Поделиться через

Что такое DORA?

  • Статья

С 17 января 2025 г. финансовые организации Европейского союза (ЕС) и, как только они будут назначены, сторонние поставщики услуг ИКТ, назначенные европейскими надзорными органами как критические, должны быть готовы соблюдать Закон ЕС о цифровой операционной устойчивости (Регламент (ЕС) 2022/2554 - DORA). DORA стандартизирует, как финансовые организации сообщают об инцидентах кибербезопасности, проверяют их цифровую операционную устойчивость и управляют рисками третьих сторон ИКТ в секторе финансовых услуг и государствах-членах ЕС.

Помимо установления четких ожиданий в отношении роли поставщиков ИКТ, DORA предоставляет европейским надзорным органам (ESA) прямые полномочия по надзору над назначенными критически важными поставщиками ИКТ. Корпорация Майкрософт готова быть назначена в качестве "критического стороннего поставщика услуг ИКТ" в соответствии с применимыми положениями DORA, и поможет регулируемым финансовым учреждениям выполнить свои собственные требования.

DORA стремится обеспечить согласованный подход к достижению "высокого уровня цифровой операционной устойчивости" в отрасли финансовых услуг (FSI), гарантируя, что фирмы могут противостоять широкому спектру угроз и нарушений, включая кибератаки, сбои ИТ и другие операционные риски. DORA применяется к широкому кругу организаций FSI, включая банки, страховые учреждения, фондовые биржи и торговые платформы.

Ключевые моменты

  1. Цель DORA: DORA стремится повысить устойчивость и стабильность сектора FSI, гарантируя, что организации FSI имеют эффективные меры для управления и устранения операционных рисков, включая кибер-риски. Она направлена на защиту потребителей, инвесторов и более широкой системы FSI от потенциально серьезных последствий серьезных сбоев или сбоев в секторе.
  2. Размах: DORA применяется к организациям FSI, работающим в Европейском союзе, и к их сторонним поставщикам ИКТ, которые предоставляют услуги в ЕС, независимо от того, откуда они действуют. Это также относится к критически важным сторонним поставщикам (CTP), назначенным ESA, которым поручено ежедневное наблюдение за одним из трех ESA, то есть EBA, EIOPA или ESMA.
  3. Основные положения: DORA включает в основном три требования:
    1. Требования, применимые к сущностям FSI, в том числе в областях управления рисками ИКТ, уведомления об основных инцидентах с ИКТ и тестирования операционной устойчивости, таких как тестирование на проникновение под руководством угроз.
    2. Требования в отношении договорных соглашений, заключенных между назначенными сторонними поставщиками услуг в области ИКТ и организациями FSI
    3. Правила создания и проведения системы надзора за критически важными сторонними поставщиками ИКТ (CTP) при предоставлении услуг организациям FSI.
  4. Соответствие требованиям. Корпорация Майкрософт соблюдает все законы и нормативные акты, применимые к ней при предоставлении своих услуг, при условии соблюдения требований, применяемых к ней в качестве CTPP, а также требований DORA, которые корпорация Майкрософт должна выполнять, обслуживая организации FSI с нормальными и критически важными службами ИКТ. Организации FSI, имеющие договорные соглашения об использовании Microsoft веб-службы для выполнения своих критически важных или важных функций, должны по-прежнему отвечать за соблюдение всех обязательств в соответствии с DORA и применимыми нормативными требованиями к финансовым услугам. Корпорация Майкрософт поддерживает сущности FSI, чтобы обеспечить их обязательства по соответствию требованиям и соблюдать применимые к ним требования.
  5. Облачные службы и поставщики. DORA предназначена для обеспечения нейтрализации технологий, и требования, предъявляемые к DORA, применяются не только к сущностям FSI, но и к сторонним поставщикам услуг ИКТ.
  6. Договорные обязательства: DORA предписывает определенные договорные требования между сторонними поставщиками услуг ИКТ и организациями FSI. Корпорация Майкрософт гарантирует, что ее договорные положения соответствуют требованиям DORA, если это необходимо. Кроме того, корпорация Майкрософт уже соответствует требованиям, установленным в соответствии с рекомендациями EBA, ESMA и EIOPA, и само это руководство служит базовой платформой для требований DORA.
  7. Надзор: DORA не избавляет организации FSI от надзора за поставщиками технологий, включая аудиты, если они считаются требованием. Корпорация Майкрософт предоставляет клиентам множество сведений о гарантиях, таких как сторонние аттестации, данные о производительности, сведения об инцидентах, ежегодные и квартальные отчеты, которые могут помочь в оценке корпорации Майкрософт как поставщика технологий. Комплаенс-программа для Microsoft Cloud (CPMC) — это служба поддержки уровня "Премиум", которая может помочь в решении более конкретных и сложных сценариев, с которыми могут столкнуться участники. При необходимости корпорация Майкрософт имеет значительный опыт поддержки клиентов в выполнении аудитов и обеспечении уровня прозрачности и надежности для непрерывного надзора и мониторинга облачных служб.

DORA стремится повысить операционную устойчивость сектора FSI и стремится укрепить управление рисками, чтобы фирмы могли противостоять широкому спектру угроз и сбоев и адаптироваться к ним. Корпорация Майкрософт соблюдает все законы и нормативные акты, применимые к ее облачным службам, с учетом требований, применяемых к ней в качестве CTPP. Организации FSI, имеющие договорные соглашения об использовании сторонних служб ИКТ, должны по-прежнему отвечать за соблюдение всех обязательств в соответствии с DORA и применимыми нормативными требованиями к финансовым услугам, которые корпорация Майкрософт будет поддерживать по мере необходимости.

Основные области для рассмотрения клиентом в DORA

Платформа управления рисками в области ИКТ

Закон о цифровой операционной устойчивости (DORA) устанавливает комплексный механизм управления рисками ИКТ, соблюдать который будут финансовые организации, включая выявление, защиту и предотвращение, обнаружение, реагирование и восстановление таких рисков в область. Финансовые учреждения должны создать внутреннюю систему управления и контроля для управления рисками в области ИКТ и осуществлять постоянный мониторинг рисков в области ИКТ. Эти требования к управлению рисками и мониторингу ИКТ распространяются на использование услуг ИКТ, предоставляемых сторонними поставщиками.

Элементы этой системы управления рисками в области ИКТ в широком смысле включают:

  • Внутренняя система управления и контроля для управления рисками в области ИКТ. Финансовые организации должны иметь внутреннюю структуру управления и контроля, которая обеспечивает эффективное и разумное управление рисками в области ИКТ.
  • Компоненты и требования платформы управления рисками в области ИКТ. Структура управления рисками в области ИКТ должна включать стратегии, политики, процедуры, протоколы ИКТ и инструменты, необходимые для защиты и обеспечения устойчивости, непрерывности и доступности систем ИКТ, информационных ресурсов и данных.
  • Спецификации систем, протоколов и инструментов ИКТ: финансовые организации должны использовать и поддерживать обновленные системы, протоколы и инструменты ИКТ, которые являются соответствующими, надежными, устойчивыми и способными обрабатывать данные, необходимые для их деятельности и услуг. Они должны также внедрять политики, процедуры, протоколы и средства обеспечения безопасности ИКТ, направленные на обеспечение безопасности сетей и данных и предотвращение инцидентов, связанных с ИКТ.
  • Определение источников и зависимостей риска в области ИКТ. Финансовые организации должны выявлять, классифицировать и документировать все поддерживаемые ИКТ бизнес-функции, информационные активы и ресурсы ИКТ, а также их роли и зависимости в связи с рисками в области ИКТ. Кроме того, они должны выявлять все источники риска в области ИКТ, киберугроз и уязвимостей ИКТ, а также оценивать потенциальные последствия нарушений работы в области ИКТ.
  • Обнаружение инцидентов и аномалий, связанных с ИКТ: финансовые учреждения должны иметь механизмы для оперативного обнаружения аномальных действий, проблем с производительностью сети ИКТ и инцидентов, связанных с ИКТ, а также для выявления потенциальных единичных точек сбоя. Они также должны определить пороговые значения оповещений и критерии для запуска и запуска процессов реагирования на инциденты, связанные с ИКТ.
  • Реагирование и восстановление после инцидентов, связанных с ИКТ: финансовые организации должны иметь всеобъемлющую политику обеспечения непрерывности бизнес-процессов в области ИКТ и связанные с ней планы реагирования и восстановления, направленные на обеспечение непрерывности критически важных или важных функций, быстрое и эффективное разрешение связанных с ИКТ инцидентов и минимизацию ущерба и потерь. Они также должны регулярно тестировать, пересматривать и обновлять свои планы и меры, а также сообщать компетентным органам по мере необходимости.

Как корпорация Майкрософт помогает с управлением рисками

Корпорация Майкрософт уже предоставляет широкий набор встроенных возможностей управления рисками ИКТ в наших службах, в том числе:

CPMC также предоставляет поддержку по оценке рисков, помогая участникам сопоставлять свои платформы управления и требования с реализацией Майкрософт.

Корпорация Майкрософт предоставляет дополнительные решения для финансовых организаций, которые помогают в более широком управлении рисками, в том числе:

  • Microsoft Entra обеспечивает интегрированное управление удостоверениями, доступом и авторизацией с расширенными возможностями защиты и поддерживает облачные службы Майкрософт. Обязательно проверка подробное руководство ПО DORA для Microsoft Entra.
  • Microsoft Defender обеспечивает интегрированное обнаружение угроз, защиту и реагирование на угрозы в нескольких облаках, электронной почте, платформах совместной работы, удостоверениях и конечных точках.
  • Microsoft 365 Purview предлагает комплексный набор решений для обеспечения безопасности и соответствия данным, включая защиту от потери данных, Information Protection, информационные барьеры, управление внутренними рисками, соответствие требованиям к коммуникациям, обнаружение электронных данных, жизненный цикл данных и управление записями.
  • Microsoft Intune управляет и защищает облачные конечные точки в операционных системах Windows, Android, macOS, iOS и Linux.
  • Microsoft Copilot для безопасности использует генерируемую помощь на основе ИИ для защиты и реагирования на угрозы в масштабе и на скорости ИИ.
  • Microsoft Purview и Azure Arc помогают управлять, защищать и управлять пространством данных в локальной среде, Azure и многооблачных средах. Кроме того, она также расширяет возможности управления данными в Microsoft 365 SaaS.
  • Azure Backup, Azure Site Recovery и центр непрерывности бизнес-процессов Azure предоставляют конкретные решения для обеспечения непрерывности бизнес-процессов и восстановления с помощью развернутых ресурсов Azure. Резервное копирование Microsoft 365 — это резервная копия неструктурированных данных.

Ключевые принципы рационального управления рисками третьих сторон ИКТ

Ожидается, что финансовые учреждения будут управлять рисками третьих сторон ИКТ в рамках своей системы управления рисками в области ИКТ, принимать стратегию и политику использования служб ИКТ, поддерживающих критически важные или важные функции, а также вести реестр информации о всех договорных соглашениях со сторонними поставщиками услуг ИКТ.

  • Предварительная оценка перед заключением контрактов. Финансовые организации должны оценивать риски заключения контрактов с ключевыми сторонними поставщиками услуг ИКТ.
  • Ключевые договорные положения: Финансовые организации должны обеспечить, чтобы договорные механизмы включали, среди прочего, описание функций и служб, места обработки и хранения данных, управление и надзор за ключевыми субподрядчиками, которые лежат в основе предоставления критически важных услуг, меры защиты данных и безопасности, описания уровня обслуживания и целевые показатели производительности, права на прекращение и стратегии выхода, и права доступа, проверки и аудита финансовой организации и компетентных органов.

Корпорация Майкрософт, являющаяся сторонним поставщиком услуг икт в секторе, поддерживает клиентов в удовлетворении этих требований.

Как корпорация Майкрософт помогает со сторонним управлением рисками

Корпорация Майкрософт предоставляет существенные договорные обязательства, которые соответствуют рекомендациям ЕКА и соответствуют положениям DORA, включая статью 30. Ваше договорное соглашение с нами, которое может включать в себя наши Соглашения Enterprise, Дополнительное соглашение о защите данных продуктов и услуг Майкрософт (DPA), применимые разделы условий продукта , а для регулируемых финансовых организаций — поправку к финансовым услугам, охватывает ключевые элементы, необходимые в рамках DORA. Были внесены корректировки, чтобы помочь клиентам удовлетворить требования DORA. В нашем документе о сопоставлении DORA, доступном по запросу через контактную связь Майкрософт, объясняется, как наши договорные обязательства согласуются с DORA. Мы будем продолжать работать с клиентами, чтобы удовлетворить их потребности, чтобы обеспечить постоянное соответствие требованиям.

Управление рисками третьих сторон ИКТ в рамках DORA выходит за рамки корпорации Майкрософт, а также охватывает других третьих лиц с точки зрения финансовой организации. Мы предлагаем несколько решений, которые помогают решать сторонние риски в более широком плане, включая:

  • Microsoft Defender for Cloud Apps предоставляет комплексные возможности видимости, контроля и оценки для сторонних приложений и служб, снижая риски, связанные с внешними поставщиками ИКТ. Обнаружение облачных приложений может обнаруживать используемые сторонние приложения (теневые ИТ-службы) и предоставляет отчеты об оценке рисков.
  • Microsoft Purview помогает с унифицированным управлением данными за пределами облачных решений Майкрософт. Вы также можете управлять, защищать и управлять своими ресурсами данных в сторонних облаках.
  • Microsoft Purview Compliance Manager помогает сторонним поставщикам оценивать риски и управлять соответствием поставщиков более чем 300 стандартам, рекомендациям и правилам, предлагая аналитические сведения и действия по выявлению пробелов и снижению рисков для облака Майкрософт, а также для гибридных и многооблачных сред. Он также включает шаблоны оценки для других поставщиков облачных решений.

Корпорация Майкрософт также предоставляет контрольные списки на портале Service Trust Portal для клиентов в сфере финансовых услуг, которые ищут рекомендации по регионам и странам.

ИКТ — управление инцидентами, классификация и отчетность

Для финансовых организаций ЕС в отношении управления инцидентами, классификации и отчетности по ИКТ требуется целый ряд требований, включая следующие:

  • Процесс управления инцидентами, связанными с ИКТ. Финансовые организации должны иметь процесс обнаружения, управления и уведомления об инцидентах, связанных с ИКТ, и их записи в соответствии с их приоритетом и серьезностью.
  • Классификация инцидентов, связанных с ИКТ, и киберугроз. Финансовые организации должны классифицировать связанные с ИКТ инциденты и киберугрозы на основе таких критериев, как число затронутых клиентов, продолжительность, географическое распределение, потери данных, критичность услуг и экономические последствия.
  • Отчетность о крупных инцидентах, связанных с ИКТ, и добровольное уведомление о серьезных киберугрозах: финансовые организации должны сообщать об основных инцидентах, связанных с ИКТ, в соответствующий компетентный орган, используя стандартные формы и шаблоны, и информировать своих клиентов об инциденте и мерах по его устранению. Финансовые организации также могут на добровольной основе уведомлять соответствующие компетентные органы о существенных киберугрозах.
  • Согласование содержимого и шаблонов отчетности: ЕКА через Совместный комитет и в консультации с ENISA и ЕЦБ разрабатывает общий проект нормативных и реализующих технических стандартов для указания содержания, сроков и формата отчетов и уведомлений об инцидентах, связанных с ИКТ, и киберугрозах.
  • Централизация отчетности о крупных инцидентах, связанных с ИКТ: ЕКА через Совместный комитет и в консультации с ЕЦБ и ENISA подготавливают совместный доклад с оценкой возможности дальнейшей централизации отчетности об инцидентах путем создания единого центра ЕС для отчетности финансовых организаций о крупных связанных с ИКТ инцидентах.

Корпорация Майкрософт может помочь в создании комплексной платформы управления рисками в области ИКТ для выявления, защиты, обнаружения, реагирования и восстановления после нарушений, связанных с ИКТ:

  • Microsoft Sentinel — это облачная система SIEM, которая позволяет анализировать, обнаруживать и реагировать на угрозы безопасности в режиме реального времени, обеспечивая соответствие требованиям к отчетности об инцидентах.
  • Microsoft Defender XDR помогает при определении приоритетов, управлении инцидентами и реагировании на них.
  • Управление внутренними рисками Microsoft Purview предоставляет сквозную платформу для покрытия внутренних рисков с помощью политик, триггеров и оповещений о рискованном поведении пользователей.

Для веб-служб Майкрософт можно отслеживать работоспособность и настраивать уведомления о сбоях непосредственно в службе:

  • Панель мониторинга работоспособности служб Microsoft 365. Вы можете просматривать работоспособность служб Майкрософт, включая Office в Интернете, Microsoft Teams, Exchange Online и Microsoft Dynamics 365 на странице Работоспособность служб в Центр администрирования Microsoft 365.
  • Работоспособность служб Azure. Azure предлагает набор возможностей для информирования о работоспособности облачных ресурсов. Эта информация включает текущие и предстоящие проблемы, такие как события, влияющие на службу, плановое обслуживание и другие изменения, которые могут повлиять на доступность.

Цифровое тестирование операционной устойчивости

DORA внедряет цифровые операционные тесты, которые следует проводить в критически важных системах и приложениях ИКТ на ежегодной или трехгодичной основе с помощью тестирования на проникновение под руководством угроз (TLPT). Этот новый подход к тестированию укрепляет возможности тестирования финансовых организаций, способствуя своевременному восстановлению и непрерывности бизнес-процессов. Корпорация Майкрософт уже позволяет клиентам сделать это с помощью нашей программы тестирования на проникновение. Узнайте больше о правилах взаимодействия Microsoft Cloud Penetration Testing и наших программахbounty для ошибок . Корпорация Майкрософт будет продолжать работу и поддерживать требования к тестированию для удовлетворения требований этого режима тестирования, как это требуется в DORA, в соответствии с принципами обеспечения безопасности, целостности, безопасности и операционной устойчивости Microsoft Cloud.

Как корпорация Майкрософт помогает в тестировании операционной устойчивости

Корпорация Майкрософт регулярно проводит внутренние и сторонние тесты на проникновение для выявления потенциальных уязвимостей в системах, которые предоставляют наши веб-службы. Сторонние отчеты о тестах на проникновение для применимых веб-служб Майкрософт доступны для скачивания на портале Service Trust Portal.

В дополнение к тестированию уязвимостей корпорация Майкрософт проверяет устойчивость своих веб-служб по крайней мере ежегодно. Корпорация Майкрософт предоставляет отчеты о проверке планов непрерывности бизнес-процессов и аварийного восстановления на портале service Trust Portal, в котором описывается проверка и обслуживание планов BCDR для выбранных веб-службы.

Обязательства корпорации Майкрософт по обеспечению соответствия требованиям в рамках DORA

Корпорация Майкрософт готовится к выполнению требований, соответствующих требованиям DORA, а также к ключевым службам, которые она предоставляет финансовым организациям, которые используют ее облачные службы для критически важных или важных функций. Корпорация Майкрософт уже более десяти лет вкладывает значительные средства в помощь финансовым учреждениям в выполнении своих нормативных обязательств при использовании облачных служб Майкрософт— от коммерческих контрактов, которые мы делаем доступными в соответствии с рекомендациями ESA по аутсорсингу, до прозрачности и гарантии наших облачных служб с помощью портала Service Trust Portal и других ресурсов, до множества встроенных функций безопасности в наших облачных службах. В сочетании с расширенными возможностями, которые мы предлагаем, чтобы помочь клиентам управлять рисками и контролировать использование наших облачных служб на постоянной основе, элементы DORA являются естественным шагом вперед для поддержания операционной устойчивости и уверенного использования облачных служб Майкрософт. Мы также работаем с другими регуляторами в юрисдикциях, таких как Великобритания, которые реализуют аналогичные меры, как DORA, и готовятся к выполнению этих требований.

Укрепление операционной устойчивости — это широкая тема, которая выходит за рамки простого обеспечения соответствия DORA или устранения рисков, связанных с поставщиками и концентрацией, и требует стратегии и видения, которые связывают управление рисками с представлением о том, как развертывать технологии и оптимизировать процессы с учетом устойчивости. Мы считаем, что облачные технологии и инновации, такие как ИИ, играют важную роль в этом, так как это ключевое значение для усиления защиты от непредвиденных сбоев, повышения общей надежности служб и операций и повышения кибербезопасности. В качестве следующего шага рассмотрите возможность ознакомиться с электронной книгой Microsoft Digital Operational Resilience Act (DORA), в которой описаны шесть шагов, которые можно предпринять для повышения операционной устойчивости.