Списък на изискванията за сигурност на DORA

Тук е даден списък на всички изисквания за сигурност на DORA за вашата организация.
Можете да го разпечатате и да започнете работа по тях, преди да е станало твърде късно!

И ако имате нужда от експертна помощ, просто се свържете с нас и насрочете безплатна консултация!

1. Рамка за управление на риска в областта на ИКТ

  • Създаване и поддържане на цялостна рамка за управление на риска в областта на ИКТ.
  • Интегриране на управлението на риска в областта на ИКТ в общите процеси за управление на риска.
  • Определяне на ясни роли и отговорности за управлението на риска в областта на ИКТ.
  • Осигуряване на надзор и отчетност на органите за управление по отношение на рисковете, свързани с ИКТ.
  • Редовно актуализиране на рамката, за да се отразят промените в рисковата среда на ИКТ.

2. Процеси за управление на риска в областта на ИКТ

  • Идентифициране на рисковете в областта на ИКТ

    • Непрекъснато идентифициране и оценяване на рисковете, свързани с ИКТ.
    • Поддържане на опис на ИКТ активите и техните рискови профили.
  • Мерки за защита и превенция

    • Прилагане на политики за сигурност и контроли за намаляване на идентифицираните рискове.
    • Осигуряване на защита и поверителност на данните.
  • Мерки за откриване

    • Създаване на системи за откриване на аномални дейности и потенциални инциденти с ИКТ.
    • Непрекъснато наблюдение на мрежите и системите.
  • Реакция и възстановяване

    • Разработване и поддържане на план за реакция при инциденти в ИКТ.
    • Осигуряване на планове за непрекъснатост на дейността и възстановяване след бедствие.
    • Редовно тествайте плановете за реакция и възстановяване.
  • Учене и развитие

    • Анализирайте инцидентите, за да подобрите бъдещите реакции.
    • Актуализиране на политиките и процедурите въз основа на придобития опит.

3. ИКТ системи, протоколи и инструменти

  • Осигуряване на устойчивост и сигурност на ИКТ системите.
  • Прилагане на механизми за контрол на достъпа и удостоверяване.
  • Редовно актуализирайте и поправяйте ИКТ системите.
  • Използвайте криптиране и други технологии за сигурност, когато е уместно.
  • Поддържане на документация за системите и протоколите на ИКТ.

4. Докладване на инциденти в областта на ИКТ

  • Създаване на вътрешен процес за управление на инциденти с ИКТ.
  • Класифициране на ИКТ инциденти въз основа на въздействието и сериозността им.
  • Незабавно докладвайте на компетентните органи за големи инциденти в областта на ИКТ.
  • Уведомяване на клиентите и заинтересованите страни за инциденти, когато е необходимо.
  • Водете записи за всички инциденти с ИКТ и действия по докладване.

5. Тестване на цифровата оперативна устойчивост

  • Извършване на редовни оценки на сигурността на ИКТ.
  • Извършване на оценки на уязвимостта и тестове за проникване.
  • Когато е приложимо, участвайте в тестове за проникване, основани на заплахи.
  • Незабавно адресирайте и отстранявайте идентифицираните уязвимости.
  • Документиране на методологиите за тестване и резултатите.

6. Управление на риска от трети страни в областта на ИКТ

  • Поддържане на актуален регистър на всички доставчици на услуги от трети страни в областта на ИКТ.
  • Извършвайте надлежна проверка, преди да ангажирате доставчици от трети страни.
  • Уверете се, че договорите включват:
    • Споразумения за ниво на обслужване (SLA).
    • Задължения за сигурност и поверителност.
    • Права за прекратяване и стратегии за излизане.
  • Редовно наблюдавайте работата на третата страна и нейното съответствие.
  • Оценка на риска от концентрация на зависимости от трети страни.
  • Разработване на планове за непредвидени ситуации при прекъсване на услугите на трети страни.

7. Споразумения за обмен на информация

  • Участвайте в мрежи за обмен на информация, когато е необходимо.
  • Споделяне на информация за киберзаплахи, уязвимости и инциденти.
  • Осигуряване на съответствие със законите за защита на данните и поверителност по време на споделянето.
  • Установяване на процедури за получаване и разпространение на споделена информация.

8. Управление и надзор

  • Гарантиране на активното участие на управителния орган в управлението на риска в областта на ИКТ.
  • Осигуряване на редовно обучение на ръководството и персонала относно рисковете, свързани с ИКТ.
  • Определете функция на висшето ръководство, която да отговаря за рисковете, свързани с ИКТ.
  • Създаване на механизми за вътрешен одит с цел преглед на управлението на риска в областта на ИКТ.
  • Редовно да докладва на управителния орган за рисковете, свързани с ИКТ.

9. Специфични разпоредби за доставчиците на услуги от трети страни в областта на критичните ИКТ

  • Определете дали някои доставчици на ИКТ от трети страни се считат за критични.
  • Гарантиране, че доставчиците на критични услуги спазват изискванията за надзор.
  • Взаимодействие с регулаторните органи по отношение на оценките на критичните доставчици.
  • Включете договорни клаузи, позволяващи извършването на регулаторни одити на критичните доставчици.

10. Преходни мерки и съответствие

  • Разработване на пътна карта за постигане на пълно съответствие в рамките на периода на прилагане.
  • Преглед и адаптиране на съществуващите политики и договори, за да отговарят на изискванията на DORA.
  • взаимодействайте с регулаторните органи, за да изясните всички неясноти относно съответствието.
  • Следете за актуализации или допълнителни насоки, свързани с DORA.
Picture of Alexander Sverdlov

Alexander Sverdlov

Leave a Reply