузи в договорите с трети страни, в които се излагат очакванията за сигурност и потенциалните санкции при нарушения.

8. Риск от концентрация на ИКТ

Изискване: Да се преодолеят рисковете, произтичащи от прекомерната зависимост от един или няколко доставчици на ИКТ.

Технически съвети:

  • Диверсификация: Избягвайте да разчитате в голяма степен на един доставчик на ИКТ. Ако е възможно, осигурете резервни доставчици за критичните услуги.
  • Мониторинг на изпълнението: Използвайте инструменти като Nagios или Zabbix, за да наблюдавате производителността на доставчиците на ИКТ и да откривате всякакви несъответствия.

9. Управление на капацитета и изпълнението

Изискване: Финансовите институции трябва да гарантират, че техните ИКТ системи са в състояние да се справят с очакваните натоварвания.

Технически съвети:

  • Планиране на капацитета: Редовно оценявайте капацитета на системите си. Инструменти като SolarWinds могат да ви помогнат да оцените текущия капацитет и бъдещите изисквания.
  • Мониторинг на изпълнението: Внедрете решения за мониторинг на производителността, за да получите информация за производителността на системата в реално време.

Като се фокусират върху тези изисквания и използват предоставените технически съвети, финансовите организации могат ефективно да се ориентират в регулаторния пейзаж на DORA. Сферата на финансовите технологии е сложна и необятна, но с проактивни мерки и внимателен поглед върху развиващите се киберзаплахи финансовите институции могат да останат начело на кривата. Не забравяйте, че в цифровата ера подготовката е ключът към устойчивостта.

Picture of Alexander Sverdlov

Alexander Sverdlov

Leave a Reply