Закон о цифровой операционной устойчивости (DORA) является частью пакета цифровых финансов ЕС и обязывает финансовые организации работать с надежной инфраструктурой кибербезопасности. DORA требует от финансовых организаций гарантировать, что они могут выдерживать, адаптироваться и восстанавливаться после сбоев, связанных с ИТ, которые могут повлиять на их операции или финансовую систему в целом. Этот регламент направлен на улучшение управления рисками, обеспечение подотчетности и оптимизацию стандартов кибербезопасности в финансовых организациях ЕС, сторонних поставщиках и критической финансовой инфраструктуре.

Основные цели ДОРА #

1. Усиление кибербезопасности: Внедрение высоких стандартов кибербезопасности в финансовых организациях для защиты от возникающих киберугроз.
2. Стандартизировать меры по обеспечению устойчивости: Гармонизировать требования к устойчивости ИТ в финансовых службах, обеспечив согласованность и сплоченность.
3. Усиление нормативного надзора: Уделяйте больше внимания мониторингу сторонних поставщиков услуг, особенно тех, которые имеют решающее значение для ИТ-операций.

Кто должен соблюдать DORA? #

DORA распространяется на ряд организаций в секторе финансовых услуг в ЕС, включая, помимо прочего:

• Банки, кредитные учреждения и страховые компании
• Платежные учреждения и учреждения электронных денег
• Инвестиционные компании, управляющие фондами и поставщики услуг криптоактивов
• Поставщики инфраструктуры финансового рынка, такие как центральные депозитарии ценных бумаг
• Поставщики информационно-коммуникационных технологий (ИКТ), которые обслуживают эти организации

Технические требования ДОРА #

Структура управления рисками ИКТ #

Цель: Создать и поддерживать структуру для выявления, оценки и снижения рисков в сфере ИКТ во всей организации.

Требования:

• Разработать и внедрить политику управления рисками в области ИКТ, соответствующую общей стратегии управления рисками организации.
• Установите контроль безопасности данных, управления доступом и управления изменениями.
• Обеспечить доступность, подлинность, целостность и конфиденциальность данных.

Отчетность и управление инцидентами в сфере ИКТ #

Цель: Обеспечить структурированный процесс мониторинга и управления инцидентами, связанными с ИКТ.

Требования:

• Внедрить систему мониторинга в режиме реального времени для обнаружения и сообщения об инцидентах, связанных с ИКТ.
• Разработать шкалу классификации инцидентов, чтобы гарантировать, что инциденты будут рассматриваться в соответствии с их серьезностью и последствиями.
• Разработайте планы реагирования и восстановления, чтобы свести к минимуму сбои во время инцидентов в сфере ИКТ.
• Сообщайте о серьезных инцидентах в регулирующие органы в установленные сроки.

Тестирование устойчивости цифровых операций (DORT) #

Цель: Регулярно оценивайте и проверяйте эффективность систем и протоколов ИКТ.

Требования:

• Проводите стресс-тесты, тесты на проникновение и оценки уязвимостей для выявления и устранения потенциальных слабых мест в системах ИКТ.
• Проведите тестирование на проникновение под воздействием угроз (TLPT), которое включает моделирование реальных сценариев атак для оценки устойчивости системы.
• Разработайте и внедрите график тестирования, чтобы обеспечить последовательную оценку устойчивости системы.

Стороннее управление рисками #

Цель: Внедрить надежные процедуры мониторинга и управления сторонними поставщиками услуг, связанных с ИКТ.

Требования:

• Убедитесь, что договорные соглашения с поставщиками ИКТ включают положения о защите данных, мерах кибербезопасности и управлении инцидентами.
• Регулярно проводите комплексную проверку сторонних поставщиков, чтобы оценить их операционную устойчивость и методы кибербезопасности.
• Внедрить структуру оценки рисков, которая оценивает зависимости от третьих сторон и их влияние на непрерывность бизнеса.

Планирование устойчивости и непрерывности #

Цель: Разработать комплексные планы по обеспечению непрерывности бизнеса в случае сбоев в работе ИКТ.

Требования:

• Разработать и поддерживать план обеспечения непрерывности бизнеса (BCP), который позволяет устранить сбои, связанные с ИКТ.
• Разработайте и внедрите план восстановления после сбоев (DRP) с протоколами восстановления данных и системы.
• Регулярно проводите имитационные учения для обеспечения эффективности планов обеспечения непрерывности.

Отчетность и коммуникация #

Цель: Обеспечить четкую и своевременную передачу информации, связанной с устойчивостью, соответствующим заинтересованным сторонам.

Требования:

• Внедрить механизмы внутренней отчетности о рисках и инцидентах в сфере ИКТ перед руководством и соответствующими департаментами.
• Содействовать предоставлению внешней отчетности регулирующим органам и другим органам, особенно об инцидентах, которые могут повлиять на стабильность рынка.
• Ведите четкую документацию по мерам обеспечения устойчивости ИКТ, результатам тестирования и отчетам об инцидентах для рассмотрения регулирующими органами.

Проблемы и соображения по внедрению DORA #

Соблюдение строгих технических требований DORA может представлять трудности для финансовых учреждений, особенно в управлении расходами, обеспечении квалифицированного персонала и установлении эффективного кросс-функционального сотрудничества. Ниже приведены ключевые соображения для эффективного внедрения DORA:

• Распределение ресурсов: Учреждения должны обеспечить выделение достаточных финансовых и технических ресурсов для тестирования устойчивости, стороннего надзора и управления инцидентами.
• Обучение персонала: Регулярное обучение необходимо для того, чтобы держать персонал в курсе протоколов обеспечения устойчивости, передовых методов кибербезопасности и технических аспектов отчетности об инцидентах и ​​управления ими.
• Координация с поставщиками ИКТ: Поскольку DORA распространяет регулирующий контроль на сторонних поставщиков ИКТ, учреждениям следует тесно сотрудничать со своими поставщиками для поддержания соответствия и обеспечения непрерывности услуг.
• Непрерывное совершенствование: Соответствие DORA — это не разовая задача. Учреждения должны регулярно обновлять меры устойчивости, адаптироваться к возникающим угрозам и улучшать свою ИКТ-инфраструктуру на основе отзывов о тестировании и новых нормативных идей.

Соответствие требованиям ДОРА RELIANOID Балансировщик нагрузки #

В контексте Закона о цифровой операционной устойчивости (DORA), который фокусируется на кибербезопасности и устойчивости финансовых и критически важных услуг, балансировщики нагрузки, такие как RELIANOID может играть решающую роль в обеспечении соответствия требованиям, предоставляя ключевые функции, которые повышают устойчивость сети, доступность и безопасную обработку данных.

Вот как работает балансировщик нагрузки RELIANOID может помочь соответствовать принципам DORA:

1. Устойчивость и резервирование: RELIANOID Балансировщики нагрузки распределяют трафик по нескольким серверам, гарантируя, что ни одна точка отказа не нарушит обслуживание. Эта избыточность повышает надежность услуг, что является основным компонентом требований к эксплуатационной устойчивости DORA.

2. Протоколы безопасности: Благодаря встроенным функциям безопасности, таким как завершение SSL-трафика, смягчение DDoS-атак и модули WAF (брандмауэр веб-приложений), RELIANOID помогает защитить от киберугроз, что соответствует требованиям DORA по кибербезопасности. Кроме того, эти уровни безопасности предотвращают несанкционированный доступ, обнаруживают вторжения и защищают целостность данных во время передачи.

3. Мониторинг и отчетность в режиме реального времени: RELIANOID обеспечивает мониторинг в реальном времени и оповещения, помогая в проактивном управлении сетевым трафиком и обнаружении угроз. В рамках DORA непрерывный мониторинг необходим для эффективного управления рисками. RELIANOID может регистрировать подробные схемы трафика, предупреждая администраторов об аномалиях и потенциальных инцидентах безопасности, а также способствуя быстрому реагированию.

4. Реагирование на инциденты и восстановление: Поддерживая автоматическое переключение на резервный ресурс и перенаправление трафика, RELIANOID помогает обеспечить непрерывность во время сбоев, что соответствует акценту DORA на восстановлении после инцидентов. Это также упрощает организацию процессов восстановления после сбоев, перенаправляя трафик и поддерживая основные службы в режиме онлайн в случае частичных отключений.

5. Соблюдение требований и управление данными: RELIANOID способствует соблюдению требований DORA по управлению данными, обеспечивая шифрование трафика данных между клиентами и серверами, сохраняя целостность и конфиденциальность данных.

Решая вопросы устойчивости, безопасности и мониторинга соответствия, RELIANOID Балансировщики нагрузки вносят непосредственный вклад в способность организации соответствовать стандартам DORA, особенно в финансовых и критически важных секторах, где устойчивость и безопасность имеют первостепенное значение.

Заключение #

Закон о цифровой операционной устойчивости (DORA) знаменует собой значительный прогресс в приверженности ЕС укреплению кибербезопасности и операционной устойчивости в финансовом секторе. Устанавливая строгие технические требования к управлению рисками ИКТ, отчетности об инцидентах, тестированию устойчивости, мониторингу третьей стороной и планированию непрерывности, DORA стремится создать более безопасный и устойчивый цифровой ландшафт для финансовых услуг. Соблюдение DORA является не только нормативной необходимостью, но и жизненно важным шагом в укреплении доверия, стабильности и безопасности в финансовой экосистеме.

По мере приближения сроков соблюдения требований DORA финансовые учреждения по всему ЕС должны уделять первоочередное внимание созданию надежной структуры операционной устойчивости для выполнения этих требований и адаптации к все более цифровому и взаимосвязанному финансовому миру.