PayPal безопаснее Venmo, поскольку имеет передовую систему обнаружения мошенничества, поддерживает ключи доступа, предоставляет надежные программы защиты для покупателей и продавцов, а также демонстрирует более высокие п...
Закон о цифровой операционной устойчивости (DORA) — это нормативный акт, укрепляющий цифровую безопасность финансовых учреждений в Европейском союзе (ЕС). Хотя DORA вступил в силу в 2023 году, он будет полностью принят всеми финансовыми учреждениями ЕС и сторонними поставщиками услуг информационно-коммуникационных технологий (ИКТ) начиная с января 2025 года для повышения эффективности защиты от потенциальных киберугроз.
Читайте дальше, чтобы узнать о целях DORA, основных принципах соответствия требованиям и о том, как ваша организация может подготовиться к действию DORA.
Цель DORA
Две основные цели DORA — усовершенствовать методы управления рисками ИКТ в сфере финансовых услуг и привести к единообразию существующие правила управления рисками ИКТ в отдельных странах-членах ЕС.
Решение проблемы управления рисками ИКТ в финансовом секторе
В финансовых учреждениях ЕС правила управления рисками сводятся к обеспечению достаточного количества денежных средств для преодоления рисков, угрожающих их деятельности. Однако проблема заключается в том, что некоторые организации имеют руководящие принципы в области ИКТ, а другие — нет. Без единого набора стандартов безопасности или правил управления рисками ИКТ каждое государство-член ЕС было вынуждено разработать свои собственные требования. DORA позволит финансовому сектору повысить уровень безопасности и лучше справляться с рисками, связанными с его онлайн-системами и технологическими уязвимостями, благодаря стандартизации этих требований.
Сведение норм управления рисками в единую систему
Благодаря DORA ЕС может использовать последовательную систему безопасности для управления рисками ИКТ, прежде всего в секторе финансовых услуг. Это позволит устранить несоответствия между стандартами в различных странах ЕС и упростит процесс соблюдения требований для финансовых учреждений. DORA поможет организациям лучше понимать, как действовать в случае возникновения риска безопасности.
Пять основных принципов соответствия DORA
Организации ЕС, на которые распространяется действие DORA, должны следовать пяти основным принципам его соблюдения к 17 января 2025 года.
1. Управление рисками ИКТ
Управление рисками ИКТ является основой DORA, поскольку позволяет выявлять и анализировать риски, связанные с использованием технологии в организации. Финансовые учреждения должны следовать системе управления рисками ИКТ с привлечением ключевых заинтересованных сторон и руководителей высшего звена для обеспечения эффективной коммуникации, касающейся потенциальных рисков безопасности. Управление рисками ИКТ должно содержать подробную информацию о соответствующих инструментах, документах и процессах защиты организации от операционных рисков и киберугроз. Без надлежащего управления рисками ИКТ у организаций будет больше шансов столкнуться с утечкой данных и другими проблемами безопасности, которые могут нанести ущерб их бизнесу и репутации.
2. Система отчетности об инцидентах в сфере ИКТ
После создания системы управления рисками ИКТ организация должна будет знать, как сообщать об инцидентах в случае их возникновения. С помощью DORA отчетность об инцидентах с ИКТ станет проще благодаря консолидации этих отчетов в более упорядоченный канал. Финансовые учреждения должны будут направить отчет о первопричине в единый центр ЕС в течение одного месяца после серьезного инцидента, связанного с ИКТ, по новым правилам отчетности ЕС. После подачи организацией отчета о первопричине центр ЕС проверит все основные отчеты, связанные с ИКТ, и соберет все данные, чтобы определить, есть ли общие уязвимости в системе безопасности финансовых учреждений.
3. Цифровое тестирование операционной устойчивости
Некоторые финансовые организации в настоящее время привлекают независимые стороны для регулярного проведения тестирования операционной устойчивости цифровых технологий, в ходе которого проверяются их методологии, процедуры, инструменты и системы восстановления для подготовки к любым рискам, связанным с ИКТ. Несмотря на то, что в настоящее время существуют системы, позволяющие проводить тестирование операционной устойчивости цифровых технологий для определенных финансовых организаций, DORA позволит распространить требования к тестированию на весь сектор финансовых услуг. Это позволит увеличить число организаций для проведения тестирования операционной устойчивости цифровых технологий, свести к минимуму затраты на привлечение независимых сторон и снизить вероятность того, что предприятия пострадают от кибератак.
4. Обмен информацией и оперативными данными
После полного вступления DORA в силу организации будут обязаны обмениваться информацией о киберугрозах в рамках надежных финансовых сообществ. Основная цель — помочь другим организациям узнать о потенциальных киберугрозах, чтобы они могли разработать свои собственные решения для защиты частной информации. Организации будут рассказывать и делиться стратегиями, которые они используют для борьбы с киберугрозами, чтобы повысить общую безопасность сообщества финансовых услуг.
5. Управление рисками ИКТ третьих сторон
Финансовые учреждения должны иметь оформленные договоры со всеми «критически важными» поставщиками ИКТ-услуг, в которых четко будут прописаны пункты, связанные с защитой данных и управлением инцидентами. Отличительной чертой «критически важных» поставщиков ИКТ-услуг, является то, что они оказывают услуги, которые имеют решающее значение для повседневной деятельности организации. Договоры с критически важными сторонними поставщиками — это гарантия того, что они будут обязаны поддерживать аффилированные финансовые учреждения в случае утечки данных или другой кибератаки. Например, при наличии договора сторонний поставщик будет обязан делиться соответствующей информацией и соблюдать высочайший уровень стандартов безопасности при оказании услуг финансового учреждения, отвечающего требованиям DORA, так как имеет статус «критически важный».
Как подготовиться к соблюдению DORA?
Ваша организация может подготовиться к выполнению требований DORA различными способами, включая проведение анализа недостатков относительно DORA, выявление критически важных сторонних поставщиков и оценку имеющегося плана реагирования на инциденты.
Проведение анализа недостатков относительно DORA
Чтобы определить все пробелы в системах ИКТ, необходимо провести анализ недостатков относительно DORA. Вы можете оценить существующие методы работы, сравнив их с требованиями DORA. Это поможет эффективнее выявить сферы, которые необходимо доработать, чтобы соответствовать новым требованиям. На основе результатов анализа недостатков относительно DORA, возможно, потребуется создать план действий по их устранению в вашей организации. Например, если анализ несоответствий покажет, что ваша организация не участвует в обмене информацией, вам нужно будет определить порядок действий и установить сроки, чтобы обеспечить соответствие требованиям DORA.
Выявление критически важных сторонних поставщиков ИКТ
Ваша организация должна установить, работает ли она с «критически важными» сторонними поставщиками ИКТ, указав все характеристики, которые определяют эту категорию. Если вы привлекаете сторонних поставщиков облачных услуг (CSP), сотрудники службы безопасности должны проверить их на соответствие требованиям DORA и наличие действующих договоров. Важно определить, кто из сторонних поставщиков услуг относится к категории «критически важных», поскольку для обеспечения соблюдения DORA, возможно, потребуется создать рабочие группы и внести изменения в программное обеспечение.
Оцените существующий план реагирования на инциденты
План реагирования на инциденты предусматривает ответственность и процедуры, которым должны следовать сотрудники организации в случае утечки данных или кибератаки. При наличии утвержденного плана реагирования на инциденты в случае возникновения проблем организация будет готова выявить, оценить, устранить последствия и предотвратить повторение атак, а не будет паниковать. Поскольку в вашей организации уже есть план реагирования на инциденты, вам нужно будет еще раз оценить его на предмет соответствия DORA. Сопоставьте существующий план с требованиями DORA, чтобы определить, будет ли ваша организация выполнять конкретные предписания. Если вы проверяете свой план реагирования на инциденты, имитируя утечку данных и обнаруживая уязвимости, вам также придется изменить внутреннюю отчетность, чтобы она соответствовала стандартам DORA.
Что произойдет, если фирмы не будут соблюдать DORA?
Если финансовое учреждение не будет соответствовать DORA, могут быть наложены штрафы в размере до 2% от его совокупного годового дохода. Хотя при несоблюдении DORA пострадает организация в целом, штраф в размере до одного миллиона евро может быть наложен и на отдельных представителей руководства. Для «критически важных» сторонних поставщиков ИКТ, которые не будут соблюдать DORA, штраф может достигать пяти миллионов евро.
Как KeeperPAM® может помочь вам обеспечить соблюдение требований DORA?
Ваша организация может усилить безопасность и обеспечить соблюдение определенных требований DORA, приобретя решение для управления привилегированным доступом (PAM), такое как KeeperPAM Используя KeeperPAM, ваша организация сможет выполнять тщательный мониторинг и контроль сотрудников и систем, которые работают с конфиденциальными данными и критически важными учетными записями, что позволит значительно сократить количество ошибок или уязвимостей, которые могут привести к утечкам данных или кибератакам. KeeperPAM может помочь организациям финансового соответствовать требованиям DORA, сократив поверхность атаки, обеспечивая безопасный доступ для авторизованных пользователей и предоставляя полную отчетность по каждой привилегированной учетной записи.
Запросите демоверсию KeeperPAM уже сегодня, чтобы подготовить свою организацию к соблюдению требований DORA и обеспечить высочайший уровень защиты конфиденциальных данных.