Тук е даден списък на всички изисквания за сигурност на DORA за вашата организация.
Можете да го разпечатате и да започнете работа по тях, преди да е станало твърде късно!
И ако имате нужда от експертна помощ, просто се свържете с нас и насрочете безплатна консултация!
1. Рамка за управление на риска в областта на ИКТ
- Създаване и поддържане на цялостна рамка за управление на риска в областта на ИКТ.
- Интегриране на управлението на риска в областта на ИКТ в общите процеси за управление на риска.
- Определяне на ясни роли и отговорности за управлението на риска в областта на ИКТ.
- Осигуряване на надзор и отчетност на органите за управление по отношение на рисковете, свързани с ИКТ.
- Редовно актуализиране на рамката, за да се отразят промените в рисковата среда на ИКТ.
2. Процеси за управление на риска в областта на ИКТ
-
Идентифициране на рисковете в областта на ИКТ
- Непрекъснато идентифициране и оценяване на рисковете, свързани с ИКТ.
- Поддържане на опис на ИКТ активите и техните рискови профили.
-
Мерки за защита и превенция
- Прилагане на политики за сигурност и контроли за намаляване на идентифицираните рискове.
- Осигуряване на защита и поверителност на данните.
-
Мерки за откриване
- Създаване на системи за откриване на аномални дейности и потенциални инциденти с ИКТ.
- Непрекъснато наблюдение на мрежите и системите.
-
Реакция и възстановяване
- Разработване и поддържане на план за реакция при инциденти в ИКТ.
- Осигуряване на планове за непрекъснатост на дейността и възстановяване след бедствие.
- Редовно тествайте плановете за реакция и възстановяване.
-
Учене и развитие
- Анализирайте инцидентите, за да подобрите бъдещите реакции.
- Актуализиране на политиките и процедурите въз основа на придобития опит.
3. ИКТ системи, протоколи и инструменти
- Осигуряване на устойчивост и сигурност на ИКТ системите.
- Прилагане на механизми за контрол на достъпа и удостоверяване.
- Редовно актуализирайте и поправяйте ИКТ системите.
- Използвайте криптиране и други технологии за сигурност, когато е уместно.
- Поддържане на документация за системите и протоколите на ИКТ.
4. Докладване на инциденти в областта на ИКТ
- Създаване на вътрешен процес за управление на инциденти с ИКТ.
- Класифициране на ИКТ инциденти въз основа на въздействието и сериозността им.
- Незабавно докладвайте на компетентните органи за големи инциденти в областта на ИКТ.
- Уведомяване на клиентите и заинтересованите страни за инциденти, когато е необходимо.
- Водете записи за всички инциденти с ИКТ и действия по докладване.
5. Тестване на цифровата оперативна устойчивост
- Извършване на редовни оценки на сигурността на ИКТ.
- Извършване на оценки на уязвимостта и тестове за проникване.
- Когато е приложимо, участвайте в тестове за проникване, основани на заплахи.
- Незабавно адресирайте и отстранявайте идентифицираните уязвимости.
- Документиране на методологиите за тестване и резултатите.
6. Управление на риска от трети страни в областта на ИКТ
- Поддържане на актуален регистър на всички доставчици на услуги от трети страни в областта на ИКТ.
- Извършвайте надлежна проверка, преди да ангажирате доставчици от трети страни.
- Уверете се, че договорите включват:
- Споразумения за ниво на обслужване (SLA).
- Задължения за сигурност и поверителност.
- Права за прекратяване и стратегии за излизане.
- Редовно наблюдавайте работата на третата страна и нейното съответствие.
- Оценка на риска от концентрация на зависимости от трети страни.
- Разработване на планове за непредвидени ситуации при прекъсване на услугите на трети страни.
7. Споразумения за обмен на информация
- Участвайте в мрежи за обмен на информация, когато е необходимо.
- Споделяне на информация за киберзаплахи, уязвимости и инциденти.
- Осигуряване на съответствие със законите за защита на данните и поверителност по време на споделянето.
- Установяване на процедури за получаване и разпространение на споделена информация.
8. Управление и надзор
- Гарантиране на активното участие на управителния орган в управлението на риска в областта на ИКТ.
- Осигуряване на редовно обучение на ръководството и персонала относно рисковете, свързани с ИКТ.
- Определете функция на висшето ръководство, която да отговаря за рисковете, свързани с ИКТ.
- Създаване на механизми за вътрешен одит с цел преглед на управлението на риска в областта на ИКТ.
- Редовно да докладва на управителния орган за рисковете, свързани с ИКТ.
9. Специфични разпоредби за доставчиците на услуги от трети страни в областта на критичните ИКТ
- Определете дали някои доставчици на ИКТ от трети страни се считат за критични.
- Гарантиране, че доставчиците на критични услуги спазват изискванията за надзор.
- Взаимодействие с регулаторните органи по отношение на оценките на критичните доставчици.
- Включете договорни клаузи, позволяващи извършването на регулаторни одити на критичните доставчици.
10. Преходни мерки и съответствие
- Разработване на пътна карта за постигане на пълно съответствие в рамките на периода на прилагане.
- Преглед и адаптиране на съществуващите политики и договори, за да отговарят на изискванията на DORA.
- взаимодействайте с регулаторните органи, за да изясните всички неясноти относно съответствието.
- Следете за актуализации или допълнителни насоки, свързани с DORA.